האם כדי להגביר את אבטחת המידע צריך להוסיף לה… מלח?

יש פתרונות שונים ומערכות מגוונות לאבטחת מידע, אבל האם חשבתם אי פעם שאפשר להגן על הנתונים הארגוניים עם… מלח? ובכן, הכוונה היא לא לגרגרים הלבנים שמוסיפים לבישול, אלא לחברת Salt Security – ובעברית, "אבטחת מלח".

ה-"מלח" של החברה הזו מאבטח ממשקים לתכנות אפליקציות (APIs). לדברי גלעד ברזילי, ראש פיתוח עסקי ב-Salt Company, "יותר ממחצית מהארגונים דחו השקה של אפליקציה חדשה רק בגלל חששות מרמת האבטחה של ה-API שבו היא עושה שימוש".

"בעשור האחרון", אמר, "יותר ויותר ארגונים עוברים לשירותי ענן ומשתמשים במתודולוגיות פיתוח תוכנה חדשניות, שכוללות שימוש נרחב בשירותי API. הן עשויות להיות חברות טכנולוגיה, בנקאות, ביטוח, רפואה או תעשייה, שרוצות להשתמש בטכנולוגיות פיתוח חדשות, או כאלה שמציעות שירותים שכוללים העברת מידע קריטי ללקוחות או לשותפים עסקיים שלהן. שימוש נרחב זה ב-API יוצר נקודת תורפה חדשה, כיוון שהאזור לא תמיד מנוטר מספיק. בסקר שערכנו באחרונה, ארגונים הצביעו על בעיות של פרצות, אימות משתמשים ואף הונאות – באמצעות שימוש ב-API".

"העובדים שהשירותים האלה קריטיים הופכת אותם לקורצים להאקרים"

Salt Company הוקמה ב-2016 על ידי רועי אליהו, המנכ"ל, ומייקל ניקוסיה, סמנכ"ל תפעול. החברה מונה כ-200 עובדים, מהם מחצית בישראל והשאר – בארצות הברית ובאירופה. על הלקוחות שלה נמנות חברות דוגמת אקוויניקס, פינסטרה, ארמיס ותאגידי קמעונאות מהגדולים בעולם. מאז הקמתה, "חברת המלח" גייסה 271 מיליון דולר.

לדברי ברזילי, "הרצון להתממשק למספר הולך וגדול של יישומים, שירותים ורכיבים, כמו רכיבי IoT – דורש מהארגון לנהל ולתחזק עשרות APIs שונים. העובדה שהשירותים הללו הפכו להיות קריטיים הופכת אותם לקורצים במיוחד להאקרים".

הוא הסביר כי "הפתרון שלנו מתחיל באיתור ובניטור של כל ה-APIs בארגון. הרבה פעמים יש APIs שהם 'זומבים', שנשארו מתהליכים שהיו פעם בשימוש ושכחו לכבות אותם. הלקוחות שלנו מוצאים יותר מ-40% ממשקי API ממה שהם העריכו שיש להם. המערכת שלנו מנטרת אותם – גם לטובת מעבר של מידע רגיש, כמו מידע אישי מזוהה. אנחנו יודעים להבין האם זהו מידע שאמור לעבור או לא. לאחר מכן אנחנו מזהים מתקפות, על ידי מעקב אחר השימוש ב-API לאורך זמן".

גלעד ברזילי, סמנכ"ל פיתוח עסקי ב-Salt Company. צילום: ליה קורמן

ברזילי הוסיף כי "אם פעם ההאקרים התמקדו במתקפה נקודתית מהירה, כיום הם לומדים את ה-API במשך תקופה ואז יודעים איך לפרוץ אותו. המערכת שלנו לומדת את ההתנהגות הנורמטיבית של כל API לאורך זמן ואז יודעת לזהות אנומליות בזמן אמת. בנוסף, אנחנו יודעים לבצע ניתוח של ה-API עוד בשלב הפיתוח, כמו גם לדמות מתקפות בשלב הבדיקות. כך, ארגונים יכולים להעלות API כאשר הם מאובטחים כבר מהרגע הראשון, במקום לעשות זאת מאוחר מדי".

"ארגונים צריכים להסתכל על פיתוח API בצורה יותר מעמיקה"

"בעקבות המתקפות החדשות", הסביר ברזילי, "תהליך הפיתוח בחברות השתנה. יותר ויותר ארגונים מבצעים Shift Left במהלך תהליך הפיתוח, כך שהזיהוי של בעיות אבטחה מתחיל בשלבים מוקדמים יותר. מעל 53% מהנשאלים בדו"ח שלנו אמרו שהם כבר מזהים בעיות כאלה בזמן הפיתוח. אבל, בשל העובדה ש-94% מהם אמרו שהם נחשפו לבעיות אבטחה של API במהלך השנה האחרונה, הרי שכלל לא בטוח שהתהליך הזה מספק. ארגונים צריכים להתחיל להסתכל על פיתוח API בצורה יותר מעמיקה, ולשלב פתרונות הגנה שמסוגלים לתת מענה לכל השלבים. מדובר במגוון רחב של לקוחות, שעורכים תהליכי טרנספורמציה דיגיטלית ולא תמיד בנו עדיין את כל רכיבי המומחיות להגנה מלאה על API שהם מעלים".

הוא ציין כי "אנחנו נמנים על רשת השותפים של AWS. לקוחות ארגוניים שעושים שימוש נרחב ב-API הם פעמים רבות חברות טכנולוגיה וחברות תוכנה כשירות (SaaS). כמעט כולן רצות על הענן של אמזון. לכן בחרנו לפתח את הפלטפורמה שלנו על AWS – כדי לעמוד בדרישות הזמינות והאבטחה של הלקוחות שלנו. בנוסף, אנחנו מציעים את הפתרון שלנו בשוק הפתרונות (מרקטפלייס) של AWS, ומוכרים ישירות דרך שם ובאמצעות תוכנית ISV Accelerator. זו תוכנית שבה מנהלי הלקוחות ב-AWS מוכרים את הפתרון שלנו ללקוחות שלהם. בנוסף, נשתתף ב-re:Invent – כנס הלקוחות והשותפים העסקיים של AWS, שייערך בשבוע הבא בלאס וגאס, ושבו היא תציג בפני עשרות אלפי המשתתפים את היצע השירותים החדשים שלה בתחום. ניפגש עם חברי הקהילה, נערוך נטוורקינג וגם ניפגש במהלך הכנס עם לקוחות קיימים ופוטנציאליים".