"ניהול זהויות – אחד האיומים המשמעותיים על חברות SMB"

"אנו רואים כיום טשטוש של הגבולות בין חברות גדולות וחברות SMB, ולכן במובנים רבים הן נאלצות להתמודד מול אותם סיכוני אבטחה כמו חברות ענק", כך לדברי זולפיקר ראמזאן, CTO של RSA, חברת אבטחת הסייבר מקבוצת דל טכנולוגיות. "אבל הודות לצמיחה הגדולה של שירותי ענן, גם אותן חברות SMB מסוגלות כיום להשתמש במשאבים שיש לחברות הגדולות".

ראמזאן אמר את הדברים בכנס Dell Technology World 2018 שהתקיים בלאס וגאס, במסגרת מפגש שולחן עגול עם עיתונאים שהגיעו לסקר את הכנס. בתפקידו כ-CTO אחראי ראמזאן על הובלת הפיתוח של טכנולוגיות החברה והגנת לקוחותיה מפני איומי האבטחה והסייבר המתרבים ומשתכללים.

"בראש איומי האבטחה הגדולים ביותר שחברות SMB מתמודדות איתם כיום ניצב האיום של ניהול זהויות", ציין ראמזאן. לדבריו, "לכל ארגון יש סוגים שונים של מועסקים – שכירים, קבלני משנה או אחרים, שעובדים עם הארגון באמצעות צד שלישי. ברבים מארגוני ה-SMB, אתגרי הצד השלישי הם גדולים מאוד, כי הם עובדים עם שותפים רבים ואינם יכולים לבצע את כל העבודה בתוך הארגון. ניהול הגישה של כל הגורמים האלה למשאבי הארגון שהם נזקקים להם, תוך שמירה של רמת אבטחה ונוחות – הופך להיות סוגיה משמעותית ואתגר מסובך, מפני שיש להם פחות משאבים. הם אינם יכולים להשיג אותה רמה של תחכום בתכניות האבטחה שלהם כמו ארגונים גדולים. מה שיפה הוא, שכיום אנו מתייחסים לבעיית הזהות בצורה שונה מבעבר".

לדבריו, "כעת ניתן ליצור שירות בענן ולהתחיל למנף אותו – כמו שעשינו ב-RSA – מבלי שהלקוחות ייאלצו לתכנן מחדש את מבנה בסיס הזהויות שלהם. מרגע שיש זהות מאושרת, היא שוכנת בבסיס חזק. הגנה ואבטחה טובות מסתכמות בהבטחה שרק האנשים הנכונים יוכלו לגשת למשאבים הנכונים – בזמן הנכון ולצרכים שהורשו להם. אם אין בסיס זהויות, שום דבר אחר לא יכול להתקדם כראוי".

"החשיבות של נושא הזהויות נכונה גם לגבי תקיפות מסוגים של תוכנות זדוניות ותוכנות כופר וכדומה", הוסיף ראמזאן, "כי בסופו של דבר אלה גורמים שמנסים להגיע למשאבים קריטיים. צריך לזכור שמי שתוקפים את הארגון לא עושים זאת לטובתם האישית. הם מנסים להשיג מכך משהו, בדרך כלל נתונים קריטיים שהם יפיקו מהם רווחים. זה כמו להגן על בנק – דלת כניסה חזקה לא תעזור, כי מטרת התוקף היא להגיע לכספת בלי להיכנס בדלת הראשית, והזהות היא האמצעי שמאפשר לשמור על המפתח ל-'ממלכה'. ראינו מצבים רבים שבהם ארגונים, בייחוד SMB, מתפשרים בצורה הרסנית. אנחנו עובדים הרבה עם ה-FBI ונתון מדהים ששמעתי מהם הוא שכתוצאה מתקיפת סייבר וגניבת מידע, מרבית חברות ה-SMB מתמוטטות לאחר שישה חודשים. גניבה של כמה מאות דולרים בגלל, למשל, מתקפת פישינג, משמעותה במקרים רבים היא חיסול העסק".

מה הוא ממליץ לארגוני ה-SMB לעשות? להשתמש בכלים הבסיסיים בבואם להתמודד עם תוכנות זדוניות: אנטי וירוס והבטחת התקנת טלאים.

"ארגוני SMB – חישבו היטב האם אתם זקוקים ל-IoT"

נושא האינטרנט של הדברים תפס חלק נכבד מהשיחה עם ראמאזי, שאמר כי "אחד האתגרים הגדולים בתחום הזה הוא כל המכשירים המייצרים נתונים שיכולים להיות רלוונטיים ולייצר ידע חשוב עבור הארגון. במקרים רבים, תוקף עוקב אחר מכשיר IoT ומשתמש בו כמנגנון גישה למחסני נתונים עשירים יותר".

"צריך לקחת בחשבון שאף אחד לא חסין", הדגיש ראמאזי וקרא לארגונים קטנים "לטפל בנושא האינטרנט של הדברים ביתר הקפדה". לדבריו, ארגונים שהולכים לאינטרנט של הדברים צריכים לחשוב קודם כל על האסטרטגיה העסקית ולא על האבטחה. "האינטרנט של הדברים הוא לא המטרה, אלא חלק מהפתרון לבעיות עסקיות", אמר. "על ארגונים להתייחס לנושא האבטחה מתוך גישה מוכוונת עסקים, כי אם מבזבזים כסף על בעיות אבטחה מבלי לחשוב לעומק על מה שמנסים להשיג ברמה העסקית – כל הסיכויים שהמאמצים האלה ייכשלו".

ראמאזי המליץ לארגוני SMB "לחשוב היטב האם הם באמת זקוקים למכשירי ה-IoT וכיצד ממזערים את מה שהמכשירים זקוקים לו לצורך הגישה. במקרים רבים למכשירים האלה יש יכולת לבצע דברים רבים, אבל ייתכן שאותו ארגון יהיה זקוק רק לחלק מהם. יש להבטיח שהמכשירים לא יוכלו לבצע יותר ממה שהם נועדו לו".

הוא סיכם באמרו כי "כשחושבים על IoT, צריך לדעת שאין מדובר רק באינטרנט של דברים, אלא גם באינטרנט של זהויות. בעולם שבו הגבולות בין האדם והמכשיר מיטשטשים, לכל אחד מהמכשירים יש זהות שמקושרת אליו ולבינה המלאכותית יש יכולת לחקות התנהגויות אנושיות, ניהול זהויות הופך להיות הרבה יותר קריטי. אנחנו עושים עבודה רבה כדי להבטיח שניהול הזהויות בארגון יתרחב לא רק לאנשים פיזיים, אלא בסופו של דבר יגיע לרמת המכשיר".