לתוכנות שנכתבו למכוניות אוטונומיות, יש קושי. קל יחסית לדרוש ממכונית לעצור באור אדום, אך מאמרים מצביעים על קשיים כגון השתלבות בתנועה סואנת, התמודדות עם כיכר, עבודות בכביש וכו'. בתחום אבטחת ה- IT אנו חווים חלק מאותם קשיים - קביעת מדיניות לגבי פעילות זדונית או התקפות היא פשוטה יחסית, גם אם ההתמודדות איתן היא לא. באבטחת ענן, תהליך קבלת ההחלטות הוא מורכב יותר – רק לעתים נדירות שירות ענן הוא לגמרי טוב או לגמרי רע, כך שאנו צריכים לבדוק את דפוסי ההתנהגות ממספר זוויות כדי שנוכל להחליט אם להתיר בקשה מסוימת.
אין שום ספק לגבי הצורך בשירותי ענן מאובטחים.
הנתונים האחרונים שהתפרסמו ב McAfee Cloud and Risk Report מראים שכל חברה משתמשת בשירותי ענן, 21% מהקבצים בענן מכילים נתונים רגישים, 48% מהמשתמשים חולקים נתונים באמצעות הענן, ובעוד שב IT הרבה פעמים מעריכים שמספר שירותי הענן הינו נמוך מ-100, המספר הממוצע של שירותי ענן שונים בחברה אחת הוא מעל 1,500.
ניתחנו את סוגי הנתונים הרגישים בענן וכיצד הם מועברים, בחנו את מגמות האבטחה של אבטחת IaaS ואת מגמות השימוש, ובדקנו איומים נפוצים בענן.
דו"ח שימוש וסיכוני ענן 2019 - הורד עכשיו
קל לראות מדוע הענן התפשט כמו אש בשדה קוצים.
האפליקציות בדרך כלל קלות לשימוש, המגבלות והתנאים המסחריים גמישים ויתכן שהמדיניות שאנו קובעים בעצם מאלצת עובדים להשתמש בשירותי ענן. כשאני מציג באירועים, אני בדרך כלל שואל כמה חברות מגבילות את גודל הקובץ המצורף באמצעות דוא"ל ויותר מ 50% מהקהל מרימים את ידיהם זאת מכיוון שבדרך כלל יש מעקב על תנועת הדוא"ל ולעתים קרובות זהו המקום הראשון שבו פרוסה מערכת למניעת דלף מידע. מדוע קיימת מדיניות זו? בדרך כלל, התשובה היא "כי זה
מה שתמיד היה לנו". האם אנו באמת חושבים שמשתמשים יפסיקו לשלוח קבצים גדולים בגלל הגבלה זו? מה שבעצם קורה הוא שהמשתמש פונה לאפליקציית ענן מאושרת כדי להעביר את הנתונים או פשוט מחפש דרך לשלוח אותם ומוצא שירות ענן חינמי – שירות שכנראה אינו מנוטר, ללא מערכת למניעת דלף מידע ולנו אין מושג לאן הנתונים מגיעים בסופו של
דבר.
כדי להתייחס בצורה נאותה לאבטחת ענן, אנחנו צריכים להתחיל מההתחלה, לייצר שקיפות לשירותי הענן בשימוש, סוג וכמות התנועה שנשלחת/מתקבלת, פעולות המשתמשים ולרדת לעומק הפרטים בכל קטגוריה. לדוגמא, אילו שותפים/קבלנים
איתם הארגון משתף קבצים ותנועת cloud to cloudשהיא חלק הולך וגדל במערכת האקולוגית הזו. זה, כמובן, נדרש עבור SaaS, IaaS ו PaaS.
לאור הבנה זו, ארגונים זקוקים ליכולת להגדיר מדיניות מהרמה הבסיסית ביותר (לחסום את תוכנות הענן הידועות כבעלות סיכון גבוה/מזיקות) לרמה המורכבת ביותר (לא לאפשר למכשירים לא מנותרים להוריד קבצים, בדיקת התנהגות משתמשים למציאת אנומליות, הפסקת השיתוף בענן בין שירותים לא מהימנים ופריסה בענן של אותן טכנולוגיות אבטחה הקיימות בתחנות הפיזיות כדוגמת DLP).
קושי משמעותי שאנו נתקלים בו לעתים קרובות הוא בלעזור לארגונים להגדיר את מדיניות החברה.. מחלקת ה IT צריכה להיות מסוגלת לדון עם מחלקות אחרות בנושאים כמו ניהול, סיכון ותאימות, ועם המשתמשים עצמם לגבי מה המדיניות המתאימה על מנת לוודא שלארגון ימצא את האיזון הנכון בין זכויות שימוש לאבטחה.
כדי לאפשר אבטחת ענן, אני תמיד ממליץ על הקמת צוות “אימוץ ענן”רב תפקודי שבוחן את הצרכים והחששות של כל בעלי העניין הרלוונטיים – מה שיאפשר לצוות ה IT לאכוף מדיניות המוסכמת על החברה כולה.
מנקודת מבט טכנולוגית, צוות ה IT זקוק לרשימת היכולות האלה בכדי לייצר את השקיפות והבקרה הנדרשים. עם כלים אלה יוכלו להשתתף בדיוני צוות “אימוץ הענן” עם ידע ויכולות מספקות לקביעת מדיניות בריאה המאפשרת למשתמשים לנצל את כל היתרונות של הענן תוך שמירה על המידע הארגוני. לדוגמא:
• יכולת מהירה ומדויקת להגדיר איזה ענן אמין ואיזה לא
• נתונים סטטיסטיים על השימוש בענן, עם עדכונים והתראות בזמן אמת ואכיפת מדיניות בזיהוי פעילות חריגה
• נקודות אכיפה רבות המתאימות לכל סוגי השימוש:בתוך הארגון, משתמשים מרוחקים, משתמשי מובייל ועוד
• טכנולוגיות אכיפה: UBA, בקרת גישה, שליטה ביכולות ובכלי השיתוף
• היכולת לזהות בקשות משתמשים ולכוונם לשירות ענן אמין