מותו של סוכן: איך הסתמכות על סוכן הביאה לקריסת אלפי ארגונים בעולם?
"תקרית קראודסטרייק" הוכיחה את מה שחברות Cloud Native מטיפות לו זה שנים: תצורת ההגנה המבוססת על סוכנים טומנת בחובה סיכונים ומורכבות מובנית, ולפחות בסביבת הענן ניתן כבר היום לאמץ גישה אחרת
תקרית ה-IT העולמית שאירעה לפני כחודש, היא אולי החמורה שידע עולם המחשוב. אנחנו מתייחסים לתקלה זו כאל 'אירוע IT' (מערכות מידע) ולא כ'אירוע סייבר', מכיוון שאף על פי שהתוכנה שקרסה הייתה תוכנת הגנה, לא היה שום מימד של פריצה או חולשת סייבר. לפי מה שידוע כעת, עדכון תוכנה אוטומטי של סוכן (Agent) בשם פאלקון (Falcon) מבית קראודסטרייק (CrowdStrike) גרם ללולאה אינסופית של אתחול ו"מסכים כחולים" (BSOD- Blue screen of death, הסיוט של כל איש סיסטם) במערכות מיקרוסופט (Microsoft).
התקרית הזו מדגישה את הסיכון התפעולי של הסתמכות על מערכות מבוססות סוכנים, שנזדקקות לעדכונים שיכולים לגרום בעצמם לשיבושים
תקרית סוכנים זו השפיעה על עסקים ברחבי העולם, אשר חוו זמני השבתה חסרי תקדים של מערכות המחשוב שלהם, והשפיעו על מגזרים קריטיים כמו שדות תעופה ובתי חולים.
לזכות חברת קראודסטרייק יאמר שהם זיהו במהירות את התקלה, ותוך מספר שעות הפיצו נוהל שעזר ללקוחותיהם להתגבר עליה. אבל למרות התגובה המהירה יחסית עדיין אלפי לקוחות ומאות אלפי אנשים ברחבי העולם חוו השלכות של הארוע, שכללו דחיית טיפולים רפואיים, דחיית וביטולי טיסות והפרעות רבות למערכות מסחר מקוונות ופיזיות.
כך יצא שמערכת הגנת סייבר שנועדה להבטיח רציפות תפעולית אל מול איומים שונים גרמה בעצמה להשבתה מאסיבית.
בעוד שברור שלחברה מבוססת כזו יש תהליכי בקרת איכות מהטובים שיש לחברות באופן בסיסי, ארכיטקטורת התוכנה שעליה התבססה החברה מוּעדת לפורענות, בשל אותם "סוכנים" על גבי מערכת ההפעלה המקומית, שהביאו לקריסת המחשבים עליהם הותקנו.
סוכן או לא סוכן?
בעשור האחרון, הענן הפך למרכיב קריטי בתשתית המחשוב של כמעט כל ארגון בעולם. בעוד שפריסת מערכות סייבר על גבי מחשבים פיזיים הייתה תלויה במקרים רבים על טכנולוגיות מבוססות סוכנים, הענן אפשר פריסה שכזו ללא שימוש בסוכנים, המספקת זיהוי כמעט בזמן אמת על ידי ניתוח נתוני תקשורת (טלמטריה) ולוגים בענן. ועדיין, קיימים כאלו שמאמינים שיש להתקין סוכנים גם בסביבות ענן, ושאין בכך סיכון או נטל תפעולי. או לפחות – זו הייתה האמונה שלהם עד התקרית של קראודסטרייק.
לפתרונות אבטחה בענן שמבוססים על סוכנים יש מספר חסרונות, שחלקם הורגש בתקרית האחרונה של קראודסטרייק.
החסרונות הללו נוגעים ב –
מורכבות התפעולית – כמו כל חלק בתשתית, בין אם פיזי או וירטואלי, סוכנים דורשים עדכונים ותחזוקה כדי להבטיח שהם פועלים כראוי. זה דורש משאבים וזמן – דבר שחסר לצוותי אבטחה רבים. התקרית הזו מדגישה את הסיכון התפעולי של הסתמכות על מערכות מבוססות סוכנים, שנזדקקות לעדכונים שיכולים לגרום בעצמם לשיבושים.
צריכת משאבים – סוכנים דורשים משאבי מערכת כדי לפעול בצורה תקינה. המשאבים שסוכנים צורכים משמעותם עלות גבוהה יותר בצד הלקוח (בחיובי עלות מחשוב ענן) בפרופילי זיכרון ו-CPU במכונות, עם פוטנציאל להאט יישומים, שירותים ופרויקטים עסקיים קריטיים.
נקודת כשל – החיסרון הוא מה שהעולם חווה בתקרית הזו, שסוכנים מוסיפים נקודת כשל נוספת (המכונה באנגלית Point of failure). עדכונים ושינויים אחרים בנקודות אלו בתשתית הענן עלולים לגרום לבעיות חמורות.
שירותים שלא ניתן להגן עליהם באמצעות סוכנים – בענן, שירותים רבים מנוהלים על ידי ספק הענן, ולכן לא ניתן להתקין סוכן – מה שהופך את הגישה ללא סוכנים לדרך הרלוונטית היחידה להגן על שירותים אלו. סוכנים פשוט לא רלוונטיים במקרים אלה, ופתרונות מבוססי סוכנים יהיו עיוורים לשירותים מנוהלים (Databases, FaaS Managed Kubernetes), כאשר זיהוי איומים מקורי בענן הוא האלטרנטיבה היחידה.
סיכונים הנובעים מיכולות אכיפה – אחד האתגרים המרכזיים בזיהוי ותגובה של איומי ענן הוא חלק התגובה. בעוד שסוכנים כוללים יכולות אכיפה, הם מציגים סיכון של אכיפה, אשר לה השלכות בלתי צפויות, ויכולים גם להכניס סיכון שרשרת אספקה אם ייפלו לידיים הלא נכונות.
היתרונות בפתרונות אבטחה שאינם מבוססים על סוכן
חברות סייבר שפיתחו פתרונות לענן, לאחר שכבר הציעו פתרונות מבוססי סוכן למחשבים פיזיים, פשוט "העתיקו" את הקונפסט לעולמות הענן. לעומתן, חברות שהן Cloud-Native ביקשו לבטל את התלות בסוכנים, וכך להימנע מהמורכבות והפגיעויות הקשורות לסוכנים, תוך שמירה על יכולות אבטחה פרואקטיבית לאבטחת ענן תוך פישוט הניהול והתפעול.
יתרונות מערכות אבטחה שאינן זקוקות לסוכנים הן –
קלות פריסה וניהול – פתרונות ללא סוכנים קלים יותר לפריסה ולניהול. הם ממנפים תשתית קיימת ושימוש ב-APIs ודורשים תפעול מינימלי, מה שמפחית את העומס התפעולי על צוותי IT. ללא צורך בעדכונים ותחזוקה מתמשכים, ארגונים יכולים להתמקד ביעדי אבטחה הליבה, במקום בניהול בעיות הקשורות לסוכן.
צפייה ברמת אירוע הוליסטית בזמן ריצה בענן – פתרונות ללא סוכנים מציעים נראות מקיפה לתוך סביבות ענן, מבלי לדרוש קלט הקשר ייחודי למערכות מבוססות סוכנים. על ידי שילוב עם שירותים מקוריים בענן וניצול ניטור מבוסס API, פתרונות אלו מספקים תובנות בזמן אמת לגבי איומים ותקריות פוטנציאליות.
אין השפעה על יכולות הזיהוי – בניגוד לאמונה שסוכנים חיוניים לזיהוי איומים יעיל, פתרונות ללא סוכנים יכולים להשיג יכולות זיהוי דומות, אם לא מעולות. על ידי ניתוח טלמטרי ענן ולוגים כגון תעבורת רשת, לוגים של בקרת גישה ופעולות (Audit), לוגים של DNS ועוד, CTDR ללא סוכנים יכול לזהות ולהגיב לאיומים בדיוק ובמהירות.
זיהוי יזום, אכיפה מאומתת ומאובטחת – פתרונות אבטחה ללא סוכנים יכולים לבצע סימולציות אוטונומיות לזיהוי פרואקטיבי ותגובה מאומתת, על ידי הדמיית תרחישי תקיפה מוכחים של תקיפות שהותאמו במיוחד לתשתית הענן של הלקוחות, והרצתם מול מנגנון הזיהוי, כך שאמצעי אבטחה נבדקים, מוערכים ומטויבים ללא הרף. כך גם ניתן לבחון ולהכין מראש מדיניות אכיפה, באמצעות תגובה אוטומטית, וכל זאת ללא המגבלות והסיכונים של סוכנים. יתרה מזאת, זה מסייע לאיתור נכסים קריטיים לארגון ולמיקוד ההגנה בהם, תוך שמירה על המשכיות עסקית.
פרשת מים בעולם הסייבר- הסוכן הוא מסוכן
התקרית האחרונה (שכנראה תיזכר לעולם כ"תקרית קראודסטרייק") הוכיחה את מה שחברות Cloud Native מטיפות לו זה שנים. תצורת ההגנה המבוססת על סוכנים טומנת בחובה סיכונים ומורכבות מובנית, ולפחות בסביבת הענן ניתן כבר היום לאמץ גישה אחרת, שאינה מבוססת על סוכנים, ועל ידי כך לפשט את האופרציה, להסיר נקודות כשל, ולחסוך כאב ראש תפעולי, מבלי להתפשר על רמת האבטחה בענן.
כותב המאמר הוא מנכ"ל חברת אבטחת הסייבר בענן סקייהוק סקיוריטי
חברים, לא לבלבל ביצים, הענן זה רק מחשב של מישהו אחר. אין פתרון קסם. עם כל הכבוד ל"לוגים וטלמטריה" - זה רק אחרי שהנזק נעשה, אם בכלל הצלחתם לראות נזק בשכבה הזו. בעיית CRWD היתה בשורש RELEASE RINGS ואולי שאננות, הם פשוט שחררו עדכון לכולם כאילו הם חפים מבאגים. כולם יודעים שאין תוכנה בלי באגים כמו שאין סיאס בלי לאגים. אם נרד רמה מתחת, כנראה שגם כמה טסטים היו חסרים (ובתכלס, לא משנה כמה טסטים כתבתם זה אף פעם לא מספיק). למה לטעון שמקור הבעיה היא עצם קיום הסוכן, ולכן עידן הסוכנים תם? למה לא מערכת ההפעלה שמאפשרת בכלל למצב כזה לקרות? (כן, לא.) אז ככה, בלי "סוכן" מבוסס קרנל דרייבר, אי אפשר לסמוך על המידע שהמוצר "מנטר" ("" כי האלטרנטיבה בסוכן קרנל היא "סוכן" שרץ ביוזר-מוד בלבד - או שהצעתם להיפטר ממוצרי תחנת קצה בכלל?), או על היכולת של המוצר להתומדד עם איומים אמיתיים. בכל אופן אתם אמורים לדעת שרק ברמת רשת לא רואים מספיק. לא להיות בת יענה. תזכרו: מי שלא סוכן, רוכן.
כתבה חסרת ערך מקצועי. חבל שחברה שמנסה למכור את המוצר שלה צריכה להתנגח בחברה אחרת... איך אפשר לראות התקפות מורכבות שכוללות הזרקת קוד ישירות לזיכרון, באמצעות המוצר שלכם? כנראה שאי אפשר.
לא כל העולם בענן. עדיין יש מחשבים אישיים וטלפונים