הגנה חכמה בענן

‍

המעבר לענן הוא אחת ממגמות הטכנולוגיה המשמעותיות של השנים האחרונות, אשר מאפשרת לארגונים רבים גמישות גדולה יותר לצד חסכון בעלויות. אך לצד היתרונות, הוא גם מציב אתרים משמעותיים בתחום אבטחת המידע. ברדוור מסבירים מהן הסכנות העיקריות – ואיך אפשר להימנע מהן

"כבר לא נכון להגיד שארגונים עוברים לענן - כי הם כבר שם", מסביר ארז ויטלשטיין, מנהל פעילות רדוור ישראל ומזרח אירופה, העוסקת בהגנה על ארגונים מפני מתקפות סייבר. "באופן כללי, ניתן לראות כיום שני סוגים של ארגונים: אלה ש'נולדו' בענן (born-in-the-cloud), ופועלים שם מהיום הראשון, וכאלה שנמצאים בתהליך של מעבר לענן (cloud migration). בקרב אלה שנמצאים בתהליך של מעבר, יש כאלה שעוברים מהר או לאט יותר, אבל הכיוון הוא ברור וחד-משמעי".

כדוגמה, מביא ויטלשטיין ארגון גדול בתחום הפיננסיים בישראל, עמו נפגש לאחרונה. "תעשיית הפיננסים נחשבת שמרנית יחסית, שכן היא מחזיקה במידע רגיש מאוד, ונתונה תחת רגולציה כבדה. ואולם, גם התעשייה הזו עוברת לענן. כאשר שוחחתי עם מנהל אבטחת המידע של הארגון, אחד המובילים בשוק, הוא אמר שהאתגר הגדול ביותר שלו כ-CISO הוא איך לאבטח את הסביבות החדשות, ובמקביל לאפשר אימוץ של סביבות פיתוח וטכנולוגיות חדשות, שיאפשרו לארגון לנצל את כל היתרונות של הענן הציבורי.

"אם בעבר היית צריך לחדור לדטה-סנטר של הבנק כדי להיכנס לאפליקציות מסחר ועסקאות, כיום, כשהכל יושב בענן – נפתח שטח חדש עבור התוקפים", מסביר ויטלשטיין. "בעבר לא היו מאפשרים גישה מבחוץ ליישומים קריטיים, אבל כעת המצב השתנה. ברגע שאפליקציה והמידע יושבים בסביבת ענן, הגישה אליהם מתבצעת מרחוק; ואם יש גישה מרחוק לאפליקציה שהיאקריטית עבור הארגון – גם למתקיף יש גישה כזו.

"כאן מתחיל אובדן שליטה מסוים של הלקוח – ממצב בו הוא שולט מקצה לקצה על השרתים, החומרה, התוכנה, מערכת ההפעלה, הדאטה בייס והתקשורת כלפי חוץ – למצב שבו הוא לא יודע איפה בדיוק נמצאים כל אלה, ולאילו גורמים נוספים יש גישה לשרת. זהו שינוי פרדיגמה – משליטה מלאה, למוטת שליטה קטנה הרבה יותר, וזהו עולם חדש שצריך להתרגל אליו".

אז מדוע לעבור את ההסתגלות הזו? לדברי ויטלשטיין, "היתרון הגדול של הענן הוא הגמישות. אם אני צריך כיום לתכנן חוות שרתים, אני צריך לחשוב מה יהיו דרישות התוכנה של הארגון שלי בעוד חמש שנים, ומכאן לגזור אחורה את דרישות החומרה, לצאת לרכש ולאמן אנשים ייעודיים שינהלו את העניין. זה תהליך ארוך ויקר, וייתכן גם שבעוד שנה נבין שטעינו וקנינו מעט מדי חומרה, כך שיש לרכוש שוב, או אולי קנינו יותר מדי.

"בעבודה מול הענן, ברגע שאנחנו זקוקים לעוד שטח מחשוב – פשוט נשלם עליו ונקבל גישה מיידית. אפשר לקנות לפי הצורך. הלקוחות יכולים להרים ולהוריד שרתים כמעט בלי לתכנן מראש. אם צריכים עוד משאבים – אפשר לקבל אותם במהירות. כך ניתן לשחרר אפליקציות ושירותים במהירות גבוהה יותר, ולהגיב לשינויים בשוק הדינמי. כך שיש כאן טרייד אוף – יתרון הגמישות, מול החיסרון בשליטה ובנראות. כל זה מיתרגם גם לאבטחת המידע".

"העולם של הענן הוא חדש ושונה"

מדוע המעבר לענן מציב אתגרים כה גדולים בפני העוסקים באבטחת מידע?

"הענן מוביל לשינוי פרדיגמה בדרך שבה ארגונים יכולים לנהל ולנטר את משאבי המחשוב שלהם. כאשר לארגון יש חוות שרתים או חדר שרתים משל עצמו, בתוך הארגון האתגרים הם יחסית ברורים – משאבי הרשת, המחשבים והדאטה בייס - הכל נמצא באותה רשת ובאותו מיקום פיזי, כך שלמנהלי הרשת יש שליטה מלאה על המשאבים. הם מגנים על השרתים שלהם מתקיפה פיזית, ומנגנוני ההגנה מתמקדים בהגנה היקפית נגד גישה זדונית מבחוץ, פיירוול, Anti DDoS ו-WAF.

"העולם של הענן הוא חדש ושונה. כל משאבי הרשת יושבים מחוץ לארגון, בענן. משאבי הרשת כברלא נמצאים בשליטה בלעדית של הארגון, בנוסף, בעולם החדש הזה, גם גורמים עוינים, כמו האקרים, יכולים לגשת מרחוק למידע שעל השרתים – בדיוק כפי שמנהל הרשת או אבטחת המידע יכול לעשות זאת. שטח התקיפה של משאבי הרשת גדל פתאום, כי כולם יכולים לגשת לכל דבר, כמעט מכל מקום.

"בתחום הענן, קיים מודל האחריות המשותפת שאומר שהאחריות על אבטחת המידע באפליקציות ומשאבי המחשב משותפת לספק ולארגון עצמו, כאשר יש תחומים שעליהם אחראי הארגון וכאלה שעליהם אחראי הספק. הבעיה היא שבמקרים רבים קווי הגזרה לא ברורים. לפי מחקר של רדוור, בקרב שני שלישים מהארגונים שמשתמשים בתשתיות ענן ציבוריות, לא ברור איפה עוברים גבולות האחריות. ב- 50% מהארגונים הללו אירעה חשיפה של מידע כתוצאה מחוסר ההבחנה הזה. בשורה התחתונה, לארגונים בעולם הענן יש פחות שליטה ונראות על המשאבים שלהם עצמם – וכפועל יוצא מכך, החשיפה והסיכון שלהם עולים".

איך זה משפיע על ארגונים שמנסים לצלוח את האתגר הזה?

"זה אכן אתגר לא פשוט לארגונים. מצד אחד, הגמישות של הענן עולה בקנה אחד עם הרצון להאיץ תהליכי פיתוח, לענות על הדרישות של הלקוחות שצצות כל הזמן ולהגיב לתחרות, שמאלצת ארגונים להוציא גרסאות ועדכונים בקצב מהיר. מטרתם של המפתחים היא להוסיף יכולות למוצרים שהם עובדים עליהם, ולספק במהירות שירותים חדשים למשתמשים, אך המהירות הזו מייצרת אתגרי אבטחה. במקרים רבים הפיתוח רץ קדימה, בעוד שהאבטחה משתרכת מאחור. לפי מחקר נוסף של רדוור, ב- 70% מהארגונים משחררים גרסאות לפחות פעם בשבוע, אך למעלה מחצי מהארגונים לא מכלילים בדיקות אבטחה בתהליך שחרור הגרסה.

"במקביל, ארגונים מחפשים כל העת טכנולוגיות חדשות שיעזרו להם לקצר את לוחות הזמנים, כגון מיקרו סרביסס (Micro-services) וטכנולוגיות Kubernetes. טכנולוגיות אלה יוצרות אתגרים אף הן, פשוט כי הן חדשות ועדיין לאמכירים אותן כל כך. היתרונות של גמישות ומהירות בענן יוצרים חשיפה גדולה יותר של הארגון ושל המידע של הלקוחות שלו".

האם הכלים הקיימים היום מספקים מענה?

"אף שבשוק יש עשרות פתרונות, בפועל לרובם חסרות יכולות בתחום של אבטחת מידע – עד כמה הם מגינים עלהאפליקציה או המידע, או בתחום האוטומציה – עד כמה הם משתלבים עם תהליכי הפיתוח. פתרונות רבים מבוססים על הגדרות אבטחה ידניות, אבל האיומים מתפתחים בקצב מהיר, וחשוב שמערכות ההגנה יידעו להיות אדפטיביות לאותם שינויים בזמן אמת. מערך הגנה אדפטיבי הוא כזה שמבוסס על לימוד מכונה ועל כלי AI, כדי שיידע להתמודד עם השינויים בצורה מהירה ואפקטיבית.

"בכל הנוגע לאוטומציה, פתרונות רבים שקיימים כיום פותחו בגישה שמתאימה לעולם הישן, שלשרתים פיזיים והגנה על דאטה סנטרים, אך הם לא התאימו את עצמם לעולם הענן ולעולמות הפיתוח מבוססי Dev Ops, אג'ייל, מיקרו סרביסס (Micro-services) וכדומה.

"בשורה התחתונה, שורת איומי הסייבר בענן שונה מבעבר הודות לטכנולוגיות אחרות ואתגרים שונים. כתוצאה מכך, עולות דרישות חדשות ממוצרי אבטחת המידע. כיום, לקוחות שפועלים בסביבת ענן צריכים מנגנוני אבטחה מוכוונים או ייעודיים לענן. כלים סטנדרטיים לא יוכלו לזהות איומים אלה, ואחד הדברים החשובים בעולם אבטחת המידע הוא קודם כל לדעת לזהות את ההתקפה, ואז להשתמש בכלים חכמים מספיק כדי לעצור אותה".

 אז מהן הדרישות כיום להגנות מוכוונות ענן?

"ראשית, הפתרונות צריכים לתת כיסוי של 360 מעלות בסביבת הענן. כפי שהזכרנו קודם לכן, בענן שטח החשיפה גדול הרבה יותר, ויש מספר גבוה יותר של נקודות גישה. צריך להגן על השירותים שמתארחים בענן כנגד כל כיווני התקיפה האפשריים, מבפנים ומבחוץ. הפתרון צריך להגן גם על הפנים החיצוניים של הענן, כנגד תעבורה זדונית שבאה מבחוץ, אבל גם על תוך סביבת הענן, כנגד איומים שלא ניתן להגן מהם באמצעות הגנות חיצוניות או כנגד מתקפות שמצליחות לעבור את קו ההגנה.

"הדרישה השנייה היא הגנה אדפטיבית, שמשתנה באופן אוטומטי לפי שינויים באפליקציה או דפוסי השימוש של המשתמש. קצב השינויים של האפליקציות מהיר, והגנות חייבות להשתנות בהתאם ולהגיב לאיומים חדשים שלא נראו בעבר, כל זה מבלי להפריע להליכי הפיתוח – ומנגנונים המבוססים על למידת מכונה ובינה מלאכותית יכולים לעשות זאת באופן אוטומטי.

"אלמנט קריטי הוא מהירות הזיהוי של האיום, ומהירות הבלימה של המתקפה שמשתנה בזמן אמת. בדומה למערכת כיפת ברזל, שצריכה לתת מענה מול טיל שיכול לשנות במהירות את המהירות והגובה שלו –ולשנות את התגובה שלה בהתאם, כך גם בעולם הסייבר: על המערכת לדעת לזהות  שינויים או דפוסי התנהגות לא חוקיים בזמן אמת ובמהירות, וליצור מנגנוני הגנה לעצירה מהירה של אותן התקפות.

"הדרישה השלישית, קריטית לא פחות, היא היכולת לקבל תמונת מצב של ההתקפה ממקום מרכזי אחד באמצעות שילוב של ממשקי ניהול וסנכרון של המודלים השונים שלעתים נמצאים בסביבות ענן שונות.

"התקפה יכולה להתחיל במקום מסוים ולהתפשט למקום אחר, להתחיל ברשת ולהפוך לאפליקטיבית, או לגדול ולהפוך למורכבת יותר, ולכן חשוב שמערכת הניהול, הניטור והפעלת ההגנה תהיה מרכזית גם היא. ההתקפות יכולות להיות מורכבות ומבוזרות מבחינת הטכנולוגיות השונות והטכניקות שהמתקיף משתמש בהן. גם מערכת ההגנה צריכה לדעת לזהות את אותם שינויים ולסנכרן בין מנגנוני הגנה שונים במערכת אחת, שנותנת תמונת מצב שלמה.

"חשוב לציין גם כיככל שעובר הזמן, יותר ויותר ארגונים עובדים על כמה סביבות ענן במקביל. כך הם מגלים שיש להם סביבות שונות, כל אחת עם כלי השליטה שלה – ועליהם לאחד את כל אלה לתוךנקודת שליטה ובקרה אחת. לכן, אחת הדרישות של אבטחת מידע בענן היא ניהול מרכזי שמאפשר שליטה ובקרה על משאבים, לא משנה אם הם נמצאים בענן של אמזון, בזה של גוגלאו בעולם הפיזי".

"התעבורה הזדונית נחסמת – מבלי להפריע למשתמשים לגיטימיים"

מהו הפתרון שרדוור מציעה לנושא אבטחת הענן?

"רדוור פיתחה סט שלם של פתרונות ייעודיים לענן, במטרה להגן בצורה מלאה על משאבי רשת אשר רצים על גבי תשתיות ענן ציבוריות. אנחנו עוסקים בהגנה על פנים הענן, כמו טעויות קונפיגורציה והרשאות יתר של משאבים,למשל, עובד שמקבל גישה למידע שהוא לא אמור לגשת אליו. הרשאות יתר הן הסיבה ללא מעט מקרים של פריצות וגניבת מידע. משתמש מסוים קיבל הרשאות יתר, וכאשר מתקיף הצליח להתחבר לארגון דרך המשתמש הזה, הוא הגיע לכל מקום בלי הפרעה.

"למעשה, זו דוגמה נוספת למתח שבין הרצון בגמישות ובמהירות לבין הצרכים של אבטחת המידע. כשרוצים להתקדם במהירות בעבודה, האינטרס הוא תמיד להוריד כמה שיותר מחסומים. נותנים למפתח את כל ההרשאות הקיימות, רק שירוץ קדימה – אבל זה עלול להיות פתח לצרות. פתרון ה- Workload Protection שלנו מזהה את הסיטואציה של הרשאות יתר, מסוגללנטר תעבורת פנים ענן כנגד פעילות זדונית ויכול לאסוף אירועי אבטחה ואירועים אחרים כדי לייצר סיפור אחיד וקוהרנטי".

לדברי ויטלשטיין, "חשוב לזכור כי אחד האתגרים הגדולים בניטור מתקפה הוא שפעמים רבות, היא יכולה להימשך חודשים ארוכים. למשל, באחד האירועים המפורסמים של גניבת מידע שראינו לאחרונה, התוקף השתמש בפרצה בשרת אפליקציה כדי להכנס לרשת, מיפה את הרשת מבפנים, ואז השתמש בהרשאות יתר שהיו מוגדרות ברשת על-מנת לגשת למסד הנתונים המרכזי שלהם ולהעתיק את כל המידע שבו. זו שרשרת אירועים שלא מתרחשת בין-לילה, אלא תהליך שמתפרס על-פני מספר חודשים, ולפעמים יותר. כל הפעולות האלה מייצרות לוגים, אך אדם רגיל יתקשה לנתח אלפי שורות של לוגים כדי לחבר את האירועים השונים ולהבין שיש משתמש אחד שמנסה להגיע למקום אסור ולגנוב מידע.

"מוצר ה-Workload Protection שלנו יודע להשתמש בכוח מחשוב גדול ואוטומטי, המבוסס על למידת מכונה ובינה מלאכותית, כדי לנתח מאות ואלפי אירועים ולהבין אם הם קשורים זה לזה ולייצר סיפור התקפה אחוד,שמראה את שלבי ההתקדמות של התוקף צעד אחר צעד ולהתריע על כך. הוא יכול לגלות אם מדובר במתקיף שעושה את כל הפעולות הללו, ולא במשתמש לגיטימי שסתם מנסה לגשת למשהו באפליקציה. יש היום מתקיפים מתוחכמים שיודעים לבצע התקפה בצורה מבוזרת, כדי שכלים רגילים לא יידעו לנטר אותה – וגם אם הם עולים על משהו, פעמים רבות התוצאה תהיה התרעות קטנות רבות, שלא יידעו לחבר אותן לנורת אזהרה גדולה.

"כמוכן, לאחרונה השקנו גם מוצר ייעודי להגנה על Kubernetes, הנקרא Kubernetes WAF. במקרים רבים, קוברנטיס רץ במעין ענן בתוך ענן, ולא ניתן להגן עליו רק באמצעות מוצרי ההגנה חיצוניים של הענן. המוצר החדש הוא ייעודי וייחודי להגנה על אפליקציות בסביבה זו. פרט לכך, יש לנו שורה של מוצרים המגינים על הענן עצמו, כמו Anti-DDoS, Anti-Bot ו-WAF, שתפקידים להגן על הפנים החיצוניים של הענן ולמנוע מתעבורה זדונית להגיע אל הענן מלכתחילה".

 מהם יתרונות הגישה של רדוור?

"היתרון הבולט הוא הטכנולוגיה שבה אנחנו משתמשים לאיתור איומים ובלימה שלהם. אנחנו מעניקים הגנה כוללת נגד כל וקטורי התקיפה השונים, עם הגנות הן בתוך הענן והן על הפנים החיצוניים של הענן. כל המוצרים שלנו מבוססים על אלגוריתמים מתקדמים של בינה מלאכותית, שקודם כל לומדים את דפוס התעבורה והשימוש באפליקציה, ואז לומדים אוטומטית הגנות המותאמות לדפוסים האלה, ויכולים לעצור כל דפוס חריג. כתוצאה מכך, יש התאמה מירבית בין דפוסי השימוש לבין האבטחה. תעבורה זדונית תיחסם אוטומטית, בעוד שמשתמשים לגיטימיים לא יופרעו - בהתאם לגישת מודל האבטחה הפוזיטיבית.

"יתרון שני הוא ההגנה האדפטיבית. ההגנות שלנו יודעות להשתנות ולהתעדכן אוטומטית כך שאבטחת המידע לאצריכה לרדוף אחרי קצב השינויים באפליקציה, ויש תמיכה בטכנולוגיות חדשות, כמו הקוברנטיס, מולטי קלאוד וכן הלאה. היות וארגונים רבים יותר עובדים במספר עננים במקביל, התמיכה במולטי קלאוד היא יתרון חשוב - והמוצרים שלנו תומכים בכל סביבות הענן המרכזיות".

 איך הפתרון שלכם שונה מפתרונות אחרים שקיימים בשוק?

"הוא שונה בשני אופנים מרכזיים. ראשית, השימוש שלנו במודל אבטחה פוזיטיבי פירושו שהאבטחה מותאמת לדפוסי השימוש של המשתמשים ומתעדכנת אוטומטית, בניגוד למנגנוני אבטחה ידניים שדורשים מגעיד אדם כל הזמן. כתוצאה, אנו יודעים לתת הגנה טובה יותר מבחינת סגירת איומים, ועם אחוז טעויות נמוך יותר. האוטומציה שלנו גם מסייעת לארגונים לסגור את הפערים שבין קצב הפיתוח לקצב העדכון של האבטחה.

"שנית, המיקוד שלנו הוא בפתרונות ייעודיים לענן – סביבה שבה האיומים והאתגרים שונים מאשר בסביבת חומרה, וגם הטכנולוגיות הן שונות. לכן, רדוור משקיעה בשנים האחרונות מאמצים רבים בפיתוח פתרונות ייעודיים לענן, המותאמים לטכנולוגיות שבו. ביניהן ניתן למנות, למשל, את פתרון ה-WorkloadProtection  להגנה על פנים סביבת הענן, ה- Kubernetes WAF להגנה על אפליקציות שרצות מעל סביבת Kubernetes, או שירותי ה- Anti-Bot, Anti-DDoSו-WAF להגנה של הסביבה החיצונית של הענן.

 זהו תחום שמשתנה מהר מאוד. מה החזון שלכם לשנים הבאות?

"ארגונים צריכים לחשוב לא רק על המצב הנוכחי שלהם, אלא היכן הם יהיו בעוד חמש שנים – ולתכנן בהתאם את ארכיטקטורת האבטחה שלהם. הבעיה היא שבעולם הטכנולוגיה מאוד קשה לחזות מה יהיה בעוד חמש שנים, ולכן חשוב לשמור על גמישות בבניית ארכיטקטורת האבטחה. החזון שלנו הוא לתת את ההגנה הטובה ביותר על בסיס הטכנולוגיות שלנו, לצד אוטומציה ואינטגרציה עם הטכנולוגיה והסביבות החדשות שארגונים מטמיעים. כך נוכל לוודא שלארגונים יש את הגמישות הדרושה להם כדי להשתנות, לצד אבטחה ששומרת על קצב אחיד עם השינויים בארגון, ולא נופלת מאחור".

נא להכיר: חברת רדוור
רדוור היא מובילה עולמית של פתרונות ליישומים (Application delivery) ולאבטחת סייבר עבור מרכזי נתונים וירטואליים מבוססי תוכנה הנמצאים בענן.
לרדוור יותר מ-10,000 לקוחות ארגוניים וחברות טלקום ברחבי העולם, והיא מסייעת להם להסתגל לאתגרי השוק במהירות, לשמור על רציפות עסקית ולהשיג יעילות מקסימלית.
פנו אלינו בכל שאלה: israelsales@radware.com

‍

לקבלת מידע נוסף, בקרו באתר