פורסם ע”י טוני מלינקוביץ ב- Telecom News בתאריך

בעבר, הדאגות העיקריות בניהול משתמשים היו בניית מנגנון אימות חזק לשימוש ב-VPN והנעת יעילות IT באמצעות אוטומציה של ניהול מחזור חיים של משתמשים ויישומים.

כיום, קריטי שנקבל נקודת מבט של סיכון זהות ונשאל את עצמנו – מה מצב הגישה הנוכחי בארגון? כיצד נוכל לעצור גישה זדונית ו/או בלתי הולמת? כיצד נוכל לתקן את מה שאינו תואם את חובת הציות וכיצד נוכל לייעל את תהליך הגישה? אלה שאלות כבדות משקל בכל ארגון וארגון, שהרי, לא נרצה שמידע יגיע לאנשים לא מורשים.

כך, התפרצות נגיף הקורונה בשנה בחודשים החולפים האיצה מספר תהליכים המלווים אותנו בעשור האחרון:

◦המעבר לעולם דיגיטלי: על מנת להמשיך ולהיות תחרותיים בשוק, ארגונים העבירו את אופן הפעולה שלהם לעולמות המקוונים באמצעות חיבור “הכל” באופן דיגיטלי, תוך קיום של זרימת מידע עם שרשראות האספקה, במקביל נדרש הארגון להיות מסוגל למצוא מידע ולגשת אליו כדי לקבל תובנות.

◦פיצוץ זהויות: עם יותר מכשירים המתחברים ופועלים ברשת בכל זמן נתון גדל גם אתגר ניהול זהויות, מציאות זו מציגה אתגרי זהות מתמשכים בשל פעולות שונות המבוצעות בשם המשתמשים.

◦אימוץ פלטפורמת הענן: לצמיחתם של יישומי ענן שבדרך כלל נרכשו ללא ידיעת ה- IT, היו מספר השפעות ברורות. ראשית, מכיוון שליישומי ענן יש זהות משלהם (שם משתמש/סיסמה, ולעיתים אימות דו/רב שלבי), הם יצרו “איי זהות” נפרדים ומובחנים, מתחום העבודה של ה- IT, ואלה אינם ניתנים לניהול ושליטה באופן מרכזי. לעתים קרובות מאוד, יישומי ענן אלה נרכשים על ידי בעלי קווי עסקים (LOB), כגון: מכירות הנרשמות ל- com או שיווק המביא את Marketo, ללא ידיעה או תמיכה של ה IT. הדבר נובע מחוויית ה- LOB המסורתית בעבודה עם IT, בה הכנסת אפליקציה חדשה למערך ה IT היא בדרך כלל תהליך ארוך ומסורבל.

ישנם כמה חסרונות משמעותיים לאיי זהות אלו. איים אלו דורשים ניהול, אישורים חדשים שיאושרו ויאומתו, ומהווים סיוט אבטחתי עבור מחלקות ה IT משום שהם אינם ניתנים לניהול ולשליטה באופן מרכזי (ינוהלו על ידי מי? ואיך?).

חיסרון נוסף נוגע למהלך מחזור החיים של המשתמש, מה קורה בעת שינוי תפקיד? מה אם העובד נפרד מהארגון? חשיפה זו מותירה את הארגון חשוף לגניבות זהות וכשלים בתאימות לרגולציות.

במקביל, משתמשי הקצה טובעים בים חשבונות משתמש/סיסמאות (לעיתים קרובות ללא אימות דו/רב שלבי) אותם עליהם לשנן בכדי לגשת לכל אחד מיישומי הענן בהם הם עושים שימוש. משתמשי הקצה היו רוצים להימנע מהצורך לעשות זאת תוך השגת גישה ליישומים ולנתונים שהם צריכים במטרה לבצע את העבודה שלהם בצורה בטוחה. בנוסף, משתמשי קצה העושים שימוש ביישומי ענן הפכו ניידים יותר ויותר – השימוש הגובר בסמארטפונים שינה באופן משמעותי את האופן בו המשתמשים מצפים לאינטראקציה עם יישומים ונתונים.

השפעה בולטת נוספת של יישומי ענן נוגעת ל Shadow IT (מערכות מחשוב שנפרסו על ידי מחלקות שאינן ה- IT המרכזי) כתוצאת לוואי של ארגונים המנויים ל- DropBox, Box וכו’.., העברת נתוני יישומים לענן, שוב ללא ניהול ופיקוח מרוכז של מחלקת ה- IT עלול לגרום לחוסר תובנה ושליטה, ואף לסיכון הארגון והפיכתו לקורבן גניבת נתונים ואף לאי עמידה ברגולציה, זאת יחד עם קנסות ואובדן מוניטין ואולי שווי שוק.
◦מכשירים חכמים: גידול השימוש במכשירים חכמים, בעיקר בטלפונים חכמים וטאבלטים, על ידי כוח עבודה נייד, שינה את חוקי המשחק עבור ה- IT הארגוני. בין אם מדובר בעובדים, שותפים, קבלנים או לקוחות, אלו מצפים שיוכלו לגשת ליישומים ולנתונים בכל זמן, מקום ומכל מכשיר. הם גם מחפשים חווית משתמש חיובית; הם לא רוצים להיות עמוסים עם סיסמאות מורכבות, אימות וכו ‘. עם זאת, על ה- IT בארגון מוטלת האחריות לוודא שהמשתמש הוא מי שהוא מצהיר שהוא, וכי הגישה שלו מאובטחת בהתאם להנחיות ו/או תקנות.
◦IoT: הצמיחה במכשירי Internet of Things מקשה גם היא על אימות גישה. פתרונות IAM (Identity access Managment) במתכונתם הנוכחית אינם יכולים לספק את הנפח ומורכבות הניהול ש- IoT מציג כיום לארגונים.
ריבוי מכשירי IoT פירושו שנקודת הכניסה האפשרית עבור האקרים גדלה משמעותית ומכאן שההזדמנות לאיומי זהות מוגברת באופן דרמטי. לדוגמה: מתקפת ה- Dynam באוקטובר 2016 השתמשה באלפי מכשירי IoT כמו מצלמות, DVRs ונתבים (https://krebsonsecurity.com/2016/10/hacked-cameras-dvrs-powered-todays-massive-internet-outage/). התקפה זו הדגישה את חשיבות ניהול אבטחת זהות במכשירי IoT.

יותר מתמיד, ארגונים צריכים להיות מודעים לכך שזהויות פגומות (אישורי משתמשים) מייצגות ווקטור[1] התקפה מהמועדפים על האקרים. הקלות בה ניתן לאסוף סיסמאות סטטיות בשילוב עם כלים וטכניקות מאוד מתוחכמות לניצולן עלול להביא לתוצאות הרסניות עבר הארגון.

כשמסתכלים על השפעת הטרנספורמציה הדיגיטלית, מתגלים שלושה אתגרי זהות עיקריים:

◦מודרניזציה: כאשר ארגונים לוקחים את העסק שלהם באופן מקוון, יחד עם מגמות טכנולוגיות אחרות כמו ניידות, ריבוי יישומי SaaS ותשתיות ענן, ישנם מספר היבטים שיש לקחת בחשבון. מספר המשתמשים, המכשירים והיישומים גדל בהתמדה, ועולים חששות חדשים כמו Shadow IT ואיי זהות (זהות משתמשים המאוחסנים במקומות שונים ללא נראות אחידה ושליטה), וציפיות השימושיות (חווית משתמש נוחה וניידת), כמו גם הצורך לספק פתרון גמיש לכוח העבודה המודרני (איננו יכולים להניח שלכולם יש מכשיר ארגוני או שנוכל לספק אישורים לכל סוגי המשתמשים). כוח האדם של היום דורש מסלול גישה נוח יותר לנייד מכל מקום ובכל זמן.

◦שימוש זדוני: עם השימוש בזהויות וסוגי יישומים רבים יותר, שטח ההתקפה גדל. המציאות היא שרוב יישומי SaaS עדיין מוגנים באמצעות סיסמה בלבד וזה כולל חשבונות והרשאות עבור תשתיות ענן. מכיוון שכ- 81% מהפרות אבטחת המידע שנמצאו מקורן בהשתלטות על חשבון באמצעות סיסמאות גנובות *, מדובר בבעיה אמיתית. כשזהויות פזורות בכל מקום, מנהלי IT ואבט”מ מוצאים עצמם נאבקים בכדי להבטיח הגנה לארגון מפני שימוש בזהויות גנובה, זאת בזמן שכמות האיומים משתכללת וגדלה, שכן נתוני חשבונות משתמשים הפכו מזמן למצרך חם עבור האקרים.

◦ציות ואכיפת חובה: במקביל, יותר ויותר דרישות ציות (רגולציה) מוטלות על המשק ועל ובמפרט בכל הנוגע לזהויות בעולם הדיגיטלי. בתוך שנים ספורות ראינו כיצד המלצות לשמירת על זהות הפכו לכללי חובה וציות לתאימות, כמו PCI, SOX, חובת הפרטיות וכו’… הנטל להוכיח ולהבטיח ציות לתאימות הופך מורכב יותר עם גישה של צד ג’ ותשתית גלובלית.

לאור הדברים, מובן כי על מנת שפתרון ניהול וגישת זהויות יחשב כטוב הוא חייב להיות הוליסטי ולספק הגנה הן על יישומי SaaS והן על יישומים מקומיים. כמו כן, כדי למזער את הסיכונים הקשורים בגישה (משתמשים, אפליקציות וכו..) חשוב לנקוט במתודה “מודיעינית” לקבלת החלטות:
◦מתחילים בבחינת ההקשר וההשפעה העסקית של גישה סוררת ליישום על העסק. הדבר יעזור לקבוע את העדיפות בהערכת הפרות גישה ליישום או הנתונים.
◦לכל יישום יש הערכה של סיכון נוכחי על בסיס מערך קריטריונים. לדוגמה: מספר חשבונות יתומים וזכויות יתר.

נקודת מבט אינטליגנטית זו מאפשרת לנו לנקוט בגישה מבוססת סיכון המאפשרת לתעדף את החלטות הגישה לגבי הנושאים/דברים החשובים ביותר ולהניע את הרמה הנכונה של אבטחת זהות – מתוך אמון שאנו יודעים למי יש גישה למה, האם זו גישה מתאימה לתפקיד/תפקוד תואמת ונעשית בהתאם למדיניות הארגונית והרגולטורית.

לבסוף, הפתרון המיושם צריך לכסות את כל מקרי הגישה (לעומק ולרוחב) עבור המשתמשים, לאפשר התחברות לכל היישומים, תוך ידיעה של אנשי ה IT למי יש גישה ולאן, וביטחון שזהות המשתמשים מאומתת בזמן הגישה. פתרון המאפשר את ההוליסטיות האמורה (נוח לשימוש, רציף (SaaS או מקומי), נשלט ושקוף) יענה בהצלחה על אתגרי הזהות הנוכחים והעתידיים עימם מתמודד הארגון.