זום: אתגרי האבטחה של עידן הפוסט-קורונה
שנה לאחר כניסתו לתפקיד, מנהל אבטחת המידע הראשי של זום, ג'ייסון לי, מסביר איך הוא וצוות האבטחה של זום התייחסו לבעיות אבטחה ופרטיות על רקע צמיחה מהירה וביקורת ציבורית
ישראל דיפנס
| 11/07/2021
מנהל אבטחת המידע הראשי של זום, ג'ייסון לי. צילום: באדיבות זום
ביוני 2020 הצטרף ג'ייסון לי לענקית הווידאו זום. התפקיד הסופר-מאתגר: מנהל אבטחת המידע הראשי של החברה. זום הייתה אז בעיצומה של תוכנית אבטחה בת 90 יום שהושקה לטיפול בבעיות אבטחה ופרטיות שהסלימו בעקבות הצמיחה המטאוריטית של זום על רקע מגיפת הקורונה – מהלך שהוביל למעבר ההמוני לעבודה מרחוק. לי נדרש לפקח על אסטרטגיות שמטרתן הייתה להרים גבוה גבוה את חומות אבטחת הסייבר והשמירה על הפרטיות תוך התמודדות יומיומית עם בסיס הלקוחות שגדל במהירות, תכונות אבטחה חדשות והכל תחת לחץ ציבורי הולך וגובר.
בראיון שהעניק לא מכבר למגזין האבטחה CSO, סיפר לי על ההתמודדות לה נדרש בתפקידו החדש בעיצומו של המשבר הגלובלי. האתגר היה לא קטן, הוא נזכר: ״אם בדצמבר 2019 היו לזום כ -10 מיליון משתתפים יומיים בפגישה, באפריל/מאי המספר הזה צמח ל-300 מיליון... בחודשים הראשונים של 2020 הצוות עבד מסביב לשעון רק בניסיון להתרגל לכמות וסוגי המשתמשים החדשים והשונים. אני מתקשה להאמין שיש עוד חברות שעברו צמיחה כזו".
לי מספר שהלחץ מהלקוחות בתחום האבטחה היה אדיר. "תמיד בירכתי על כך. הם בחנו לעומק דברים כמו ניתוב נתונים והצפנה נכונה, שלחו לנו פידבקים באון קבוע ומנכ"ל זום, אריק יואן, לקח את המשוב הזה והבנה יחד עם הצוות את תוכנית 90 הימים, שכללה בעצם מיקוד של צוות ההנדסה של זום באבטחה ובפרטיות. היה ברור לכולנו שצריך לעצור הכל – כולל השקת תכונות חדשות ולהתמקד בדבר אחד: לתת ללקוחות את רמת האבטחה אותה הם היו צריכים״.
אבטחה בכל היבטי המוצר
לי מסביר שהעיסוק באבטחה ופרטיות הוא חלק מהותי לא רק בעיצוב המוצר, אלא בכל היבטי המוצר - ממערכת ההנדסה ועד לסביבת ה- IT ובקרות אבטחה נפוצות. "להרבה חברות יש מערכות זהות מרובות; אני מעריץ של מערכת זהות אחת, שקל יותר לנהל אותה ומציעה חוויה עקבית. כשאתה בונה צוות אבטחה מהר כמוני, קל מאוד להתמודד עם בקרות ולהאט תהליכים עסקיים". אחת הדברים דרכן הצוות של לי עבד על זה הייתה, לדוגמה, כאשר המהנדסים השתמשו בספרייה לקריפטוגרפיה יצרנו נקודת גישה אחת, אופציה ל-one-stop shop, מעין דרך קלה ונוחה לעיצוב עבור המהנדסים, כך שיוכלו להתמקד ביצירת תכונות חדשות ומלהיבות עם בסיס אבטחת ליבה שכבר נעשה ונבנה.
"צריכה להיות מסגרת תאימות משותפת - מסגרת בקרה אחת שניתן לכסות את כל האישורים במסגרתה. זה אומר שאתה לא צריך לעשות ביקורת חדשה עבור כל הסמכה, וזה דבר קריטי עבור חברה שבה התוכנה היא השירות." לי מסביר שתפקוד מצוין הוא חלק קריטי ממתן שירות מהיר אך איכותי - למשל, באיזו מהירות ניתן להגיב לאירוע, או אם ההנדסה זקוקה לצוות האבטחה כדי לבחון משהו, ומהם הסכמי רמת השירות.
מבחן התוצאה
לי מספר כי הוא בהחלט גאה בהצלחה של יישום האסטרטגיה הזו בפועל. "התפקיד שלי הוא לוודא שאנחנו שוכרים כישרונות מובילים ומספקים תכונות אבטחה חדשניות במוצרים שלנו. אנשים מהצוות שלי מוזמנים כיום מכל רחבי העולם כדי לשמוע מה אנו עושים ואיך עשינו את זה. העובדה שאנו מופיעים כיום בכנסי האבטחה הגדולים בעולם עם הסיפור שלנו מעידה שכנראה אנו עושים את זה נכון״.
ההצלחה הזו נגעה גם באופן שבו אימנו את העובדים: "אני מעריץ גדול של ׳משחוק׳ (gamification) בכל הנוגע להדרכות. אני אוהב לאפשר לקבוצות להתחרות זו בזו. דוגמה מצוינת היא צוות הפיתוח שלנו. יש לנו תחרויות בין צוותים מי יכול למצוא הכי הרבה נקודות תורפה ביישום מזויף שבנינו. יש לנו פרסים... וצוות ההנדסה אוהב את זה."
אבל השינויים לא היו רק ברמת הצוות, כמובן - מאז כניסתו של לי, הצוות הכניס מספר תכונות אבטחה קריטיות. "כמה דברים חשובים שעשינו תחילה היה לוודא שיש לנו הצפנת AES-GCM של 256 סיביות כברירת מחדל. רכשנו חברה בשם Keybase כדי לבנות הצפנה מקצה לקצה כתכונה אופציונלית, תכונה שהשקנו באוקטובר אשתקד. ככל שהפרופיל של זום גדל, הרבה יותר חוקרים ניסו להיות באינטראקציה איתנו וזה היה, למען האמת, מכריע באותה תקופה. בשלב הזה גם הבנו שהגיוני לצאת לשוק עם תוכנית bug bounty... הבאתי פנימה את אדם רודרמן מקבוצת NCC, שהוביל את הייעוץ בסיוע לבנות את התוכנית עצמה יחד איתנו."
חלק גדול מהשינוי היה להקל על כלל המשתמשים להשתמש בתכונות האבטחה החדשות. "היו לנו כל כך הרבה משתמשים חדשים שלא ידעו להשתמש בתכונות האלה. כאשר אתה חושב על תכונות אבטחה, הדבר החשוב ביותר שיש לקחת בחשבון הוא כיצד להפוך את האבטחה לסופר פשוטה מבחינת המשתמש. תוך כדי הכנסנו תכונה של ׳השעיית פעילויות המשתתפים׳, שבה מישהו יכול להקפיא פגישה ולהסיר מישהו שנכנס הפגישה אך לא היה אמור להיות שם, לחדש את הפגישה ואז לדווח עליו. הוספנו תכונה המאפשרת למשתמשים לבחור דרך אילו מבין 21 מיקומי מרכז הנתונים המשותפים שלהם הם מעוניינים שהנתונים שלהם יעברו, ובאילו הם לא רוצים להשתמש."
מסתכלים לעתיד
לי מספר שעדיין נותרו אתגרים שהוא צריך והצוות שלו חייבים להתמודד איתם. "תוכנית ה-bug bounty היא דוגמה מצוינת. עכשיו, כשמלאו לה שנה, ההתמקדות שלנו עוברת לאופן שבו אנו יכולים להפוך אותה למתקדמת יותר ולעשות איתה דברים מתקדמים יותר. לדוגמא, אנו בוחנים הזדמנויות לבצע האקינג חי, ולשלב פנימה את חוקרי האבטחה שלנו. מין האקאתון שכזה."
"אנחנו מנסים להפוך כמה שיותר ל׳אוטומטיים׳, כך שיש מכשולים להתגבר עליהם במעבר מתהליכים ידניים לתהליך אוטומטי יותר. אנחנו חברת וידאו קודם כל ואנחנו עובדים עם טונות של ארגונים שעדיין מנסים להבין כיצד הם יכולים לפעול בצורה הטובה ביותר במודל היברידי, עם עובדים באופן קבוע גם מחוץ למשרד. איך זה מתקשר עם אלו שבבית? זה משהו שאנחנו רוצים להתייחס אליו עם פיצ'רים חדשים שאני מאוד מתרגש מהם."
שנה לאחר כניסתו לתפקיד, מנהל אבטחת המידע הראשי של זום, ג'ייסון לי, מסביר איך הוא וצוות האבטחה של זום התייחסו לבעיות אבטחה ופרטיות על רקע צמיחה מהירה וביקורת ציבורית
מנהל אבטחת המידע הראשי של זום, ג'ייסון לי. צילום: באדיבות זום
ביוני 2020 הצטרף ג'ייסון לי לענקית הווידאו זום. התפקיד הסופר-מאתגר: מנהל אבטחת המידע הראשי של החברה. זום הייתה אז בעיצומה של תוכנית אבטחה בת 90 יום שהושקה לטיפול בבעיות אבטחה ופרטיות שהסלימו בעקבות הצמיחה המטאוריטית של זום על רקע מגיפת הקורונה – מהלך שהוביל למעבר ההמוני לעבודה מרחוק. לי נדרש לפקח על אסטרטגיות שמטרתן הייתה להרים גבוה גבוה את חומות אבטחת הסייבר והשמירה על הפרטיות תוך התמודדות יומיומית עם בסיס הלקוחות שגדל במהירות, תכונות אבטחה חדשות והכל תחת לחץ ציבורי הולך וגובר.
בראיון שהעניק לא מכבר למגזין האבטחה CSO, סיפר לי על ההתמודדות לה נדרש בתפקידו החדש בעיצומו של המשבר הגלובלי. האתגר היה לא קטן, הוא נזכר: ״אם בדצמבר 2019 היו לזום כ -10 מיליון משתתפים יומיים בפגישה, באפריל/מאי המספר הזה צמח ל-300 מיליון... בחודשים הראשונים של 2020 הצוות עבד מסביב לשעון רק בניסיון להתרגל לכמות וסוגי המשתמשים החדשים והשונים. אני מתקשה להאמין שיש עוד חברות שעברו צמיחה כזו".
לי מספר שהלחץ מהלקוחות בתחום האבטחה היה אדיר. "תמיד בירכתי על כך. הם בחנו לעומק דברים כמו ניתוב נתונים והצפנה נכונה, שלחו לנו פידבקים באון קבוע ומנכ"ל זום, אריק יואן, לקח את המשוב הזה והבנה יחד עם הצוות את תוכנית 90 הימים, שכללה בעצם מיקוד של צוות ההנדסה של זום באבטחה ובפרטיות. היה ברור לכולנו שצריך לעצור הכל – כולל השקת תכונות חדשות ולהתמקד בדבר אחד: לתת ללקוחות את רמת האבטחה אותה הם היו צריכים״.
אבטחה בכל היבטי המוצר
לי מסביר שהעיסוק באבטחה ופרטיות הוא חלק מהותי לא רק בעיצוב המוצר, אלא בכל היבטי המוצר - ממערכת ההנדסה ועד לסביבת ה- IT ובקרות אבטחה נפוצות. "להרבה חברות יש מערכות זהות מרובות; אני מעריץ של מערכת זהות אחת, שקל יותר לנהל אותה ומציעה חוויה עקבית. כשאתה בונה צוות אבטחה מהר כמוני, קל מאוד להתמודד עם בקרות ולהאט תהליכים עסקיים". אחת הדברים דרכן הצוות של לי עבד על זה הייתה, לדוגמה, כאשר המהנדסים השתמשו בספרייה לקריפטוגרפיה יצרנו נקודת גישה אחת, אופציה ל-one-stop shop, מעין דרך קלה ונוחה לעיצוב עבור המהנדסים, כך שיוכלו להתמקד ביצירת תכונות חדשות ומלהיבות עם בסיס אבטחת ליבה שכבר נעשה ונבנה.
"צריכה להיות מסגרת תאימות משותפת - מסגרת בקרה אחת שניתן לכסות את כל האישורים במסגרתה. זה אומר שאתה לא צריך לעשות ביקורת חדשה עבור כל הסמכה, וזה דבר קריטי עבור חברה שבה התוכנה היא השירות." לי מסביר שתפקוד מצוין הוא חלק קריטי ממתן שירות מהיר אך איכותי - למשל, באיזו מהירות ניתן להגיב לאירוע, או אם ההנדסה זקוקה לצוות האבטחה כדי לבחון משהו, ומהם הסכמי רמת השירות.
מבחן התוצאה
לי מספר כי הוא בהחלט גאה בהצלחה של יישום האסטרטגיה הזו בפועל. "התפקיד שלי הוא לוודא שאנחנו שוכרים כישרונות מובילים ומספקים תכונות אבטחה חדשניות במוצרים שלנו. אנשים מהצוות שלי מוזמנים כיום מכל רחבי העולם כדי לשמוע מה אנו עושים ואיך עשינו את זה. העובדה שאנו מופיעים כיום בכנסי האבטחה הגדולים בעולם עם הסיפור שלנו מעידה שכנראה אנו עושים את זה נכון״.
ההצלחה הזו נגעה גם באופן שבו אימנו את העובדים: "אני מעריץ גדול של ׳משחוק׳ (gamification) בכל הנוגע להדרכות. אני אוהב לאפשר לקבוצות להתחרות זו בזו. דוגמה מצוינת היא צוות הפיתוח שלנו. יש לנו תחרויות בין צוותים מי יכול למצוא הכי הרבה נקודות תורפה ביישום מזויף שבנינו. יש לנו פרסים... וצוות ההנדסה אוהב את זה."
אבל השינויים לא היו רק ברמת הצוות, כמובן - מאז כניסתו של לי, הצוות הכניס מספר תכונות אבטחה קריטיות. "כמה דברים חשובים שעשינו תחילה היה לוודא שיש לנו הצפנת AES-GCM של 256 סיביות כברירת מחדל. רכשנו חברה בשם Keybase כדי לבנות הצפנה מקצה לקצה כתכונה אופציונלית, תכונה שהשקנו באוקטובר אשתקד. ככל שהפרופיל של זום גדל, הרבה יותר חוקרים ניסו להיות באינטראקציה איתנו וזה היה, למען האמת, מכריע באותה תקופה. בשלב הזה גם הבנו שהגיוני לצאת לשוק עם תוכנית bug bounty... הבאתי פנימה את אדם רודרמן מקבוצת NCC, שהוביל את הייעוץ בסיוע לבנות את התוכנית עצמה יחד איתנו."
חלק גדול מהשינוי היה להקל על כלל המשתמשים להשתמש בתכונות האבטחה החדשות. "היו לנו כל כך הרבה משתמשים חדשים שלא ידעו להשתמש בתכונות האלה. כאשר אתה חושב על תכונות אבטחה, הדבר החשוב ביותר שיש לקחת בחשבון הוא כיצד להפוך את האבטחה לסופר פשוטה מבחינת המשתמש. תוך כדי הכנסנו תכונה של ׳השעיית פעילויות המשתתפים׳, שבה מישהו יכול להקפיא פגישה ולהסיר מישהו שנכנס הפגישה אך לא היה אמור להיות שם, לחדש את הפגישה ואז לדווח עליו. הוספנו תכונה המאפשרת למשתמשים לבחור דרך אילו מבין 21 מיקומי מרכז הנתונים המשותפים שלהם הם מעוניינים שהנתונים שלהם יעברו, ובאילו הם לא רוצים להשתמש."
מסתכלים לעתיד
לי מספר שעדיין נותרו אתגרים שהוא צריך והצוות שלו חייבים להתמודד איתם. "תוכנית ה-bug bounty היא דוגמה מצוינת. עכשיו, כשמלאו לה שנה, ההתמקדות שלנו עוברת לאופן שבו אנו יכולים להפוך אותה למתקדמת יותר ולעשות איתה דברים מתקדמים יותר. לדוגמא, אנו בוחנים הזדמנויות לבצע האקינג חי, ולשלב פנימה את חוקרי האבטחה שלנו. מין האקאתון שכזה."
"אנחנו מנסים להפוך כמה שיותר ל׳אוטומטיים׳, כך שיש מכשולים להתגבר עליהם במעבר מתהליכים ידניים לתהליך אוטומטי יותר. אנחנו חברת וידאו קודם כל ואנחנו עובדים עם טונות של ארגונים שעדיין מנסים להבין כיצד הם יכולים לפעול בצורה הטובה ביותר במודל היברידי, עם עובדים באופן קבוע גם מחוץ למשרד. איך זה מתקשר עם אלו שבבית? זה משהו שאנחנו רוצים להתייחס אליו עם פיצ'רים חדשים שאני מאוד מתרגש מהם."
