תחזית 2021 של חברת F5
מיקרו-שירותים, 5G, פישינג ובנקאות פתוחה. אלו הנושאים שילוו אותנו במהלך השנה החדשה. מאמר של ארן אראל, מנהל הפעילות של F5 בישראל, יוון וקפריסין
ישראל דיפנס
| 05/01/2021
ארן אראל. צילום: גבריאל בהרליה
מיקרו-שירותים (Micro Services)
ארגונים ברחבי העולם עוברים מאפליקציות מונוליטיות לאפליקציות מבוססות מיקרו-שירותים, כאשר קיים גידול בשימוש בטכנולוגיות אלה בסביבות הייצור, בעיקר בשל היכולות לפריסה מהירה יותר של גרסאות תוכנה והטמעת תכונות חדשות בזמן אמת. סקר הלקוחות השנתי של NGINX מצא כי שיעור העסקים שבונים אפליקציות מבוססות מיקרו-שירותים קפץ השנה מ-40% ל-60%. בנוסף, יותר ממחצית מהנשאלים משתמשים במיקרו-שירותים בחלק מהאפליקציות שלהם או בכולן.
במבט קדימה, ניתן לצפות כי תהיה השקעה רבה יותר באורקסטרציה של קונטיינרים מסחריים ומבוססי קוד פתוח, כמו גם בניהול ממשקי API.
מהפכת ה-5G
כאשר מפעילי הסלולר מתכוננים לפרוס רשתות ליבה של 5G, הם עומדים בפני בעיה – האם הם דבקים בגישה המסורתית ופורסים רשת ליבה אינטגרטיבית וורטיקלית מספק אחד, או שהם צריכים ליישם ארכיטקטורה אופקית המורכבת משכבות ברורות? כדי לגלות את היתרונות של 5G ושל הארכיטקטורה הפתוחה, חברות טלקום רבות יתחילו ב-2021 לחקור ביתר שאת את הגישה האחרונה.
הגישה האופקית כוללת ניתוק של התשתית מהתוכנה (רשת, מחשוב ואבטחת מידע), כמו גם את הפונקציות הפועלות על גביה. סוג זה של ארכיטקטורה שכבתית הוא הנורמה בקרב חברות רבות, אבל עבור חברות טלקום, זה דורש שינוי חשיבה: הצורך להתייחס ל-5G כמקרה בוחן שרץ על גבי פלטפורמת ענן, ולא כמחסנית אנכית בפני עצמה.
חשוב לציין כי סטנדרט 5G פותח, בין השאר, בכדי לעודד מפעילים להשתמש בארכיטקטורה אופקית. הוא תוכנן כדי לרתום את הארכיטקטורה מבוססת השירות המחלחלת כיום לתחום מערכות המידע. לאורך זמן, ארכיטקטורה זו תאפשר למפעילים לנצל תוכנות קוד פתוח.
התקפות פישינג בעליה
על פי דוח הפישינג (דיוג) וההונאה של מעבדות F5 Labs לשנת 2020 (2020 F5 Labs Phishing and Fraud Report ) ישנן שתי מגמות עיקריות. ראשית, כתוצאה משיפור בקרות ופתרונות האבטחה של תנועת הבוטים (botnet), התוקפים מאמצים חוות קליקים. הדבר כרוך בהעסקת עשרות 'עובדים' מרוחקים, המנסים באופן שיטתי להיכנס לאתר יעד באמצעות אישורים שהם אספו לאחרונה.
החיבור מגיע מאדם המשתמש בדפדפן אינטרנט רגיל, דבר שמקשה על גילוי פעילות מרמה. גם לנפח התקפות נמוך יחסית יש השפעה. כדוגמה, Shape Security ניתחה 14 מיליון כניסות בחודש בארגון שירותים פיננסיים ורשמה שיעור הונאה ידני של 0.4%, שווה ערך ל-56,000 ניסיונות כניסה מנוכלים, והמספרים הקשורים לפעילות מסוג זה צפויים להמשיך לעלות.
שנית, חוקרי האבטחה של Shape רשמו גם עלייה בהיקף ה-Real time phishing proxy שיכולים ללכוד ולהשתמש בקודים לאימות רב-גורמים (MFA). ה-RTPP פועל כ"אדם באמצע" (man-in-the-middle) ומיירט עסקאות של הקורבן עם אתר לגיטימי. שרתי RTPP שהיו בשימוש פעיל לאחרונה כוללים את Modlishka ו-Evilginx2. מעבדות F5 Labs ו-Shape Security ערוכות על מנת לנטר את השימוש הגובר ב-RTPP בחודשים הקרובים.
בנקאות פתוחה
בנקאות פתוחה מאפשרת לבנקים לשתף באופן מאובטח את נתוני הלקוחות עם ספקי צד שלישי (TPP) במגוון וורטיקלים, כמו גם עם בנקים אחרים, באמצעות ממשקי API. אם הדבר נעשה באופן נכון, ניתן לעודד פיתוח מוצרים ושירותים פיננסיים חדשניים המונעים על ידי נתונים סביב פלטפורמה מרכזית.
על פי מחקר חדש של Twimbit בחסות F5, כמעט שישה מתוך עשרה צרכנים יהיו מוכנים לחלוק מידע פרטי ומשמעותי עם הבנק וחברת הביטוח בתמורה למחירים נמוכים יותר עבור מוצרים ושירותים. עם זאת, שימוש מוגבר בממשקי API בכל הענפים לא נעלם מעיני פושעי הרשת. גרטנר צופה שעד שנת 2022 ניצול ממשקי ה-API יהיה וקטור ההתקפה הנפוץ ביותר נגד יישומי web ארגוניים, דבר שיוביל ללא מעט אתגרי אבטחת מידע.
האם 2021 היא השנה שבה הבנקאות הפתוחה ממריאה בקנה מידה עולמי? אם כן, זה ידרוש ערנות. צפו לטלטלה בטכנולוגיה שתוכננה לראשונה עם ממשקי API. פתרונות שימקסמו את הביצועים (על ידי הפחתת זמן התגובה הממוצע לקריאת API ומזעור טביעת הרגל והמורכבות של ה-gateway ל-API) יהיו מאד מבוקשים.
עם זאת, ההתקדמות תתעכב אם לא יטופל החשש של הצרכן מהונאה או פריצה למידע. כדי לבנות אמון, חיוני לאמץ אסטרטגיות מודרניזציה של אפליקציות על ידי יישום אסטרטגיית הגנה של 360 מעלות, שהיא מעבר לבדיקת פגיעויות תוכנה בלבד.
אפליקציות מסתגלות וכישורי אבטחת מידע
בעידן המיקרו-שירותים והמחשוב המבוזר, קשה לנהל את פורטפוליו האפליקציות ההולך וגדל ללא אוטומציה מתוחכמת יותר. מרכיב מרכזי בשינוי זה הוא היכולת להפוך את האפליקציות שלנו למסתגלות. במילים אחרות, היכולת להתכווץ, להגן ולתקן על בסיס הסביבה בה הן נמצאות ואופן השימוש בהן.
אנו כבר רואים דוגמאות לאופן שבו שילוב רב עוצמה של שירותי יישומים, טלמטריה ואוטומציה יכול לשנות את חוקי המשחק ולספק חוויות דיגיטליות יוצאות דופן. צפו במגמות הללו בשנת 2021.
הכותב: ארן אראל, מנהל הפעילות של F5 בישראל, יוון וקפריסין.
מיקרו-שירותים, 5G, פישינג ובנקאות פתוחה. אלו הנושאים שילוו אותנו במהלך השנה החדשה. מאמר של ארן אראל, מנהל הפעילות של F5 בישראל, יוון וקפריסין
ארן אראל. צילום: גבריאל בהרליה
מיקרו-שירותים (Micro Services)
ארגונים ברחבי העולם עוברים מאפליקציות מונוליטיות לאפליקציות מבוססות מיקרו-שירותים, כאשר קיים גידול בשימוש בטכנולוגיות אלה בסביבות הייצור, בעיקר בשל היכולות לפריסה מהירה יותר של גרסאות תוכנה והטמעת תכונות חדשות בזמן אמת. סקר הלקוחות השנתי של NGINX מצא כי שיעור העסקים שבונים אפליקציות מבוססות מיקרו-שירותים קפץ השנה מ-40% ל-60%. בנוסף, יותר ממחצית מהנשאלים משתמשים במיקרו-שירותים בחלק מהאפליקציות שלהם או בכולן.
במבט קדימה, ניתן לצפות כי תהיה השקעה רבה יותר באורקסטרציה של קונטיינרים מסחריים ומבוססי קוד פתוח, כמו גם בניהול ממשקי API.
מהפכת ה-5G
כאשר מפעילי הסלולר מתכוננים לפרוס רשתות ליבה של 5G, הם עומדים בפני בעיה – האם הם דבקים בגישה המסורתית ופורסים רשת ליבה אינטגרטיבית וורטיקלית מספק אחד, או שהם צריכים ליישם ארכיטקטורה אופקית המורכבת משכבות ברורות? כדי לגלות את היתרונות של 5G ושל הארכיטקטורה הפתוחה, חברות טלקום רבות יתחילו ב-2021 לחקור ביתר שאת את הגישה האחרונה.
הגישה האופקית כוללת ניתוק של התשתית מהתוכנה (רשת, מחשוב ואבטחת מידע), כמו גם את הפונקציות הפועלות על גביה. סוג זה של ארכיטקטורה שכבתית הוא הנורמה בקרב חברות רבות, אבל עבור חברות טלקום, זה דורש שינוי חשיבה: הצורך להתייחס ל-5G כמקרה בוחן שרץ על גבי פלטפורמת ענן, ולא כמחסנית אנכית בפני עצמה.
חשוב לציין כי סטנדרט 5G פותח, בין השאר, בכדי לעודד מפעילים להשתמש בארכיטקטורה אופקית. הוא תוכנן כדי לרתום את הארכיטקטורה מבוססת השירות המחלחלת כיום לתחום מערכות המידע. לאורך זמן, ארכיטקטורה זו תאפשר למפעילים לנצל תוכנות קוד פתוח.
התקפות פישינג בעליה
על פי דוח הפישינג (דיוג) וההונאה של מעבדות F5 Labs לשנת 2020 (2020 F5 Labs Phishing and Fraud Report ) ישנן שתי מגמות עיקריות. ראשית, כתוצאה משיפור בקרות ופתרונות האבטחה של תנועת הבוטים (botnet), התוקפים מאמצים חוות קליקים. הדבר כרוך בהעסקת עשרות 'עובדים' מרוחקים, המנסים באופן שיטתי להיכנס לאתר יעד באמצעות אישורים שהם אספו לאחרונה.
החיבור מגיע מאדם המשתמש בדפדפן אינטרנט רגיל, דבר שמקשה על גילוי פעילות מרמה. גם לנפח התקפות נמוך יחסית יש השפעה. כדוגמה, Shape Security ניתחה 14 מיליון כניסות בחודש בארגון שירותים פיננסיים ורשמה שיעור הונאה ידני של 0.4%, שווה ערך ל-56,000 ניסיונות כניסה מנוכלים, והמספרים הקשורים לפעילות מסוג זה צפויים להמשיך לעלות.
שנית, חוקרי האבטחה של Shape רשמו גם עלייה בהיקף ה-Real time phishing proxy שיכולים ללכוד ולהשתמש בקודים לאימות רב-גורמים (MFA). ה-RTPP פועל כ"אדם באמצע" (man-in-the-middle) ומיירט עסקאות של הקורבן עם אתר לגיטימי. שרתי RTPP שהיו בשימוש פעיל לאחרונה כוללים את Modlishka ו-Evilginx2. מעבדות F5 Labs ו-Shape Security ערוכות על מנת לנטר את השימוש הגובר ב-RTPP בחודשים הקרובים.
בנקאות פתוחה
בנקאות פתוחה מאפשרת לבנקים לשתף באופן מאובטח את נתוני הלקוחות עם ספקי צד שלישי (TPP) במגוון וורטיקלים, כמו גם עם בנקים אחרים, באמצעות ממשקי API. אם הדבר נעשה באופן נכון, ניתן לעודד פיתוח מוצרים ושירותים פיננסיים חדשניים המונעים על ידי נתונים סביב פלטפורמה מרכזית.
על פי מחקר חדש של Twimbit בחסות F5, כמעט שישה מתוך עשרה צרכנים יהיו מוכנים לחלוק מידע פרטי ומשמעותי עם הבנק וחברת הביטוח בתמורה למחירים נמוכים יותר עבור מוצרים ושירותים. עם זאת, שימוש מוגבר בממשקי API בכל הענפים לא נעלם מעיני פושעי הרשת. גרטנר צופה שעד שנת 2022 ניצול ממשקי ה-API יהיה וקטור ההתקפה הנפוץ ביותר נגד יישומי web ארגוניים, דבר שיוביל ללא מעט אתגרי אבטחת מידע.
האם 2021 היא השנה שבה הבנקאות הפתוחה ממריאה בקנה מידה עולמי? אם כן, זה ידרוש ערנות. צפו לטלטלה בטכנולוגיה שתוכננה לראשונה עם ממשקי API. פתרונות שימקסמו את הביצועים (על ידי הפחתת זמן התגובה הממוצע לקריאת API ומזעור טביעת הרגל והמורכבות של ה-gateway ל-API) יהיו מאד מבוקשים.
עם זאת, ההתקדמות תתעכב אם לא יטופל החשש של הצרכן מהונאה או פריצה למידע. כדי לבנות אמון, חיוני לאמץ אסטרטגיות מודרניזציה של אפליקציות על ידי יישום אסטרטגיית הגנה של 360 מעלות, שהיא מעבר לבדיקת פגיעויות תוכנה בלבד.
אפליקציות מסתגלות וכישורי אבטחת מידע
בעידן המיקרו-שירותים והמחשוב המבוזר, קשה לנהל את פורטפוליו האפליקציות ההולך וגדל ללא אוטומציה מתוחכמת יותר. מרכיב מרכזי בשינוי זה הוא היכולת להפוך את האפליקציות שלנו למסתגלות. במילים אחרות, היכולת להתכווץ, להגן ולתקן על בסיס הסביבה בה הן נמצאות ואופן השימוש בהן.
אנו כבר רואים דוגמאות לאופן שבו שילוב רב עוצמה של שירותי יישומים, טלמטריה ואוטומציה יכול לשנות את חוקי המשחק ולספק חוויות דיגיטליות יוצאות דופן. צפו במגמות הללו בשנת 2021.
הכותב: ארן אראל, מנהל הפעילות של F5 בישראל, יוון וקפריסין.
