עידן הענן כבר ויש לחזק את האבטחה סביב הרשת הפנים ארגונית
אם מסתכלים אחורה עשר שנים ויותר, הגנה על הרשת הפנים ארגונית וזיהוי חדירות משמעותה הייתה התקנת FIREWALL ומערכות INTRUDER DTECTIONS למינהן בין רשת האינטרנט לבין הרשת הפנים ארגונית הסגורה והמאובטחת. גם אז שיטות אלו היו לא מספיק יעילות כהגנה מפני גורמים פנימיים נוכלים או במקרה הפחות קיצוני רשלניים. בעשור האחרון כמעט כל הארגונים מפרסמים החוצה מתוך הארגון יישומים אשר משמשים את העובדים, השותפים והלקוחות. התוצאה היא שההבטחה ההיקפית עם הכלים הסטנדרטיים הפכה בלתי יעילה בצורה מספקת ואינה מספקת פתרון אבטחה מלא.
ככל שארגונים מאפשרים ללקוחות, לשותפים ולספקים גישה למשאבים פנים ארגוניים הרשת נפתחת יותר ויותר לסכנות כגון דליפת מידע , MALWARES ולמגוון של סכנות אבטחה נוספות. הפרסומים האחרונים של ארגונים כגון בנקים, ממשל ואחרים אשר חוו פריצות ללא ספק מדגים את הסכנות שבעניין. לכן, אבטחת הרשת המחזיקה את המידע העסקי מצריכה הגנה רב שכבתית (ממש כמו בעולם הפיזי). הגנה אסטרטגית זו מאפשרת הגנה על השער אבל לא רק עליו אלא גם על נקודות הקצה, התקני הרשת, שרתים, מאגרי מידע, יישומים ונתונים.
בשנים האחרנות הולכת ומתרחבת המגמה של העברת השירותים מתוך הארגון לענן תופעה מבורכת אשר מציבה איתה אתגרים חדשים. אם נתעלם מהאתגרים הרגולטורים לרגע הרי שאתגרי ההגנה על המידע והזהויות הולכות וגדלות מעצם העובדה שאם בעבר נדרש הארגון להגן על אתר (אחד או יותר) שהוא פנים ארגוני היום הארגון נדרש להגן על המידע אשר הפך להיות מבוזר בינו לבין ספק הענן, החיבור בין הענן לארגון, וזהויות המשתמשים אשר מנוהלות כיום גם בארגון וגם בענן.
במאמר זה נסקור על קצה המזלג את השינויים שחלו בתפיסת ההגנה המשלבת פתרונות עדכניים עם פתרונות מסורתיים וביחד מייצרים פתרון אבטחת מידע ארגוני רב שכבות.
SECURITY GATEWAY
שלא כמו בעבר, ארגונים כבר מבינים שהתקנת FW בכניסה לארגון היא חשובה איך אינה מספקת פתרון מלא להגנה רב שכבתית. בעוד מוצרי ה-FW מתבססים בהגנה על שכבת הרשת (NETWORK LAYER ) הם אינם מספקים פתרון הגנתי נגד מתקפות אפליקטיביות. ז"א שההגנה שהם מספקים אינה מאפשרת התגוננות מפני מתקפות מוכרות כנגד יישומי דוא"ל, או אפליקציות WEB, מתקפות כגון SQL INJECTION או CROSS SITE SCRIPTING. יש לשים לב להגנה מפני מתקפות אפליקטיביות אך עם זאת אין להזניח לרגע את ההגנה ברמת הרשת והחיבור בין רמות ההגנה המדוברות. ארגונים נוטים לפעמים להגיע למצב של זליגה (configuration drift ) לדוגמא פתיחה של פורטים כדי לאפשר כניסה של משתמשים ואפליקציות, שינויים אלו שלרוב מוגדרים זמניים, פותחים את הרשת למתקפות. כמובן שכמו שאנו יודעים שינויים זמניים לרוב הופכים קבועים.
לטפל במקרים אלו ארגונים צריכים להכיר וללמוד אודות FW אשר מכילים בדיקות והגנה כנגד זליגות (policy drift ) אם זה על ידי התרעות לגבי שינויים שבוצעו או על ידי השוואה לBEST PRATICES.
ניהול משתמשים – IDENTITY MANAGEMET
עם מספר כה רב של סוגי משתמשים הניגשים לאפליקציות פנימיות דרך מגוון של מחשבים ומוביילים, זהות המשתמש הפכה לקו הגנה בפני עצמה. כלי IDM הפכו חיוניים כאמצעי המאפשר או חוסם גישה לאפליקציות ולמידע.
כל ארגון המפרסם כיום אפליקציות צריך לוודא בצורה הכי ודאית שהמשתמש אכן רשאי להגיע לאפליקציה ואחרי שהגישה אושרה לו יש צורך לוודא שהוא מקבל גישה רק לתהליכים ולמידע שמותר לו. נושא הסיסמאות הינו מהותי ביותר בתהליך הזיהוי. מחקרים מראים ש76 אחוז מפריצות רשת נובעים מכך שמערכת ההרשאות הארגונית חלשה, 48% מדליפות מידע נובעים מסיסמאות שאינן חזקות. כדי להתמודד עם חולשה זו כל ארגון צריך להגדיר מדיניות סיסמאות ארגוני הכולל בין הייתר – חוזק סיסמא, החלפת סיסמאות שמירת סיסמאות ועוד.
כדי להגן על עצמם ארגונים נכנסים יותר ויותר עם טכנולוגיות הגנה רב שכבתיות גם כאן דהיינו שימוש ב-MFA (MULTI FACTOR AUTHENTICATION ) או TWO FACTOR. הרחבה בתחום במאמרים הבאים.
WEB APPLICATION FIREWALL
כפי שהצגנו לעיל NETWORK FW אינו יעיל בעצירת מתקפות אפליקטיביות אשר בין היתר מתבטא במתקפות כגון CROSS SITE SCRIPTING ,SQL INJECTION ,FORCEFUL BROWSING ,COOKIE POISONING ועוד. לרוע מזלינו אפליקציות הינן המטרה העיקרית של ההאקרים. לדוגמא כל ארגון אשר מבקש להיות תואם PCI-DSS צריך להוכיח שהוא מטפל במתקפות מסוג זה כמו גם ווידוא שאין אפשרות שמידע רגיד יגיע לידיים לא רצויות.
WEB APPLICATION FIREWALLS (או בקיצור WAF ) אשר מותאמים להגנה אפליקטיבית מתוכננים באופן מיוחד על מנת לעצור מתקפות מסוג אלו כאשר התגלו. WAF-ים מסוימים מותאמים גם להגנה מפני שליפת מידע ספציפי בטכניקות מתקדמות אשר מתבצע על ידי האקרים המנסים לגנוב נתונים פנים ארגוניים.
אז איפה להטמיע פתרונות הגנתיים?
כל הפתרונות שהוזכרו לעיל יכולים להיות מוטמעים כמעט בכל נקודה ברשת. אבל, אם ארגונים מאפשרים גישה לאפליקציות דרך האינטרנט ברוב המקרים ככל שההטמעה של הפתרון קרוב לאפליקציות כך יותר טוב. הטמעה על השרת אשר מריץ את האפליקציה הינה אופציה אחת, אבל במקרה של עבודה עם מספר שרתים הסיכון שההגנה לא תהייה קונסיסטננטית בכל השרתים הינה בעייה שיש להתייחס אליה. זו הסיבה שה- LOAD BALANCER הינה המקום הטוב יותר. פתרונות אלו נקראים כיום application delivery controllers או בקיצור ADC’s .ADC’s מספקים פתרון סקלאבילי בעל ביצועים גבוהים עם יכולות Fault tolerant גבוהים לאפליקציות המומעות על שרתים מרובים. רוב הארגונים המטמיעים פתרונות ADC’s משתמשים בהם גם להצפנת SSL וגם כנקודת הפתיחה של ההצפנה.
ADC’s משמשים גם כאצעים התומכים בפתרונות MFA וגם כפתרונות WAF כיוון שגם הם נדרים להיות מוטמעים במקום בו ה-SSL נפתח וספקים פתרון להצפנה ופתיחה בחיבור בקצה בו האפליקציות מתחברות. הטמעת ADC מרכזי כאמור, מאפשר הגנה על קבוצה של שרתים במקום הגנה על שרת.
במאמר הבא נציג פתרונות מקצועיים הנותנים מענה מקצועי לפתרונות ההגנה שתוארו לעיל.
כותב המאמר הוא שמואל משעלי, מנכ"ל יוסיסי טכנולוגיות.
מומחה לתחום תקשורת אחודה לארגוני אנטרפרייז ומחזיק בתואר ראשון במדעי המחשב ותואר שני בניהול מערכות מידע.
