אבטחת מידע בענן: מהם האתגרים הגדולים ביותר שמנהלי אבטחה מתמודדים איתם?

סביבות ענן, ובייחוד סביבות מרובות עננים,
ממשיכות לשחק תפקיד חשוב במאמצים המתמשכים של ארגונים להשגת טרנספורמציה דיגיטלית.
מאמצים אלו היו קריטיים במיוחד במתן האפשרות לארגונים רבים
להעביר בצורה מוצלחת את מרבית העובדים שלהם לעבודה מרחוק
בתקופה קצרה מאוד עם פרוץ מגפת הקורונה.
אחד האתגרים המרכזיים של הסתמכות גוברת זו על משאבי ענן
זהו הביסוס והתחזוקה של רמת אבטחה גבוהה, ובכלל זה נראות ובקרה מאוחדים,
כדי להיות מסוגלים לראות ולנטרל איומים ולהתמודד עם הגדרת מדיניות שגויה בצורה רציפה.
נפגשנו באופן דיגיטלי עם שלושה מנהלי אבטחת מידע בפורטינט:
קורטני רדקה, ג’ו רוברטסון ואליין סאנצ’ס.
כדי לדון באתגרים השכיחים ביותר של אבטחת מידע בענן,
שבהם נתקלים במהלך עבודתם עם ארגונים בכל רחבי העולם.

מהי הדאגה העיקרית של מנהלי אבטחת מידע לגבי אבטחת מידע בענן?

אליין: לפני כשנתיים, התחלתי לשמוע מעמיתים לתחום שהם מחזירים מספר מרכיבים לאתרים המקומיים, אותם מרכיבים שהם התחילו להעביר לענן כחלק מהתהליך הטרנספורמציה הדיגיטלית של הארגון שלהם.
האם הקולות הללו עמדו להפוך למגמה כללית? זה היה משהו שהיינו צריכים לגלות.
לכן, פורטינט יזמה סקר באמצעות חברת המחקר HIS Markit
בקרב 350 מקבלי החלטות ברחבי העולם והתוצאות היו מפתיעות.
לפי ממצאי הסקר, התגלה כי 72% מהמשיבים למעשה
העבירו רכיב אחד בחזרה מהענן אל האתר המקומי, כאשר היה מדובר בנתונים, יישומים ותהליכים.

הענן כאמצעי לבחינת שירותים חדשים

עם זאת, נתון זה לא העיד על כך כי מקבלי החלטות אלו הפסיקו את התהליך של המעבר לענן.
לפי חברת המחקר גרטנר (Gartner), מעבר לענן הינה עדיין המגמה הגדולה ביותר שראינו בתחום ה-IT והיא ממשיכה להיות כזו גם בשנת 2020.
מדובר בתהליך בלתי פוסק הלוך וחזור, כאשר הארגונים רואים את הענן כמקום שבו הם יכולים לבחון ולהעריך את שיעור ההצלחה של שירותים חדשים
ואז לבחור האם להשאיר אותם בענן או להחזיר לאתר המקומי – החלטה תתבצע לפי מה שיכתיבו הביצועים שהם יקבלו.

הסתייגות חשובה שכדאי להזכיר בנוגע לתהליך חזרתי זה
היא שהתוצאה לא יכולה להחליף בין אבטחה לגמישות.
ברגע שיש צורך להטמיע, לפרוס ולבחון מחדש אלמנט אחד של פוליסת האבטחה שלכם בצורה ידנית, אתם מאבדים את היתרונות שהיו גלומים בחופש הזה.

דאגות מרכזיות של מנהלי אבטחת מידע

ג’ו: נושא מהותי נוסף אשר לא צריך לבוא כהפתעה זוהי העובדה
כי מנהלי אבטחת המידע מרוכזים כעת בדרכים שבהם הם יכולים לאבטח את העובדים המרוחקים החדשים שלהם אשר ניגשים ליישומים מבוססי ענן מהבית.
בעיה זו הגיעה לסף פיצוץ לאחרונה והאפילה – אך לא הסירה – את הדאגות האחרות בנוגע לענן.
כיום, אני שומע ממנהלי אבטחת המידע 3 דאגות בסיסיות שחוזרות על עצמן
ושאינן קשורות למשבר אשר יצרה מגפת הקורונה ברחבי העולם:

הדאגה הראשונה היא ניהול סביבות ענן והבטחת מדיניות עקבית עבור עומסי העבודה,
ללא קשר לענן או מרכז הנתונים שבו הם פועלים.
הדאגה השנייה נוגעת לנושאי תאימות הקשורים להגנה על נתונים
(במיוחד מידע זיהוי אישי) כאשר אלו עוברים לתוך הענן או מחוצה לו.
והדאגה האחרונה קשורה להבטחת ההגנה על נתונים ביישומי SaaS (תוכנה כשירות).
מנהלי אבטחת מידע מתמודדים עם שילוב מבלבל של ספקי ענן ויישומי SaaS,
כאשר המשמעות היא כי הם מחפשים אחר פתרונות אבטחת מידע אשר יספקו להם נראות מלאה ואבטחה
לתוך סביבות multi-cloud ובקרה של סביבות אלו.
כמו כן, הם מחפשים אחר דרכים לספק את דיווחי התאימות הנדרשים
על ידי הרגולטורים ודירקטוריון הארגון שלהם.

אתגרים מרכזיים באסטרטגיית אבטחת ענן

קורטני: ישנם 3 אתגרים מרכזיים אותם שמעתי ממרבית מנהלי אבטחת המידע
בהקשר לאסטרטגיית אבטחת הענן שלהם.
על אף מגפת הקורונה, מנהלי אבטחת מידע הבינו טוב מאוד כי השגת גמישות – וכתוצאה מכך גם רווח –
היה הדבר העיקרי עבור עסקים אשר מחפשים ליצור או להרחיב את טביעת הרגל הדיגיטלית שלהם
כדי להגיע אל הלקוח בצורה טובה יותר.
המשמעות היא כי הם היו צריכים להיות מוכנים לבצע מעבר מהיר
בכל מה שקשור להערכת סיכון בצורה נמוכה ולהטמעה של אסטרטגיית אבטחת ענן מלאה.
דבר זה לוקח זמן וכפי שכולנו יודעים, העסק תמיד רוצה להתקדם במהירות רבה יותר.
מנהלי אבטחת מידע אשר היו מתכננים בשיטתיות את אסטרטגיות אבטחת הענן שלהם
לפתע היו חסרים את המותרות של זמן בהתלבטויות שלהם בנוגע למעבר לענן.
זהו האתגר הראשון – מחסור בזמן אשר נועד לתכנון.

בהינתן תובנות, אך לא בהכרח בחירה של ספקי ענן, האתגר השני מודגש על ידי המחסור במשאבים ורמת ידע. עם השכיחות העולה של ה-multi-cloud,
צוותי אבטחה היו צריכים להפוך – או לשכור – מומחים בארכיטקטורות ענן, אינטגרציות וכלים רבים ושונים,
אשר יכולים להפוך במהרה לנטל מורכב על צוותים שגם כעת פועלים תחת לחץ רב.

כיצד להתמודד עם מחסור במשאבים לאבטחת ענן?

עניין זה מביא אותנו לאתגר השלישי: “למי נתתי עכשיו את המפתחות?” – כדי להאיץ את המעבר לענן ולהרחיב את צוותי האבטחה הנמצאים בקושי כלכלי, עסקים פונים לחברות צד ג’ לסיוע והדרכה, במיוחד עקב מגפת הקורונה.
היום חשוב יותר מאשר מתמיד לבחון ולבצע הערכות יסודיות של השותפויות האלה כדי להבטיח כי תקנות האבטחה של הגורמים החיצוניים עומדים בקנה מידה אחד עם התקנות של הארגון שלכם.
פתיחת הסביבה שלכם לאינטגרציות של ספקי צד ג’ רבים יכולה לפתור זמנית את האתגרים, ואפילו יכולה להפוך לחלק מאסטרטגיית העסק לטווח הארוך,
אך יחד עם זאת, יש להקפיד להימנע ממצב של “מרוב עצים לא רואים את היער”.
הסכמי שותפים ומדיניות אבטחה לא יכולים להיות רגע אחד בזמן, הם חייבים להתפתח יחד עם החברה.

מה ניתן ללמוד מהאירועים האחרונים במובן של אבטחת מידע בענן, כאשר נוף ה-IT השתנה והתרחש מעבר חד לעבודה מהבית?

אליין: גודל הגל של העבודה מרחוק הפתיע אפילו את מנהלי אבטחת המידע
אשר בדרך כלל נמצאים צעד אחד לפני כולם.
העובדה היא, כי תשתיות ופוליסות של עבודה מרחוק
מעולם לא תוכננו כדי להתמודד עם כל האנשים ברחבי העולם שעובדים מרחוק בבת אחת.
אך ההפתעה הפכה לפעולה תוך מספר שבועות.
עם הסיוע של מספר רב של מנהלי אבטחת מידע מומחים בתחומם,
שרטטנו את העקרונות של המתודולוגיה אשר נועדה להתמודד עם הצונאמי של העובדים מרחוק,
תוך הבטחת המשכיות עסקית והגנה על הנתונים.

התאמת פעולות אבטחת המידע למציאות החדשה

ג’ו: לאחרונה רוב הפעולות של מנהלי אבטחה המידע היו ממוקדות בסיוע לעובדים המרוחקים
לבצע את עבודתם בצורה יעילה ומאובטחת.
התקופה שבה כולם התגייסו לצורך מטרה משותפת מגיעה כעת לרגיעה
ואנחנו מתחילים להרגיש את המציאות של המצב הכלכלי.
עבור קטגוריות מסוימות של עסקים, המשבר הביא עמו היבטים חיוביים,
אך מרבית ההשלכות נעות בסקלה שבין קשות להרסניות.
דבר זה מוביל להידוק החגורה בכל מקום, כאשר ארגוני ה-IT והאבטחה לא חסינים גם הם.

יחד עם זאת, קהילת ההאקרים – חובבנים ומקצועיים כאחד – לא נחלשה כתוצאה מהמשבר,
כך שההחלטה לקצץ באבטחת הסייבר הארגונית נראית חסכונית, אך לא חכמה במיוחד.
אף על פי כן, כאשר הרווחים של החברה צונחים, יש לקבל החלטות דרמטיות.
זוהי הסיבה לכך כי מנהלי אבטחת מידע רבים שאני משוחח איתם
בודקים בשבע עיניים את האפשרות להשקיע בכלים אוטומטיים.

אוטומציה כפתרון לאבטחת מידע יעילה

כאשר משתמשים כה רבים ניגשים כעת למשאבי הענן מהבית, מחוץ לחיבורים המשרדיים המוגנים היטב, נראות לתוך מה שמתרחש לעומסי העבודה בענן,
מי ניגש אליהם וניתוח אוטומטי של פעילות הענן חשובים יותר מתמיד.
פתרון של התראות יכול לקחת החל מ-20 דקות ועד למספר שעות ואפילו יותר עבור אנליסט.
כלי אוטומציה יכולים להתמודד עם התראות רבות תוך שניות
ולהשאיר רק את ההתראות הקריטיות ביותר לפתרון עבור האנליסטים של צוות ה-SOC (מרכז ניטור אבטחה).

כלים אשר מספקים נראות, כמו ה-Fortinet Cloud Workload Protection (FortiCWP),
הם חיוניים להגנה על הענן.
כלי ניתוח ואוטומציה, כמו ה-FortiSOAR,
מאפשר פיתוח מהיר של סקריפטים של אוטומציה ויש לו מאות סוגי תרחישים מובנים
אשר יכולים להעריך ולהגיב במהירות למצבים חריגים.

התאמת מדיניות אבטחת מידע למציאות משתנה

קורטני: האירועים האחרונים באמת היו “מוכנים או לא, הנה אנחנו באים”
ככל שהדבר נגע להתמודדות עם קנה המידה התלול של משתמשים אשר ניגשו לעומסי עבודה דיגיטליים ולחנויות מקוונות בבת אחת.
עבור חברות רבות, זאת הייתה אחת מתוך מספר דרכים לתקשר עם הלקוחות שלהם,
כך שהקיימות העסקית שלהם הייתה תלויה בזמינות והגברת העניין שבהצעותיהם
כדי למשוך תעבורה רבה יותר ממישהו אחר.
ייתכן כי צורך זה למשוך לקוחות בזמן של משבר גדול
שיכך מעט את החוקים בכל הנוגע לאבטחה במטרה להגביר את מספר העסקאות.

באופן דומה, הדפוסים של הרגלי הצריכה השתנו כך שנקודות הבסיס סביב שעות השיא הרגילות של הקניות או התחברות לאפליקציות נראו שונות בצורה דרמטית מאשר ב-90 הימים שקדמו להם.
הדבר מקביל למה שראינו בעלייה המהירה של מספר העובדים המרוחקים והצורך להבטיח גישה מאובטחת למידע ולמערכות קריטיות ללא בעיות ביצועים.
אם משתמשים לא יכולים להגיע למה שהם צריכים ולעשות זאת במהירות, באמצעות שיטות מוכחות כמו VPN, אז הם יתחילו לחפש דרכים משלהם לקבל את מה שהם צריכים.
באופן דומה, עם הענן, אם הוא לא עובד בצורה הטובה ביותר וזו לא האפשרות היחידה, המשתמשים ימצאו אפשרות אחרת.
זאת אומרת שהמדיניות סביב שעות גישה, משך הגישה, ספירת פעילויות ועוד, כולן צריכות לעבור הערכה ועדכון.
בנוסף לכך, גישת רשת מסוג zero-trust, יחד עם טכנולוגיות אימות אדפטיביות,
יכולות לאפשר למשתמשים לקבל את מה שהם צריכים, תוך הימנעות מהגברת מספר האיומים.

איזו סוגיה צצה הכי הרבה בנושא של אבטחת ענן בקרב מנהלי אבטחת מידע?

אליין: התגובה שאני שומע הכי הרבה זהו הפחד מתסמונת ה”כרטיס לכיוון אחד”.
מנהלי אבטחת מידע רבים תוהים האם הם יהיו מסוגלים לשמור על שליטה מלאה באסטרטגיית הענן שלהם ברגע שהם יתחילו לפדות את כל היתרונות שלה, כמו עלות, גמישות וסטטיסטיקות בזמן אמת.
אני מזכיר להם כי התפקיד של פורטינט הוא לא רק להשפיע בדרך זו או אחרת על אסטרטגיית הענן שלהם, אלא אנחנו שחקנים מובילים בתחום האבטחה והמשימה שלנו היא לשרת כל תרחיש ענן שאותו הלקוחות שלנו מאמצים: מקומי, היברידי או כל שילוב אחר.
המטרה היא לספק אבטחה קבועה ואמינה,
אשר כוללת נראות ובקרה, ללא קשר לאסטרטגיית הענן שהם מיישמים.

איך משלבים אבטחת מידע בתהליכי DevOps ופיתוח תוכנה?

ג’ו: הגעתי להבנה כי לא משנה אילו סביבות ענן יש ללקוחות,
בנקודה מסוימת הדיבור הוא תמיד על פיתוח תוכנה גמישה ופיתוח DevOps,
מה שעלול להיות מאתגר עבור צוות האבטחה – במיוחד היות ויישומים רבים פועלים בענן אחד או במספר עננים.
כולם מנסים לגרום למפתחים לערב אבטחה בשלב מוקדם בתהליך הפיתוח,
כאשר חלק מצליחים לעשות זאת בצורה טובה יותר מאחרים.
פעילות זאת נקראת “המעבר שמאלה” והיא כוללת עירוב של מומחי אבטחה
עם צוות הפיתוח קרוב לתחילת מחזור הפיתוח
(הביטוי מתייחס למעבר פעילויות אבטחת הסייבר הרחק יותר שמאלה על תרשים תוכנית הפרויקט).
כפי שאתם יכולים לדמיין, כאשר יש שימוש עצום בקוד פתוח, ספריות ציבוריות, ממשקי תכנות יישומים (API) ליישומים אחרים ועוד בתהליך הפיתוח, הדאגה העיקרית זוהי האבטחה של היישום, כאשר האתגר הוא קבלת נראות לתוך מה שמתרחש בכל עומסי העבודה.

האם התפרשות ענן היא סיכון אבטחה גדול?

קורטני: שוחחתי לאחרונה עם קולגה אשר עבר ביקורת ענן מלאה והתוצאות היו מאירות עיניים, בלשון המעטה. בביקורת שלו נמצא כי מעל ל-30% מעומסי העבודה בענן הקשורים לחברה
לא הפיקו את מלוא התועלת האפשרית, הוגדרו באופן שגוי או – וזה החלק המפחיד – לא היו ידועים עד כה.
המחשבה של הארגון מיד הייתה החיסכון האפשרי בעלויות כתוצאה מהתאמת הסיבות לגודל המתאים.
אין ספק כי מדובר בנקודה הגיונית לחלוטין, ואחת שנמצאת על סדר היום של ארגונים כיום,
אך המחשבה הראשונה שלי הייתה – האם הארגון מודע להשפעה החיובית שיכולה להיות לניקוי וסידור של העניין הזה על גישת האבטחה שלו?
דבר זה נקרא “התפרשות ענן” וזה הופך לנפוץ יותר ככל שמחשוב הענן נמצא בכל מקום –
בדומה למחשוב ווירטואלי וארכיטקטורות שרתים מסורתיות לפני כן.
כל אחד יכול להסתחרר בין משאבי ענן חדשים אשר מאפשרים פעולות עסקיות מהירות וגמישות,
אך הם גם פותחים את הדלת לאיומים פוטנציאליים.

אילו פתרונות טכנולוגיים יעזרו באבטחת מידע בענן?

למדו כיצד פתרונות אבטחת הענן הדינמיים של פורטינט מספקים נראות ובקרה מוגברות לאורך תשתיות ענן
ומאפשרים יישומים וחיבוריות מאובטחים החל ממרכז הנתונים ועד לענן.