המשתנה האנושי: איך לתכנן אסטרטגיית אבטחה במציאות ׳נזילה׳
גארי סורנטינו מזום, מסביר ומדגים מדוע חייבים לאמץ שלושה עקרונות מפתח: גישה של אפס אמון, התאמה אישית של הגנת מידע וחיזוק הכשרה מעשית
ישראל דיפנס
| 13/12/2021
קרדיט: זום
כוח העבודה ההיברידי הוא כבר מזמן לא רק מושג, הוא מציאות. כוח העבודה ההיברידי גם הביא עימו שלושה סוגים של עובדים שצוותי IT בארגונים ובחברות צריכים לקחת בחשבון: חלקם הולכים לעבודה כל יום, חלקם עובדים מרחוק וחלקם עובדים בשילוב של שניהם - כנראה הקבוצה המורכבת ביותר.
עם הקבוצה האחרונה, העבודה יכולה להיות מכל מקום – בתים פרטיים, מרכזי עבודה שיתופיים, נמלי תעופה, מלונות ועוד רבים אחרים. נקודות החשיפה האפשריות לסיכונים מבחוץ הופכות במקרה הזה לאקספוננציאליות, ומחלקות ה-IT יצטרכו להתכונן למערך מגוון של סביבות לאבטחה ולבקרה.
וזה מעלה את השאלה: איך מנהלים בהצלחה את זרימת העבודה של העובדים, עם מידע שנכנס ויוצא ממשרדים, שדות תעופה, חללי עבודה שיתופיים, בתי קפה וספריות?
אצלנו בזום, החברה שהפכה לשחקנית מרכזית במעבר לעולם ההיברידי, החלטנו לחקור דרכים יעילות שבהן ארגונים יכולים ליצור אסטרטגיית אבטחה המושרשת בשונות של כוח העבודה ההיברידי.
רצינו לבנות אסטרטגיה שפוגשת עובדים במקום שבו הם נמצאים ועוזרת להם ללמוד את התפקיד שהם ממלאים באבטחת מודל העבודה החדש הזה. האסטרטגיה הזו בנויה סביב שלושה עקרונות מפתח: אימוץ גישה של אפס אמון, התאמה אישית של הגנת מידע וחיזוק הכשרה מעשית.
אפס אמון
המשתמשים של היום מתמודדים עם איומים מורכבים יותר ויצירתיים יותר מאי פעם. היו מי שניצלו את המגיפה ושלחו מייל פישינג מזויף לבדיקת קורונה, הודעות טקסט שהחבילה התעכבה, או שיחת טלפון לאיתור איש קשר. בימים אלה, התקפות הדיוג (phishing) מותאמות אישית יותר, תוכנות זדוניות הפכו לחמקניות יותר ותוכנות ransomware ממשיכות לשגשג.
למעשה, על פי IBM 2021 X-Force Threat Intelligence Index, תוכנות אלה היו סוג האיומים המוביל - הן היוו 23% מההתקפות. תוכנת Sodinokibi (REvil) לבדה קצרה - באומדן שמרני - 123 מיליון דולר.
עם התפתחות איומי האבטחה במקביל להתפתחות כוח העבודה ההיברידי, מדיניות ה-IT חייבת להתפתח אף היא. בתקופות של טרום מגיפה, ארגונים עדיין פרסו אבטחה היקפית, כאשר ההתמקדות הייתה בהקמת רשת לאבטחת נתונים ומשאבים.
גישה זו מסתמכת על מערכות כמו חומות אש ומערכות בידוד דפדפן, ומתמקדת בזיהוי איומים, זיהוי מעקב וניתוח דפוסים. אבל הגישה הזו הפכה לחסרת תועלת מול משבר הקורונה ותהיה לא יעילה עם כוח העבודה ההיברידי.
כשעובדים מסתובבים במשרד ומחוצה לו עם המחשבים שלהם, ה-IT צריך מודל אפס אמון. אנחנו כבר לא רק מגנים על ארבעת הקירות של העסק – המודל חייב לכלול את כל ארבעה הקירות אצל כל עובד באשר הוא.
מודל אפס אמון הוא המסלול היחיד שיכול להיות בר-קיימא עבור כוח העבודה ההיברידי. זוהי גישת מיקרו-פילוח, העוקבת אחר משתמשים, מיקומם ונתונים אחרים כדי לקבוע אם לסמוך על משתמש, מכונה או אפליקציה המבקשים גישה לנתונים מסוימים.
אפס אמון מסתמך על טכנולוגיות כמו אימות רב-גורמי, ניהול זהויות וגישה (IAM), הצפנה, הרשאות ניקוד ומערכת קבצים וגורמים נוספים. חלק מהטכניקות הללו עשויות להרגיש צפויות לעובדים, בעוד שאחרות עשויות לדרוש הסבר מדוע הן חשובות והכרחיות.
כדי לאפשר אימוץ קל של גישת אפס אמון, צריך להסביר לעובדים את הרלוונטיות המצבית במונחים של הדיוטות כדי להראות לעובדים את הכוח וההשלכות האפשריות של הפעולה שלהם - לדוגמה, ׳אנו דורשים single sign-on מכיוון שהסיסמה שלך היא עדיין שם הכלב שלך׳, או ׳פשוט לשנות מספר בסיסמה שלך׳ לא יספיק.
בנוסף, עלינו להכשיר את המשתמשים לפעול בצורה מינימליסטית - הם צריכים תמיד לנסות לבצע משימה עם כמות הגישה המינימלית האפשרית לנכסי הארגון. האם אתה באמת צריך להדפיס את המסמך הזה בבית? האם אתה חייב לבצע את שיחת הטלפון החסויה מבית קפה? צריך לגרום למשתמשים להיות מודעים לעצמם לגבי האבטחה שלהם, ולתת להם השראה להפוך לקציני אבטחת המידע (CISO) של חייהם.
התאמה אישית
בעוד שאבטחת נתונים התמקדה תמיד יותר בפרצות אבטחה גדולות, ה-IT צריך כעת להתמקד באבטחת נקודות קצה קונטקסטואלית, כדי להיות מסוגל להרחיב את הגנת הנתונים כדי לענות על הצרכים של כוח עבודה בכל מקום. יש לקבוע עקרונות ותוצאות מוגדרים עבור אופן הטיפול בנתונים לפי סוג סביבה - כל סוג של סביבה שאתה חושב שעובד עשוי לעבוד ממנה. לדוגמה, הטיפול בנתונים שונה כאשר העובדים נמצאים בתרחיש מבוקר של משרד או בבית לעומת בית קפה.
מעבר לכך, צוותי IT צריכים לפרוס תוכניות שיאבטחו כל מכשיר בכל מופע, כמו אסטרטגיית ניהול מכשירים ניידים (MDM). תכנית MDM מקיפה מקימה בסיס יציב ומוגן. יש לעבוד עם ספק מהימן כדי לפרוס יישומים ותצורות במכשיר, מדיניות ותעודות ארגוניות ותשתית עורפית כדי לפשט את ניהול המכשירים וליצור נראות לתוך אבטחת נקודות הקצה. עם זאת, צוותי IT חייבים לאזן בין השימוש בהגנת MDM לבין השימוש האישי של העובדים במכשירים.
מכיוון שהמכשירים של העובדים יתקיימו ברשתות ארגוניות ואישיות כאחד, צוותי IT צריכים לזכור גם שהגנה על שני סוגי הרשתות היא הכרח לאבטחת מידע. בכל הנוגע לרשתות אישיות, ה-IT צריך ללמד את העובדים כיצד לאבטח את הרשתות הביתיות שלהם ולעודד אותם לפעול לפי שיטות עבודה מומלצות פשוטות, כגון שינוי סיסמאות ברירת מחדל ושמירה על עדכניות הקושחה.
ה-IT חייב גם להבטיח שאופציה של רשת וירטואלית פרטית (VPN) היא סטנדרט עבור כל העובדים, אבל במיוחד עבור אלה שקופצים הלוך ושוב בין המשרד לבית ונמצאים כל הזמן בדרכים.
כדי להגן על עובדים במשרד, צוותי IT צריכים לפרוס פתרונות רשת זריזים המציעים ניטור בזמן אמת, זיהוי חריגות, מיקרו-פילוח ורשתות בהסגר. אין לאפשר שימוש במכשירים לא רשומים ברשתות ארגוניות. ניטור וזיהוי צריכים להיות נתמכים על ידי מרכז פעולות אבטחה (SOC) המיועד גם לכוח העבודה החדש הזה.
בעוד שרבים פנו ל-SOC וירטואלי בעידן הקורונה, צוותי IT של ארגונים גדולים יותר עם תקציבים גמישים צריכים לשקול לאמץ סוג חדש של SOC שמאפשר להם להתרחב כפי שעושה כוח העבודה. SOC היברידי משלב פעולות פנימיות עם פעולות וירטואליות במיקור חוץ.
כאשר חלק מחברי ארגון ה-IT מטפלים בתחומי מיקוד מרכזיים בעוד שאחרים מספקים סוג מסוים של תמיכה נוספת. SOC היברידי יכול לסייע בכיסוי חוץ-משרדי, 24/7 וגלובלי, כמו גם לאפשר ל-IT פנימי להתמקד במשימות אסטרטגיות יותר בזמן שהחברים במיקור חוץ מטפלים בתיקון בעיות.
חיזוק הכשרה מעשית
הטבע האנושי הוא החוליה החלשה ביותר בכל אסטרטגיית אבטחה. מדד IBM 2021 X-Force Threat Intelligence4 מדווח כי 95% מפרצות אבטחת הסייבר נובעות מטעויות אנוש. לכן הכשרה, בדיקות ומודעות לאבטחה ימשיכו לשחק תפקיד מרכזי.
הדרכה ולמידה מתמשכת עוזרים לעובדים להבין את התפקיד שממלא משתמשי הקצה בתנוחת האבטחה הכוללת של ארגון. זה יוצר תחושת אחריות. הכשרה ומודעות גם יוצרים תרבות של אבטחה, שבה כל הצדדים מרגישים מושקעים ואחראים בהגנה הכוללת של ארגון, גם אם הם מנותקים ממקום פיזי."
הכשרה בסיסית כבר לא יכולה להיות האופציה היחידה להילחם באיומים המתקדמים של היום - היא צריכה להשתפר מאוד. הדרכת אבטחה משופרת חייבת להיות בעדיפות ראשונה עבור כל החברות בעתיד. לא רק שהעובדים זקוקים ללמידה מתמשכת על שיטות עבודה מומלצות לאיתור איומים והגנה על נתונים, אלא גם להדרכה על כל טכנולוגיה שנכנסת לתשתית העסק.
אנחנו צריכים להבטיח שכל טכנולוגיה שאנו מביאים היא פלטפורמה ידידותית למשתמש שיש לה בקרות נאותות שהגיוניות לאנשים שמנהלים ומשתמשים בטכנולוגיה מדי יום. יש לשלב את היישום עם הדרכות ייעודיות והדרכות מעשיות על התוכנה. ההדרכה צריכה להיות מבוססת דוגמאות עם תרחישים אמיתיים ובלתי צפויים, כך שהשיעורים ירגישו ישימים לחיי המשתמשים. צריך ליצור חוויה בלתי נשכחת לעומת משימה רבעונית שהעובדים מרגישים מחויבים להשתתף בה.
המשתנה האנושי
המשתנה האנושי של כוח העבודה ההיברידי יכול להיות האיום הגדול ביותר או היתרון התחרותי הגדול ביותר לארגונים. ההצלחה בנוף המורכב של היום תיקבע על ידי האופן שבו ארגונים בונים את האסטרטגיה שלהם סביב המשתנה הזה. מנהיגים במגזר האבטחה יכולים לחשוש מהטבע הבלתי צפוי של כוח העבודה ההיברידי או לרתום את כוחו של הפוטנציאל האנושי כדי להחדיר ביטחון למרקם הארגון שלהם.
בני אדם עושים לעתים קרובות מה שנוח או מרתק; אבטחה יכולה להיות גם וגם. בעוד שכוח העבודה ההיברידי פירושו יותר נקודות קצה ויותר סביבות עבודה, זה גם פותח הזדמנויות למנהיגים להחדיר את נושא האבטחה כמרכיב יסוד בתרבות החברה.
מאת: גארי סורנטינו, סגן CIO גלובלי בזום
גארי סורנטינו מזום, מסביר ומדגים מדוע חייבים לאמץ שלושה עקרונות מפתח: גישה של אפס אמון, התאמה אישית של הגנת מידע וחיזוק הכשרה מעשית
קרדיט: זום
כוח העבודה ההיברידי הוא כבר מזמן לא רק מושג, הוא מציאות. כוח העבודה ההיברידי גם הביא עימו שלושה סוגים של עובדים שצוותי IT בארגונים ובחברות צריכים לקחת בחשבון: חלקם הולכים לעבודה כל יום, חלקם עובדים מרחוק וחלקם עובדים בשילוב של שניהם - כנראה הקבוצה המורכבת ביותר.
עם הקבוצה האחרונה, העבודה יכולה להיות מכל מקום – בתים פרטיים, מרכזי עבודה שיתופיים, נמלי תעופה, מלונות ועוד רבים אחרים. נקודות החשיפה האפשריות לסיכונים מבחוץ הופכות במקרה הזה לאקספוננציאליות, ומחלקות ה-IT יצטרכו להתכונן למערך מגוון של סביבות לאבטחה ולבקרה.
וזה מעלה את השאלה: איך מנהלים בהצלחה את זרימת העבודה של העובדים, עם מידע שנכנס ויוצא ממשרדים, שדות תעופה, חללי עבודה שיתופיים, בתי קפה וספריות?
אצלנו בזום, החברה שהפכה לשחקנית מרכזית במעבר לעולם ההיברידי, החלטנו לחקור דרכים יעילות שבהן ארגונים יכולים ליצור אסטרטגיית אבטחה המושרשת בשונות של כוח העבודה ההיברידי.
רצינו לבנות אסטרטגיה שפוגשת עובדים במקום שבו הם נמצאים ועוזרת להם ללמוד את התפקיד שהם ממלאים באבטחת מודל העבודה החדש הזה. האסטרטגיה הזו בנויה סביב שלושה עקרונות מפתח: אימוץ גישה של אפס אמון, התאמה אישית של הגנת מידע וחיזוק הכשרה מעשית.
אפס אמון
המשתמשים של היום מתמודדים עם איומים מורכבים יותר ויצירתיים יותר מאי פעם. היו מי שניצלו את המגיפה ושלחו מייל פישינג מזויף לבדיקת קורונה, הודעות טקסט שהחבילה התעכבה, או שיחת טלפון לאיתור איש קשר. בימים אלה, התקפות הדיוג (phishing) מותאמות אישית יותר, תוכנות זדוניות הפכו לחמקניות יותר ותוכנות ransomware ממשיכות לשגשג.
למעשה, על פי IBM 2021 X-Force Threat Intelligence Index, תוכנות אלה היו סוג האיומים המוביל - הן היוו 23% מההתקפות. תוכנת Sodinokibi (REvil) לבדה קצרה - באומדן שמרני - 123 מיליון דולר.
עם התפתחות איומי האבטחה במקביל להתפתחות כוח העבודה ההיברידי, מדיניות ה-IT חייבת להתפתח אף היא. בתקופות של טרום מגיפה, ארגונים עדיין פרסו אבטחה היקפית, כאשר ההתמקדות הייתה בהקמת רשת לאבטחת נתונים ומשאבים.
גישה זו מסתמכת על מערכות כמו חומות אש ומערכות בידוד דפדפן, ומתמקדת בזיהוי איומים, זיהוי מעקב וניתוח דפוסים. אבל הגישה הזו הפכה לחסרת תועלת מול משבר הקורונה ותהיה לא יעילה עם כוח העבודה ההיברידי.
כשעובדים מסתובבים במשרד ומחוצה לו עם המחשבים שלהם, ה-IT צריך מודל אפס אמון. אנחנו כבר לא רק מגנים על ארבעת הקירות של העסק – המודל חייב לכלול את כל ארבעה הקירות אצל כל עובד באשר הוא.
מודל אפס אמון הוא המסלול היחיד שיכול להיות בר-קיימא עבור כוח העבודה ההיברידי. זוהי גישת מיקרו-פילוח, העוקבת אחר משתמשים, מיקומם ונתונים אחרים כדי לקבוע אם לסמוך על משתמש, מכונה או אפליקציה המבקשים גישה לנתונים מסוימים.
אפס אמון מסתמך על טכנולוגיות כמו אימות רב-גורמי, ניהול זהויות וגישה (IAM), הצפנה, הרשאות ניקוד ומערכת קבצים וגורמים נוספים. חלק מהטכניקות הללו עשויות להרגיש צפויות לעובדים, בעוד שאחרות עשויות לדרוש הסבר מדוע הן חשובות והכרחיות.
כדי לאפשר אימוץ קל של גישת אפס אמון, צריך להסביר לעובדים את הרלוונטיות המצבית במונחים של הדיוטות כדי להראות לעובדים את הכוח וההשלכות האפשריות של הפעולה שלהם - לדוגמה, ׳אנו דורשים single sign-on מכיוון שהסיסמה שלך היא עדיין שם הכלב שלך׳, או ׳פשוט לשנות מספר בסיסמה שלך׳ לא יספיק.
בנוסף, עלינו להכשיר את המשתמשים לפעול בצורה מינימליסטית - הם צריכים תמיד לנסות לבצע משימה עם כמות הגישה המינימלית האפשרית לנכסי הארגון. האם אתה באמת צריך להדפיס את המסמך הזה בבית? האם אתה חייב לבצע את שיחת הטלפון החסויה מבית קפה? צריך לגרום למשתמשים להיות מודעים לעצמם לגבי האבטחה שלהם, ולתת להם השראה להפוך לקציני אבטחת המידע (CISO) של חייהם.
התאמה אישית
בעוד שאבטחת נתונים התמקדה תמיד יותר בפרצות אבטחה גדולות, ה-IT צריך כעת להתמקד באבטחת נקודות קצה קונטקסטואלית, כדי להיות מסוגל להרחיב את הגנת הנתונים כדי לענות על הצרכים של כוח עבודה בכל מקום. יש לקבוע עקרונות ותוצאות מוגדרים עבור אופן הטיפול בנתונים לפי סוג סביבה - כל סוג של סביבה שאתה חושב שעובד עשוי לעבוד ממנה. לדוגמה, הטיפול בנתונים שונה כאשר העובדים נמצאים בתרחיש מבוקר של משרד או בבית לעומת בית קפה.
מעבר לכך, צוותי IT צריכים לפרוס תוכניות שיאבטחו כל מכשיר בכל מופע, כמו אסטרטגיית ניהול מכשירים ניידים (MDM). תכנית MDM מקיפה מקימה בסיס יציב ומוגן. יש לעבוד עם ספק מהימן כדי לפרוס יישומים ותצורות במכשיר, מדיניות ותעודות ארגוניות ותשתית עורפית כדי לפשט את ניהול המכשירים וליצור נראות לתוך אבטחת נקודות הקצה. עם זאת, צוותי IT חייבים לאזן בין השימוש בהגנת MDM לבין השימוש האישי של העובדים במכשירים.
מכיוון שהמכשירים של העובדים יתקיימו ברשתות ארגוניות ואישיות כאחד, צוותי IT צריכים לזכור גם שהגנה על שני סוגי הרשתות היא הכרח לאבטחת מידע. בכל הנוגע לרשתות אישיות, ה-IT צריך ללמד את העובדים כיצד לאבטח את הרשתות הביתיות שלהם ולעודד אותם לפעול לפי שיטות עבודה מומלצות פשוטות, כגון שינוי סיסמאות ברירת מחדל ושמירה על עדכניות הקושחה.
ה-IT חייב גם להבטיח שאופציה של רשת וירטואלית פרטית (VPN) היא סטנדרט עבור כל העובדים, אבל במיוחד עבור אלה שקופצים הלוך ושוב בין המשרד לבית ונמצאים כל הזמן בדרכים.
כדי להגן על עובדים במשרד, צוותי IT צריכים לפרוס פתרונות רשת זריזים המציעים ניטור בזמן אמת, זיהוי חריגות, מיקרו-פילוח ורשתות בהסגר. אין לאפשר שימוש במכשירים לא רשומים ברשתות ארגוניות. ניטור וזיהוי צריכים להיות נתמכים על ידי מרכז פעולות אבטחה (SOC) המיועד גם לכוח העבודה החדש הזה.
בעוד שרבים פנו ל-SOC וירטואלי בעידן הקורונה, צוותי IT של ארגונים גדולים יותר עם תקציבים גמישים צריכים לשקול לאמץ סוג חדש של SOC שמאפשר להם להתרחב כפי שעושה כוח העבודה. SOC היברידי משלב פעולות פנימיות עם פעולות וירטואליות במיקור חוץ.
כאשר חלק מחברי ארגון ה-IT מטפלים בתחומי מיקוד מרכזיים בעוד שאחרים מספקים סוג מסוים של תמיכה נוספת. SOC היברידי יכול לסייע בכיסוי חוץ-משרדי, 24/7 וגלובלי, כמו גם לאפשר ל-IT פנימי להתמקד במשימות אסטרטגיות יותר בזמן שהחברים במיקור חוץ מטפלים בתיקון בעיות.
חיזוק הכשרה מעשית
הטבע האנושי הוא החוליה החלשה ביותר בכל אסטרטגיית אבטחה. מדד IBM 2021 X-Force Threat Intelligence4 מדווח כי 95% מפרצות אבטחת הסייבר נובעות מטעויות אנוש. לכן הכשרה, בדיקות ומודעות לאבטחה ימשיכו לשחק תפקיד מרכזי.
הדרכה ולמידה מתמשכת עוזרים לעובדים להבין את התפקיד שממלא משתמשי הקצה בתנוחת האבטחה הכוללת של ארגון. זה יוצר תחושת אחריות. הכשרה ומודעות גם יוצרים תרבות של אבטחה, שבה כל הצדדים מרגישים מושקעים ואחראים בהגנה הכוללת של ארגון, גם אם הם מנותקים ממקום פיזי."
הכשרה בסיסית כבר לא יכולה להיות האופציה היחידה להילחם באיומים המתקדמים של היום - היא צריכה להשתפר מאוד. הדרכת אבטחה משופרת חייבת להיות בעדיפות ראשונה עבור כל החברות בעתיד. לא רק שהעובדים זקוקים ללמידה מתמשכת על שיטות עבודה מומלצות לאיתור איומים והגנה על נתונים, אלא גם להדרכה על כל טכנולוגיה שנכנסת לתשתית העסק.
אנחנו צריכים להבטיח שכל טכנולוגיה שאנו מביאים היא פלטפורמה ידידותית למשתמש שיש לה בקרות נאותות שהגיוניות לאנשים שמנהלים ומשתמשים בטכנולוגיה מדי יום. יש לשלב את היישום עם הדרכות ייעודיות והדרכות מעשיות על התוכנה. ההדרכה צריכה להיות מבוססת דוגמאות עם תרחישים אמיתיים ובלתי צפויים, כך שהשיעורים ירגישו ישימים לחיי המשתמשים. צריך ליצור חוויה בלתי נשכחת לעומת משימה רבעונית שהעובדים מרגישים מחויבים להשתתף בה.
המשתנה האנושי
המשתנה האנושי של כוח העבודה ההיברידי יכול להיות האיום הגדול ביותר או היתרון התחרותי הגדול ביותר לארגונים. ההצלחה בנוף המורכב של היום תיקבע על ידי האופן שבו ארגונים בונים את האסטרטגיה שלהם סביב המשתנה הזה. מנהיגים במגזר האבטחה יכולים לחשוש מהטבע הבלתי צפוי של כוח העבודה ההיברידי או לרתום את כוחו של הפוטנציאל האנושי כדי להחדיר ביטחון למרקם הארגון שלהם.
בני אדם עושים לעתים קרובות מה שנוח או מרתק; אבטחה יכולה להיות גם וגם. בעוד שכוח העבודה ההיברידי פירושו יותר נקודות קצה ויותר סביבות עבודה, זה גם פותח הזדמנויות למנהיגים להחדיר את נושא האבטחה כמרכיב יסוד בתרבות החברה.
מאת: גארי סורנטינו, סגן CIO גלובלי בזום
