האקרים רוסים פרצו לבנק ג'יי.פי.מורגן ורוקנו את חשבונות הלקוחות

עם ההתקדמות הטכנולוגית של עולם מערכות המידע, ארגונים נדרשים לספק מענה אבטחתי יעיל יותר לעומת העבר, ולאפשר יכולות הגנה בסייבר לעולם הענן, עקב מקרים כמו הפריצה של האקרים רוסים  למערכות ג'יי פי מורגן צ'ייס וארבעה בנקים נוספים .  הפריצה, שכנראה בוצעה ביוזמתו של פוטין, כתגובה על הסנקציות שהוטלו עליו מצד ארה"ב כללה חדירה למספר לא ידוע של חשבונות בחמישה בנקים גדולים בארה"ב ובאירופה, במטרה לגנוב כסף.

בעקבות כך,  נציג את ההתפתחויות בעולם ההגנה בסייבר, ובפרט הפתרונות העתידים להופיע במערכות ה-Firewall, תוך תנודתיות תשתיות מערכות המידע מתצורתם המסורתית לתצורת ענן.

בכדי שנוכל להבין  את העתיד, נביט תחילה אל העבר. עד כה החציצה בין עולם ההגנה לתשתיות ה-System בארגון היה מוגדר וברור. מנהל ה-Firewall בארגון ניהל את חוקת ה-FW על פי תפיסת ההגנה בארגון, תוך מתן תשומת לב לניהול שינויי חוקה וטיוב החוקה על ידי פרוצדורות מוגדרות או מערכות עזר. למעשה ה-FW היווה חוצץ פיסי בין הסביבות השונות, ומנהל אבטחת המידע הסתמך על חוקת ה-Explicit Deny, וכאשר מערכת נדרשה לפתיחת גישה היה על המשתמש לבקש זאת בתהליך Change Management מוגדר מראש.
התצורה המסורתית משתנה, והמעבר לענן כופה אבולוציה גם על עולם ה-FW. לפני מספר שנים הוא נקרא ה-Next Generation FW – רכיב FW שלא מסתמך עוד על חוקה של כתובות IP ופורטים, אלא מתממשק למערכות לניהול משתמשים (Active Directory) מצד אחד ולומד אפליקציות מצד שני. כך גם כיום נדרשת הסתגלות לעולם הענן, והמחויבות לדינאמיות נדרשת גם מצד האבטחה. הדרישה הבסיסית של הנהלת הארגון היא – "אם באמזון אני מקים שרת במספר קליקים, וב-Dropbox אני מקצה נפח שיתופי ב-Wizard פשוט, וב-Salesforce הקמה של מאגר נתונים הוא עניין של שניות – למה להקים שרת פנים-ארגוני, מצריך משאבים רבים מצד גורמי האבטחה".

על מנת לייצר אבטחה אין צורך אמיתי "לצאת" לכבילה פיסית ולמכונת אבטחה פיסית ורק לאחריה לאכוף חוקה, אלא ניתן לאכוף את החוקה על ידי תצורת תקשורת יעילה יותר בין כל הגורמים. תצורה זו מתאפשרת על ידי מימוש FW וירטואלי אשר יחצוץ גם בתווך הפנים-ווירטואלי – הרי בעת הקמת שירותי דוא"ל חדשים ב-Gmail אף אחד לא טורח לאפשר תקשורת בהתאם.
נדמה שהשינוי המחשבתי הוא בלתי נמנע, והיצרנים השונים מכוונים את הדור הבא של רכיבי האבטחה בדיוק לשם. ניתן לחלק את יתרונותיו של ה-FW הווירטואלי לשתי קטגוריות עיקריות:
ה-FW כמכונה ווירטואלית:

-ניהול משאבי החומרה בצורה דינאמית על ידי ה-Hyper Visor, מה שיאפשר הקמה מהירה של מכונות FW על פי צורך, ועדכון המשאבים המוקצים למכונות – מאפשר חיסכון מיידי בעלויות -החומרה, ובצריכת המשאבים ההיקפית שלה (חשמל, משאבי עיבוד, מקום אחסון וכדומה)
-אפשור תקשורת וירטואלית קצה לקצה בין תחומים וירטואליים שונים (Inter-VM)
-שינוי כללי המשחק בכל הקשור לפרוטוקולי Business Continuity, שכן מכונות FW דינאמיות ככל שה-Hyper Visor יבחר בכך
-מימשוק (אינטגרציית API) של חוקת ה-FW לאובייקטים מעולם הענן:
-אפשור דינאמיות בהקמת מערכות חדשות על ידי שימוש ב-Tagging וירטואלי, אשר מייתר את הצורך השימוש בחוקה מבוססת כתובות IP (בדומה לסנכרון מול ה-AD). כך לדוגמא, מכונה -וירטואלית שתסומן כשרת Web באופן אוטומטי תירש חוקה המאפשרת גישה בפורט 443

-קיצור שרשרת ה-Change Management בארגון כתוצאה מעבודה על בסיס Virtual Application
לתצורה החדישה נגזרים מספר אתגרים (חסרונות):
    אתגר אבטחתי – התשתית בעתיד תהיה וירטואלית קצה לקצה, ועל כן צפויות להופיע חולשות ברמת ה-Hyper Visor המשותף לכלל המכונות.
    אתגר ניהולי – לקונסולידציה מחיר תפעולי, שכן האחריות על החוקה עוברת במידה למנהלי ה-System בארגון. אמנם איש אבטחה יגדיר מראש Template של אפליקציות מוגדרות מראש, אך איש הווירטואליזציה הוא זה שיצוק לתוכן את ההגדרה ובכך עלול לחשוף את הארגון לחולשות שונות.
בזמן שהעולם משפר ומאמץ טכנולוגיות ענן במגוון רחב של אפליקציות, שוק ההגנה בסייבר מתעדכן אף הוא במטרה לשמר רמת אבטחה גבוהה, תוך אפשור היתרונות המוצעים על ידי הענן, בהן שרידות, יעילות, ונוחות עבודה. נראה כי בעתיד הקרוב החסרונות של תצורת הענן יתגלו בדמות של חולשות תשתיתיות, ולמוצרי ההגנה לא תהיה ברירה אלא להגיב ולהתאקלם.
עומר פינסקר הינו סמנכ"ל אבטחת מידע בחברת Triple T (www.triplet.co.il), חברה המתמחה בתכנון ואינטגרציה של תשתיות IT, אבטחת מידע והגנה בסייבר, הקמת מרכזי מחשבים ומרכזי שו"ב (NOC / SOC). ניסיון החברה כולל תכנון אינטגרטיבי של פרויקטים מורכבים עבור ארגונים רבים בארץ ובעולם.