על אבטחת מידע בענן

הענן - אינו היעד הסופי, אלא משאב עבור האקרים לקידום המטרות שלהם ולהפעיל התקפה מתמשכת על הארגון ● לכן, בעוד הענן בהחלט יכול לאפשר כמה פשעי סייבר, הוא אינו הסיכון המרכזי

02/08/2017 12:15
אריה עמית, יועץ אסטרטגי וניהולי בכיר ב-I-amIT

האחסון בענן מספק יתרונות רבים עבור אנשים ועסקים, כמו עלויות אחסון מופחתות, נוחות גישה מדהימה, שיפור התקשורת בצוות והיכולת לשתף נתונים.

כל היתרונות הללו נתקלים בהסתייגות מסוימת, כאשר מועלה נושא האבטחה. למרות ההסכמה כי שמירה בענן מונעת גניבת נתונים פיזית כתוצאה מאובדן או תקלה במכשירי הקצה, הדאגה מתמקדת ביכולת הנגישות של האקרים לנתונים המאוחסנים בשרתי הענן או של סוכנויות ממשלתיות המפקחות על ספקי השירותים בגישה של ה-"אח הגדול".

על מה צריך לתת את הדעת?

איומי על הענן אמיתיים, אך לא צריך להגזים

חלק גדול מהפחד בנוגע לביטחון המידע בענן נובע מהידיעות והשמועות על פרצות בגישה לנתונים ואי הבנה של המשמעות שלהן.

חברות ועסקים גלובליים גדולים מהווים מטרה גם כתוצאה מתככים פוליטיים בינלאומיים. כלי התקשורת ממהרים להפנות אצבע מאשימה לרוסים, לסינים, ואחרים ולקבל פרסום ורייטינג, אבל האם האיומים המדווחים על עסקים ויחידים אכן רציניים כמו שסיפורי החדשות גורמים לנו לחשוב?

סקירת נתוני פריצות לנתונים מ-2015 ו-2016 בארצות הברית שהוצגו ב- ITRC Data Breach Reports, מראים כי ב-2015 נחשפו כ-180 מיליון רשומות אישיות ב-800 פריצות, 40% מהן היו לעסקים, 35% לארגוני בריאות ורפואה, 8% לגופים צבאיים וממשלתיים ו-7.5% למוסדות אקדמיים.

חשוב לציין כי הגנת הסייבר וביטחון מידע בענן הם תחומים הולכים ומתפתחים. יותר ויותר עסקים ויחידים מודעים לצורך להתייעץ עם מומחים כדרך להפחית את הסיכון, והיום קרוב למחצית מהמטרות הפוטנציאליות הללו נוקטים את הצעדים הדרושים כדי להגן על עצמם.

הענן, אינו היעד הסופי, אלא משאב עבור האקרים לקידום המטרות שלהם ולהפעיל התקפה מתמשכת על הארגון. לכן, בעוד הענן בהחלט יכול לאפשר כמה פשעי סייבר – הוא אינו הסיכון המרכזי.

יש סיבה לפגיעות הענן

אם נתעלם בשלב זה מההיבטים הפסיכולוגיים האנושיים של פגיעות הענן, חשוב להבין ששורשי פגיעות הענן נובעים מההיבטים הטכניים של הענן עצמו, כמו ממשקי API רגישים, אשר נגישים לעתים קרובות מהאינטרנט הפתוח, ומשמשים מטרה עיקרית לניצול על ידי האקרים.

לחלופין, התוקפים מכוונים ל-"באגים" בתוכניות שבזכות הקשרים ההדדיים של הענן מאפשרים להם לחפש את דרכם בתוך הרשת.

אחסון בענן עשוי להיות המסוכן ביותר

מאז הופעת הענן, מומחי המחשוב הצביעו על הסכנות הפוטנציאליות של אחסון נתונים בענן. עתה, שנים מאוחר יותר, עדיין אחוז גבוה מזהה את האחסון בענן כאחד הסיכונים הגדולים, ועם זאת הוא מתקבל כפתרון מועדף המלווה בהשקעה רבה באכיפת מדיניות הכופה כללי שמירה ואבטחה של הנתונים.

בעוד אחסון בענן אכן עלול להוות סיכון, שימוש באמצעי הנגד המתאימים ועמידה על המשמר לגבי מה שמתרחש, עלול להיות הגישה הטובה ביותר להבטיח שהסיכון לא יתורגם לגניבת נתונים בפועל.

האינטרנט של דברים מתחם סיכוני אבטחה

יותר ויותר מכשירים מתחברים לרשת. ניטור מדדי פעילות גופנית ובריאותית, ניטור GPS, וכדומה. גאדג'טים אלה קשורים לעתים קרובות עם פתרונות מבוססי ענן, מה שהופך אותם רגישים לאיומים על מחשוב ענן כמו כל אחד אחר.

GovTek קובעת כי ישנם כ-23 מיליארד מכשירים מחוברים לאינטרנט בבתים ובמשרדים ברחבי העולם, ולרבים יש מעט מאוד הגנה בטיחותית. הם מציגים את החידוש של האינטרנט של הדברים כחולשה משמעותית, ומספקים דוגמאות של חיבורים אלה המחוברים לענן.

לא מזמן, האקרים השתמשו בתוכנה זדונית המכונה Mirai כדי לזהות מאות אלפי מכשירים ביתיים ומשרדיים בעלי אבטחה חלשה. לאחר מכן, האקרים חיברו את המכשירים האלה לרשת ששלחה אינספור מסרים לבריאן קרבס, וסגרו את האתר הפופולרי שהוא מנהל כדי לחשוף פשעי סייבר .

סקר של DEF CON מדווח על 47 סוגי פגיעות חדשות המשפיעות על 23 מכשירים של 21 יצרנים שונים, שנחשפו במהלך שיחות האבטחה, סדנאות ותחרויות פריצה שהוא מקיים.

ספקיות גדולות מבינות את הסיכונים ומחפשות להקטין את הסכנה

מהומת האבטחה נפלה על אוזניים קשובות של החברות הגדולות. ענקי האחסון בענן כמו גוגל (Google) הרחיקו לכת ופרסמו נייר עמדה בנושא האבטחה בענן, המציג את אמצעי הזהירות שהם נוקטים בהם על מנת לשמור על נתוני הלקוחות הפרטיים ולצפות מה סיכויי לפגיעות בעתיד. גם ספקים גדולים אחרים נקטו במדיניות דומה.

נוסף על כך, שוק האבטחה של הענן גדל והולך. גם עסקים וגם יחידים מודעים לסכנה, ופתרונות אבטחה עוקבים אחריהם כדי לספק להם את השקט הנפשי שהם זקוקים לו כאשר הם מגבירים את השימוש שלהם בטכנולוגיה מבוססת ענן.

ענן ציבורי לעומת  ענן פרטי לא קריטי כמו שנוטים לחשוב

ויכוח ארוך נפוץ בקהילת הענן בעניין ההבדל בין משאבי הענן הפרטי לציבורי. ומה יותר בטוח? מתברר, שאין הבדל רב כפי שנטו להאמין בתחילה.

עננים פרטיים אמורים לספק שליטה טובה יותר על נתונים, אבל אין להסיק מכך שכברירת מחדל עננים ציבוריים פחות מאובטחים. בשתי האפשרויות חברות ויחידים חייבים לפתח את האסטרטגיה הנכונה לשמירה על המידע שלהם כדי לאפשר ללקוחותיהם מידע בטוח.

האלמנט האנושי הוא סיכון משמעותי

רבות מסכנות הענן נובעות מהגורם האנושי שלא תמיד מתייחס ברצינות לפרוטוקול האבטחה הנכון. שימוש בסיסמאות חלשות, אי-עיסוק באימות מולטי-פקטור לזיהוי ונפילת קורבן לטקטיקות פישינג הניתנות למניעה, כולן נופלות בקטגוריה של סיכון אנושי.

כמעט 60% מאירועי האבטחה בשנת 2016 היו כתוצאה מרשלנות עובדים. זו תופעה מטרידה המיוחד לאור המגמה המואצת של עבודה מרחוק באמצעות מכשירים אישיים.

בנוסף עובדים מתוסכלים יכולים לזרוע נזקים לעסק מתוך רצון לנקום בחברה כתוצאה מאי שביעות רצון או תאוות בצע גרידא. עם הידע הפנימי שלהם, הם יכולים לגנוב נתונים רגישים בענן ולשבש באופן חמור פעולות.

כמו עם כל האתגרים מבוססי ענן האחרים, היערכות היא המפתח למניעה. הכשרה קפדנית של העובדים ושל פרוטוקול תקין להתנהגות היא תנאי למניעה.

משמעות הגישה היברידיות

מערכות ענן היברידיות הן שילוב של פתרונות ציבוריים ופרטיים המרכיבים מחשוב ענן, אשר התפתחו כשיטה למתן גמישות רבה יותר והגברת האבטחה.

על ידי פיצול משאבים, ארגונים מסוימים מצאו כי הם אינם רגישים לכישלון מוחלט במקרה של היבט אחד בפגיעות הרשת שלהם.

לדוגמה, ניתן לשמור על התקנים קריטיים למשימה (מצלמות אבטחה וכדומה) ברשת הפרטית שאותה קל יותר לאבטח ולשלב שימוש במערכות ציבוריות עבור נתונים שמחוץ לאתר.

ישנן דרכים רבות למימוש פתרון היברידי, חשוב להכיר את השיטות לפני החלטה.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים