במציאות של היום ולאור ריבוי התקפות מסוג כופרה לאחרונה, הגנתסייבר בתוך חוות השרתים והרשת הארגונית בכלל היא תחום מאתגר מאוד עבור מנהלי תשתיות ואנשי אבטחת המידע. הגדילה המתמדת בכמות השרתים, המעבר לענן והצורך בגמישות עצומה במערכות ובתקשורת בין השרתים ובין המשתמשים בארגון, מביאים איתם כפועל יוצא אתגר אדיר בשמירה ובתחזוקת הקשרים הנכונים בין השרתים, בין אם מדובר במערך מחשוב המבוסס ברובו על מוצרי מדף או בין אם מדובר על ארגוני פיתוח המבוססים על Agile Programming. האתגר אף הולך ומתעצם במרכזי נתונים שהופכים גדולים ומורכבים יותר ויותר. אלו דורשים אפיון ומעקב רציף ותמידי אחר קיום הקשרים הלוגיים הנכונים והלגיטימיים בין השרתים והמשתמשים במערך.
גם מי שלא מגיע מתחוםאבטחת המידע בפרט או מתחום מערכות המידע בכלל, יכול להבין את המונח "פילוח" או סגמנטציה. בדומה למה שאנו חווים מאז הגיעה הקורונה לעולם –הדרך להפחית את הסיכון בהדבקה (או פירצה ברשת בהקבלה) הוא לייצר סגמנטים; מעין קפסולות ברשת בהתאם לצורך העסקי, ובעגה המקצועית Network segmentation.
ישנם לא מעט ארגונים בארץ ובעולם שביצעו סוג של סגמנטציה רשתית כבר לפני שנים, אך פתרונות סגמנטציה קשיחים אלו, בדמות VLAN ו/או Firewall רשתי, הם פתרונות מהדור הקודם וכיום קשה מאוד עד כדי בלתי אפשרי להקים ולתחזק רשתות בצורה קשיחה ולא נוחה מסוג זה – פרויקטים כאלו הם על פי רוב מייגעים ומורכבים.
כייוון שכך, רוב הארגונים נשארו עם רשת שטוחה שנחשבת כיום פצצת זמן מתקתקת המחכה לפורץ לחדור לרשת הארגונית. ברשתות שטוחות תמיד אפשר למצוא חוליה חלשה ברשת שדרכה ניתן לבצע חדירה, באמצעות ההתוקף יכול לנוע לרוחבה של הרשת, משרת לשרת, ויהיה כמעט בלתי אפשרי לבלום אותו.
ברוב המקרים, הארגון גם לא ירגיש בחדירה, במידע שידלוף החוצה או במערכות שיוצפנו עד שיהיה מאוחר מדי!
על כל הוספה של שרת, שירות מסוג מנוי או חיבור גורם צד שלישי העוסק בתמיכה ביישום ספציפי לדוגמא, משטח ההתקפה והסיכוי לחדירה לארגון גדל. על כל יציאת רשת פתוחה (Port), נפתחת דרך חדשה לתוקפים להיכנס גם לרשת של הארגון שלך.
ההבנה כיום בארגונים היא שסגמנטציה קשיחה אינה נותנת מענה לצרכים העסקיים מכיוון שהיא מורכבת ומסורבלת ליישום ולתחזוקה. הפתרון המודרני כיום לביצוע פילוח חכם ברשת (Network Segmentation) הוא באמצעות תוכנה.
Guardicore, חברה דינמית בעלת שילוב מנצח של מומחי סייבר מקהילת המודיעין עם בכירים מתעשיית הסקיוריטי בישראל, מאפשרת לארגונים להפחית את הסיכון לחדירה. המימוש מהיר, גמיש ומאפשר יישום חוקה בתוכנה בכל רמה אפשרית. על ידי כך, הפתרון מספק באופן אופטימלי אבטחה רשתית במהירות רבה וביעילות גדולה בהרבה מאשר השימוש בשיטות המסורתיות. המפתח ליישום סגמנטציה חכמה בתוכנה הוא לספק נראות גבוהה וממוקדת עד כדי רמת ה- Process לכל רוחב הרשת, כפי ש- Guardicore מסוגלת לספק.
דמיינו לכם שמישהו אומשהו היה יכול להראות לכם את כל הדרכים בהם תוקף פוטנציאלי יכול להשתמש בהן על מנתלגשת לשרתים והשירותים הקריטיים של הארגון, כולל כמובן דרכים שאפילו לא ידעתם עלקיומן. הרי ברור שמיד תתקבל תמונה מאירת עיניים והעיוורון שקיים היום בנראות התעבורהבתוך הרשת הארגונית יעלם.
Guardicore מספקת כלי חכם הנפרס ברשת תוךשעות ספורות. הכלי מספק מפות מפורטות המאפשרות לראות בבירור – את כל היישומים שלכם כולל נתיבי התקשורת, לפני ואחרי מדיניות סגמנטציה. במילים אחרות, אתם מקבלים תמונה מצב ברורה ובזמן אמת של משטח ההתקפה הפוטנציאלי על האפליקציות הארגוניות, או על מאגר הנתונים, או מאגר הקבצים וכדומה, עוד לפני ביצוע הפילוח וגם לאחריו.
על ידי מיפוי כל נתיבי התקשורת הפוטנציאליים ליישומים שלכם, ניתן לראות את משטח ההתקפה או וקטור התקיפה הפוטנציאלי על הארגון שלכם.
קחו לדוגמא את היישום הממופה באיור להלן (איור 1), הכפוף להגנה על פרטי אשראי (PCI) וחוק הגנת הפרטיות. אין ספק שזהו נכס קריטילארגון אשר מחייב הגנה בהיבטים של אבטחת מידע, רצף המשכיות עסקית, עמידה ברגולציהושמירה על מוניטין הארגון.
ניתן לראות כי לפני ביצוע הסגמנטציה המראה מפחיד.
האיור משקף את משטח ההתקפה של היישום ומראה שיש כ-100,000 מסלולי תקשורת משולבים שיש להם גישה ליישום הקריטי ויוצרים משטח התקפה משמעותי ורחב מאוד לאותו יישום רגיש, כל זאת ברשת שמונה פחות מ-100 שרתים וירטואליים. כלומר, לתוקף פוטנציאלי יש 100,000 מסלולים אפשריים לתקיפת היישום הרגיש.
זוהי תמונת מצב שכל בעל תפקיד בארגון; מנהל אבטחת מידע, מנהל היישום, מנהל הכספיםו/או המנכ"ל, מבינים שצריך להימנע ממנה.
רק לאחר פריסת הסגמנטציה של Guardicore, תמונת המצב מתאזנת. איור 2 מייצג את החיבורים המותרים אל היישום ובדיוק לאילו שרתים מותר לתקשר עם היישום, על ידי המדיניות שהוגדרה על ידי החוקה של Guardicore לתקשורת מותרת עם היישום הקריטי.
מ-100,000 אפיקי תקשורת, צמצמנו את משטח ההתקפה הפוטנציאלי של יישום זה באופן דרמטי על ידי יישום מדיניות סגמנטציה מבוססת תוכנה וסגירת כל אפיקי התקשורת כולם, פרט ל-30 סוגי חיבורים נדרשים. למעשה, מבחינת הארגון מדובר כאן בהפחתת הסיכון באופן דרמטי של 99%, בדוגמא זו.
מדובר בעובדה פשוטה: אתם לא יכולים להגן על מה שאתם לא יכולים לראות. ברגע שניתן לראות את מצב הקשרים ברשת על ידי פתרון הסגמנטציה מבוסס התוכנה של Guardicore ניתן בקלות לתקן את המצב, בין אם היישום הנבחן רץ באופן מקומי או בענן.
כאמור, עם כל הוספה שלשרת, שירות מסוג מנוי, או חיבור גורם צד שלישי העוסק בתמיכה ביישום ספציפי לדוגמא,משטח ההתקפה והסיכוי לחדירה לארגון גדל. באופן דומה גם באמצעות כל יציאת רשת פתוחה (Port), נפתחת דרך חדשה לתוקפים לחדור לרשת.
חלק מפרוטוקולי התקשורת (Network Ports) מועדים יותר לשימוש לרעה במהלך תנועה רוחבית של התוקף ברשת ולמעשה מאפשרים לתוקף דילוג חשאי וקל משרת לשרת בתוך הרשת. דוגמא לפרוטוקולים מועדים לפורענות הם כאלו המאפשרים הרצת קוד (למשל: SSH), או יציאות רשת מסוג SMB, או יציאות רשת בלתי מאובטחות דוגמת Telnet. מצב זה יוצר חשיפה גבוהה יותר ובאופן טבעי מהווים סיכון גדול יותר לפריצה לרשת מיציאות אחרות.
כחלק מהנתונים הנאספים, המערכת של Guardicore מספקת פירוט של כלל תעבורת הרשת ובפרט על פרוטוקולי התקשורת, כך שגם במקרים כאלו ניתן לקבל תובנות חזקות כאשר מיישמים סגמנטציה בתוכנה באמצעות המערכת של Guardicore.
ארגונים רבים בארץ ובעולם, מסקטורים שונים כמו פיננסים, טלקום, בריאות, חינוך ותעשייה כבר בחרו ליישם סגמנטציה מנוהלת תוכנה של Guardicore המצטיינת בתפיסת עולם זו. אחד מהם הוא ארגון המוכר לכולנו מתעשיית המזון והמשקאות, טמפו תעשיות. האתגר שעמד בפני מערכות המידע של הארגון בביצוע סגמנטציה ברשת הלך וגדל עקב הצמיחה של החברה שהגדילה באופן טבעי את כמות השרתים.
אהוד הומינר, מנהל התשתיות הגלובלי של טמפו תעשיות, מסביר: "יש לנו בארגון מספר סביבות מחשוב מרכזי ולכן חיפשנו פתרון אבטחת מידע בתפיסת ארכיטקטורה שבנויה לענן, ומצד שני לא תלויה בתשתית ספציפית" מספר הומינרו ממשיך "ארכיטקטורה שתאפשר ותיישם החלת אבטחה באופן דינמי, ותתאים לטפל בטבע האלסטי של יישומי הענן בהם אנחנו משתמשים, במקביל לסביבת המחשוב ברצפת הייצור Guardicore. נתנה לנו מענה על זה ובנוסף תומכת באופן גמיש בעומסי עבודה גבוהים".
"בנוסף לארכיטקטורה האלסטית של המערכת, Guardicore מספקת פלטפורמה אשר מאפשרת כוח אכיפה לחציצה בין שרתים ו/או תחנות באמצעות מיקרו-סגמנטציה ללא תלות בתשתית התקשורת עצמה וללא צורך ב-Firewall פנים ארגוני. כל זאת מתבצע באמצעות פריסת מפה טופולוגית אקטיבית דינמית, של כל היישומים והקשרים ביניהם במרכז הנתונים. Guardicore נחשבת כיום לפלטפורמת מיקרו-סגמנטציה מובילה עם יכולות מתקדמות, כולל פריסה מהירה והטמעה מינימלית, לכן בחרנו בה".
פאבל גורביץ', מנכ"ל ומייסד משותף של Guardicore, מוסיף ומציין "על בסיס יכולות הנראות של Guardicore, אנחנו עוזרים לארגונים לאכוף את מדיניות האבטחה שלהם עד רמת ה-process והשרת הבודד באופן ייחודי, תוך חסימת תקשורת שאינה לגיטימית וללא תלות בתשתית וטופולוגיה, בין אם השרתים בענן, באתר מקומי, אובכל שילוב אחר ובכך ליישם סגמנטציה מלאה לכל הרשת בצורה פשוטה, והכל מנקודת ניהול מרכזית אחת".
לפרטים נוספים: www.dna-it.co.il | 09-7880090
%D7%9C%D7%90%D7%AA%D7%A8.jpg)