עולם ללא גבולות

המעבר לענן וחשיבות טכנולוגיית אבטחת המידע CASB

חברת eBay מחלוצות הסחר האלקטרוני קמה לפני כ- 20 שנה, באותה התקופה אנשים שביצעו רכישות בחנויות וירטואליות מול מוכרים אנונימיים שנמצאים אי שם במקום בלתי ידוע בעולם נחשבו ל"משוגעים". במהלך 10 שנים האחרונות ישנה עלייה מתמדת של עשרות אחוזים ברכישות מאותן חנויות שהפכו למעשה לזירה המרכזית בסחר אלקטרוני והן פועלות לצד החנויות הפיזיות. שינוי זה בתרבות הצריכה ובאופן בו עושים עסקים לא היה קורה ללא מערכות אבטחת מידע.  מהפכת השווקים האלקטרוניים גררה אחריה שינוי בדפוסי ההתנהגות ותרבות הצריכה של כל אחד מאתנו. כעת אנו עדים למהפכה בארגונים ובעסקים המובילה אותם לעידן הדיגיטלי. הדרך שלנו לעשות עסקים במשך עשרות שנים וסביבת העבודה שלנו כעובדים וכמנהלים משתנה. הדרך בה אנחנו אוספים מידע, משתפים וצורכים מידע משנה את האופן בו העסקים פועלים והופכת את תהליכי העבודה לקלים ופרודוקטיביים.

המידע הארגוני עובר מיגרציה לענן או נוצר מראש בענן באפליקציות SaaS כמו Google Apps או Office 365. את המהפך המשמעותי עוברים המשתמשים כעת יש להם את היכולת לגשת למידע  ממקומות שונים ומהתקנים שונים ובכך להפוך כל שעה אבודה לשעת עבודה.

שינוי זה של גבולותיו של הארגון מגדיל באופן משמעותי של שטח ההתקפה הפוטנציאלי ומגדיל את הסיכון, ארגונים לא תמיד מודעים לאיומים שעשויים להגיע מכיוונים בלתי צפויים כתוצאה מאימוץ אותן טכנולוגיות חדשות. המידע הארגוני היקר לא נמצא רק בשרתים הנמצאים בתחום החברה ובאי בודד. המידע כעת נגיש לכול אדם, מכול מכשיר, מכול מקום וכמובן ידוע גם ל Hackers שמוכנים לנצל את חולשות הטכנולוגיה, הפרוטוקולים ובשרותי הענן.

ארגונים צריכים להגדיר מחדש את גבולות הארגון שהתרחבו לכיוון הענן שאיננו תחת שליטתו של הארגון. אתגרים חדשים אלו מביאים אותנו לשאול את השאלות, האם אותו Perimeter ארגוני שכול השנים השקענו בו מבחינת מוצרי אבטחת מידע עדיין אפקטיבית? האם בכלל פעילות העובדים נמצאת באותם מבנים וסניפים ארגוניים שהגדירו בעבר את מקום העבודה?

שינוי זה מביא CISO ובכלל את הארגון לתכנן מחדש את הדרך להגן על המידע הארגוני שנמצא מחוץ לארגון ונגיש מכול מקום בעולם ולא רק מגבולותיו של הארגון. לאחר יותר מעשור בו דאגנו להגן רק על אותה הסביבה שבשליטתנו, יש צורך לתכנן מחדש את תפיסת אבטחת המידע הארגונית כך שתתאים להגנה על הנכסים הארגוניים שהם כבר לא בשליטתנו.

מהפכת ה-  Mobile והמעבר לספק שירותי ענן (Cloud Service Provider) מקשה על צוותי אבטחת המידע לאכוף את מדיניות הארגון. מקשה על תהליכי עקיבה ואיסוף מידע אודות איומים בסביבה בה כול מכשיר נגיש למידע ללא תלות אם הוא מכשיר מנוהל או לא מנוהל. פגיעה בנראות בחלק קריטי זה של הרשת עשויה לגרום לאסון עבור עסקים דיגיטליים ובעלת השלכות על כלל הכלכלה הדיגיטלית המתפתחת.

הגישה שלנו לאבטחת מידע צריכה להיות מתוכננת מחדש על מנת לעמוד באתגרים הטכנולוגיים החדשים של משתמשים ויישומים דינמיים שנעים על פני רשת האינטרנט כולה, רשתות ארגוניות ללא גבולות, מכשירי IoT וסביבות מבוססות ענן.

בשנת 2015 הגדירה Gartner טכנולוגיה לאבטחת מידע עבור ארגונים אשר מחפשים להעביר אינפורמציה ארגונית לענן ולאפשר להגיע אליה מרשת האינטרנט. טכנולוגיה שתספק רמת אבטחה הדומה לעולם בו מערכות ארגוניות היו פנימיות ("On-prem").

הטכנולוגיה נקראת CASB (Cloud Access Security Broker). תפקידה לספק לארגונים רמת אבטחה מספקת ליישומים ונתונים ארגוניים במעבר לענן. על פי Gartner טכנולוגיית אבטחת המידע הנדרשת ביותר לשנת 2016 היא  CASB ויש צורך לשים אותה בראש סדר העדיפויות. את הפוטנציאל של CASB הבינו חברות אבטחת המידע ומיהרו להשלים את פתרונות אבטחת המידע לענן על ידי רחישת חברות נישה ובהם החברות הישראליות Adallom ו- Cloudlock שנמכרו למיקרוסופט וסיסקו וחברות כמו Skyfence/Imperva ו- Elastica שנמכרו ל  Forcepoint וסימנטק ואחרות.

לפני המעבר לענן, משתמשים היו נגשים למשאבים הארגוניים באמצעות VPN ו- Remote Access  מאחורי מוצרים כמו NGFW/IPS/WAF שהיו מספקים רמת הגנה מספקת. כעת הערכה על פי Gartner היא שבשנת 2018, 25% מהתעבורה השייכת לארגון לא תעבור בכלל דרך תשתית הארגון, כלומר ההשקעות שבוצעו בארגונים מספקות הגנה רק על 75% מתעבורת הארגון. התוכן עצמו שנוצר ונמצא בשרותי ענן   SaaS כמו Salesforce, Dropbox, Office 365 איננו מוגן. טכנולוגיות אבטחת המידע המסורתיות לא יעילות כי הן לא נמצאות במסלול התעבורה, מה גם שלא ניתן לשים אותם בענן ובטח לא מול כול שירות ושירות בענן.

מבחינת חלוקת האחריות מול ספק השירותים נקבע כי המשתמשים והנתונים הם באחריותו הבלעדית של הארגון והתשתיות הם באחריות ספק שירותי הענן.

על מנת להבין את תחום אחריותנו כצרכני שירותים ניתן מספר דוגמאות: IaaS/AWS – בניית VPC  ו EC2 Instance היא באחריות הלקוח, אמזון אחראים עד לרמת Hypervisor. SaaS/Dropbox – אחריות ספק שירותי הענן היא עד לאפליקציה. אם זהות של משתמש נגנבה או הועבר חומר רגיש למתחרה, אנחנו כארגון אחראים על כך. SaaS/Office 365 מיקרוסופט אחראית לאבטח את הרשת ב- Data Center ולבדוק שהיישום עובד באופן תקין ורציף, אבל כארגון אנחנו אחראים על המשתמשים שלנו ומה הם עושים עם הנתונים עצמם.

מערכת CASB היא בשליטת הארגון ומאפשרות לו נראות (Visibility), מידע על  מידת הסיכון שהארגון נמצא ושליטה על הנעשה באפליקציות הענן (Control).

מערכת שתפקידה להגן על יישומי הענן צריכה לטפל במספר רמות.

רמת המשתמש: בחינת התנהגות המשתמשים. על המערכת לספק מידע כמו: מה עושים המשתמשים, מהיכן בוצעה הגישה, האם מבוצעות פעולה מותרת, האם יש חשבונות וזהויות שנגנבו וכעת יש גישה מכול מקום בעולם, האם בוצע שיתוף עם משתמשים מחוץ לארגון או רק קבוצת אנשים מאושרת.  דוגמאות: אם משתמש מוריד קובץ גדול משיתוף מסוים, פעולה שאותו משתמש  בדרך כלל לא עושה לשלוח אתראה או למנוע את המשך פעילותו של אותו משתמש. אם משתמש מבצע פעילות מול Office 365 מישראל ועוד 4 שעות רואים גישה של אותו משתמש מסין, ניתן להסיק שחשבונו נגנב ונעשה בו שימוש לרעה. רמת הנתונים: המערכת עוזרת להבין האם יש מידע רגיש בענן שלא אמור להיות, אם יש כזה לבצע בו הצפנה או להסירו וכך למנוע זליגת מידע רגיש ועמידה בחוקי הרגולציה.

על המערכת לספק הגנה ב- Real Time על הנתונים כולל טיפול בקבצי Malware שעשויים להגיע לשירותי הענן לפני הגעתם (In Transit – Data in motion) או קבצים שנמצאים כבר בענן (Data at rest). צריך לזכור שעובדים יכולים להתקין יישומי הענן במחשבים\ניידים שאינם מנוהלים ולא חלים עליהם אותם מנגנוני הגנה שנמצאים על מחשבים הארגונים שמנוהלים. גישה שהתקנים לא מנוהלים  מאפשרות מצד אחד לעובד נגישות לנתונים ארגוניים אך גם גישה לתכונות זדוניות שעשויות לעשות שימוש בנתונים, מחיקה, שינויים ואף לשתול Malwares שיכולים להגיע לכלל הארגון. דוגמא לכך: מחשב ארגוני מסנכרן קבצים ל –One Drive ו- SharePoint, מאחר ושירותים אלה נמצאים בענן העובד מתקין את היישומים גם במחשב הביתי ובכך מסנכרן את אותם קבצים ארגוניים למחשב הביתי.

רמת היישומים: מערכות CASB מספקות נתונים הודות האפליקציות שבשימוש, איזה אפליקציות צד שלישי קיימות שיש להם הרשאה לגשת לנתונים בענן, מהי מידת הסיכון בשימוש בהן, כיצד ניתן לשלוט ולמנוע מהן גישה למידע בענן.

יישומי ענן רבים עושים שימוש בתהליכי הזדהות והרשאות של מערכות קיימות כמו Google/Facebook/LinkedIn/Office 365/Salesforce ואחרות,  כך שאין צורך ליצור משתמש חדש עבור יישומי הענן השונים וזאת באמצעות טכנולוגית אימות OAuth. דוגמא לכך: יישום מסוים נותן לי את האפשרות להתחבר עם חשבון ה- Google מבלי ליצור משתמש חדש ספציפי לאותו היישום בנוסף מבקש מהמשתמש גם הרשאה מלאה ל- Google Drive של אותו המשתמש. מרגע זה לאותה אפליקציה צד שלישי יש הרשאה להגיע ל- Contacts שלי וגישה ל Google Drive מבלי צורך לקבל ממני אישור. כך גם לגבי חשבונות Office 365 שהיא אפליקציית SaaS הנפוצה בעולם, יישום צד שלישי השתמש בחשבון Office 365 עבור הזדהות  ותהיה לו גישה של קריאה\כתיבה\מחיקה מ- OneDrive, גישה לרשימת אנשי הקשר ולאימלים שלי. כאן נכנסת מערכת CASB שתזהה יישומי צד שלישי תציג לי את הגישות למערכות הענן שלי ואף תמנע מהן גישה למשאבים הארגוניים מבלי ידיעתי.

את פתרונות CASB ניתן לממש באמצעות שתי גישות: גישה המבוססת  -Proxy דורשת הגדרות או\ו התקנת Agent בצד המשתמש בישום Forward Proxy או ללא הגדרות בצד משתמש במימוש Reverse Proxy.

API- גישה Agentless לחלוטין וזאת באמצעות API, לא מצריכה שינויים תשתיתים ושינוי באופן בו המשתמש מתחבר. לכול אחת מהגישות יש את היתרונות והחסרונות שלה ולכן יצרני CASB מאמצים פתרון Hybrid שכוללים את שתי הגישות.

בחיבור ב API (Out of band) הקישור הוא ישיר אל מול אפליקציית הענן, כך שהנתונים עצמם לא עוברים או נשמרים ב- CASB, אלא נמצאים רק בסביבת העבודה של המשתמש. בגישה זו אין צורך להתקין סוכנים על התקני המשתמשים כך שחווית המשתמש לא נפגעת, ניתן לספק פתרונות הגנה למשתמשי Mobile וגם משתמשים לא מנוהלים.

חיבור ב- API  מאפשר להגיע לנתונים היסטוריים שכבר נמצאים בענן (Data at rest), מה שמאפשר למערכת לסרוק גם נתונים שקיימים בענן עוד לפני יישום מערכת CASB. למערכת היכולת לחפש קבצים רגישים, לבדוק עמידה בתקנים כמו PCI, לבצע פעולות כמו הצפנת קבצים רגישים ובמידת הצורך גם למחוק את אותם קבצים מהענן. שימוש ב- API מאפשר גם לבדוק תעבורה בין שני יישומי Cloud (Cloud to Cloud) ולא רק בין משתמשים לענן.

חסרון CASB API הוא שמערכת עובדת רק עם יישומי ענן המספקים API (Cloud Native) והיא איננה Real Time כמו בעבודה עם Proxy. מערכות המבוססות Proxy ביכולתם לחסום נתונים מלהיכנס ולצאת מענן ב- Real Time (In transit).

לסיכום – מה זה CASB?

CASB היא טכנולוגיה המספקת פתרון לאבטחת מידע אבל היא מאפשרת לארגונים בראש ובראשונה לפתח עסקים והיא הכרחית על מנת לקיים עסקים וליהנות מאותם יתרונות של יישומי ענן שהם  לב הפעילות העסקית כמו Office 365 ו- Salesforce, תשתיות הענן כמו AWS  ו-Azure .

ארגונים המאמצים את המעבר לענן צריכים ליישם כלי אבטחת מידע ברמה הדומה לזו שייושמו ברשת המקומית של הארגון. לספק נראות, בקרה ואכיפה של מדיניות אבטחת המידע בכול מקום בו נמצאים נתוני הארגון.