מאת: גיל רג’יניאנו, ראש צוות אבטחת מידע, אינטגריטי תוכנה
ברשות הדואר לא ראו את זה מגיע, גם לא בטכניון, במכון הביולוגי או בעשרות ארגוני ענק שנאלצו להתמודד עם מתקפות סייבר בחודשים האחרונים. למרות שאיומי אבטחת מידע ניצבים במקום גבוה מאוד ברשימת הסיכונים העשויים להוביל לקריסה מוחלטת של הארגון, נראה שארגונים רבים עדיין לא מוכנים להתמודד מול האתגרים המורכבים של העידן הדיגיטלי.
עד טרום עידן הקורונה וימי העבודה על מערכת ארגונית פנימית עוד ניתן היה להבדיל בין “הטובים” לבין “הרעים”. סביבת העבודה המודרנית שלא מפסיקה להתפתח בשלוש השנים האחרונות והשימוש המוגבר ביישומי ענן, שינו את כללי המשחק. הגישה המסורתית שעסקה בהדיפה והרחקה של איומי סייבר הניצבים בשערי הארגון – כבר לא עובדת יותר. בין השאר, כי במקרים רבים, האיומים מגיעים מתוך הארגון. במילים אחרות: תם עידן “הסמוך על הטובים” והגיע הזמן לשנות גישה.
אחת הגישות היעילות ביותר שגובשה אמנם כבר לפני יותר מעשור, אבל כעת נולדת מחדש היא גישת “אפס אמון” (Zero Trust). אביה, האנליסט ג’ון קינדרווג, זיהה כבר ב-2010 את חולשות ההגנה ההיקפית על נתונים ורשתות תקשורת, אבל לא שיער שהפילוסופיה שלו תהיה רלוונטית כל כך גם היום. עקרונותיה של גישת “אפס אמון” מקדשים אימוץ טכנולוגיות, דרכי עבודה ותרבות ארגונית התומכים באבטחת זהויות, הטמעת יישומי אבטחה, ניטור נתונים וכמובן – מדיניות אימות קשיחה וקפדנית שלא מבדילה בין המנכ”ל לאחרון המפתחים.
זה לא מקרי: ניהול ואבטחת זהויות נחשבים לאחד ממנועי הצמיחה החזקים ביותר של עולם הסייבר כולו ועומד בבסיסה של גישת “אפס אמון”. ארגונים המבקשים ליישם את הגישה הזאת, נדרשים לפני הכל, לסבלנות ואורך רוח. לא מדובר בהטמעת טכנולוגיה או שיפור ההגנה ההיקפית, אלא על תהליך מתמשך הדורש מדידה וניטור לכל אורך הדרך.
1. אבטחה מבוססת הגנה היקפית לבדה לא יעילה יותר
השימוש הגובר בטכנולוגיות מתקדמות וטרנספורמציות דיגיטליות פוגע ביעילות מודל האבטחה ההיקפי והופך אותו לחדיר. בעידן בו כל עובד זוטר בארגון טכנולוגי מחזיק עשרות הרשאות ליישומים ארגוניים – כל הרשאה חייבת להיות בפיקוח ובקרה כדי להגן על נתוני הארגון. מספיקה הרשאה אחת לעיניים הלא נכונות כדי לגרום נזק היקפי ויקר.
2. התחזקות העבודה בענן
העברת מרכזי נתונים שלמים לניהול שרתי ענן, פרטי או ציבורי, היא תהליך שעשוי לחסוך המון לארגון – אבל גם להגדיל את רמת הסיכון עליו. למרות שסביבת העבודה בענן אמורה להיות מוגנת מצד ספקי הענן, מוטב לא להשאיר את האחריות בידיים שלהם. גישת אפס אמון נוקטת אמצעים שיובילו לשיפור היבטי האבטחה, היישומים ובחירת ההרשאות המתאימות לעובדים.
3. הרשתות כבר לא מאובטחות
העבודה מרחוק פתחה את הרשתות הארגוניות לשימוש תדיר ופגעה ביעילות האבטחה שלה. הנחת העבודה הגורסת כי סביבת העבודה בבית בטוחה כמו סביבת העבודה במשרד – חייבת להיבדק בקפדנות. לא מדובר רק על עובדים ומנהלים, אלא גם על לקוחות, ספקים או שותפים, שמקבלים הרשאות שימוש ברשתות הארגוניות ומנמיכים את חומות ההגנה ההיקפיות הניצבות מול ההאקרים. גישת הזירו טראסט מוודאת שקיפות ונראות מקסימליות ובקרה על כל משתמש ברשת הארגונית בזמן אמת.
4. הקארים לא נחים לעולם
לפני שני עשורים, פריצות אבטחה נועדו לספר לעולם שהארגון חדיר וכדאי להיערך בהתאם. כיום, פריצות אבטחה הן תעשייה אפלה המגלגלת מיליארדי דולרים מדי שנה. דרישות הכופר רק עולות וזה עוד לפני שהזכרנו את ההתקפות הלאומניות המשויכות למדינות אויב. גם להתחזקות המסחר האלקטרוני יש יד בהתגברות האיומים, אבל זאת בדיוק הסיבה לנחיצותה של גישת אפס אמון שעושה חיים קשים להאקרים עם מערך אימותים קפדני וקשיח.
5. התחזקות עידן ה-BYOD
כשהכל המידע זמין ושמיש בענן – ניתן להיכנס כמעט מכל מכשיר, לא? ובכן כדאי לחשוב שוב על עידן ה-BYDO (Bring Your Own Device). עובדים המשתמשים במערכות ארגוניות בהתקנים משלהם עלולים להיות חשופים להתקפות סייבר תכופות. כן, גם שיחת זום עסקית המתבצעת באמצעות הסמארטפון האישי היא מטרה להאקרים מיומנים. גישת אפס אמון אמנם לא יכולה למנוע מעובד לבצע רכישות מהמחשב הארגוני, אבל היא בהחלט יכולה לאכוף בקרות מהירות בכל נקודת זמן.
אימות קבוע ומתמשך: הצורך לוודא שכל עובד הקיש את פרטי ההזדהות שלו באופן תקין, מחייב אימותים נוספים כמו PUSH, OTP או אמצעי ביומטרי אחר, ואם זה לא מספיק, יש לוודא שההתקן המתחבר מזוהה, מורשה ומאושר להתחבר לארגון בכל זמן ובכל מקום.
הגבלת הרשאות: גם לאחר אימות המשתמש חשוב לוודא שכל עובד מקבל את ההרשאות הרלוונטיות הנחוצות לו בלבד. הגבלת ההרשאות תסייע לארגון לשפר את מערך אבטחת המידע.
מיקרו סגמנטציה: בהמשך להגבלת ההרשאות, העובד לא יהיה חשוף לשאר המערכות והשרתים ברשת, מבחינתו רק המשאב אליו הוא ניגש, קיים בעולמו.
ניטור התנהגות: ניטור אקטיבי של פעולת העובדים היא קריטית לניהול נכון של אסטרטגיית אפס אמון. כך למשל, אם עובד התחבר בבוקר מישראל ולאחר 3 שעות מסין, גישתו תיחסם לאלתר והתרעה תישלח למנהל האבטחה של הארגון.
לדעת עובדים רבים, גישת אפס אמון סובלת מיחסי ציבור רעים. שמה מיד מעלה שאלות: “אויש, שוב פעם לשים את הסיסמה?! לא סומכים על העובדים כאן?” ובכן, בהחלט סומכים על העובדים, אבל נוקטים בגישה פרואקטיבית המונעת נזקים וחולשות אבטחה עתידיות.
אני רוצה לשמוע עוד על פתרון ZERO TRUST>>