בכיר בסימנטק: "להרוג את הסיסמאות"

"סיסמאות הן החוליה החלשה בהגנה על המידע והמשתמשים, ואנחנו עמלים לפתח כלים שיחליפו אותן". כך אמר ניקו פופ, סגן נשיא לתחום ההגנה על המידע, חטיבת הגנת הסייבר, סימנטק (Symantec).

אחד המהלכים המרכזיים של ענקית האבטחה הוא ניצול טכנולוגיות קיימות בתחום החומרה במובייל – ושילובן במערכות ההזדהות והגישה של סימנטק.

פופ אמר כי הפלטפורמה תתבסס על ריבוי טכנולוגיות מתוחכמות לאימות מתמשך ורציף. אלו, הסביר, יכללו ניתוח התנהגות, טלמטריה מבוססת אפליקציה, ומערכות למידת מכונה. הוא סיים באומרו כי סימנטק גם עובדת על פתרון אבטחה ליישומים ניידים, MAPS (ר"ת mobile application protection services), וכי הטכנולוגיות החדשות יתבססו, בין השאר, על זיהוי ביומטרי, מיקום גיאוגרפי, והצפנה.

בראיון לאנשים ומחשבים אמר רון כהן, מנהל טכנולוגיות, סימנטק ישראל, רוסיה, ודרום אפריקה, כי "חזון החברה לתחום הוא עולם מאובטח ללא סיסמאות". לדבריו, "יש כיום מצב שארגונים מעלים אפליקציות רבות לענן, כדי להגביר את התפוקה, לשפר את היעילות, להקטין עלויות, ולקבל גמישות וזריזות של תפקוד מערכות ה-IT". אלא, סייג כהן, "אחד הנושאים הלא פתורים הוא הגישה המאובטחת של עובד בארגון למול השירותים הרבים וריבוי הסיסמאות. זה מקשה על המשתמשים, וגורם להם להשתמש באותה סיסמא בגישה שלהם למערכות IT שונות וליישומים. כך, גדל פוטנציאל הסיכון של הארגון".

רון כהן, מנהל טכנולוגי, ישראל רוסיה ודרום אפריקה, סימנטק. צילום: ניב קנטור

מחקר שערכה ענקית אבטחת המידע, סיפר כהן, "העלה כי 68% מהמנהלים בארגונים, חוששים מאימוץ אפליקציות ענן בשל סיבות אבטחת מידע, בשל החשש מחוסר היכולת לערוך בקרה על הגישה למערכות הנמצאות בענן. זאת, בנוסף לחשש מזליגת מידע לידי מי שאינו מורשה בכך". הוא הוסיף כי "עוד עלה במחקר ש-79% ממשתמשי האפליקציות הארגוניות בענן הודו כי כשהם משתמשים בשירותי ענן – במודע או שבחוסר מודעות – הם פועלים באופן בלתי מאובטח, העלול להסב נזק לארגון".

"אסטרטגיית החברה", אמר כהן, "דנה בארבעה תחומים: שירותי הגנת סייבר, פלטפורמה אחודה להגנה מפני איומי אבטחת מידע, הגנה על תשתית המחשוב מפני איומים מתקדמים, APT, ומיקוד בהגנה על המידע, גישה למידע וניהול זהויות. זאת, בהתבסס על טכנולוגיות סימנטק לתחום".

"היסטורית, משתמש נדרש להקליד שם משתמש וסיסמא", אמר כהן. "בחלוף השנים יושמה מדיניות של הקשחת סיסמאות. לאחר מכן, נוספו טכנולוגיות כגון אימות דו-שלבי. הדבר חייב את הארגון במערכות ניהול גישה ייעודיות, מבוססות-חומרה לכל משתמש. בנוסף, טכנולוגיות מתקדמות, כגון טביעת אצבע ותעודות אלקטרוניות, הפכו לנחלת הכלל כחלק מעולם המובייל".

גישה אחודה ומאובטחת לאפליקציות הארגוניות

"כדי לתת מענה מקיף לגידול באיומי אבטחת מידע מחד, ולהתפתחות של תחום ניהול הגישה", ציין כהן, "סימנטק משלבת בין יכולות קיימות בתחום אימות זיהוי ובקשת גישה של משתמשים (User Authentication), עם מערכות הגנה מפני דליפת מידע, DLP – למערכת אחת. המערכת, Symantec identity access manager, מספקת גישה אחודה ומאובטחת לאפליקציות הארגוניות, לאלו שב-Web ואלו היושבות בענן".

לדבריו, "בהיבט הטכנולוגי, המוצר כולל כמה רכיבים. ביניהם, מערכת זיהוי רב מימדית. מדובר בשירות המסופק בענן באופן מלא, המחליף את החומרה הייעודית ששימשה את המשתמשים בעבר לצורך חיבור ל-IT הארגוני. הפתרון כולל רכיב תוכנה לטלפונים ניידים, ויכולות נוספות, כגון אימות ב-Push, במסגרתו משתמש הקצה אינו נדרש להקליד את הסיסמה הישנה. עוד תומכת המערכת ביכולות זיהוי ביומטרי, כפקטור שני וכחלק מהפתרון". הוא ציין כי "רכיב טכנולוגי נוסף במוצר הוא מתווך לענן, המספק יכולת לחבר את כלל היישומים הארגונים לענן מחד, ומהצד השני חיבור של היישומים הללו ל-Directory של הארגון, הכולל פרטי המשתמשים. זה מאפשר למשתמשים נקודת גישה אחת, SSO, לכלל האפליקציות הארגוניות, מכל רכיב מחשוב, נייח ונייד. לארגון המערכת מספקת שליטה, יכולות ניהול, ובקרת גישה".

"הכרזנו על המערכת לפני כמה חודשים", סיכם כהן. "היא לוקחת אותנו צעד נוסף קדימה, ו'הורגת' את הסיסמאות. זאת, על ידי שילוב של תעודות למערכת ממנה מבצעים גישה (Device Certificate), וטביעת אצבע – כפקטור שני. השילוב מאפשר רמת אבטחת מידע גבוהה למשתמשים, עם יעילות וחוויית משתמש טובה יותר".