בכירי חברת צ'קמרקס משתפים את תחזיות הסייבר לשנת 2021
מתי סימן וארז ילון כותבים על התחזיות שלהם משוק הסייבר לשנה הבאה
עמי רוחקס דומבה
| 16/12/2020
מימין: ארז ילון, ראש צוות המחקר בצ'קמרקס. (צילום: גיא יחיאלי) \ מתי סימן CTO (צילום: ינאי רובחה)
מתי סימן, מייסד ו-CTO
טכנולוגיות האבטחה ישאפו להדביק את קצב הפיתוח ולהסתגל לענן
ב-2021, כלים המשמשים לאבטחת יישומים המשתלבים בשרשרת כלי הפיתוח יידרשו לפעול הרבה יותר מהר, להתרחב לסביבות ענן ולספק ממצאים המאפשרים לארגונים לנקוט פעולה, בפורמט שמפתחים יכולים להבין ולהשתמש בו לתיקונים מהירים.
מספר הפריצות דרך קוד פתוח יעלו במקביל למאמצים ארגוניים לסיכול שחקנים זדוניים
האקרים מנצלים את קוד הפתוח כדרך קלה להסתנן לארגונים. מגמה זאת תגבר ב-2021. כמעט ולא עובר שבוע מבלי שנגלה חבילות קוד פתוח המכילות תכנה זדונית. אמנם ארגונים מבינים שהם צריכים לאבטח את מרכיבי הקוד הפתוח שבהם הם משתמשים, ופתרונות קיימים מסייעים בהסרת חבילות שנשארו בהן חולשות אבטחה בשוגג (אשר המפתח הכניס לחבילה בטעות). עם זאת, אותם ארגונים עדיין אינם מודעים למקרים שבהם יריבים מחדירים לחבילה בכוונת זדון קוד מזוהם. כל אלה צריכים להשתנות ב-2021.
הביקוש לאבטחה מבוססת בענן מגדיל את השימוש בתשתית כקוד (IaC)
ההסלמה הדיגיטלית שהתרחשה בן לילה ב-2020 אילצה ארגונים רבים לעבור לענן כדי לשמור על רציפות עסקית. ב-2021, אני מצפה לראות תוקפים זדוניים מנצלים לרעה שגיאות של מפתחים בסביבות גמישות אלו. כדי להילחם בתופעה נהיה עדים להתמקדות משמעותית בהכשרות לאבטחה בענן, פרקטיקות מומלצות לשימוש בתשתית כקוד (IaC) ותקציבים נוספים המוקצים לאבטחת תכנה ויישומים כדי לתמוך בביקוש מצד עובדים מרחוק ובאקוסיסטמות תכנה מורכבות יותר.
צוותי האבטחה ידווחו לפיתוח, לא ההיפך
על מנת לקדם את שיתוף הפעולה בין צוותי האבטחה והפיתוח, האבטחה ב-2021 תצטרך להשתלב בשרשרת הפיתוח באופן נוח יותר למפתחים. המפתחים אינם מוכנים עוד לעבור בין ממשקים (אחד לפיתוח ואחד לאבטחה) והם גם לא ייאלצו לעשות זאת כאשר מהירות הפיתוח שווה בערכה לאבטחה. המפתחים רוצים לצרוך את כל הנתונים, בין אם מדובר בנתונים הקשורים לסוגיות איכות או לסוגיות אבטחה, ולעשות זאת באופן יעיל. האבטחה תידרש לפגוש את המפתחים במגרש שלהם ולהשתמש בממשקים ובכלים המועדפים עליהם.
ההקשר הוא המלך. ראייה הוליסטית של היישום משפרת את מעמד האבטחה
בשנה הבאה נהיה עדים לנטישת הפתרונות המסוגלים ל"טריק אחד בלבד". ב-2021 תתרחש התלכדות בשוק ה-AppSec (=אבטחת אפליקציות) משום שארגונים ידרשו לקבל פרספקטיבה הוליסטית על סטטוס האבטחה של היישומים, המקיפה כמה נקודות מבט (למשל, הבנת ההקשר של היישום ושילובו בתשתית כקוד). התוצאה תהיה אימוץ פתרונות המספקים "הכל תחת קורת גג אחת" לרבות תמונה מלאה של האקוסיסטם.
במקרה של חולשת אבטחה ברכיב קוד פתוח, שלושה תנאים חייבים להתקיים במקביל כדי שהאקר יוכל לנצל אותה: 1) צריכת הקוד הפתוח בגרסה הפרוצה; 2) זה צריך להיות יישום שמקודד לפונקציה מסוימת בקוד הפתוח; 3) התשתית כקוד של הארגון צריכה לפתוח פורט מסוים. רק עם תובנה מבוססת הקשר המשלבת את שלוש פיסות הנתונים הללו ניתן לקבוע במדויק אם הארגון פגיע למתקפה.
ארז ילון, מנהל מחקר אבטחה
אבטחת cloud native תעבור למרכז הבמה
ה-API שימש כמילת המפתח בכל הקשור לפיתוח תכנה ואבטחה מודרניים. אך בעוד ש-2020 הייתה שנת ה-API, 2021 תהיה השנה שבה אבטחה שהיא cloud native גונבת את ההצגה. ה-APIs ממלאים תפקיד חשוב באבטחת, cloud native אך תשומת הלב תעבור לאופן ההתרבות של טכנולוגיות מבוססות ענן ולאימוץ הגובר שלהן בארגונים. לפיכך, תינתן עדיפות לאבטחת האקוסיסטמות (סביבות) שנוצרות מהמצב של פתרונות מבוססי ענן השלובים זה בזה.
APIs עם חולשות אבטחה יהיו הגורמים המרכזיים ביותר לפריצות לתוכנה ויישומים
למרות שהמודעות לאבטחת ה-API השתפרה בשנים האחרונות, ניתן עדיין לחזות ש-APIs ישמרו על מקומם כאחד הווקטורים האטרקטיביים, אם לא האטרקטיביים ביותר למתקפות ב-2021. בזמן ששחקנים זדוניים מגבירים את המתקפות על APIs וארגונים מנסים להשלים את הבנתם לגבי האופן שבו ניתן לפגוע בתכניות אלה, התוקפים מנצלים את פער הידע הנוכחי ומאלצים את המפתחים לזהות במהירות דרכים לאבטחה טובה יותר של תהליכי אימות הזהות וההשראה ב-APIs.
התקני IoT ישנים (legacy) מסכנים את הצרכנים במיוחד
אחד התחומים שלהם אקדיש תשומת לב מיוחדת ב-2021 כולל את הדגמים הישנים יותר של התקני IoT שעדיין פרוסים ופועלים בסביבות תאגידיות ופרטיות. בשנים האחרונות היינו עדים לגידול עצום במספר המכשירים המחוברים, עד כדי הצפה של כל היבט בחיינו. התרגלנו להתקני IoT שפועלים ברקע ואיננו זוכרים אפילו שצריך אולי להחליף, לשדרג או לגרוט אותם. ככל שהגדג'טים האלה הולכים ומתיישנים אבל נשארים בשימוש, יצרנים רבים כבר אינם תומכים בהם עם עדכוני תכנה וטלאים אלא מקדישים תשומת לב לדגמים חדשים יותר. כתוצאה מכך, הדגמים הישנים הופכים למטרה נוחה לשחקנים זדוניים המחפשים נקודות גישה נוחות.
למרות התקדמות מסוימת שחלה באבטחת הסייבר, יש עוד הרבה מה לעשות
עוד עבודה רבה לפנינו באבטחת IoT ב-2021. אמנם התעשייה נקטה צעדים בכיוון הנכון, כמו למשל חוק אבטחת ה-IoT שהעבירה ממשלת ארה"ב, אך הסוגיה רחוקה מפתרון עקב העדר פעולה מצדם של צרכנים ויצרנים. כל עוד הצרכנים לא יפעילו לחץ ממשי על ממשלות ויצרנים לשפר את האבטחה בהתקני IoT, או שהיצרנים יחליטו להקדיש לכך תשומת לב, תחום זה ימשיך להוות סיבה לדאגה.
מתי סימן וארז ילון כותבים על התחזיות שלהם משוק הסייבר לשנה הבאה
מימין: ארז ילון, ראש צוות המחקר בצ'קמרקס. (צילום: גיא יחיאלי) \ מתי סימן CTO (צילום: ינאי רובחה)
מתי סימן, מייסד ו-CTO
טכנולוגיות האבטחה ישאפו להדביק את קצב הפיתוח ולהסתגל לענן
ב-2021, כלים המשמשים לאבטחת יישומים המשתלבים בשרשרת כלי הפיתוח יידרשו לפעול הרבה יותר מהר, להתרחב לסביבות ענן ולספק ממצאים המאפשרים לארגונים לנקוט פעולה, בפורמט שמפתחים יכולים להבין ולהשתמש בו לתיקונים מהירים.
מספר הפריצות דרך קוד פתוח יעלו במקביל למאמצים ארגוניים לסיכול שחקנים זדוניים
האקרים מנצלים את קוד הפתוח כדרך קלה להסתנן לארגונים. מגמה זאת תגבר ב-2021. כמעט ולא עובר שבוע מבלי שנגלה חבילות קוד פתוח המכילות תכנה זדונית. אמנם ארגונים מבינים שהם צריכים לאבטח את מרכיבי הקוד הפתוח שבהם הם משתמשים, ופתרונות קיימים מסייעים בהסרת חבילות שנשארו בהן חולשות אבטחה בשוגג (אשר המפתח הכניס לחבילה בטעות). עם זאת, אותם ארגונים עדיין אינם מודעים למקרים שבהם יריבים מחדירים לחבילה בכוונת זדון קוד מזוהם. כל אלה צריכים להשתנות ב-2021.
הביקוש לאבטחה מבוססת בענן מגדיל את השימוש בתשתית כקוד (IaC)
ההסלמה הדיגיטלית שהתרחשה בן לילה ב-2020 אילצה ארגונים רבים לעבור לענן כדי לשמור על רציפות עסקית. ב-2021, אני מצפה לראות תוקפים זדוניים מנצלים לרעה שגיאות של מפתחים בסביבות גמישות אלו. כדי להילחם בתופעה נהיה עדים להתמקדות משמעותית בהכשרות לאבטחה בענן, פרקטיקות מומלצות לשימוש בתשתית כקוד (IaC) ותקציבים נוספים המוקצים לאבטחת תכנה ויישומים כדי לתמוך בביקוש מצד עובדים מרחוק ובאקוסיסטמות תכנה מורכבות יותר.
צוותי האבטחה ידווחו לפיתוח, לא ההיפך
על מנת לקדם את שיתוף הפעולה בין צוותי האבטחה והפיתוח, האבטחה ב-2021 תצטרך להשתלב בשרשרת הפיתוח באופן נוח יותר למפתחים. המפתחים אינם מוכנים עוד לעבור בין ממשקים (אחד לפיתוח ואחד לאבטחה) והם גם לא ייאלצו לעשות זאת כאשר מהירות הפיתוח שווה בערכה לאבטחה. המפתחים רוצים לצרוך את כל הנתונים, בין אם מדובר בנתונים הקשורים לסוגיות איכות או לסוגיות אבטחה, ולעשות זאת באופן יעיל. האבטחה תידרש לפגוש את המפתחים במגרש שלהם ולהשתמש בממשקים ובכלים המועדפים עליהם.
ההקשר הוא המלך. ראייה הוליסטית של היישום משפרת את מעמד האבטחה
בשנה הבאה נהיה עדים לנטישת הפתרונות המסוגלים ל"טריק אחד בלבד". ב-2021 תתרחש התלכדות בשוק ה-AppSec (=אבטחת אפליקציות) משום שארגונים ידרשו לקבל פרספקטיבה הוליסטית על סטטוס האבטחה של היישומים, המקיפה כמה נקודות מבט (למשל, הבנת ההקשר של היישום ושילובו בתשתית כקוד). התוצאה תהיה אימוץ פתרונות המספקים "הכל תחת קורת גג אחת" לרבות תמונה מלאה של האקוסיסטם.
במקרה של חולשת אבטחה ברכיב קוד פתוח, שלושה תנאים חייבים להתקיים במקביל כדי שהאקר יוכל לנצל אותה: 1) צריכת הקוד הפתוח בגרסה הפרוצה; 2) זה צריך להיות יישום שמקודד לפונקציה מסוימת בקוד הפתוח; 3) התשתית כקוד של הארגון צריכה לפתוח פורט מסוים. רק עם תובנה מבוססת הקשר המשלבת את שלוש פיסות הנתונים הללו ניתן לקבוע במדויק אם הארגון פגיע למתקפה.
ארז ילון, מנהל מחקר אבטחה
אבטחת cloud native תעבור למרכז הבמה
ה-API שימש כמילת המפתח בכל הקשור לפיתוח תכנה ואבטחה מודרניים. אך בעוד ש-2020 הייתה שנת ה-API, 2021 תהיה השנה שבה אבטחה שהיא cloud native גונבת את ההצגה. ה-APIs ממלאים תפקיד חשוב באבטחת, cloud native אך תשומת הלב תעבור לאופן ההתרבות של טכנולוגיות מבוססות ענן ולאימוץ הגובר שלהן בארגונים. לפיכך, תינתן עדיפות לאבטחת האקוסיסטמות (סביבות) שנוצרות מהמצב של פתרונות מבוססי ענן השלובים זה בזה.
APIs עם חולשות אבטחה יהיו הגורמים המרכזיים ביותר לפריצות לתוכנה ויישומים
למרות שהמודעות לאבטחת ה-API השתפרה בשנים האחרונות, ניתן עדיין לחזות ש-APIs ישמרו על מקומם כאחד הווקטורים האטרקטיביים, אם לא האטרקטיביים ביותר למתקפות ב-2021. בזמן ששחקנים זדוניים מגבירים את המתקפות על APIs וארגונים מנסים להשלים את הבנתם לגבי האופן שבו ניתן לפגוע בתכניות אלה, התוקפים מנצלים את פער הידע הנוכחי ומאלצים את המפתחים לזהות במהירות דרכים לאבטחה טובה יותר של תהליכי אימות הזהות וההשראה ב-APIs.
התקני IoT ישנים (legacy) מסכנים את הצרכנים במיוחד
אחד התחומים שלהם אקדיש תשומת לב מיוחדת ב-2021 כולל את הדגמים הישנים יותר של התקני IoT שעדיין פרוסים ופועלים בסביבות תאגידיות ופרטיות. בשנים האחרונות היינו עדים לגידול עצום במספר המכשירים המחוברים, עד כדי הצפה של כל היבט בחיינו. התרגלנו להתקני IoT שפועלים ברקע ואיננו זוכרים אפילו שצריך אולי להחליף, לשדרג או לגרוט אותם. ככל שהגדג'טים האלה הולכים ומתיישנים אבל נשארים בשימוש, יצרנים רבים כבר אינם תומכים בהם עם עדכוני תכנה וטלאים אלא מקדישים תשומת לב לדגמים חדשים יותר. כתוצאה מכך, הדגמים הישנים הופכים למטרה נוחה לשחקנים זדוניים המחפשים נקודות גישה נוחות.
למרות התקדמות מסוימת שחלה באבטחת הסייבר, יש עוד הרבה מה לעשות
עוד עבודה רבה לפנינו באבטחת IoT ב-2021. אמנם התעשייה נקטה צעדים בכיוון הנכון, כמו למשל חוק אבטחת ה-IoT שהעבירה ממשלת ארה"ב, אך הסוגיה רחוקה מפתרון עקב העדר פעולה מצדם של צרכנים ויצרנים. כל עוד הצרכנים לא יפעילו לחץ ממשי על ממשלות ויצרנים לשפר את האבטחה בהתקני IoT, או שהיצרנים יחליטו להקדיש לכך תשומת לב, תחום זה ימשיך להוות סיבה לדאגה.
