$
חדר מחשבים

המהפכה הבאה בעולם הסייבר כבר כאן

תחום הווירטואליזציה יכול לספק מענה יעיל לבעיות אבטחת מידע ברשתות. אחד הפתרונות הוא מיקרו סגמנטציה שמתבצע על מרכז נתונים מבוסס תוכנה או SDDC

אילן ינובסקי 17:5607.11.16

לו יכולנו לשוב בזמן, כשנתיים – שלוש לאחור ולהציב בפני מנהלים שאלה על מידת ההשפעה של אירועי סייבר על הארגון אותו הם מנהלים, הם היו משיבים, קרוב לוודאי, שהנושא אינו נוגע להם. היום, נשמע תשובות שונות לגמרי. האירועים שזעזעו את העולם המערבי בשנים האחרונות ועיצבו את השינוי בתפיסת העולם של מנהלים את אירועי הסייבר ואיומיו, כללו בין היתר את ההתקפה על משרד הרשומות האישיות (סוכנות אמריקאית המנהלת את המידע על עובדי המדינה האמריקאים), חברת Sony, חברת Target וחברת RSA.

בהתקפות אלו נגנב מידע רשמי מסווג ונגרמו נזקים ישירים ועקיפים בהיקפים של מאות מיליוני דולרים. ניתן להעריך, שמלבד המידע המפורסם ברבים על התקפות, בין שהצליחו ובין שנבלמו, התקפות רבות נותרו חסויות, משום שלא נתגלו, או שלא דווחו ע"י הנפגעים. לבד מהתרומה המהותית להגברת מודעות המנהלים (העובדה שמנהלים בכירים ובכללם מנמ"רים שילמו בכיסאם תרמה לחידוד המודעות), היוו הפרסומים גם זרז לעשרות ומאות חברות סטארט אפ המציעות פתרונות טכנולוגיים לאיומים השונים.

 

מנהלי IT ומנהלי אבטחת מידע עומדים נבוכים אל מול שפע הטכנולוגיות, הכלים והפתרונות המוצעים להם. שאלת המפתח של רובם היא במה כדאי להשקיע ומה נחוץ פחות. במרוץ האינסופי בין תוקף למתגונן, בחירה שגוייה של טכנולוגיה, הימור על הסטארטאפ הלא נכון, או קביעה שגויה של סדר עדיפות בעולם הגנה, יכולה להיות הרת אסון למתגונן ולהפיל את מערך ההגנה.

וירטואליזציה של מרכזי נתונים יכולה לספק מענה יעיל לאבטחת המידע בשרתים וירטואליזציה של מרכזי נתונים יכולה לספק מענה יעיל לאבטחת המידע בשרתים צילום: shutterstock

 

בשיחה שקיימתי לאחרונה, עם מנהל אבטחת מידע של מוסד פיננסי גדול, סיפר לי המנהל, כי ארגונו מפעיל מערך הגנה משולב של עשרות מוצרי אבטחה שונים. "איני רוצה לרכוש מוצרי אבטחה נוספים, בטרם אמצה את ההבטחה הגלומה בקיימים. גם כך, אנשי מתקשים לשלוט בכל הכלים הקיימים", אמר לי בן-שיחי. את האמירה המעניינת הזו, אפשר וצריך לפרק למספר שאלות משנה: האם יש אמצעי שיאפשר למגינים למצות את ההשקעה שהשקיעו בכלים הרבים באופן טוב יותר? האם בכלל קיים נשק שובר שוויון בקרב בין התוקף למגינים? האם יש דרך למנוע את החדירה של "הרעים" לתשתית הארגון שלנו? אולי חשוב יותר להתמודד עם הנחת עבודה שהתוקף כבר פעיל בתוך הארגון? ואולי, ניתן להגביר את רמת ההגנה ולהפוך את מלאכת התקיפה ללא אפקטיבית?

 

התבוננות במידע שפורסם על מתקפות שונות, מעלה כי התוקפים פועלים על פי רב בדרך דומה. לעיתים רחוקות עומד היעד תחת מתקפה ישירה. כמו בעולם הפיזי, יחפשו התוקפים נכס שמערך ההגנה עליו, מאפשר חדירה של מערך הביצורים. התוקף מצויד בד"כ בסבלנות רבה וההתקפות מנוהלות לאורך זמן ובעצימות נמוכה, העוברת בד"כ מתחת ל"מכ"ם" ההגנה של המגינים.

 

בחלק מההתקפות שזכו לפרסום, הותקפו ספקי משנה של יעד התקיפה – כמו קבלני גיוס ומיון עובדים או קבלנים בתחום השיווק והמכירות, ובחלק הותקפו עובדים דרך הרשתות החברתיות בהן היו פעילים. המשותף לשתי דרכי תקיפה אלה הוא רמת הגנה נמוכה, המאפיינת את מושאי ההתקפה הישירה. מושאי ההתקפה משלבים בד"כ מודעות נמוכה לאפשרות התקפה והעדר כמעט מוחלט של אמצעי הגנה.

 

מהרגע שהתוקף השיג אחיזה בגורם הראשון בשרשרת, מטרתו הבאה תהיה לנסות ולהשתמש בארכיטקטורת מערכות המידע והתשתיות של יעד המתקפה, לאיתור של חוליות מעניינות יותר בשרשרת הערך הארגוני. באופן זה, אם המותקף היה קבלן גיוס עובדים, יעשה נסיון להגיע ממנו אל גורם משאבי האנוש המפעיל אותו וממנו לגורמים אחרים בתוך הארגון: מכירות, כספים או פיתוח. התנועה הרוחבית הזו (lateral movement) ממשתמש למשתמש או משרת לשרת, מבוססת על הארכיטקטורה של ארגוני ה-IT, המאגדת נכסים דומים לאשכולות עליהם יופעלו אמצעי בידוד ואבטחה.

 

ארכיטקטורה זו מייצרת מקטעים שהכניסה אליהם מוגנת, אך מרגע שגורם עוין חודר לתוך מקטעים אלו, אין כל אמצעים למנוע את התנועה בין הפרטים במקטע (שרתים, תחנות עבודה וכדו'). התוקפים המודעים למורכבות ההגנה, ומבינים את ארכיטקטורת מערכות המידע של הארגון המותקף, ינצלו את מערך ההגנה ע"מ לשפר עמדות בדרכם אל היעד למתקפה.

 

התנהלות זו של התוקפים, המבוססת על הארכיטקטורה, שבבסיס תשתיות הדאטה סנטר (Data Center) שלנו, ועל המגבלות שלה, מזמינה חשיבה מחודשת על מבנה זה ועל דרכי ההגנה. אם נוכל לבודד באופן טוב יותר את המרכיבים השונים של המערכות שלנו, ולמנוע את התנועה הרוחבית, נקשה מאד על דרכם של התוקפים. בהשאלה מהעולם הפיזי, אם תקיפה של מרכיב אחד, לא מקנה לתוקף שלנו כל יתרון בתקיפת הרכיב הבא, הוא יאלץ לשקול מחדש את דרכו.

 

הפתרון נעוץ בקונספט ותיק מאד מעולם התקשורת ואבטחת המידע הרשתית – סגמנטציה. הסגמנטציה היא חלוקה של הרשת למקטעים בעלי מאפיניים משותפים, שיאכלסו את האלמנטים השונים של האפליקציה: שרתים ישומיים, שרתי קבצים, מסדי נתונים, שרתי web וכדומה. אלא מה, לחלוקה הזו לסגמנטים פיסיים עלות גבוהה – הן ברכישה של מרכיבי רשת ואבטחה, והן באחזקה השוטפת שלהם. מעשית, לאחר מספר בודד של חלוקות לסגמנטים מרכזיים, הפתרון אינו ניתן לניהול. בוודאי שלא ניתן לחשוב על סגנמטציה פיסית של כל אפליקציה ואפליקציה.

 

אבל האם אפשר היה לבצע בידוד כזה ברמת תוכנה בלבד? מסתבר שכן. הרעיון הזה – המכונה מיקרו סגמנטציה – מבוסס על פתרונות חדשים של דאטה סנטרים – The Software Defined data center או בקיצור SDDC. ה-SDDC הוא דטה סנטר שכולו מבוסס רכיבי תוכנה וירטואליים הרצים על חומרה סטנדרטית (COTS – Commercial off the Shelf ). אם כל רכיבי החומרה של הדטה סנטר מבוססי תוכנה, אז אין בעיה לחשוב על קיומם של מאות ואף אלפי סגמנטים קטנים. כמה קטנים? קטנים, עד לכדי שרת בודד בסגמנט משל עצמו.

 

המיקרו סגמנטציה, מחלקת את מרכז הנתונים למקטעים, שכל אחד מהם מייצג שלמות אפליקטיבית (למשל כלל מרכיבי מערכת ה-ERP) ומהווה מעיין דאטה סנטר עצמאי למערכת בודדת. באופן מפתיע, חלוקה זו, מפשטת גם את מדיניות האבטחה, שכן אין צורך להתחשב במערכות מקבילות, החולקות את אותם אמצעי הגנה ומקלה את ההגנה על המערכות. (חשבו למשל, מתי לאחרונה מחקתם חוק ב-Firewall? הסיבה שאיננו מוחקים חוקים, נעוצה בדיוק בשימוש המקביל של אמצעי האבטחה – ה-Firewall - על מספר מערכות מידע בו זמנית. או כפי שיאמר לכם איש אבטחה שלכם: "לכו תדעו על מי בדיוק משפיע החוק הזה").

 

כעת, ניתן לבנות ארכיטקטורה, שבבסיסה בידוד מוחלט של רכיבי מערכת אחת מיתר המערכות בדאטה סנטר. אך לא די בכך. מדובר גם בשינוי בתפיסת ה"אמון" ברשת: מעבר מאמון גורף בין הרכיבים והגדרה של מה לא נרשה במסגרת אמון זה, להגדרה מפורשת של הרשאות גישה (Zero trust zone). מהלך זה, מעבר מ-Black List ל-White List של הגדרות גישה, יאפשר לפשט את מדיניות האבטחה על מערכת בודדת ולנתק אותה מקשרי גומלין למערכות אחרות המצויות יתה באותו סגמנט אבטחתי. זוכרים את סוגיית מחיקת החוק מתוך ה-Firewall הארגוני שהצגנו קודם? הנה הפתרון לה. אם החוקים רלוונטיים למערכת בודדת, קל להבין את השפעת מחיקתו של חוק בודד על המערכת ואין לחשוש להשפעה על מערכות אחרות.

 

ואם לא די לכם ברווחים שנקבל מהשיפור שבבידוד מערכות בסגמנטים יעודיים, אז בואו נחשוב יחדיו על רווחים נוספים מגישה זו. בארכיטקטורה מבוססת על וירטואליזציה של מרכיבי התקשורת ואבטחת מידע, ניתן להוסיף באופן פשוט בכל שלב שירותי אבטחה נוספים (המשתלבים בווירטואליזציה). "הזרקת" השירותים מאפשרת התאמה של אמצעי האבטחה לאיומים, באופן פשוט יותר, מהמוכר לנו. כלומר אם לא די לנו בבידוד שייצרה המיקרוסגמנטציה, נוכל למשל להפנות חלק מחבילות ממידע (packets) לבדיקה מעמיקה של Application firewall. יותר זהו חלק מהמענה לצפייה של מנהל האבטחה עימו שוחחתי: לשפר וליעל השימוש בכלי האבטחה הקיימים.

 

לסיכום, זהו עידן חדש בהתמודדות עם איומי אבטחת מידע וסייבר. עידן המבוסס כולו על וירטואליזציה של רשתות תקשורת ואבטחת המידע. הווירטואליזציה מאפשרת לנו לייצור אזורים, בהם פשוט להפעיל אמצעי הגנה ומניעה ולצמצם עד מאד יכולת התוקפים להגיע אל מידע רגיש. ארכיטקטורה זו הכרחית בעידן שבו איומי הסייבר מאיימים להטביע את ספינות ה-IT שלנו והיא מאפשרת להציב מענה הולם לאתגרי הסייבר. ארגונים רבים, שאימצו פילוסופיה של דטה סנטר מבוסס תוכנה (SDDC) מתנסים כבר היום בארכיטקטורת אבטחת מידע כזו. כפי שאמר העתידן והסופר ויליאם גיבסון: “The future is already here — it's just not very evenly distributed.”

 

הכותב הינו אסטרטג פתרונות עסקיים אזורי ב-VMware

בטל שלח
    לכל התגובות
    x