כיצד חברות וארגונים צריכים להתאים את עצמם לאבטחת סייבר

הדיון בפאנל "אבטחת סייבר בסביבה משתנה", שהנחה עורך ההייטק של "גלובס", עמרי זרחוביץ', בכנס הטכנולוגיה של "גלובס" וג'יי.פי מורגן התרכז בצורכי האבטחה הייחודיים לענן בסביבה שהשינויים הטכנולוגיים בה משתנים לעתים קרובות

פאנל אבטחת סייבר בסביבת עבודה משתנה / צילום: איל יצהר, גלובס
פאנל אבטחת סייבר בסביבת עבודה משתנה / צילום: איל יצהר, גלובס

הדיון בפאנל "אבטחת סייבר בסביבה משתנה", שהנחה עורך ההייטק של "גלובס", עמרי זרחוביץ', בכנס הטכנולוגיה של "גלובס" וג'יי.פי מורגן התרכז בצורכי האבטחה הייחודיים לענן בסביבה שהשינויים הטכנולוגיים בה משתנים לעתים קרובות. השאלה העיקרית היתה כיצד חברות וארגונים צריכים להתאים את מאמציהם למציאות שכזו.

מרב בהט, משנה למנכ"ל מיקרוסופט ישראל, מחקר ופיתוח אמרה כי בשנים האחרונות נמצאות רוב החברות בתהליך של מעבר לענן. תהליך זה מציב אתגר למנהלי האבטחה בארגונים, משום שכלי האבטחה שקיימים כיום אינם מתאימים תמיד לענן . "תהליך המעבר לתשתיות ענן הוא הליך שנדחף על ידי הפיתוח. אנשי הפיתוח רוצים להשתדרג ולהשתמש בטכנולוגיות ענן, ומנהלי אבטחת המידע צריכים לייצר תהליכים שמגנים על העבודה בענן. חברות הענן מבינות שאבטחת מידע היא אחת היסודות לאימוץ טכנולוגיות ענן, ומסוגלות להשקיע באבטחת מידע יותר מכמעט כל חברה אחרת. זה דומה לשמור על כספת בבית אל מול כספת בבנק. אני יכולה לשים אבטחה על כספת בבית, אבל היא תמיד תהיה פחות טובה מאבטחה של עסק כמו בנק. במיקרוסופט אנחנו משקיעים באבטחה של שירותי ענן ויש לנו מומחי אבטחת מידע רבים, חלק גדול מהם במרכז הפיתוח בישראל".

בנוסף, בהט הסבירה גם כי שילוב של יכולות בינה מלאכותית בענן שמאפשרות לארגונים למקד את מאמצי חסימת המתקפות עליהם באזורי התשתית הדיגיטלית הארגונית ולבלום את התפשטותם לאזורים אחרים בה.

מרב בהט, משנה למנכ״ל מיקרוסופט ישראל מחקר ופיתוח  / צילום: איל יצהר, גלובס
 מרב בהט, משנה למנכ״ל מיקרוסופט ישראל מחקר ופיתוח / צילום: איל יצהר, גלובס

עופר שרייבר, שותף ב-YL Ventures אמר כי הוא מסכים חלקית עם דבריה של בהט. "באופן כללי ברור שהענן יהיה יותר בטוח בסופו של דבר. לגבי העבודה עם סטארט-אפים, אז אחת הסיבות שבגללן אז'ור מובילה באבטחה היא בגלל שהם רכשו מספר סטארט-אפים שרובם ישראלים. לגבי השאלה האם הענן בטוח יותר או פחות - כולנו יודעים שיש פה עניין של אחריות משותפת. כלומר זה לא אחריות רק של ספק הענן ולא רק של הלקוחות. תמיד יש אחריות של הלקוח לאבטח בכל מיני אזורים".

עופר שרייבר, שותף YL Ventures / צילום: איל יצהר, גלובס
 עופר שרייבר, שותף YL Ventures / צילום: איל יצהר, גלובס

שרייבר אמר כי הוא משוכנע כי לסטארט-אפים כדאי לפתח פתרונות אבטחה לענן. "כשאנחנו מסתכלים על סטרטאפים וחדשנות אנחנו לא רק מסתכלים אם אתה פותר בעיה ספציפית. אחת הבעיות הכי גדולות של חברות גדולות היא שהן פועלות על ענן היברדי, ואחת הבעיות זה לפתח מקצועיות מבחינת צוות האבטחת מידע עבור סביבות שונות. נניח שאני ארגון גדול וצוות האבטחה שלי התמקצע ומכיר את כל הפיצ'רים המתקדמים של אז'ור והגיעו לרמת אבטחה מסוימת, קורה לפעמים שצוות הביזנס אומר שיש לנו אפליקציה חדשה שצריכה להיות מאובטחת באופן מלא ואז צריך לפתח את היכולות האלו מאוד מהר. הפתרונות של המוכרים הגדולים לא רלוונטיים במקרים כאלו ושם אנחנו רואים השלמות של צד ג', הרבה פעמים של סטארט-אפים, פתרונות של מולטי-ענן".

נועה שפיר, מייסדת, שותפה ומנהלת מוצר ב-Odo Security אמרה לאחר מכן כי מנהלי אבטחת מידע אמורים לדעת להתמודד עם שינויים מהסוג הזה וכי הם בהחלט מוכנים לעבוד עם חברות סטארט-אפ. "אני מסכימה שהאתגר האמיתי בעבור רוב החברות מגיע מהמודלים ההבירדיים. בעבר היה יותר פשוט. המשאבים ישבו במשרד, העובדים היו מגיעים למשרד, והיתה רשת. היה אפשר להקיף אותם במעין חומה וריטואלית ולהגיד שמה שבפנים מאובטח ומה שבחוץ לא".

נועה שפיר, שותפה, מייסדת וסמנכ"לית מוצר, Odo Security  / צילום: איל יצהר, גלובס
 נועה שפיר, שותפה, מייסדת וסמנכ"לית מוצר, Odo Security / צילום: איל יצהר, גלובס

כששפיר נשאל אם קיים כבר פתרון שמספק אבטחה מלאה לכל המחשבים בארגון היא אמרה כי הפתרון הוא לא להגדיר מה נמצא בתוך הרשת ומה נמא מחוץ לה, גישה שהיא הגדירה כ"שינוי פרדיגמה לעומת המצב כיום". "יש עובד, יש משאבים של החברה, וכל אחד מהעובדים מתחבר לרשת שהיא דינמית. בלחיצת כפתור אתה יכול להחליט מה נמצא ברשת הזו ומה לא. זה אחד מהפתרונות האפשריים. המשתמשים הם דינמיים והמשאבים הם דינמיים".

קרן אלעזרי, מייסדת BSides TLV וחוקרת סייבר מאוניברסיטת תל אביב, אמרה כי היא נאלצת לחלוק על אנלוגיית הכספות בה השתמשה בהט כמה דקות קודם לכן. "מרב אמרה שאפשר להשוות אבטחת ענן אפשר לכספת בבית לעומת כספת בבנק. אז בתור גנב אני חושבת שבאמת אני יכולה ללכת ישר לבנק ואנחנו רואים עכשיו שפושעים באמת מסתכליםעל חברות שמשתמשות בתשתיות ענן, והבעיה היא שמנהלי אבטחת מידע או אנשי החברה שעברה לענן לא מבינים לגמרי היכן מתחילה ונגמרת האחריות שלהם. בזמן האחרון ראינו באמזון תקלות במימוש הענן והמעבר לענן שאינו לא מאובטח. מקרה אחד הוא של בנק Capital one. עובדת לשעבר של אמזון עם איזשהו ידע כנראה החליטה שהיא פשוט יכולה להיכנס למידע הזה והעלה חלק מהמידע לחשבון לחשבון ה-GitHub שלה וכך זה נודע לאמזון".

קרן אלעזרי, מייסדת BSidesTLV, חוקרת סייבר, אונ' ת"א / צילום: איל יצהר, גלובס
 קרן אלעזרי, מייסדת BSidesTLV, חוקרת סייבר, אונ' ת"א / צילום: איל יצהר, גלובס

אלעזרי אומרת שדליפת וההפצת כלי הפריצה של הסוכנות לאומית לביטחון לאומי של ארה"ב (NSA) יצרו מצב ייחודי מבחינת האקרים. "הכלים הללו הם מכלי הנשק הכי חזקים שהיו קיימים בעולם הסייבר והיום לא צריך למצוא חולשות או לפתח וירוסים חדשים אלא להשתמש בהמון כלים קיימים".

אלעזרי הוסיפה כי מערכות ישנות רבות חשופות יותר לפריצות למרות ההשקעה באבטחה בענן. "בערך 30 או 40 אחוזים ממערכות ההפעלה היום בעולם הם חלונות 7, שהיא בת 10 שנים. עוד חודשיים כבר לא תהיה יותר תמיכה בה. מה שאומר של-40 אחוז מהאוכלוסיה בעולם יש מערכת הפעלה שלא תזכה לעדכוני אבטחה".