IT News פורטל המחשוב העסקי וההייטק של ישראל
מאת: קורטני רדקה ואליין סאנצ'ס, מנהלי אבטחת מידע בפורטינט
סביבות ענן, ובייחוד סביבות מרובות עננים, ממשיכות לשחק תפקיד חשוב במאמצי הטרנספורמציה הדיגיטלית המתמשכים של הארגונים. מאמצים אלו היו קריטיים במיוחד במתן האפשרות לארגונים רבים להעביר בצורה מוצלחת את מרבית העובדים שלהם לעבודה מרחוק בתקופה קצרה מאוד עם פרוץ מגפת הקורונה.
אחד האתגרים המרכזיים של הסתמכות גוברת זו על משאבי ענן זהו הביסוס והתחזוקה של רמת אבטחה גבוהה, ובכלל זה נראות ובקרה מאוחדים, כדי להיות מסוגלים לראות ולנטרל איומים ולהתמודד עם הגדרת מדיניות שגויה בצורה רציפה. קורטני רדקה ואליין סאנצ'ס, מנהלי אבטחת מידע בפורטינט, דנים באתגרי אבטחת הענן השכיחים ביותר שהם נתקלים בהם במהלך עבודתם עם ארגונים בכל רחבי העולם.
מהי הדאגה העיקרית של מנהלי אבטחת מידע בהתייחס לאבטחת ענן ב-2020?
אליין: לפני כשנתיים, התחלתי לשמוע מעמיתים לתחום שהם מחזירים מספר מרכיבים לאתרים המקומיים, אותם מרכיבים שהם התחילו להעביר לענן כחלק מהתהליך הטרנספורמציה הדיגיטלית של הארגון שלהם. האם הקולות הללו עמדו להפוך למגמה כללית? זה היה משהו שהיינו צריכים לגלות. לכן, פורטינט יזמה סקר באמצעות חברת המחקר HIS Markit בקרב 350 מקבלי החלטות ברחבי העולם והתוצאות היו מפתיעות. לפי ממצאי הסקר, התגלה כי 72% מהמשיבים למעשה העבירו רכיב אחד בחזרה מהענן אל האתר המקומי, כאשר היה מדובר בנתונים, יישומים ותהליכים.
עם זאת, נתון זה לא העיד על כך כי מקבלי החלטות אלו הפסיקו את התהליך של המעבר לענן. לפי חברת המחקר גרטנר (Gartner), מעבר לענן הינה עדיין המגמה הגדולה ביותר שראינו בתחום ה-IT והיא ממשיכה להיות כזו גם בשנת 2020. מדובר בתהליך בלתי פוסק הלוך וחזור, כאשר הארגונים רואים את הענן כמקום שבו הם יכולים לבחון ולהעריך את שיעור ההצלחה של שירותים חדשים ואז לבחור האם להשאיר אותם בענן או להחזיר לאתר המקומי – החלטה תתבצע לפי מה שיכתיבו הביצועים שהם יקבלו. הסתייגות חשובה שכדאי להזכיר בנוגע לתהליך חזרתי זה היא שהתוצאה לא יכולה להחליף בין אבטחה לגמישות. ברגע שיש צורך להטמיע, לפרוס ולבחון מחדש אלמנט אחד של פוליסת האבטחה שלכם בצורה ידנית, אתם מאבדים את היתרונות שהיו גלומים בחופש הזה.
קורטני: ישנם 3 אתגרים מרכזיים אותם שמעתי ממרבית מנהלי אבטחת המידע בהקשר לאסטרטגיית אבטחת הענן שלהם. על אף מגפת הקורונה, מנהלי אבטחת מידע הבינו טוב מאוד כי השגת גמישות – וכתוצאה מכך גם רווח – היה הדבר העיקרי עבור עסקים אשר מחפשים ליצור או להרחיב את טביעת הרגל הדיגיטלית שלהם כדי להגיע אל הלקוח בצורה טובה יותר. המשמעות היא כי הם היו צריכים להיות מוכנים לבצע מעבר מהיר בכל מה שקשור להערכת סיכון בצורה נמוכה ולהטמעה של אסטרטגיית אבטחת ענן מלאה. דבר זה לוקח זמן וכפי שכולנו יודעים, העסק תמיד רוצה להתקדם במהירות רבה יותר.
מנהלי אבטחת מידע אשר היו מתכננים בשיטתיות את אסטרטגיות אבטחת הענן שלהם לפתע היו חסרים את המותרות של זמן בהתלבטויות שלהם בנוגע למעבר לענן. זהו האתגר הראשון – מחסור בזמן אשר נועד לתכנון.
בהינתן תובנות, אך לא בהכרח בחירה של ספקי ענן, האתגר השני מודגש על ידי המחסור במשאבים ורמת ידע. עם השכיחות העולה של ה-multi-cloud, צוותי אבטחה היו צריכים להפוך – או לשכור – מומחים בארכיטקטורות ענן, אינטגרציות וכלים רבים ושונים, אשר יכולים להפוך במהרה לנטל מורכב על צוותים שגם כעת פועלים תחת לחץ רב.
עניין זה מביא אותנו לאתגר השלישי: "למי נתתי עכשיו את המפתחות?" – כדי להאיץ את המעבר לענן ולהרחיב את צוותי האבטחה הנמצאים בקושי כלכלי, עסקים פונים לחברות צד ג' לסיוע והדרכה, במיוחד עקב מגפת הקורונה. היום חשוב יותר מאשר מתמיד לבחון ולבצע הערכות יסודיות של השותפויות האלה כדי להבטיח כי תקנות האבטחה של הגורמים החיצוניים עומדים בקנה מידה אחד עם התקנות של הארגון שלכם. פתיחת הסביבה שלכם לאינטגרציות של ספקי צד ג' רבים יכולה לפתור זמנית את האתגרים, ואפילו יכולה להפוך לחלק מאסטרטגיית העסק לטווח הארוך, אך יחד עם זאת, יש להקפיד להימנע ממצב של "מרוב עצים לא רואים את היער". הסכמי שותפים ומדיניות אבטחה לא יכולים להיות רגע אחד בזמן, הם חייבים להתפתח יחד עם החברה.
מה ניתן ללמוד מהאירועים האחרונים במובן של אבטחת הענן, כאשר נוף ה-IT השתנה והתרחש מעבר חד לעבודה מהבית?
אליין: גודל הגל של העבודה מרחוק הפתיע אפילו את מנהלי אבטחת המידע אשר בדרך כלל נמצאים צעד אחד לפני כולם. העובדה היא, כי תשתיות ופוליסות של עבודה מרחוק מעולם לא תוכננו כדי להתמודד עם כל האנשים ברחבי העולם שעובדים מרחוק בבת אחת. אך ההפתעה הפכה לפעולה תוך מספר שבועות. עם הסיוע של מספר רב של מנהלי אבטחת מידע מומחים בתחומם, שרטטנו את העקרונות של המתודולוגיה אשר נועדה להתמודד עם הצונאמי של העובדים מרחוק, תוך הבטחת המשכיות עסקית והגנה על הנתונים.
קורטני: האירועים האחרונים באמת היו "מוכנים או לא, הנה אנחנו באים" ככל שהדבר נגע להתמודדות עם קנה המידה התלול של משתמשים אשר ניגשו לעומסי עבודה דיגיטליים ולחנויות מקוונות בבת אחת. עבור חברות רבות, זאת הייתה אחת מתוך מספר דרכים לתקשר עם הלקוחות שלהם, כך שהקיימות העסקית שלהם הייתה תלויה בזמינות והגברת העניין שבהצעותיהם כדי למשוך תעבורה רבה יותר ממישהו אחר. ייתכן כי צורך זה למשוך לקוחות בזמן של משבר גדול שיכך מעט את החוקים בכל הנוגע לאבטחה במטרה להגביר את מספר העסקאות.
באופן דומה, הדפוסים של הרגלי הצריכה השתנו כך שנקודות הבסיס סביב שעות השיא הרגילות של הקניות או התחברות לאפליקציות נראו שונות בצורה דרמטית מאשר ב-90 הימים שקדמו להם. הדבר מקביל למה שראינו בעלייה המהירה של מספר העובדים המרוחקים והצורך להבטיח גישה מאובטחת למידע ולמערכות קריטיות ללא בעיות ביצועים. אם משתמשים לא יכולים להגיע למה שהם צריכים ולעשות זאת במהירות, באמצעות שיטות מוכחות כמו VPN, אז הם יתחילו לחפש דרכים משלהם לקבל את מה שהם צריכים. באופן דומה, עם הענן, אם הוא לא עובד בצורה הטובה ביותר וזו לא האפשרות היחידה, המשתמשים ימצאו אפשרות אחרת. זאת אומרת שהמדיניות סביב שעות גישה, משך הגישה, ספירת פעילויות ועוד, כולן צריכות לעבור הערכה ועדכון. בנוסף לכך, גישת רשת מסוג zero-trust, יחד עם טכנולוגיות אימות אדפטיביות, יכולות לאפשר למשתמשים לקבל את מה שהם צריכים, תוך הימנעות מהגברת מספר האיומים.
איזו סוגיה צצה הכי הרבה בנושא של אבטחת ענן בקרב מנהלי אבטחת מידע?
אליין: התגובה שאני שומע הכי הרבה זהו הפחד מתסמונת ה"כרטיס לכיוון אחד". מנהלי אבטחת מידע רבים תוהים האם הם יהיו מסוגלים לשמור על שליטה מלאה באסטרטגיית הענן שלהם ברגע שהם יתחילו לפדות את כל היתרונות שלה, כמו עלות, גמישות וסטטיסטיקות בזמן אמת.
אני מזכיר להם כי התפקיד של פורטינט הוא לא רק להשפיע בדרך זו או אחרת על אסטרטגיית הענן שלהם, אלא אנחנו שחקנים מובילים בתחום האבטחה והמשימה שלנו היא לשרת כל תרחיש ענן שאותו הלקוחות שלנו מאמצים: מקומי, היברידי או כל שילוב אחר. המטרה היא לספק אבטחה קבועה ואמינה, אשר כוללת נראות ובקרה, ללא קשר לאסטרטגיית הענן שהם מיישמים.
קורטני: שוחחתי לאחרונה עם קולגה אשר עבר ביקורת ענן מלאה והתוצאות היו מאירות עיניים, בלשון המעטה. בביקורת שלו נמצא כי מעל ל-30% מעומסי העבודה בענן הקשורים לחברה לא הפיקו את מלוא התועלת האפשרית, הוגדרו באופן שגוי או – וזה החלק המפחיד – לא היו ידועים עד כה. המחשבה של הארגון מיד הייתה החיסכון האפשרי בעלויות כתוצאה מהתאמת הסיבות לגודל המתאים. אין ספק כי מדובר בנקודה הגיונית לחלוטין, ואחת שנמצאת על סדר היום של ארגונים כיום, אך המחשבה הראשונה שלי הייתה – האם הארגון מודע להשפעה החיובית שיכולה להיות לניקוי וסידור של העניין הזה על גישת האבטחה שלו?
דבר זה נקרא "התפרשות ענן" וזה הופך לנפוץ יותר ככל שמחשוב הענן נמצא בכל מקום – בדומה למחשוב ווירטואלי וארכיטקטורות שרתים מסורתיות לפני כן. כל אחד יכול להסתחרר בין משאבי ענן חדשים אשר מאפשרים פעולות עסקיות מהירות וגמישות יותר, אך הם גם פותחים את הדלת לאיומים פוטנציאליים.
למדו כיצד פתרונות אבטחת הענן הדינמיים של פורטינט מספקים נראות ובקרה מוגברות לאורך תשתיות ענן ומאפשרים יישומים וחיבוריות מאובטחים החל ממרכז הנתונים ועד לענן.
