סגור
Dun's 100

שינויים ותמורות בהגנה על מידע (data security) בעידן הענן

עולם המיחשוב השתנה מהותית בחמש עשרה השנים האחרונות מאז הושקו שירותי הענן. מיד עם השקת הענן הגדול הראשון נפוצו תחזיות רבות בנוגע לכך שבסופו של דבר כל עולם המיחשוב יעבור לענן, ואכן לאחר כמה שנים המגמה הראתה שזהו באמת הכיוון - השרתים הפיזיים המקומיים שכל חברה החזיקה הלכו ואיבדו את מקומם לטובת מעבר לענן. היתרונות ששירותי הענן מעניקים - זמינות מלאה, גיבוי מתמיד, אפשרות להוספה והורדה אוטומטית של משאבים לפי הצורך, תשלום רק על מה שמשתמשים, קלות השימוש, האפשרות לאוטומציה ועוד היוו קלף מנצח שהנחיל "נוק אאוט" לשיטות הישנות.
למרות שכוח החישוב עבר באופן יחסית מהיר לענן, העברת המידע של הארגונים לענן לקחה מעט יותר זמן. ארגונים רבים לא ששו לאפשר לחברות הענן לנהל את המידע שלהם, ובכללו את המידע הרגיש ביותר שיש ברשותם. הסיבה העיקרית לעיכוב הזה היא שהמידע הוא הנכס הגדול ביותר של הארגון ובשל כך מהווה את הסיכון הגדול ביותר במידה וייגנב או ייפגע. כמעט בכל הארגונים, ובטח בארגונים המחזיקים מידע רגיש לגבי הלקוחות שלהם כגון בנקים, חברות ביטוח, חברות הנותנות שירותי רפואה ועוד, מדובר במכה קשה עד כדי מכת מוות אם המידע נגנב או נפגם על ידי האקר. לפיכך, ישנו הבדל משמעותי בין העברת כוח החישוב לענן ואף העברת מידע לענן באופן זמני (in transit) להעברתו לענן באופן קבוע (at rest). יתרה מכך, על מנת ליהנות מהיתרונות שבענן, יש לא רק לאחסן את המידע בענן אלא לשים אותו בדאטהבייסים ושרתי קבצים המנוהלים על ידי ספקיות הענן עצמן, כדגומת RDS ו-S3 ב-AWS, דבר המקטין עוד יותר את השליטה של הארגון במידע. בנוסף לחשש המובן של מנהלי אבטחת המידע בחברות להעביר את המידע למקום שבו הם שולטים בו פחות, גם פתרונות ההגנה על המידע הקיימים בשוק לא היו מותאמים מספיק לפתור את הבעיה במלואה כפי שהיא מתקיימת בענן.
אבל למרות העיכוב, גם במקרה זה בסופו של דבר היתרונות של הענן ניצחו (ואולי תרמו לכך אף חילופי הדורות בקרב האנשים שאחראיים על ניהול ואבטחת המידע) והביאו לכך שהמידע התחיל לעבור לשירותים מנוהלים בענן במאסות גדולות. רק לשם דוגמה, נכון לעכשיו 100% מהגידול העולמי בדאטהבייסים הוא בדאטהבייסים מנוהלים בענן ובקצב הנוכחי יהיו יותר דאטהבייסים מנוהלים בענן מאשר בסביבת הלקוח החל משנת 2024 או 2025.


1 צפייה בגלריה
דרור שמש אימפרבה סמנכ״ל פיתוח Data Security
דרור שמש אימפרבה סמנכ״ל פיתוח Data Security
דרור שמש
(צילום: יח"צ)
אם כן, המגמה ברורה, גם המידע עצמו עובר לענן בכמויות גדולות ובכללו המידע הרגיש ביותר בארגון. לפיכך, אתגר ההגנה על המידע (data security) בענן מתעצם ועל פתרונות הגנת המידע לבצע את ההתאמות על מנת להבטיח שהמידע נשאר מאובטח ברמה הגבוהה ביותר גם כאשר הוא לא נמצא בשליטה מלאה של הארגונים.
כשמסתכלים לעומק על הבעיה מסתבר שלאבטח את המידע בענן ולהגן עליו מציב אתגרים שונים ומורכבים לעומת הגנה על מידע המאוחסן ומנוהל על ידי הארגון עצמו, כך שלמעשה אין מדובר בלפתור את אותה הבעיה בשינוי קל, אלא לעבוד על בעיה שהמורכבות שלה והפתרונות שלה שונים מהותית במקרים מסוימים מפתרונות העבר (ודומים מאוד במקרים אחרים). ישנן מספר סיבות לכך שמדובר בבעיה שונה מהותית, כשהעיקריות שבהן הן:
● הוספת והורדת דאטהבייסים בענן היא פעולה פשוטה מאוד כמו גם העברת מידע בין מקורות שונים, דבר המייצר מצב שבו מידע רגיש יכול להופיע ולהיעלם בקצב מהיר משמעותית מבעבר. בשל כך הצורך לנטר ולהגיב מיידית למידע חדש המופיע יש מאין הינו צורך בסיסי על מנת להגן אפקטיבית על כל המידע של הארגון.
● התשתית נשלטת על ידי ספקיות הענן ולכן לא ניתן להשתמש בה כדי לאבטח את המידע. לדוגמה, לא ניתן להתקין אייג'נט על המכונה עם הדאטהבייס כדי לנטר אותה באופן רציף ומלא ובעצם לייצר חומה הרמטית מסביב למידע שאין דרך לעקוף אותה.
● המשמעות של חולשת אבטחה (למעשה באג) אצל ספקיות הענן הינה משמעותית לאין שיעור מבעבר, שכן חולשה שכזאת יכולה לחשוף כמויות אדירות של מידע אצל מספר רב של לקוחות. לדוגמה, חברת אימפרבה גילתה לפני זמן מה חולשת אבטחה משמעותית מאוד אצל אחת מספקיות הענן הגדולות בעולם, שהייתה עלולה לאפשר להאקרים לגנוב מידע רגיש מארגונים רבים במידה והיו מודעים אליה (מפאת רגישות העניין לא ניתן לחשוף פרטים נוספים, למעט העובדה שהבעיה תוקנה).
● ארגונים מסוימים מקבלים לפעמים תחושה מוטעית שהם מוגנים יותר כשספקיות הענן מנהלות את המידע, מכיוון שהם למעשה סומכים עליהן יותר משהם סומכים על עצמם. המציאות הינה מורכבת יותר ובעוד ספקיות הענן מאבטחות את התשתית עליה יושב המידע, למשל על ידי הצפנת המידע על הדיסק, הן מצהירות בפירוש שהן לא אחראיות לסיווג המידע הרגיש, אבטחת הגישה אליו, הבנה מי ניגש לאיזה מידע והאם הגישה חוקית ועוד. בעיה זו הינה באחריות בלעדית של הארגון לו שייך המידע ועליו לדאוג לפתור אותה מקצה לקצה (מודל הידוע בשם shared responsibility model).
● עולם הענן הינו עולם פשוט יותר במידה מסויימת עבור האקרים. בעבר כל סביבה הייתה שונה מהותית והדבר הראשון שהאקר היה צריך לעשות הוא להבין את הסביבה של הארגון אליו הוא מנסה לפרוץ ואת הטכנולוגיה בה משתמשים ואז לחפש פרצות בהן. בענן האפשרויות מצטמצמות והסביבות של ארגונים שונים הפכו להיות דומות זו לזו הרבה יותר מבעבר, דבר המקל על ההאקרים למצוא את דרכם אל המידע הרגיש.
לפיכך, על פתרונות אבטחת המידע לתת מענה לבעיות המצוינות מעלה באמצעות יצירת פתרונות הבנויים לענן באופן מיטבי, שלא רק נותנות הגנה היקפית על חדירה לרשת אלא גם שמות טבעת הגנה מסביב ובקרבת המידע עצמו. כל פתרון שכזה חייב לכלול לפחות את היכולות הבאות:
● יכולת לגילוי מיידי של דאטהבייסים וקבצים חדשים, סיווג המידע (רגיש/לא רגיש) ואבטחה אוטומטית של כל מידע רגיש שכזה מבלי שהלקוחות יצטרכו לדאוג לכך ידנית.
● איסוף מידע על תנועת משתמשים ברשת בכל הרמות, החל מכניסה לרשת הוירטואלית של הלקוח בענן, דרך המעבר דרך תשתיות ההזדהות השונות ועד לגישה למידע עצמו, וזיהוי דרכי תקיפה ידועות אשר עלולות להופיע ברשת.
● מעקב הדוק אחר הקונפיגורציות המומלצות מבחינת אבטחת מידע בענן והתרעה מיידית על קונפיגורציות המסכנות את המידע, לרבות הקשר מלא של מתי התבצע שינוי הקונפיגורציה ועל ידי מי. בנוסף, יש לספק יכולת תיקון אוטומטי או סמי אוטומטי של כל קונפיגורציה שכזאת (נכון להיום, 80% מתקיפות הסייבר בענן מנצלות לפחות מיסקונפגורציה אחת הקשורה לאבטחת מידע).
● מעקב אחרי כל הגישות למידע, הקלטתן וביצוע למידת מכונה מתוחכמת היודעת לחפש ולמצוא כוונת זדון בגישה למידע, התרעה עליה בשלב מוקדם (לפני ההגעה למידע הרגיש עצמו) ותגובה אוטומטית או סמי אוטומטית לאירוע.
את כל זה יש לעשות באמצעות מוצר שמתאים באופן מושלם לעולם הענן - קל לתפעול, בנוי לאוטומציות של הלקוח, בעל יכולת התרחבות והתכווצות באופן אוטומטי לפי הצורך ואשר בנוי לניהול של קבוצות devops. על כל האתגרים הללו יש להוסיף שבשלב הנוכחי בו ארגונים מעבירים את המידע לענן ומחזיקים מידע הן בענן והן בשרתים מקומיים בו זמנית, על המוצרים לתמוך באפשרות של הגנה על כל סוגי המידע, בכל מקום בו הם מאוחסנים, באמצעות פתרון אחד כולל.
לסיכום, עולם ההגנה על המידע בענן שונה מהותית מעולם אבטחת המידע בסביבת הלקוח. בשל כך, הפתרונות לעולם זה חייבים להיות שונים מהפתרונות המקובלים להגנה על מידע בשרתי הלקוח. עם זאת, אסור לשכוח שבשלב זה, ובעתיד הנראה לעין, יישנו מידע רגיש גם בסביבת הלקוח, ולכן אותו מוצר צריך לפתור את שתי הבעיות במקביל.
מאת דרור שמש, סמנכ״ל פיתוח Data Security, אימפרבה
d&b – לדעת להחליט