"אבטחת מידע של נכסים דיגיטליים בענן היא אתגר רציני שכל החברות מתמודדות איתו"
"תוכנות כשירות אינן מוגנות לגמרי וכן גם שרתי תשלומים כמו PayPal", הזהיר צורי בר יוחאי, ה-CTO והמייסד של ריבלייז
"מהפכת מחשוב הענן הביאה יתרונות רבים לחברות רבות, אך אחד האתגרים המרכזיים בפניהם ניצבים הארגונים הוא אבטחת המידע של הנכסים הדיגיטליים", כך אמר צורי בר יוחאי, המייסד וה-CTO של ריבלייז, שעוסקת באבטחת מידע בתחום הסייבר לארגונים שיש להם ענן פרטי.
בר-יוחאי דיבר בכנס Cloud Today. הכנס, בהפקת אנשים ומחשבים, נערך באחרונה במרכז הכנסים אבניו שבקריית שדה התעופה, בהשתתפות מאות מקצוענים בתחום. את האירוע הנחה אבי שלום, יועץ מחשוב בכיר.
"מצד אחד גדל השימוש בנכסים דיגיטליים עבור יישומים קריטיים של ארגונים, ומצד שני קלות ההתקפות והפריצות לאתרים גדלה גם היא", אמר בר יוחאי. "בעוד שסביבות ארגוניות בתחום הביטחון מוגנות היטב כי יש להם תקציבים לייתר סביבה סגורה, ביבת הווב היא רכה מאוד ומוחלשת" אמר בר-יוחאי "כשאנו מדברים על הגנה על ענן ומוסיפים עוד שכבות של יישומים עם מידע זה יוצר בעייתיות", אמר בר יוחאי. "אין זה סוד שתוכנות כשירות (SaaS) הן בעייתיות מאוד לחדירה, אבל שלא יהיה ספק למישהו שהן מוגנות. אבטחת אפליקציות ווב היא בעייתית, כמו PayPal, על אף שטובי מומחי האבטחה הקימו אותה ומגינים עליה, ועדיין יש בעיות".
"יש הרבה אתרים בעולם, מתחת לרדאר של הרשת הלגיטימית, שלא נראים לכולם, ויש שם מסחר עירני בכרטיסי אשראי של PayPal, כתוצאה מפישינג, כאשר התשלום הוא בביטקוין", אמר בר יוחאי. הוא הוסיף כי "ארגונים כמו גוגל (Google) ופייסבוק (Facebook) מעסיקים מאות חוקרי אבטחה שיגלו פרצות בממשקים הגלויים שכולנו משתשמשים בהם". בכלל, אפליקציות ווב קלות יחסית לפריצה, במקרים של גניבת זהויות. לטענת בר יוחאי, יזמי החברה שהוא עומד בראשה נטלו על עצמם את המשימה להגן על מערכות אלה.
ומה לגבי תשתיות הענן בפלטפורמות כשירות (PaaS)? "יש בעיה בפלטפורמות, שם מעבירים מפתחים מידע על קודים פתוחים כדי שיוכלו לעבוד בענן", אמר בר יוחאי. "הגנה לא מספיק טובה על המפתחות של קודים אלה יכולה לאפשר לפורץ לחדור פנימה לתשתיות ולבצע פריצה".
לבסוף הוא השיב לשאלה הרטורית: אם כל כך לא בטוח בענן, מדוע אתם מספקים פתרונות על ענן? "כדי להגן על פריצות כגון DDos אנחנו חייבים להיות בענן, שם נמצאים לקוחותינו", אמר. "אנחנו עוקבים ומנתחים תהליכים כי חלק גדול מחורי האבטחה נובעים מתסכולים של משתמשים שלא מרוצים מזמני תגובה או איכות השירות, ולכן יש לטפל בנושא זה במקביל לאבטחה".
תגובות
(0)