הראש בעננים - אתגרי אבטחה בטכנולוגיה המתקדמת

במחקר שהוצג על-ידי גרטנר ולשכת המידע בארה"ב בסוף שנת 2021 נשאלו למעלה מ-1,000 מנהלים טכנולוגיים (CIO) בכירים מארגונים שונים ובמספר ענפים שונים במשק האמריקאי: "מהן הפעולות אותן מתכנן לבצע הארגון במסגרת היערכותו הדיגיטלית בחמש השנים הקרובות". למעלה מ-50% מהנשאלים דיווחו שהם מתכננים להתחיל, או כבר החלו, בתהליך אימוץ טכנולוגיות מתקדמות וכלים מבוזרים כמו תשתיות ענן, נתוני-עתק, IoT מערכות ניטור תפקודי ועוד. כאשר על-פי דבריהם הסיבה העיקרית לכך היא הצורך להתאים עצמם לשוק התחרותי החדש, שמשתנה במהירות כחלק מהטרנספורמציה הדיגיטלית בעולם. מתוך אלה, למעלה מ-70% הצביעו על הגירה תשתיתית לסביבת ענן כפעולה החשובה והמשמעותית ביותר אותה יבצעו בארגונם בשנים הקרובות, כאשר ניתן לראות אחידות ורב-ערכיות בכל הקשור לאופי הפעילות בכל הגזרות PaaS, SaaS או IaaS.

סגירה

אך ההאצה בקדמה ואימוץ של טכנולוגיות חדשות מייצרות אתגרי אבטחה חדשים ומשמעותיים עבור אותם ארגונים. למעלה מ-68% מהמשתתפים בסקר דיווחו שחוו פריצה או אירוע אבטחה משמעותי במשך תקופת פעילותם העסקית ואילו כ-29.5% דיווחו שחוו אירוע אבטחתי משמעותי בשנה האחרונה. ההשקעות הגדולות במשאבים להפעלתם של הכלים טכנולוגיים החדשים נועדו לשפר משמעותית את הביצועים העסקיים של החברות, אך מנגד הקושי שבוויתור על השליטה המלאה, המורכבות הטכנולוגית, המחסור בכוח אדם מיומן (הנובע מהחדשנות הטכנולוגית ומחוסר הסטנדרטיזציה בין ספקי השירות השונים) והיעדר מתודולוגיות מגובשות לניהול וניתוח מספק של הצרכים והיכולות - כל אלה מגדילים את האיום התפעולי ואת האיום על שלמות אמינות וזמינות המידע.

כיווני מחשבה ונקודות למבחן אתגרים אלה מחייבים אותנו לבחון מחדש:

האם השימוש בענן נכון ובטוח?

איך נכון לתכנן ולבצע את המעבר ההכרחי הזה מבלי לפגוע ברמת ההגנה הנדרשת?

אילו מערכי הגנה ניתן למצוא אצל ספקיות התשתית?

מה הם השינויים הנדרשים בתפיסות ההגנה, כאשר הקוד הוא ליבת הארגון?

אילו כלים וטכנולוגיות עומדות לרשות הארגון בסיוע להגנה על נכסי המידע שלו?

וכמו תמיד ולא פחות חשוב - מה אומרת הרגולציה והתקינה על כל אלה?

כמובן שהתשובה המלאה לכל השאלות האלו דורשת חקר והעמקה, והיא שונה באופן מהותי בין ארגון לארגון ובין צורך טכנולוגי אחד למשנהו. בכדי לתת מענה מתאים נדרשת לבצע בדיקה עמוקה של המבנה התשתיתי, דרכי ההפעלה, תשתיות החיבור והקישור, האחסון, והתשתית האפליקטיבית לצד בדיקות וניתוחים של חולשות ואיומים, משטחי תקיפה, פוטנציאל היזק ועוד. כל אלו נכון שיבוצעו בכל מקרה לגופו על-ידי מומחים רב-מערכתיים, המכירים ובקיאים הן בכלל פתרונות התשתית וההיצע שהם נושאים עימם והן ב"מה שקורה בזירה" - הפיתוחים והאמצעים החדשים, תפיסות ההפעלה והכלים הייחודיים וההיברידים.

ועם זאת, ננסה לתת כאן מספר כיווני מחשבה, נקודות למבחן ורעיונות, שניתן לאמץ כשהנושא עולה על שולחנם של אלה האחראים לבטיחותו של הארגון.

1. התשתית

סקר שפרסמה חברת מיקרוסופט בתחילת 2021 הראה שרוב הארגונים בוחרים את תשתית הענן שלהם עוד לפני שבצעו סקירה של יכולות ואמצעים (לרוב על-פי שיקולי תקציב) ורק בשלב שני מתבצעת, בשיתוף עם מהנדסי התשתית של הספק, תוכנית התאמה לצרכים הספציפיים.

בחירה נכונה ומותאמת בספק תשתיות מהווה נקודת מוצא קריטית לארגון בבחירת מתודולוגית ההגנה והכלים בהם ישתמש. ולכן, חשוב להכיר את ההיצע בכל אחת מספקיות התשתית ולבחור נכון את השותפות הכל כך מהותית הזו עוד לפני שיוצאים לדרך.

ישנן גם מספר שאלות שחשוב לשאול לפני שבוחרים:

שרידות - עד כמה נוכל לסמוך על ספק הענן?

מהם תקני האבטחה הגלובליים בהם יש תמיכה ISO, FedRAMP, CSA-STAR וכדומה?

האם קיימת תמיכה ברגולציות ייעודיות (על-פי צורך הארגון כמו HIPAA, PCI DSS ועוד?

מהם כלי האבטחה שהתשתית מספקת כחלק מהשירות?

מה כלול בSLA- בכל רמות השירות?

האם קיימת יכולת התערבות/מניעה/הגנה/בקרה?

ובנוסף, חשוב שרמת השקיפות והנגישות לכלים ולתשתית מחד ולתכנים מאידך תהיה מקסימלית כך שכל תוצאות מערכות ביקורות האבטחה של הספק יהיו גלויות וברמת ויזואליזציה שתאפשר בקרה מלאה ובזמן אמת.

2. האחסון

אחרי שהבנו ובחרנו תשתית הגיע העת לבדוק ולבחור את אמצעי האחסון והקונטיינרים. וכאן צריך לבדוק (חוץ מבדיקות ביצועים ויכולת מערכת), בין היתר, היכן ברמה הגיאוגרפית נשמר המידע. חשוב לדעת שהמיקום אינו מפר תקינה בינ"ל או רגולציה שעלולה לחשוף את הארגון. ובנוסף, כחלק מבחינת השרידות ויכולת ההתאוששות, חשוב לדעת האם קיימת יכולת לבצע הגירה של המידע, או לנדוד לספק חלופי בעת הצורך, בצורה אוטומטית וללא הליך מורכב?

גם היבטי יכולת ההצפנה והפענוח של מידע הנודד בין קונטיינרים ומערכות אחסון, לצד משמעויות הביצועים הנובעות מכך, חייבות להיבחן.

3. הזדהות ניהול ובקרת גישה

בסביבה בה הכל נגיש מצד אחד ואין הבדל משמעותי בין גישת משתמש לגישת שירות מהצד שני, חשוב שנהיה עם יד על הדופק. הסביבה כבר איננה גן סגור מוגן בשער יחיד וככזו היא עושה שימוש בכלים אחרים ומורכבים יותר, שאינם בהכרח בשליטה מלאה של הארגון. בכדי לשמור על רמת מוגנות גבוהה ומותאמת לצרכי הארגון מומלץ להשתמש בטכנולוגיות Single Sign-On ומרובת גורמי הזדהות (MFA) עבור כלל החשבונות, תוך הקפדה על מדיניות Least Privileges ושימוש בכלים מתקדמים ליישום אוטומציה וניהול מחזור ההרשאות עבור כל משתמש/שירות במערכת. שירותי התשתית והאפליקציה בענן צריכים להיות מנוטרים בזמן אמת ולהתריע על כל חריגה מהסתברות.

4. ולבסוף, שותף לדרך

הפיכתה של התשתית למרכזית וגמישה, וחזרתה לליבת מערכת המידע בתצורה חדשה, מחייבות התייחסות מקצועית מתקדמת גם להיבטי אבטחת המידע וההגנה התפעולית. יכולות אלה דורשת חקר, מקצועיות ושליטה מקיפה בהתרחשויות הטכנולוגיות בזירה הדיגיטלית. חשוב מאוד לבחור שותף טכנולוגי מתקדם ובעל ידע, שיוכל לסייע בתכנון ובשרידות גם בשלבי המעבר (ברוב המקרים בתשתית מעורבת), בהטמעת כלים ופתרונות ולבסוף - גם בתפעול השוטף ובשמירה על הקיים.

הכותב משמש כ-CTO ואחראי על הפיתוח העסקי בחברת SAFWAY מקבוצת סלקום

בשיתוף חברת SAFWAY מקבוצת סלקום