"הענן כבר לא מהווה איום אבטחה; יש לדעת לבחור את הכלים הנכונים"

"לפני פחות מעשור, כאשר דיברו איתי על ענן, הייתי סקפטי ואמרתי בצחוק שארגונים שיעברו אליו יספקו לי הרבה עבודה, כמי שמתפרנס מטיפול באבטחה וכהאקר שמסייע לארגונים. שיניתי מאז את דעתי: הענן לא מהווה איום אבטחה, אם יודעים איך ליישם אותו ולהגן עליו בצורה הנכונה", כך אמר גיא מזרחי, סמנכ״ל הסייבר של רייזון ויו"ר ועדת התכנים של פורום CSC מבית אנשים ומחשבים.

מזרחי הנחה מפגש של הכנס, שנערך בשבוע שעבר ב-yes Planet בראשון לציון ועסק בעולם הסייבר בעידן הענן. במפגש השתתפו כמה עשרות חברי הפורום, ששמעו הרצאות מפי מספר מומחים בנושא על כיצד לבנות סביבת ענן בטוחה, מהי אחריות הספק של שירותי הענן ומהי אחריות המשתמש.

לדברי מזרחי, הדברים שהביאו אותו לשנות את דעתו הם הטכנולוגיה שהתפתחה, כניסת גוגל לתחום ובעיקר הצמיחה המטורפת של כמויות המידע. "או אז", אמר, "אנשים התחילו להבין שביישומים מסוימים יש מי שדואג להם להרבה דברים, גם אם זה לא תמיד יותר זול. ארגונים הבינו שכדאי מאוד להעביר את האחריות למישהו שהם סומכים שיעשה עבורם את העבודה טוב יותר מאשר הם עצמם".

אשר למענה לאתגרי האבטחה הקיימים הוא אמר ש-"יש הרבה כלים בשוק שעושים זאת. צריך לדעת איזה מהם לבחור, ואל לשכוח שלכל פתרון שאנשים טובים ממציאים תמיד יהיו כאלה שימציאו כלי נגדי. פורץ שהחליט לפרוץ תמיד יצליח, בסופו של דבר".

"שם המשחק – היכולת לעצב נכונה את האסטרטגיה הארגונית בתחום הענן"

משה פרבר, יו"ר ומנהל CSA, סקר בהרצאתו את העננים הקיימים: במתכונות של תוכנה כשירות (SaaS), פלטפורמה כשירות (PaaS) ותשתית כשירות (IaaS), וכן שלושת הסוגים המוכרים – ענן פרטי, היברידי וציבורי. "חשוב להבין את המהות של כל אחת מהצורות, ולדעת מתי ואיך להתאים את הענן לצרכי הארגון", אמר פרבר.

בהמשך הוא מיפה את המאפיינים והשירותים של כל אחד מסוגי העננים. פרבר ציין שבענן במתכונת של תשתית כשירות יש את המספר הרב ביותר של מאפיינים: ניהול זהויות, ניטור, נתונים, שכבת מידע, פלטפורמת פיתוח ועוד, בעוד שבשני סוגי העננים האחרים יש פחות מהם. הענן בעל מספר המאפיינים הנמוך ביותר הוא במתכונת של תוכנה כשירות.

משה פרבר, יו"ר ומנהל CSA ישראל. צילום: ניב קנטור

עוד הוא אמר שנושא האבטחה בענן מקבל עדיפות גבוהה אצל ספקים ולקוחות. "ספקים מתאמצים להגביר את האמון על ידי יותר אבטחה בענן, כי הם מבינים את הרגישות שקיימת אצל הלקוחות. הם עושים זאת בין היתר על ידי הגברת קצב האוטומציה של תהליכים, בעיקר בתשתית כשירות ובפלטפורמה כשירות".

בהתייחסו לענן הפרטי ולהנחה שהוא בטוח יותר, ציין פרבר ש-"היא התגלתה כלא נכונה, אחרי שהוברר מעל לכל ספק שקצב המתקפות על ענן פרטי לא שונה מזה שסובלים ממנו סוגי העננים האחרים".

לסיום, הוא אמר ש-"שם המשחק הוא היכולת של הארגונים לדעת לעצב נכון את האסטרטגיה שלהם בתחום הענן, ולבחור מה מתאים להם ומה לא".

האיום המשמעותי בענן, שפחות מדברים עליו

דובר נוסף באירוע היה דמי בן ארי, מייסד וסמנכ"ל הפיתוח של Panorays. הוא דיבר על איום משמעותי בעבודה בענן, שפחות שומעים עליו. הכוונה היא לארגונים מרובי ספקים ומשתמשים, שפעילים ברשתות של הארגון, ולמנהל האבטחה הארגוני אין יכולת לשלוט על רמת האבטחה שקיימת אצל כל אחד מהם. "בעידן שבו כל ילד בן 15 יכול לבצע מתקפה על כל ארגון שהוא רוצה, חייבים להבין את מקורות האיומים הכלליים, ולמצב את זה כחלק מניהול הסיכונים של הארגון", אמר.

לדבריו, לא מעט מהתקיפות המפורסמות על ארגונים גדולים בוצעו באמצעות חדירה דרך שותפי צד שלישי, שיש להם גישה לליבת הארגונים שאיתם הם עובדים.

בהמשך הרצאתו סיפר בן ארי על עיקר הפעילות של Panorays, שמתמחה באיתור חורי אבטחה אצל שותפים וספקים שעובדים עם ארגונים, ומתריעה עליהם.

דוברים נוספים במפגש היו שחר מאור, מנהל אבטחה באאוטבריין, ואביחי חג'גי, מומחה ל-Azure – פלטפורמת הענן של מיקרוסופט ומנהל טכנולוגיות ראשי ב-CloudEdge.