"הגנת הסייבר בענן – סיפור אבטחה אחר לחלוטין"

"אבטחת מידע בענן יוצרת תחושה שונה. היא יכולה להיות אוטומטית במידה רבה – וצריכה להיות כזו. כל פעולה מתועדת ומנוטרת, כי היא קריאה ל-API, מה שמאפשר יתרון בביצוע חקירות מעמיקות. אפשר לאמת, לבחון ולמחוק הרשאות לשיפור ההגנה. אלו דוגמאות לבקרות ברמה הלוגית, בניגוד לבקרות ברמה הפיזית, שבהן, מסורתית, מנהל אבטחת המידע, האחראי על סביבות מסורתיות, מתמקד. כאשר באים להגן בסייבר בענן – צריך לחשוב ולפעול באופן שונה. אבטחה בסביבת הענן היא סיפור אחר לגמרי", כך אמרה מריט ביר, אחראית צוות מנהלי האבטחה במשרד ה-CISO (מנהל אבטחת מידע) ב-AWS (ר"ת Amazon Web Services – אמזון ווב סרוויס).

"יש להבין שבסביבת הענן קיימות דרכים שונות שבהן האבטחה פועלת ויכולה לפעול, בהקשר של הפעילות העסקית. ענן הוא הזמנה לשמור על אבטחה ולעשות עסקים, אבל בצורה אחרת. אני רוצה שאנשים יבינו ויאמצו את מושג ה'אבטחה' – כחלק ממה שגורם לארגון שלהם לעבוד".

ביר, שהצטרפה ל-AWS לפני כשש שנים המשיכה ואמרה כי "אני חברה בצוות העילית המצומצם של מנהלי אבטחה במשרד מנהל אבטחת מידע בחברה. אני עוסקת באבטחת המידע של הארגון, וגם של הלקוחות. כיוון שהצוות שלנו אחראי גם על אבטחת המידע הפנימית ב-AWS – אני בפירוש יכולה להזדהות עם הדאגות של הלקוחות. בעברי עבדתי באבטחה במערך המחשוב של ממשלת ארה"ב. התפקיד הנוכחי שלי כרוך באבטחה פנימית וחיצונית כאחד: אני אוהבת לנהל שיחות בדרג ההנהלה בארגונים סביב שאלות קשות – אך פשוטות: מהי הדרך הנכונה לתעדף את המשאבים המוקצים לתחום וכיצד למקד את תשומת הלב של צוות אבטחת המידע. רבות מהשיחות שלי סובבות סביב שינוי ארגוני, וכיצד להניע את המעבר לענן מנקודת מבט אבטחתית. בתוך זה, יש את ה'איך' הטכני: למשל, איך לטפל באופן מושכל בבקרות על כלל החשבונות של המשתמשים, מהן בקרות האבטחה המתאימות, כיצד לקבל יכולת לבצע זיהוי אירועי סייבר, וכל פעילות אסורה, ועוד".

הדרך היעילה ביותר למימוש אבטחה בקנה מידה רחב. אבטחה בענן. צילום: אילוסטרציה: BigStock

"אבטחה מצריכה יותר מאשר כוונות טובות"

"השאלה העיקרית שמפנים אליי מנהלי אבטחה היא 'האם אני מתמקד בדברים הנכונים?'. אבטחה מצריכה יותר מאשר כוונות טובות", ציינה. "אבטחה מוצלחת בנויה על מנגנונים, מכניזמים. מנגנון הוא מונח נפוץ אצלנו, גם כי אנחנו תמיד בוחנים כיצד לעבוד בקנה מידה רחב. מדיניות אבטחה זקוקה לתהליכי עבודה ברורים, קלים להבנה וניתנים לחזרה, המבוססים פחות ופחות על שיקול דעת אישי. תהליכי עבודה כאלו יכולים לכלול כלים טכניים, יכולות וכלים למיכון, הגדרות מדיניות או הליכים שגרתיים, לצד יכולת להעביר יותר ויותר פעולות למודל של שירות עצמי".

לדברי ביר, "אל תבינו אותי לא נכון: אבטחה היא עבודה קשה. אנחנו צוות אבטחה ברמה עולמית, ועדיין אנו עובדים קשה מאוד על התהליכים הללו. אנחנו יכולים וצריכים להתמקד בבעיות מ-סדר גבוה יותר, בזמן שמחשבים מבצעים יותר ויותר את מטלות האבטחה שניתנות לעבור הליך של מיכון".

לשאלת אנשים ומחשבים, "מה חשוב יותר – איומים חיצוניים או פנימיים?", השיבה ביר כי "אני לא חושבת שזו הדרך לחשוב על המענה. הייתי מבקשת להציע מסגור אחר לנושא. קחו למשל את הכופרות: אין כל פתרון מדף יחיד המסוגל לספק הגנה מפניהן. אבל על ידי מעבר לענן, ארגונים עשויים להימנע משורה שלמה של סיכונים. כך, ניתן לבצע אוטומציה של תהליכי גיבוי ושחזור גם בקנה מידה גדול, להשתמש בשירותים שלא חושפים את מערכת ההפעלה, לבצע בחירות שמגבילות את הגישה, ועוד. אין מדובר באיום פנימי לעומת איום חיצוני. לרוב, אירועים של אבטחת סייבר בענן קשורים בשימוש בהרשאות לגיטימיות. במילים אחרות, מנקודת המבט של ספקית שירותי הענן – המערכת פועלת כמו שצריך, אבל מישהו נכנס פנימה. אז אנחנו מדברים בעצם על פרצת הרשאות. ישנן דרכים רבות מאד בהן גורמים עלולים להיכנס לסביבות מסורתיות, ולכן, לאחר המעבר לענן, יש לערוך ניהול הרשאות מוכלל ומנוהל, תוך הלימה לעיקרון של least privilege (גישה מזערית). עוד יש לעדכן את המכונות שאינן מנוהלות על ידינו, לבצע רישום וניטור. המשמעות של כלל הפעולות הללו היא 'להפריד את המוץ מהתבן', משמע – לפעול על בסיס מידע אמיתי שניתן להתמודד מולו. הבטחת התקינות של הפתרונות שלכם תסייע בהגנה מפני כופרות בין שלל האתגרים והבעיות הקיימות".

היא הוסיפה כי "אין באמת דירוג אובייקטיבי לאיומים השונים כדי לקבוע מהו החמור שביניהם: כופרות, איומים פנימיים, פישינג, הזרקת קוד זדונית, סחיטה כפולה ועוד. מה שקובע הם הפרטים – למשל, מה הן העלויות הקשורות באמצעי ההגנה שלרשותכם? מה הם הסיכונים שנשקפים לארגון? אבטחה בקנה מידה רחב היא גורם מאפשר. היא מאפשרת לצוותים לעבור על פתרונות הליבה שלהם בצורה בטוחה ומהירה. אבטחה בענן היא הדרך היעילה ביותר למימוש אבטחה בקנה מידה רחב, כי היא מאפשרת אוטומציה של תחום האבטחה, ואבטחה שמוטמעת במחזורי הפיתוח – היא הדרך לצמיחה.

אל תתנו למערך האבטחה שלכם להיות שבוי בפחדים ספציפיים. לעומת זאת, תחשבו על איך לגרום לעסק שלכם לגדול ואיך אתם יכולים לבחור בשיטת אבטחה שמאפשרות לכם לנהל מגוון רחב של סיטואציות בעולם האמיתי, ולהעצים את היעדים העסקיים שלכם".

"עצתי למנהלי ולמנהלות האבטחה", סיכמה ביר, "היא 'תבנו את היסודות של הבית בצורה נכונה': זה הרבה יותר חשוב מאשר לקנות מנעול משוכלל לדלת אחת בלבד".