מהפכה בניהול ההרשאות: עוצמתה של פלטפורמת PlainID
מומחי אבטחת מידע מכל מגזרי המשק השתתפו בכנס השקת הפעילות המשותפת של נספרו (NessPRO), קבוצת מוצרי התוכנה של נס (NESS), עם חברת PlainID, העוסקת בתחום ההרשאות בארגון המודרני.
הטכנולוגיה של PlainID משמשת ארגונים להגדרת חוקה מרכזית לבקרות גישה של עובדים, שותפים ולקוחות, ומבצעת את אכיפת המדיניות ברמת השירותים, מערכות המידע והאפליקציות הארגוניות. פלטפורמת PlainID מאפשרת לבצע בקרת גישה המבוססת על מדיניות מוגדרת מראש, אשר לוקחת בחשבון גורמים שונים כגון תפקידי המשתמש, סיווגו הביטחוני, תכונותיו, איזה מידע הוא מנסה לראות, מאפייני המשאבים ותנאי סביבה ועוד. הפלטפורמה של PlainID מחשבת את הגורמים השונים ומספקת החלטה מדויקת בזמן אמת לסיטואציה הרלוונטית.
אילן נקש, מנהל פעילות PlainID ב-נספרו, ציין כי אחד מאיומי האבטחה העיקריים לארגון הינו בקרת גישה לקויה, כגון גישה למשאבים בתחום ה-API עם הרשאות לא מתאימות. "האתגר טמון בניהול מרכזי יעיל של כל הרשאות הגישה" אמר נקש.
זוהר פרל, מנהל חטיבה ב-נספרו, ציין כי בשנים האחרונות, תחום ההרשאות בארגונים, כולל ניהול הרשאות וניהול זהויות, חווה עלייה ניכרת במורכבות, והדבר מחייב ארגונים להתמודד עם אתגרים רבים ומגוונים.
עשרות מיליוני טרנזקציות של הרשאות גישה בכל רחבי העולם
אורן הראל, מנכ"ל PlainID, ציין כי הארגונים עברו שינויים ניכרים בהיבט הטכנולוגי בשנים האחרונות וכיום יש בהם מגוון של טכנולוגיות וסביבות מאד מורכבות.
"הפלטפורמה שפיתחנו מוודאת שהמשתמשים מקבלים גישה למשאבים השונים בהתאם להרשאות שלהם, תוך שליטה ובקרה מרכזית בזמן אמת", אמר הראל. הוא ציין כי ל-PlainID יש כיום כ-120 עובדים ולמעלה ממאה לקוחות ובהם חברות ענק בתחומי הפיננסיים, אנרגיה, תרופות, טכנולוגיית המידע ועוד. עד כה הושקעו ב-PlainID כ-100 מיליון דולר.
"הפלטפורמה שלנו אחראית מדי יום על עשרות מיליוני טרנזקציות של הרשאות גישה בכל רחבי העולם", אמר הראל. "אנו מאפשרים ניהול הרשאות לשירותים דיגיטליים חדשניים ומורכבים, הפועלים בסביבות מבוזרות, ובהם אפליקציות, APIs, microservices ו-data".
גל חלמסקי, סמנכ"לית טכנולוגיה וממייסדי PlainID, אמרה כי "מערכת הרשאות דינמית היא קריטית לאבטחת הארגון, וההרשאות לא מסתיימות כאשר המשתמש נכנס לאפליקציה או למערכת אחרת. אנו מוודאים ומתקפים את ההרשאות בנקודות שונות של המשתמש לאורך המסע הדיגיטלי שלו".
חלמסקי הוסיפה כי פלטפורמת ההרשאות של PlainID עובדת הן כ-SaaS והן בצורה היברידית. "אנו יצרנו PlainID Authorizers, שהם רכיבים ספציפיים לטכנולוגיה הרלוונטית. בנוסף לכך, בנינו סימולטור מדיניות המאפשר לדעת מראש כיצד ישפיע שינוי כלשהו אצל המשתמש, כגון תפקיד או השמה לפרויקט, על הרשאותיו".
"העבודה עם APIs היא קרקע פוריה לתוקפים"
טל קפיטולניק, ארכיטקט פתרונות אבטחת מידע ב-נספרו, שוחח על הרשאות בעולם ה-API וציין כי APIs הם המנוע שמאחורי העולם המודרני והרוב המכריע של תעבורת ה-Web היא תעבורת API, כאשר כמות ה-APIs גדלה בקצב גבוה ביותר מדי שנה.
"APIs נועדו להקל על האינטגרציה בין מערכות ותשתיות שונות ובין ארגונים שונים. הדבר יצר משטח התקפה חדש והעבודה עם APIs היא קרקע פוריה לתוקפים", התריע קפיטולניק. הוא ציין כי ארגון OWASP – הפרויקט העולמי הפתוח לאבטחת אפליקציות – פרסם עשרה סיכונים ספציפיים ל-API שעודכנו השנה, כאשר חמשת הסיכונים במקומות הראשונים קשורים לאבטחת גישה ושלושה מתוכם קשורים להרשאות. סיכונים אלו כוללים מצבים שבהם משתמש מצליח לשלוח קריאת API לגיטימית ל-endpoint שהוא לא מורשה אליו, או מצבים שבהם משתמש יכול לשנות או לצפות באובייקטים שהוא לא קשור אליהם, או לשנות מאפיינים שהוא לא מורשה להם.
"PlainID מאפשרת ניהול מרכזי ואכיפה מבוזרת, המספקים יתרון בעולם ה-APIs", אמר קפיטולניק. "אנו אוכפים ב-API Gateways שונים, הנמצאים בסביבות שונות, את אותה מדיניות בדיוק, ואנו יודעים גם להגן על ה-API עצמו".
דניאל ויסמן, מהנדס מכירות ב-נספרו, הביא דימוי ל-PlainID מעולם האבטחה הפיזית, שהמחיש את תפקיד הפלטפורמה: "אם נדמה את הארגון לטירה מוקפת תעלה, שהכניסה אליה רק באמצעות גשר על אותה תעלה, שלפניו עומד שומר סף הבודק את הנכנסים, לאחר הכניסה לטירה עומד מאבטח המלווה את הנכנסים, הולך אתם מחדר לחדר ומוודא שהם עושים רק מה שמותר להם לעשות. PlainID מבצעת בתחום אבטחת המידע הארגונית את תפקידו של אותו מאבטח בטירה".