במחקר שנעשה על ידי IDC בסוף 2018, ענו כ-1200 מנהלים בכירים מחברות שונות במס' מדינות על סקר בנושא "איומים על מידע". 39% מהחברות דיווחו שהן בתהליך אימוץ טכנולוגיות וכלים דיגיטליים (כגון מוצרי ענן, רשתות חברתיות, נתוני-עתק, IoT וכו') כדי להתאים עצמן לשוק התחרותי החדש, שמשתנה במהירות כחלק מהטרנספורמציה הדיגיטלית בעולם.
אימוץ הטכנולוגיות החדשות מהווה אתגר אבטחה משמעותי עבור אותן חברות אשר 60% מהן דיווחו על פריצת אבטחה שחוו באיזשהו שלב בשנות קיומן ו-30% דיווחו על פריצה בשנה האחרונה. אימוץ הכלים הטכנולוגיים נועד לשפר משמעותית את הביצועים העסקיים של החברות, אך גם חושף אותן לקשיים וסיכונים שלא היו להם בעבר. הקושי שבמורכבות, היעדר תקציבים וכוח אדם מיומן (או בכלל), אי הכרת הטכנולוגיות והיעדר תפיסה מספקת של הצרכים, מגדילים את הסיכון לפריצת מידע.
פלטפורמת הענן מובילה במקום הראשון ברשימת הטכנולוגיות החדשות שארגונים מאמצים, עם למעלה מ-40% בכל תצורה של מודל השירות – PaaS, SaaS או IaaS.
אם כך, האם השימוש בענן בטוח? איך נוכל לבצע מעבר לענן ולהקטין את הסיכון לפריצת מידע?
בחירה נבונה של ספק ענן
הבחירה הנכונה בספק הענן עשויה להיות קריטית עבורנו ולכן חשוב שנבדוק טוב לפני שנעבור לאחסן אצלו את המידע שלנו. ישנן מספר שאלות שחשוב לענות עליהן לפני שעושים את הבחירה:
עד כמה נוכל לסמוך על ספק הענן? לפי אילו תקני אבטחה גלובליים (כגון ISO, FedRAMP, CSA-STAR וכו') וספציפיים (כגון HIPAA, PCI DSS וכו') הוא מוסמך? בתשובה לשאלות אלו, חשוב שביקורות האבטחה של הספק יהיו גלויות וזמינות עבורנו ושנדע אם הוא עובר ביקורות באופן שוטף. מומלץ לבקש ממנו לענות על שאלון אבטחה כגון CAIQ של CSA, אשר ייתן לנו הערכה לגבי בקרות האבטחה שהוא מיישם.
עוד שאלות חשובות עבורנו הן, היכן המידע מאוחסן והאם זה לא מפר רגולציה כלשהי שתחשוף אותנו לתביעה? האם קיימת יכולת לבצע מיגרציה או להעביר את המידע לספק אחר במידה ונרצה?
כדאי לבדוק אילו חברות גדולות כבר עובדות עם הספק והאם ישנם דיווחים על מצבו הפיננסי או כוונה לרכישה עתידית שלו.
כל אלה צריכים להיבדק בשלב הראשון עוד בטרם התחלנו לעבוד על החוזים ותנאי השירות.
גיבוי והצפנה
עוד עולה מהסקר ששלושת הסיכונים שהכי מטרידים מנהלים בכירים, הם:
1. ההגנה על המידע הארגוני במקרה של כשל אצל הספק, או כאשר הספק נרכש ע"י חברה אחרת
2. פריצת אבטחה והתקפה זדוניות אצל נותן השירות
3. היעדר מדיניות בנושא פרטיות או הסכמים לרמת השירות בנושא פרטיות
לא משנה מה מודל השירות בענן – PaaS, IaaS או SaaS, אנו תמיד נהיה אחראיים למידע שלנו ולכן חשוב שניישם בקרות מתאימות בהתאם לסיכון. כשל בצד הספק הוא סיכון אפשרי ולכן חשוב שנדע איך ואיפה לגבות את המידע החשוב שלנו במקרה של אסון. אם מקומית אצלנו, אצל ספק ענן מתחרה או כעותק במיקום גאוגרפי אחר אצל הספק שלנו. לא משנה מה נבחר, העיקר שנהיה מגובים במקרה של אסון.
את הסיכון לאובדן מידע עקב רכישה או פשיטת רגל של הספק וגם את הסיכון לפריצת אבטחה או פגיעה בפרטיות, ניתן להקטין באמצעות בחירה בספק שירות מהגדולים והמובילים בשוק וזאת משום יכולתם הכלכלית להשקיע בטכנולוגיות אבטחה יקרות ולהחזיק צוותים מקצועיים ברמות הכי גבוהות.
על אף בחירה זו, עדיין קיים הסיכון לפריצת אבטחה בין אם בגלל עובד פנימי או ממתקפה חיצונית, לכן מומלץ ליישם הצפנה על המידע דרך אפליקציה או כשירות אצל הספק, כאשר מפתחות ההצפנה שמורים במקום בטוח על רכיב HSM שספק הענן תומך בו.
טכנולוגיות חדשות ואוטומציה
כאמור, הטרנספורמציה הדיגיטלית חושפת אותנו לסיכונים חדשים, אבל גם מייצרת עבורנו את האפשרות להתמודד איתם יותר טוב. כלים מבוססי בינה מלאכותית הפכו לדבר שבשגרה, וכמו שהמכונית הפכה לאוטונומית וחכמה, כך לבסוף תהיה ההגנה שלנו על מידע. אוטומציה היא עוד יכולת שחברות מאמצות. ניתן לראות את זה כבר כיום בסביבות הפיתוח, ה-IT ואבטחת המידע.
אחד היתרונות המשמעותיים במעבר לענן, זה התמיכה המובנית לניהול השירותים דרך קוד, פקודות ו-API. בשילוב כלים חדשים, שירותים קיימים, סקריפטים וקוד יחסית פשוט, אפשר לפשט ולשפר את תהליכי האבטחה, הניתור, ההתראות ויישום המדיניות ובכך לשפר זמני התגובה, לצמצם את הגורם האנושי ולהקטין עלויות. אוטומציה בענן אפשר לפתח באמצעות מומחה אבטחה בענן ואיש פיתוח או DevOps מבלי שזה ידרוש השקעה גדולה מצדנו.
ניהול זהויות ובקרת גישה
מעבר הארגון לענן מחייב שינוי תפיסתי לגבי ה-Perimeter. המשתמשים שלנו ניידים יותר ושירותי הענן זמינים לנו מכל מקום בעולם. זו כבר לא הסביבה הסגורה שידענו עד כה וחשוב שנדע להתאים את אסטרטגיית האבטחה שלנו בהתאם. ניהול זהויות ובקרת הגישה בענן הוא נושא מורכב שחשוב לתת עליו דגש גבוה. ניהול הזהויות יכול להישאר אצלנו ב-Active Directory המסורתי או לעבור כולו לשירות ענן. מומלץ ביותר ליישם טכנולוגיות כמו הזדהות יחידה (Single Sign-On) ומרובת פקטורים (Multi-Factor) עבור חשבונות עם הרשאות גבוהות ואם ניתן, אף לכל העובדים בארגון. חשוב לספק הרשאות גישה ע"פ עיקרון ה-Least Privileges ולעבוד מתוכנן היטב ומסודר.
בהמשך לחלק של "טכנולוגיות חדשות ואוטומציה", כדאי לאמץ טכנולוגיות הזדהות מתקדמות כמו Adaptive Authentication וליישם אוטומציה לניהול מחזור החיים של זהויות. את שירותי ה-SaaS כדאי לחבר למערכת CASB ואת הכל לנטר ולהתריע באמצעות אוטומציה.
לסיכום
הטרנספורמציה הדיגיטלית היא תהליך חדשני ומרגש שמביא לפתחנו אתגרים רבים, אבל גם הזדמנויות. המעבר לענן מייצר סיכונים חדשים, אבל קיימים כלים ודרכים להתמודד איתם. חשוב לפעול לפי פרקטיקות אבטחה המתאימות לענן ולהכיר טוב את התחום או הסביבה שבה אנו מאחסנים את המידע. אימוץ טכנולוגיות חדשות וחשיבה יצירתית וגמישה, יאפשרו לנו להיות יותר אג'יליים (Agile), להפיק יותר אבטחה בפחות השקעה ולהתאים לחזון העסקי של החברה שבה אנו נמצאים.
מאת: אלדד משיח, מומחה אבטחת מידע בסביבת ענן, מוסמך CISSP, CCSP, ו-AWS-Security.
רוצים להתעדכן בתכנים נוספים בנושאי אבטחת מידע וסייבר? הירשמו עכשיו לניוזלטר שלנו ותמיד תישארו בעניינים > להרשמה
במחקר שנעשה על ידי IDC בסוף 2018, ענו כ-1200 מנהלים בכירים מחברות שונות במס' מדינות על סקר בנושא "איומים על מידע". 39% מהחברות דיווחו שהן בתהליך אימוץ טכנולוגיות וכלים דיגיטליים (כגון מוצרי ענן, רשתות חברתיות, נתוני-עתק, IoT וכו') כדי להתאים עצמן לשוק התחרותי החדש, שמשתנה במהירות כחלק מהטרנספורמציה הדיגיטלית בעולם.
אימוץ הטכנולוגיות החדשות מהווה אתגר אבטחה משמעותי עבור אותן חברות אשר 60% מהן דיווחו על פריצת אבטחה שחוו באיזשהו שלב בשנות קיומן ו-30% דיווחו על פריצה בשנה האחרונה. אימוץ הכלים הטכנולוגיים נועד לשפר משמעותית את הביצועים העסקיים של החברות, אך גם חושף אותן לקשיים וסיכונים שלא היו להם בעבר. הקושי שבמורכבות, היעדר תקציבים וכוח אדם מיומן (או בכלל), אי הכרת הטכנולוגיות והיעדר תפיסה מספקת של הצרכים, מגדילים את הסיכון לפריצת מידע.
פלטפורמת הענן מובילה במקום הראשון ברשימת הטכנולוגיות החדשות שארגונים מאמצים, עם למעלה מ-40% בכל תצורה של מודל השירות – PaaS, SaaS או IaaS.
אם כך, האם השימוש בענן בטוח? איך נוכל לבצע מעבר לענן ולהקטין את הסיכון לפריצת מידע?
בחירה נבונה של ספק ענן
הבחירה הנכונה בספק הענן עשויה להיות קריטית עבורנו ולכן חשוב שנבדוק טוב לפני שנעבור לאחסן אצלו את המידע שלנו. ישנן מספר שאלות שחשוב לענות עליהן לפני שעושים את הבחירה:
עד כמה נוכל לסמוך על ספק הענן? לפי אילו תקני אבטחה גלובליים (כגון ISO, FedRAMP, CSA-STAR וכו') וספציפיים (כגון HIPAA, PCI DSS וכו') הוא מוסמך? בתשובה לשאלות אלו, חשוב שביקורות האבטחה של הספק יהיו גלויות וזמינות עבורנו ושנדע אם הוא עובר ביקורות באופן שוטף. מומלץ לבקש ממנו לענות על שאלון אבטחה כגון CAIQ של CSA, אשר ייתן לנו הערכה לגבי בקרות האבטחה שהוא מיישם.
עוד שאלות חשובות עבורנו הן, היכן המידע מאוחסן והאם זה לא מפר רגולציה כלשהי שתחשוף אותנו לתביעה? האם קיימת יכולת לבצע מיגרציה או להעביר את המידע לספק אחר במידה ונרצה?
כדאי לבדוק אילו חברות גדולות כבר עובדות עם הספק והאם ישנם דיווחים על מצבו הפיננסי או כוונה לרכישה עתידית שלו.
כל אלה צריכים להיבדק בשלב הראשון עוד בטרם התחלנו לעבוד על החוזים ותנאי השירות.
גיבוי והצפנה
עוד עולה מהסקר ששלושת הסיכונים שהכי מטרידים מנהלים בכירים, הם:
1. ההגנה על המידע הארגוני במקרה של כשל אצל הספק, או כאשר הספק נרכש ע"י חברה אחרת
2. פריצת אבטחה והתקפה זדוניות אצל נותן השירות
3. היעדר מדיניות בנושא פרטיות או הסכמים לרמת השירות בנושא פרטיות
לא משנה מה מודל השירות בענן – PaaS, IaaS או SaaS, אנו תמיד נהיה אחראיים למידע שלנו ולכן חשוב שניישם בקרות מתאימות בהתאם לסיכון. כשל בצד הספק הוא סיכון אפשרי ולכן חשוב שנדע איך ואיפה לגבות את המידע החשוב שלנו במקרה של אסון. אם מקומית אצלנו, אצל ספק ענן מתחרה או כעותק במיקום גאוגרפי אחר אצל הספק שלנו. לא משנה מה נבחר, העיקר שנהיה מגובים במקרה של אסון.
את הסיכון לאובדן מידע עקב רכישה או פשיטת רגל של הספק וגם את הסיכון לפריצת אבטחה או פגיעה בפרטיות, ניתן להקטין באמצעות בחירה בספק שירות מהגדולים והמובילים בשוק וזאת משום יכולתם הכלכלית להשקיע בטכנולוגיות אבטחה יקרות ולהחזיק צוותים מקצועיים ברמות הכי גבוהות.
על אף בחירה זו, עדיין קיים הסיכון לפריצת אבטחה בין אם בגלל עובד פנימי או ממתקפה חיצונית, לכן מומלץ ליישם הצפנה על המידע דרך אפליקציה או כשירות אצל הספק, כאשר מפתחות ההצפנה שמורים במקום בטוח על רכיב HSM שספק הענן תומך בו.
טכנולוגיות חדשות ואוטומציה
כאמור, הטרנספורמציה הדיגיטלית חושפת אותנו לסיכונים חדשים, אבל גם מייצרת עבורנו את האפשרות להתמודד איתם יותר טוב. כלים מבוססי בינה מלאכותית הפכו לדבר שבשגרה, וכמו שהמכונית הפכה לאוטונומית וחכמה, כך לבסוף תהיה ההגנה שלנו על מידע. אוטומציה היא עוד יכולת שחברות מאמצות. ניתן לראות את זה כבר כיום בסביבות הפיתוח, ה-IT ואבטחת המידע.
אחד היתרונות המשמעותיים במעבר לענן, זה התמיכה המובנית לניהול השירותים דרך קוד, פקודות ו-API. בשילוב כלים חדשים, שירותים קיימים, סקריפטים וקוד יחסית פשוט, אפשר לפשט ולשפר את תהליכי האבטחה, הניתור, ההתראות ויישום המדיניות ובכך לשפר זמני התגובה, לצמצם את הגורם האנושי ולהקטין עלויות. אוטומציה בענן אפשר לפתח באמצעות מומחה אבטחה בענן ואיש פיתוח או DevOps מבלי שזה ידרוש השקעה גדולה מצדנו.
ניהול זהויות ובקרת גישה
מעבר הארגון לענן מחייב שינוי תפיסתי לגבי ה-Perimeter. המשתמשים שלנו ניידים יותר ושירותי הענן זמינים לנו מכל מקום בעולם. זו כבר לא הסביבה הסגורה שידענו עד כה וחשוב שנדע להתאים את אסטרטגיית האבטחה שלנו בהתאם. ניהול זהויות ובקרת הגישה בענן הוא נושא מורכב שחשוב לתת עליו דגש גבוה. ניהול הזהויות יכול להישאר אצלנו ב-Active Directory המסורתי או לעבור כולו לשירות ענן. מומלץ ביותר ליישם טכנולוגיות כמו הזדהות יחידה (Single Sign-On) ומרובת פקטורים (Multi-Factor) עבור חשבונות עם הרשאות גבוהות ואם ניתן, אף לכל העובדים בארגון. חשוב לספק הרשאות גישה ע"פ עיקרון ה-Least Privileges ולעבוד מתוכנן היטב ומסודר.
בהמשך לחלק של "טכנולוגיות חדשות ואוטומציה", כדאי לאמץ טכנולוגיות הזדהות מתקדמות כמו Adaptive Authentication וליישם אוטומציה לניהול מחזור החיים של זהויות. את שירותי ה-SaaS כדאי לחבר למערכת CASB ואת הכל לנטר ולהתריע באמצעות אוטומציה.
לסיכום
הטרנספורמציה הדיגיטלית היא תהליך חדשני ומרגש שמביא לפתחנו אתגרים רבים, אבל גם הזדמנויות. המעבר לענן מייצר סיכונים חדשים, אבל קיימים כלים ודרכים להתמודד איתם. חשוב לפעול לפי פרקטיקות אבטחה המתאימות לענן ולהכיר טוב את התחום או הסביבה שבה אנו מאחסנים את המידע. אימוץ טכנולוגיות חדשות וחשיבה יצירתית וגמישה, יאפשרו לנו להיות יותר אג'יליים (Agile), להפיק יותר אבטחה בפחות השקעה ולהתאים לחזון העסקי של החברה שבה אנו נמצאים.
מאת: אלדד משיח, מומחה אבטחת מידע בסביבת ענן, מוסמך CISSP, CCSP, ו-AWS-Security.
רוצים להתעדכן בתכנים נוספים בנושאי אבטחת מידע וסייבר? הירשמו עכשיו לניוזלטר שלנו ותמיד תישארו בעניינים > להרשמה
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר