בעוד שאבטחת ענן בהחלט עברה דרך ארוכה מאז ימי המערב הפרוע של אימוץ ענן מוקדם, האמת היא שיש עוד דרך ארוכה לעבור עד שרוב הארגונים היום באמת הבשילו את שיטות האבטחה שלהם בענן. וזה עולה לארגונים הרבה מבחינת אירועי אבטחה.
מחקר של ואנסון בורן מוקדם יותר השנה הראה שכמעט מחצית מהפרות שסבלו מארגונים בשנה האחרונה מקורן בענן. אותו מחקר מצא כי הארגון הממוצע הפסיד כמעט 4.1 מיליון דולר כתוצאה מפריצות ענן בשנה האחרונה.
Dark Reading פגש לאחרונה את הסנדק של אבטחת אמון אפס, ג'ון קינדרוואג, כדי לדון במצב אבטחת הענן היום. כשהיה אנליסט ב-Forrester Research, Kindervag עזר להמשגה ולפופולריות של מודל האבטחה של אפס אמון. עכשיו הוא אוונגליסט ראשי ב- Illumio, שם בתוך הפנייה שלו הוא עדיין תומך מאוד באפס אמון, ומסביר שזו דרך מפתח לעיצוב מחדש של אבטחה בעידן הענן. לפי Kindervag, ארגונים חייבים להתמודד עם האמיתות הקשות הבאות כדי להגיע להצלחה בכך.
1. אתה לא הופך בטוח יותר רק על ידי מעבר לענן
אחד המיתוסים הגדולים ביותר כיום לגבי הענן הוא שהוא מאובטח יותר מטבעו מרוב הסביבות המקומיות, אומר Kindervag.
"יש אי הבנה בסיסית של הענן שאיכשהו יש יותר אבטחה מובנית בתוכו, שאתה בטוח יותר על ידי מעבר לענן רק על ידי פעולת המעבר לענן", הוא אומר.
הבעיה היא שבעוד שספקי ענן בקנה מידה גבוה עשויים להיות טובים מאוד בהגנה על תשתיות, השליטה והאחריות על עמדת האבטחה של הלקוחות שלהם מוגבלת מאוד.
"הרבה אנשים חושבים שהם מבצעים מיקור חוץ של אבטחה לספקית הענן. הם חושבים שהם מעבירים את הסיכון", הוא אומר. "באבטחת סייבר, אתה אף פעם לא יכול להעביר את הסיכון. אם אתה האפוטרופוס של הנתונים האלה, אתה תמיד האפוטרופוס של הנתונים, לא משנה מי מחזיק אותם עבורך."
זו הסיבה שקינדרוואג אינו מעריץ גדול של הביטוי שחוזר על עצמו לעתים קרובות "אחריות משותפת," שלדבריו גורם לזה להישמע כאילו יש חלוקה של 50-50 של עבודה ומאמץ. הוא מעדיף את הביטוי "לחיצת יד לא אחידה", אשר נטבע על ידי עמיתו לשעבר בפורסטר, ג'יימס סטטן.
"זו הבעיה הבסיסית, היא שאנשים חושבים שיש מודל של אחריות משותפת, ובמקום זאת יש לחיצת יד לא אחידה", הוא אומר.
2. בקרות אבטחה מקוריות קשות לניהול בעולם היברידי
בינתיים, בואו נדבר על אותם בקרות אבטחה מקוריות משופרות של ענן שספקים בנו בעשור האחרון. למרות שספקים רבים עשו עבודה טובה והציעו ללקוחות יותר שליטה על עומסי העבודה, הזהויות והנראות שלהם, האיכות הזו אינה עקבית. כמו שקינדרוואג אומר, "חלקם טובים, חלקם לא." הבעיה האמיתית של כולם היא שקשה לנהל אותם בעולם האמיתי, מעבר לבידוד של סביבה של ספק יחיד.
"צריך הרבה אנשים לעשות את זה, והם שונים בכל ענן. אני חושב שלכל חברה שדיברתי איתה בחמש השנים האחרונות יש דגם מולטיקלאוד ודגם היברידי, שניהם מתרחשים בו זמנית", הוא אומר. "הוויה היברידית, 'אני משתמש בדברים ובעננים המקומיים שלי, ואני משתמש במספר עננים, וייתכן שאני משתמש במספר עננים כדי לספק גישה לשירותי מיקרו שונים עבור אפליקציה אחת.' הדרך היחידה שתוכל לפתור את הבעיה היא לקבל בקרת אבטחה שניתן לנהל על פני כל העננים המרובים."
זהו אחד הגורמים הגדולים שמניעים דיונים על העברת אפס אמון לענן, הוא אומר.
"אפס אמון עובד לא משנה היכן אתה מכניס נתונים או נכסים. זה יכול להיות בענן. זה יכול להיות בשטח. זה יכול להיות בנקודת קצה", הוא אומר.
3. זהות לא תציל את הענן שלך
עם כל כך הרבה דגש על ניהול זהויות בענן בימים אלה, ותשומת לב לא פרופורציונלית על מרכיב הזהות באפס אמון, חשוב לארגונים להבין שזהות היא רק חלק מארוחת בוקר מאוזנת היטב לאפס אמון בענן.
"כל כך הרבה מהנרטיב של אפס אמון עוסק בזהות, זהות, זהות", אומר קינדרוואג. "זהות חשובה, אבל אנחנו צורכים זהות במדיניות באפס אמון. זה לא הסוף, הכול. זה לא פותר את כל הבעיות".
המשמעות של Kindervag היא שעם מודל אפס אמון, אישורים לא נותנים למשתמשים גישה אוטומטית לכל דבר מתחת לשמש בתוך ענן או רשת נתונים. המדיניות מגבילה בדיוק מה ומתי ניתנת גישה לנכסים ספציפיים. Kindervag היה תומך ותיק בפילוח - של רשתות, עומסי עבודה, נכסים, נתונים - הרבה לפני שהחל למפות את מודל אפס האמון. כפי שהוא מסביר, הלב של הגדרת אפס גישה לאמון לפי מדיניות הוא חלוקת הדברים ל"משטחי הגנה", שכן רמת הסיכון של סוגים שונים של משתמשים הנגישים לכל משטח הגנה תגדיר את המדיניות שתצורף לכל אישור נתון.
"זו המשימה שלי, היא לגרום לאנשים להתמקד במה שהם צריכים להגן, לשים את החומר החשוב הזה במשטחי הגנה שונים, כמו מסד הנתונים של כרטיסי האשראי של PCI צריך להיות במשטח ההגנה שלו. מסד הנתונים של משאבי אנוש שלך צריך להיות במשטח ההגנה שלו. ה-HMI שלך עבור מערכת ה-IoT או מערכת ה-OT שלך צריך להיות במשטח ההגנה שלו", הוא אומר. "כשאנחנו מפרקים את הבעיה לנתחים הקטנים האלה בגודל ביס, אנחנו פותרים אותם נתח אחד בכל פעם, ואנחנו עושים אותם בזה אחר זה. זה הופך את זה להרבה יותר ניתן להרחבה ולביצוע."
4. יותר מדי חברות לא יודעות על מה הן מנסות להגן
כאשר ארגונים מחליטים כיצד לפלח את משטחי ההגנה שלהם בענן, הם צריכים קודם כל להגדיר בבירור על מה הם מנסים להגן. זה חיוני מכיוון שכל נכס או מערכת או תהליך יישאו בסיכון הייחודי שלו, וזה יקבע את מדיניות הגישה וההקשחה סביבו. הבדיחה היא שלא הייתם בונים כספת של מיליון דולר כדי לאכלס כמה מאות גרושים. המקבילה לענן לכך תהיה הגנה על נכס ענן שמבודד ממערכות רגישות ואינו מכיל מידע רגיש.
Kindervag אומר שזה נפוץ להפליא שלארגונים אין מושג ברור על מה הם מגנים בענן או מעבר לכך. למעשה, לרוב הארגונים היום אפילו אין בהכרח מושג ברור מה זה שנמצא אפילו בענן או מה מתחבר לענן, שלא לדבר על מה צריך הגנה. לדוגמה, מחקר Cloud Security Alliance מראה שרק ל-23% מהארגונים יש נראות מלאה לסביבות ענן. ומחקר Illumio מתחילת השנה מראה של-46% מהארגונים אין נראות מלאה לקישוריות של שירותי הענן של הארגון שלהם.
"אנשים לא חושבים על מה הם בעצם מנסים להשיג, על מה הם מנסים להגן", הוא אומר. מדובר בסוגיה מהותית שגורמת לחברות לבזבז הרבה כספי אבטחה מבלי להגדיר כראוי הגנה בתהליך, מסביר קינדרוואג. "הם יבואו אליי ויגידו 'אפס אמון לא עובד', ואני אשאל, 'נו, על מה אתה מנסה להגן?' והם יגידו 'עוד לא חשבתי על זה' והתשובה שלי היא 'טוב, אז אתה אפילו לא קרוב ל מתחילים בתהליך של אפס אמון. '"
5. תמריצים לפיתוח מקורי בענן יצאו מכלל שימוש
פרקטיקות DevOps ופיתוח מקורי בענן שופרו מאוד באמצעות המהירות, המדרגיות והגמישות שמעניקים להם פלטפורמות ענן וכלי עבודה. כאשר האבטחה משולבת כראוי בתמהיל הזה, דברים טובים יכולים לקרות. אבל Kindervag אומר שרוב ארגוני הפיתוח אינם מקבלים תמריץ כראוי לגרום לזה לקרות - מה שאומר שתשתית הענן וכל היישומים שנשענים עליה נמצאים בסכנה בתהליך.
"אני אוהב לומר שאנשי אפליקציית DevOps הם ריקי בובי של ה-IT. הם רק רוצים ללכת מהר. אני זוכר שדיברתי עם ראש הפיתוח בחברה שבסופו של דבר פרץ, ושאלתי אותו מה הוא עושה בנושא אבטחה. והוא אמר 'כלום, לא אכפת לי מאבטחה'", אומר קינדרוואג. "שאלתי, 'איך לא אכפת לך מאבטחה?' והוא אומר 'כי אין לי KPI לזה. ה-KPI שלי אומר שאני צריך לעשות חמישה דחיפות ביום בצוות שלי, ואם אני לא עושה את זה, אני לא מקבל בונוס'”.
Kindervag אומר שזו המחשה לאחת הבעיות הגדולות, לא רק ב-AppSec, אלא במעבר לאפס אמון בענן ומעבר לו. לארגונים רבים מדי פשוט אין את מבני התמריצים הנכונים לגרום לזה לקרות - ולמעשה לרבים יש תמריצים פרוורטיים שבסופו של דבר מעודדים תרגול לא בטוח.
זו הסיבה שהוא תומך בבניית אפס מרכזי אמון של מצוינות בתוך ארגונים הכוללים לא רק טכנולוגים אלא גם מנהיגות עסקית בתהליכי התכנון, העיצוב וקבלת ההחלטות השוטפת. כאשר צוותים חוצי-תפקידים אלה נפגשים, הוא אומר, הוא ראה "מבני תמריצים משתנים בזמן אמת" כאשר מנהל עסקי רב עוצמה צועד קדימה כדי לומר שהארגון הולך לנוע בכיוון הזה.
"יוזמות אפס אמון המוצלחות ביותר היו אלו שבהן מנהיגים עסקיים היו מעורבים", אומר קינדרוואג. "היה לי אחד בחברת ייצור שבה סגן הנשיא הבכיר - אחד המנהיגים הבכירים של החברה - הפך לאלוף באפס שינוי אמון בסביבת הייצור. זה הלך חלק מאוד כי לא היו מעכבים".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cloud-security/5-hard-truths-about-the-state-of-cloud-security-2024
