מתקפות סייבר הן אסונות הטבע של הטכנולוגיה
אלא שבניגוד לאסונות טבע, על הגנת הסייבר יש לנו שליטה ● זו אחת מהתובנות שכולל פרנסואה לוקו-דונו, נשיא ומנכ"ל F5, במאמר מיוחד לאנשים ומחשבים
מתקפת סולארווינדס הייתה מדהימה בהיקפה וברמתה. אם זו הייתה רעידת אדמה, היא הייתה מגיעה ל-9.9 בסולם ריכטר. עד כדי כך. ככל שהטרנספורמציה הדיגיטלית מואצת וככל שיישומים מואצים הופכים לגורמים המרכזיים, המאפשרים לעסקים וליישויות דיגיטליות אחרות את המשך קיומם, מתקפות סייבר כגון זו הפכו לאסונות הטבע של הטכנולוגיה. לשניהם יש כוח הרסני ויכולת לאיים על תחושת הבטיחות שלנו, והם, למרבה הצער, המציאות של העולם שלנו.
עם זאת, יש הבדל בולט אחד בין אסונות טבע לפשעי סייבר. בניגוד להתפרצויות זעם של הטבע, יש בשליטתנו להפחית את ההשפעה ההרסנית של פשיעת סייבר. אנחנו יכולים ללמוד מהחולשות שמתקפת סולארווינדס חשפה ולהשתמש באירוע זה כזרז לשינויים התנהגותיים, שיפחיתו באופן מהותי את השפעתן של התקפות עתידיות. איננו יכולים למנוע פשיעה ברשת, אך אנחנו יכולים למתן תוצאות רבות על ידי שינוי דרכי העבודה שלנו.
האסון המשולש היפני – והאסון המשולש של סולארווינדס
תמיד התלהבתי מסוגיות סביבתיות, כחלק מהעבודה החקלאית שלי באפריקה. כתוצאה מכך, אני צרכן קבוע של מחקרים בתחום. כמנכ"ל F5, אני מאמין שיש פרקטיקות ולמידה שאנחנו יכולים להפיק ממחקר סביבתי, שניתן ליישם בחדשנות של אבטחת יישומים. הסביבה הטבעית והיישומים הארגוניים שלנו חיוניים, אלה כמו אלה, לשגשוג של בני האדם – ושניהם נמצאים כל הזמן בסיכון.
באחרונה קראתי מחקר שמגדיר אסון טבע כ-"הזדמנות לשיפור התנאים הסביבתיים". המחקר, שפורסם במאמר בכתב העת הבינלאומי International Journal of Disaster Risk Reduction, הציג מקרים שבהם אסונות טבע היוו חלון הזדמנויות לשינוי. כשקראתי בו סיפורים קשים על אסונות ברחבי העולם וכיצד נוהלו התגובות וההתאוששות, בלט מקרה מסוים אחד: האסון המשולש שפקד את יפן ב-2011 – רעידת אדמה, צונאמי וכתוצאה מכך נזק לכור הגרעיני בפוקושימה. כתב העת טוען שממשלת יפן (ואני מנסח מחדש) השתמשה באותה סדרה הרסנית של אירועים כהזדמנות לשיפור תנאי הסביבה, באמצעות שינוי פילוסופי בפרקטיקות ובמדיניות. בעיקרו של דבר, היא למדה מהחולשות שחשפו האסונות והתחייבה לשינוי לטובת כולם.
המתקפה על שרשרת האספקה של סולארווינדס הייתה אסון משולש בתחום אבטחת המידע: מתקפה מתוחכמת של מדינת לאום וחשיפה של שרשרת אספקה דיגיטלית שלמה שהתרחשה במהלך מגפה – תקופה שבה אנחנו מסתמכים מאד על רשתות אספקה דיגיטליות. נכון לסוף דצמבר, לקוחותיה של סולארווינדס כללו 425 חברות מהפורצ'ן 500, את 10 חברות הטלקומוניקציה האמריקניות המובילות, חמשת משרדי רואי החשבון המובילים בארצות הברית, הצבא האמריקני, על כל ענפיו, הפנטגון, משרד החוץ בוושינגטון, וכן מאות אוניברסיטאות ומכללות ברחבי העולם.
האסון המשולש הזה הוא ההזדמנות שלנו להניע שינוי מהותי כמנהיגים עסקיים, כי האופן שבו אבטחה מתועדפת ונפרסת בשתי דרכים מהותיות הוא בעל השלכות מרחיקות לכת על הבריאות והבטיחות ארוכת הטווח של העסק.
ראשית, פיתוח, פריסה וניהול של אפליקציות חייבים לכלול תקני אבטחה ארגוניים, כאשר NetOps ,SecOps ו-DevOps, הפועלים באופן מסורתי בנפרד, חייבים לשתף פעולה. כיום, יישומים מפותחים על ידי צוותים מרכזיים ומבוזרים. יכולות אבטחה הן לעתים קרובות החלטות סובייקטיביות – דבר שהופך את פורטפוליו היישומים כולו לפגיע.
שנית, יש לתעדף אבטחת סייבר ברמה הארגונית על פי שלושה נוהלי אבטחת מידע שעונים על הדרכים העיקריות שבהן ארגונים מטורגטים ונפרצים:
בקרת גישה – אמצו מודל אפס אמון בבקרת הגישה שלכם. הליבה של תוכנית בקרת הגישה חייבת להיות חסרת אמון בכל החשבונות (משתמשים ושירותים), במקרה שכל אחד מהבקרים במעלה הזרם נכשל והתוקפים משתמשים בחשבונות של מורשים כדי לסובב את הרשת.
ניהול פגיעויות – ניצול פרצות הוא תמיד חלק מהתקיפה ולכן, הוא קריטי לאבטחת סייבר בכמה מובנים: החל בבניית קוד מאובטח בתהליכי ה-SDLC, עבור בהתמודדות עם פגיעויות ידועות בזמן וכלה בשימוש ב-WAF כדי להגן על היישומים שלכם עד שתטליאו אותן.
ניטור אבטחה – רישום ומעקב נכון, כולל פענוח הצפנה לתעבורה לצורך בדיקה, הם קריטיים לפעילות העסקית. ניטור אבטחה כבר לא יכול להיות תוסף או אופציונלי, מכיוון שסיכוני אבטחה הם האיום הגדול ביותר לזמינות היישומים, והפרה יכולה להשפיע באופן מהותי על העסק.
עד שהאבטחה תהיה בראש סדר העדיפויות – נישאר פגיעים
מתקפת סולארווינדס הדגימה בברור שעד שאבטחת הסייבר תהיה בראש סדר העדיפויות – נישאר פגיעים. שיטות עבודה מומלצות מכתיבות שיש לתפוס ולפרוס את אבטחת הסייבר כמערכת אקולוגית, ולא כפתרון אחד. בכל אחת מהתוכניות שציינתי יש רכיבים שעונים על סיכוני שרשרת האספקה הדיגיטלית, כולל הגבלה וניטור של חשבונות שירות של מורשים שמוקצים לספקים, בדיקה ויישום של עדכוני אבטחה, ומעקב אחרי ביצועים והתנהגות של כל המערכות והחשבונות ברשת. אם ספקים מקבלים את שלוש תוכניות הליבה האלה, ניתן לסמוך עליהם, עם הסיכון שאתם מעבירים אליהם.
לבסוף, למרות האיומים והסיכונים, יש חדשות טובות: מאסון משולש ניתן לצאת מחוזקים, כאשר קיימת מחויבות אמיתית לשינוי מהותי, שייטיב עם כולם. עם שינויים אלה באבטחת הסייבר, היישומים, הלקוחות, החברות והקהילות יהיו מוכנים ועמידים יותר כאשר הדבר גדול הבא יכה.
הכותב הוא נשיא ומנכ"ל F5.
F5 תקיים ב-9 בפברואר אירוע, בהפקת אנשים ומחשבים, שבו היא תכריז על הפתרונות החדשים שלה. להרשמה לאירוע (כולל הופעה של אדיר מילר בסוף) לחצו כאן.
תגובות
(0)