✕ סגור 
צור קשר
תודה על ההתעניינות .

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form

המגמות הבולטות באבטחת מידע בענן – לפי מומחי Google Cloud

המגמות הבולטות באבטחת מידע בענן – לפי מומחי Google Cloud
אלית בן בסט נוריאל
|
קלה
|
May 22, 2019
alt="facebook"alt="linkedin"להרשמה לניוזלטר

לכולנו ברור כי הגנה על ארגונים מפני איומי אבטחה דורשת התמדה. אבל כדי לזהות ולנטרל את הסיכונים החדשים שצצים חדשות לבקרים נדרשת כבר גישה פרואקטיבית וגם מידה רבה של יוזמה. למרבה המזל, כשזה מגיע לענן הציבורי, ספקיות הענן משקיעות משאבים רבים בזיהוי ועצירה של מתקפות חדשות ושל איומים רחבי היקף - כמו למשל במקרה הידוע של Spectre ו-Meltdown שנחשפו לפני כשנה וחצי בידי צוות "פרויקט זירו" של גוגל. מומחי אבטחה אלה ממוקדים לחלוטין בזיהוי וחשיפת איומים ובהגנה על הנתונים שלכם ברשת.

לקראת כנס הענן השנתי Google Cloud Summit שיערך בתל אביב בקרוב, ריכזנו כמה מהמגמות הבולטות בתחום אבטחת המידע בענן, שמומחי האבטחה של Google Cloud ממליצים לשים אליהן לב.

החרפת המתקפות על מערכות אימות דו-שלבי

פתרונות לאימות דו-שלבי, או בקיצור 2SV (ר"ת Two-step verification) הפכו לסטנדרט עבור רוב היישומים המודרניים, ככלי להגנה על חשבונות משתמשים מפני גישה לא מורשית. עם זאת, לא כל פתרונות ה-2SV נולדו שווים, ותוקפים מיומנים מוצאים דרכים חדשות לעקוף שיטות חלשות יותר, למשל על ידי יירוט סיסמאות חד פעמיות וקודים הנשלחים ב-SMS באמצעות מתקפות פישינג. בדרך כלל התקפות כאלה מתמקדות ביעדים איכותיים כגון מנכ"לים, דמויות פוליטיות בכירות או אדמינים בענן הארגוני. אולם יש להניח שהחרפת המתקפות תוביל לאימוץ שיטות אבטחה חזקות יותר. ארגונים יאמצו שיטות 2SV עמידות בפני פישינג עם סטנדרט FIDO, והדבר יאפשר למשתמשים לאמת את זהותם עם מפתחות אבטחה ולקבל הגנה חזקה יותר מפני השתלטות על חשבון המשתמש שלהם.

מתקרבים לעידן חדש ללא סיסמאות

כל הסימנים מראים כי כניסה מאובטחת (לוג-אין) ללא שימוש בסיסמא תיהפך בשנה הקרובה למיינסטרים. זה יקרה בעיקר הודות ל-APIs שיכנסו לדפדפנים ולמערכות ההפעלה המובילות, בתמיכתם של איגודי תקינת הרשת W3C ו-FIDO. נתחיל לראות יותר ויותר אתרים שמאפשרים לוג-אין חוזר בטביעת אצבע בלבד, או עם כל אמצעי זיהוי ביומטרי אחר. ביצוע לוג-אין ראשוני בלי סיסמא אמנם ייקח עוד קצת זמן, אך בעתיד אפשר להניח שגם זה יתאפשר ובדרכים קלות במיוחד, כמו פתיחת הנעילה של הטלפון הסלולרי בסמוך למחשב. אנו צועדים במהירות לעבר עולם ללא סיסמאות - וזו בשורה נהדרת למשתמשים וגם עניין חשוב לתשומת לבם של מומחי אבטחה.

ארכיטקטורות Zero-Trust יעברו משלב הרעיון לשלב היישום

ארכיטקטורות Zero-Trust הפכו לנושא חם בעולמות האבטחה, בעיקר בקרב ארגונים שאימצו שירותים קריטיים בענן ועובדים שדורשים גישה למשאבי הארגון בכל זמן ומכל מקום. בשנה הקרובה יש לצפות שספקיות נוספות יצטרפו אל Google שהייתה הראשונה להציע פתרון כלל-ארגוני מאובטח, ויציעו גם הן פתרונות מסחריים המיישמים יכולות אבטחה חוצות-ארגון, כשהקונספט מוטמע היטב כבר ברמת הארכיטקטורה כמו בפרויקט Istio.

פתרונות לניהול זהויות וגישה (IAM) יסתמכו על לימוד מכונה

צוותי האבטחה שאחראים לניהול זהויות וגישה לנתונים ייאלצו להתמודד עם עלייה ברמת התחכום, הגודל, וההיקף של מתקפות ישירות נגד המשתמשים ותשתיות המידע שלהם. עקב כך, יש לצפות כי ארגונים רבים יותר יאמצו פתרונות IAM המבוססים על לימוד מכונה וביג דאטה, במטרה להקל מהעומס על צוותי ה-IT והאבטחה שלהם.

התקפות מתוחכמות על קונטיינרים וסביבות Cloud-native

עד היום ראינו ניסיונות התקפה על פריסה של קונטיינרים, אלא שרובן התמקדו במטרות קלות יחסית או שפשוט היו ניסיונות חיקוי של התקפות קודמות נגד מכונות וירטואליות (VM). אולם, ככל שהאימוץ של קונטיינרים מתגבר אנו צפויים לראות יותר התקפות מתקדמות שתוכננו באופן ספציפי לפגוע בארכיטקטורה של קונטיינרים ובחולשות האבטחה שלהם. מנהלי מערכות ואדמינים יזדקקו לשירותי אבטחה חזקים בענן, שיציעו אבטחת קונטיינרים כברירת מחדל.

חולשות אבטחה בתוכנות קוד-פתוח

החדרת חולשות אבטחה לקוד המקור של תוכנות קוד-פתוח היא שיטת התקפה יעילה, מכיוון שרוב המשתמשים אינם חושדים, ולכן לא בודקים את הקוד בעצמם. זהו מצב לא סביר, כמובן, ולכן יש להניח שנראה שימוש רחב יותר של חברות בכלים לסריקה רציפה של חולשות אבטחה בתוכנות קוד-פתוח.

כתוצאה מתקנות GDPR, יוכפל מספר הדיווחים על אירועי פרטיות במערכות legacy

תקנות GDPR של האיחוד האירופי דורשות מארגונים לדווח על כל תקרית הנוגעת למידע אישי ניתן לזיהוי של תושבי מדינות האיחוד, או שיוטלו עליהם קנסות כבדים בסכום של עד 4 אחוזים מגובה הרווחים הגלובליים השנתיים או עד 20 מיליון אירו. כתוצאה מכך, רק במחצית הראשונה של 2018 נרשמה באנגליה עלייה של 30% במספר האירועים המדווחים לעומת שנת 2017 כולה. הדרישה לשקיפות מלאה בכל הנוגע לטיפול במידע אישי עשויה להבליט את שבריריותן של מערכות מדור קודם ובסופו של דבר להוביל לאימוץ ענן – אשר התהליכים והכלים הארגוניים לניהול הפרטיות תוכננו בו מראש לתמיכה בדרישות ה-GDPR.

ארגונים הנתונים לרגולציה מחמירה יחפשו ספקי ענן שיעניקו יכולות שליטה ובקרה על הגישה לנתונים

אחד היתרונות הגדולים של הענן הציבורי הוא שתשתיות הנתונים מנוהלות עבורך, אולם לעתים לקוחות חשים שאין להם מספיק שקיפות ושליטה בכל הנוגע לפעילות של ספק הענן שלהם. יש להניח כי בשנה הקרובה ארגונים רבים – בעיקר מתעשיות הנתונות לרגולציה הדוקה - יצפו לקבל שליטה ושקיפות מלאה על הפעולות שמנהלי הענן יכולים לעשות בנתונים שלהם. לקוחות אלה יצפו למידה רבה יותר של ביטחון שהם שולטים בנתונים שלהם בצורה מלאה.

ככל שרמת השירותים בענן מתפתחת והולכת, וככול שהמורכבות הטכנולוגית של פלטפורמת הענן הופכת לאבסטרקטית יותר, כך הופכים גם אתגרי האבטחה בענן ליותר מורכבים והם דורשים רמה גבוהה יותר של מקצועיות ותחכום מ-CISOs, CIOs, ולעתים גם מאנשי Devops. המגמות שתוארו לעיל צפויות להתגבר בעתיד הקרוב ולהשפיע על צוותי אבטחת מידע בארגונים, לכן כדאי להכיר ולהתכונן לקראתן.

בכנס Google Cloud Summit (גני התערוכה, ביתן 2, 29 במאי) תשתתף משלחת של מומחי סייבר ממשרדי Google Cloud, המנהלים את המוצרים המובילים של גוגל בתחום, כגון Cloud Security Command Center, Encryption ועוד. בכנס יתקיים שולחן עגול שיוקדש לנושא Cloud security ובנוסף יתקיימו מגוון סשנים בנושאי אבטחה במסגרת ארבעת מסלולי הכנס. לפרטים נוספים על Google Cloud Summit והרשמה לכנס ללא עלות - בקרו באתר הכנס

מאת: אלית בן בסט נוריאל, מנהלת פעילות השיווק של Google Cloud בישראל ומזרח-מרכז אירופה

לכולנו ברור כי הגנה על ארגונים מפני איומי אבטחה דורשת התמדה. אבל כדי לזהות ולנטרל את הסיכונים החדשים שצצים חדשות לבקרים נדרשת כבר גישה פרואקטיבית וגם מידה רבה של יוזמה. למרבה המזל, כשזה מגיע לענן הציבורי, ספקיות הענן משקיעות משאבים רבים בזיהוי ועצירה של מתקפות חדשות ושל איומים רחבי היקף - כמו למשל במקרה הידוע של Spectre ו-Meltdown שנחשפו לפני כשנה וחצי בידי צוות "פרויקט זירו" של גוגל. מומחי אבטחה אלה ממוקדים לחלוטין בזיהוי וחשיפת איומים ובהגנה על הנתונים שלכם ברשת.

לקראת כנס הענן השנתי Google Cloud Summit שיערך בתל אביב בקרוב, ריכזנו כמה מהמגמות הבולטות בתחום אבטחת המידע בענן, שמומחי האבטחה של Google Cloud ממליצים לשים אליהן לב.

החרפת המתקפות על מערכות אימות דו-שלבי

פתרונות לאימות דו-שלבי, או בקיצור 2SV (ר"ת Two-step verification) הפכו לסטנדרט עבור רוב היישומים המודרניים, ככלי להגנה על חשבונות משתמשים מפני גישה לא מורשית. עם זאת, לא כל פתרונות ה-2SV נולדו שווים, ותוקפים מיומנים מוצאים דרכים חדשות לעקוף שיטות חלשות יותר, למשל על ידי יירוט סיסמאות חד פעמיות וקודים הנשלחים ב-SMS באמצעות מתקפות פישינג. בדרך כלל התקפות כאלה מתמקדות ביעדים איכותיים כגון מנכ"לים, דמויות פוליטיות בכירות או אדמינים בענן הארגוני. אולם יש להניח שהחרפת המתקפות תוביל לאימוץ שיטות אבטחה חזקות יותר. ארגונים יאמצו שיטות 2SV עמידות בפני פישינג עם סטנדרט FIDO, והדבר יאפשר למשתמשים לאמת את זהותם עם מפתחות אבטחה ולקבל הגנה חזקה יותר מפני השתלטות על חשבון המשתמש שלהם.

מתקרבים לעידן חדש ללא סיסמאות

כל הסימנים מראים כי כניסה מאובטחת (לוג-אין) ללא שימוש בסיסמא תיהפך בשנה הקרובה למיינסטרים. זה יקרה בעיקר הודות ל-APIs שיכנסו לדפדפנים ולמערכות ההפעלה המובילות, בתמיכתם של איגודי תקינת הרשת W3C ו-FIDO. נתחיל לראות יותר ויותר אתרים שמאפשרים לוג-אין חוזר בטביעת אצבע בלבד, או עם כל אמצעי זיהוי ביומטרי אחר. ביצוע לוג-אין ראשוני בלי סיסמא אמנם ייקח עוד קצת זמן, אך בעתיד אפשר להניח שגם זה יתאפשר ובדרכים קלות במיוחד, כמו פתיחת הנעילה של הטלפון הסלולרי בסמוך למחשב. אנו צועדים במהירות לעבר עולם ללא סיסמאות - וזו בשורה נהדרת למשתמשים וגם עניין חשוב לתשומת לבם של מומחי אבטחה.

ארכיטקטורות Zero-Trust יעברו משלב הרעיון לשלב היישום

ארכיטקטורות Zero-Trust הפכו לנושא חם בעולמות האבטחה, בעיקר בקרב ארגונים שאימצו שירותים קריטיים בענן ועובדים שדורשים גישה למשאבי הארגון בכל זמן ומכל מקום. בשנה הקרובה יש לצפות שספקיות נוספות יצטרפו אל Google שהייתה הראשונה להציע פתרון כלל-ארגוני מאובטח, ויציעו גם הן פתרונות מסחריים המיישמים יכולות אבטחה חוצות-ארגון, כשהקונספט מוטמע היטב כבר ברמת הארכיטקטורה כמו בפרויקט Istio.

פתרונות לניהול זהויות וגישה (IAM) יסתמכו על לימוד מכונה

צוותי האבטחה שאחראים לניהול זהויות וגישה לנתונים ייאלצו להתמודד עם עלייה ברמת התחכום, הגודל, וההיקף של מתקפות ישירות נגד המשתמשים ותשתיות המידע שלהם. עקב כך, יש לצפות כי ארגונים רבים יותר יאמצו פתרונות IAM המבוססים על לימוד מכונה וביג דאטה, במטרה להקל מהעומס על צוותי ה-IT והאבטחה שלהם.

התקפות מתוחכמות על קונטיינרים וסביבות Cloud-native

עד היום ראינו ניסיונות התקפה על פריסה של קונטיינרים, אלא שרובן התמקדו במטרות קלות יחסית או שפשוט היו ניסיונות חיקוי של התקפות קודמות נגד מכונות וירטואליות (VM). אולם, ככל שהאימוץ של קונטיינרים מתגבר אנו צפויים לראות יותר התקפות מתקדמות שתוכננו באופן ספציפי לפגוע בארכיטקטורה של קונטיינרים ובחולשות האבטחה שלהם. מנהלי מערכות ואדמינים יזדקקו לשירותי אבטחה חזקים בענן, שיציעו אבטחת קונטיינרים כברירת מחדל.

חולשות אבטחה בתוכנות קוד-פתוח

החדרת חולשות אבטחה לקוד המקור של תוכנות קוד-פתוח היא שיטת התקפה יעילה, מכיוון שרוב המשתמשים אינם חושדים, ולכן לא בודקים את הקוד בעצמם. זהו מצב לא סביר, כמובן, ולכן יש להניח שנראה שימוש רחב יותר של חברות בכלים לסריקה רציפה של חולשות אבטחה בתוכנות קוד-פתוח.

כתוצאה מתקנות GDPR, יוכפל מספר הדיווחים על אירועי פרטיות במערכות legacy

תקנות GDPR של האיחוד האירופי דורשות מארגונים לדווח על כל תקרית הנוגעת למידע אישי ניתן לזיהוי של תושבי מדינות האיחוד, או שיוטלו עליהם קנסות כבדים בסכום של עד 4 אחוזים מגובה הרווחים הגלובליים השנתיים או עד 20 מיליון אירו. כתוצאה מכך, רק במחצית הראשונה של 2018 נרשמה באנגליה עלייה של 30% במספר האירועים המדווחים לעומת שנת 2017 כולה. הדרישה לשקיפות מלאה בכל הנוגע לטיפול במידע אישי עשויה להבליט את שבריריותן של מערכות מדור קודם ובסופו של דבר להוביל לאימוץ ענן – אשר התהליכים והכלים הארגוניים לניהול הפרטיות תוכננו בו מראש לתמיכה בדרישות ה-GDPR.

ארגונים הנתונים לרגולציה מחמירה יחפשו ספקי ענן שיעניקו יכולות שליטה ובקרה על הגישה לנתונים

אחד היתרונות הגדולים של הענן הציבורי הוא שתשתיות הנתונים מנוהלות עבורך, אולם לעתים לקוחות חשים שאין להם מספיק שקיפות ושליטה בכל הנוגע לפעילות של ספק הענן שלהם. יש להניח כי בשנה הקרובה ארגונים רבים – בעיקר מתעשיות הנתונות לרגולציה הדוקה - יצפו לקבל שליטה ושקיפות מלאה על הפעולות שמנהלי הענן יכולים לעשות בנתונים שלהם. לקוחות אלה יצפו למידה רבה יותר של ביטחון שהם שולטים בנתונים שלהם בצורה מלאה.

ככל שרמת השירותים בענן מתפתחת והולכת, וככול שהמורכבות הטכנולוגית של פלטפורמת הענן הופכת לאבסטרקטית יותר, כך הופכים גם אתגרי האבטחה בענן ליותר מורכבים והם דורשים רמה גבוהה יותר של מקצועיות ותחכום מ-CISOs, CIOs, ולעתים גם מאנשי Devops. המגמות שתוארו לעיל צפויות להתגבר בעתיד הקרוב ולהשפיע על צוותי אבטחת מידע בארגונים, לכן כדאי להכיר ולהתכונן לקראתן.

בכנס Google Cloud Summit (גני התערוכה, ביתן 2, 29 במאי) תשתתף משלחת של מומחי סייבר ממשרדי Google Cloud, המנהלים את המוצרים המובילים של גוגל בתחום, כגון Cloud Security Command Center, Encryption ועוד. בכנס יתקיים שולחן עגול שיוקדש לנושא Cloud security ובנוסף יתקיימו מגוון סשנים בנושאי אבטחה במסגרת ארבעת מסלולי הכנס. לפרטים נוספים על Google Cloud Summit והרשמה לכנס ללא עלות - בקרו באתר הכנס

מאת: אלית בן בסט נוריאל, מנהלת פעילות השיווק של Google Cloud בישראל ומזרח-מרכז אירופה

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
אלית בן בסט נוריאל
בואו נעבוד ביחד
support@israelclouds.com
צרו קשר