״מגשרים על הפער בין DevOps לאנשי אבטחת מידע״
חברת Lightspin פיתחה מנוע אנליטי שמסוגל לחפש מסלולי תקיפה בתשתיות ענן של הארגון ובאמצעותו, לדרג אילו פגיעויות כדאי לתקן קודם. ראיון מיוחד
עמי רוחקס דומבה
| 10/01/2022
מייסדי לייטספין. מימין: אור אזרזר, סמנכל טכנולוגיות; ולדי סנדלר, מנכ"ל. / צילום: Lihi Binyamini
חברת לייטספין (Lightspin) מספקת פתרון ייחודי להגנת תשתיות ענן. לפני שנצלול לפתרון כפי שהסביר אותו ולדי סנדלר בראיון לישראל דיפנס, רצוי לתאם כמה הנחות ומושגים. הפתרון של החברה מיועד לאנשי DevOps ו-SecOps, אלו שאחראים בארגון על יישום האפליקציות הארגוניות בתשתיות ענן. הפתרון פועל בקרב ספקי ענן מובילים כמו אמזון, מיקרוסופט ולאחרונה גם גוגל. הפתרון תומך גם בקוברנטיס.
הפתרון של Lightspin, בדומה לפתרונות הגנה נוספים על תשתיות ענן, תלוי במידע שספק הענן מייחצן דרך ממשקי ה-API שלו. בהפשטה, מדובר בשני סוגי מיידעים עיקריים - הרשאות ותצורה (Configuration). את המידע הזה מנתחים ומוציאים ממנו תובנות עבור אנשי DevOps.
עוד נקודה שחשוב לציין היא שלרוב, אנשי DevOps פחות עוסקים באבטחת מידע ואנשי אבטחת מידע פחות עוסקים ב-DevOps. ״משם התחלנו״, מסביר סנדלר. ״רצינו לבנות פתרון שמספק לאנשי DevOps פתרון פשוט יחסית שיעלה את רמת האבטחה של התשתיות ענן בהן נעשה שימוש.״
סנדלר מסביר כי אבטחת ענן זה תחום שהפך בתקופה האחרונה לשם קוד חם בתעשייה ומתמודדים עליו מגוון שחקנים. גדולים כקטנים. עם זאת, כולם תלויים במידע שחושף ספק הענן באמצעות ממשקי ה-API שלו. השאלה מה עושים עם המידע הזה.
״זה שוק גדול. חלק מהשחקנים התחילו מפתרונות שמוודאים שהארגון עומד בתקינה תקינה (Compliance). כלומר, לוקחים את המידע מתשתית הענן ומשווים אותה לדרישות התקינה. זה יצר מצב של ריבוי שחקנים שמספקים את אותו פתרון״, מסביר סנדלר.
״בהיבט אבטחת מידע, פתרונות Compliance מייצרים הרבה ״רעש״ ומביאים לכך שלקוחות אינם מתייחסים ברצינות ל״רשימות מכולת״. כאשר בודקים עמידה בתקינה, למשל, צריכים לבדוק גם חוקים בפיירוול. יכולים להיות אלפי חוקים שמרביתם לא רלוונטים בהיבט תיקוני אבטחת מידע. כך גם בסריקת פגיעויות. רשימה עם אלפי רשומות מביאה לכך שלא מתייחסים אליה בסופו של דבר.
״לאחר שסרקנו את השוק והבנו מה יש ומה אנשי DevOps צריכים, פיתחנו את המנוע שלנו. לקח לנו שנה וחצי לפתח אותו. המטרה הייתה לספק סריקת תשתיות ענן לפגיעויות עם אפשרות לצור עדיפות עבור אנשי ה-DevOps מה צריך לתקן. כתוצר, רצינו לתת קובץ ״תשתית כתצורה״ (infrastructure as code) כדוגמאת Terraform.״
איך אתם מייצרים מדרג עדיפות בתיקון הפגיעויות שמצאתם?
״ובכן״, מסביר סנדלר. ״המנוע שפיתחנו יודע לייצר מסלולי תקיפה אפשריים. אנחנו מתשאלים את תשתית הענן (הרשאות וקונפיגורציות) של הלקוח וכשלב ראשון, מבצעים איתור נכסים (Asset Management). כלומר, אנו יודעים לקשר בין כל מרכיבי תשתית הענן של הלקוח לכדי מודל שלם. שרתים, קונטיינרים, אשכולות קוברנטיס ועוד.
״אחרי שמיפינו והבנו איך נראית תשתית הלקוח, האלגוריתם הייחודי שלנו בונה מסלולי תקיפה אפשריים, על בסיס המידע המסוים של הלקוח. מסלול התקיפה נבנה על בסיס הידיעה אילו הרשאות יש לרכיבי הענן השונים בתשתית הלקוח ואיך הוגדרה הקונפיגורציה של כל רכיב.
״בצורה כזו, אנחנו יודעים להגיד ללקוח שבגלל החיבור של מאזן העומסים (load balancer) שלו לרשת, יש בסיס נתונים חשוף במורד הדרך. או שבגלל שהוא הגדיר הרשאות לא נכונות בשרת הג׳נקינס, אפשר לזוז אצלו רוחבית (Lateral Movement) בתשתית הענן ולהגיע למידע רגיש. או שבגלל שהוא מספק הרשאה חזקה לקונטיינר או מיקרוסרוויס של ספק צד ג׳ הוא חשוף. אלו רק דוגמאות לתרחישים אפשריים.
״המנוע לחישוב מסלולי התקיפה מבוסס על בסיס נתונים גרפי. במקום דו״ח הכולל עשרות אלפי ממצאים, שאף אחד לא יעשה איתו כלום, הלקוח מקבל קובץ תצורה עם כל התיקונים הכי חשובים כבר בפנים. כל מה שנשאר לאנשי ה-DevOps זה לעבור עליו - ולהטמיע. היה לנו לקוח שבפחות משעה צמצם כ-80 מסלולי תקיפה לתשתיות ענן שלו. הפתרון שלנו מגשר בין אבטחת המידע ל-DevOps. זו נקודה קריטית כאמור. שני הגופים האלו לא תמיד עובדים יחד.״
אילו תופעות אבטחת מידע ראית בעולם ה-DevOps?
סנדלר מסביר שיש חברות כמו נטפליקס שמאד חזקות בתפעול תשתיות בענן (״כולם רוצים להיות נטפליקס״). לעומת זאת, יש חברות שרק התחילו את המעבר לענן ואין להם מושג איך לנהל את התשתיות באופן כללי, בטח לא בתחום אבטחת מידע.
״יש לקוחות שלא יודעים איך לעשות בדיקות בסיסיות לאבטחה בענן. ה-DevOps מאד עמוסים וצריכים כלי עזר בהקשר זה. מהנדס אבטחת המידע לא תמיד מבין ב-DevOps. בגלל הפער הזה, רואים באקטים לא מוצפנים וללא אבטחה באמזון עם גיגות של מידע רגיש. ניהול הרשאות בענן ציבורי הוא בכלל תחום מורכב שאין בו הרבה מומחי תוכן. ארגונים מריצים ג׳נקינס ללא אבטחה שמאפשר תנועה רוחבית בקלות יחסית. ועוד תופעות״, אומר סנדלר.
״במתקפה נגד חברת קפיטל וואן (2019), התוקף השתמש בהרשאה אחת בלבד - לקרוא מידע. זה כוחו של הענן. הכל מבוסס על הרשאות ותצורות. יש חברות בודדות בעולם שמנהלות הרשאות בענן כמו שצריך. תוסיף לזה ספקי צד ג׳ שרצים אצלך בענן עם הרשאות עודפות וחזקות.
״לכל המורכבות הזו תוסיף את הלחץ של ההנהלה לצאת מהר לשוק עם מוצר וגרסאות חדשות. אז חוסכים בניהול הרשאות.״
תכניות לעתיד?
״עד כה השקענו כמעט את כל המשאבים בפיתוח המוצר. לקח לנו הרבה זמן להביא למצב שהמוצר שלנו רץ כמו שצריך במינימום הרשאות בתשתיות של אחרים. עכשיו מתחילים להשקיע יותר בשיווק ופיתוח עסקי״, מסכם סנדלר. ״חשוב להדגיש שאצלנו יותר מחצי מאנשי המו״פ נשים. יש לנו צוות גדול של מפתחות וחשוב לנו לצור חברה הטרוגנית ככל הניתן.״
חברת Lightspin פיתחה מנוע אנליטי שמסוגל לחפש מסלולי תקיפה בתשתיות ענן של הארגון ובאמצעותו, לדרג אילו פגיעויות כדאי לתקן קודם. ראיון מיוחד
מייסדי לייטספין. מימין: אור אזרזר, סמנכל טכנולוגיות; ולדי סנדלר, מנכ"ל. / צילום: Lihi Binyamini
חברת לייטספין (Lightspin) מספקת פתרון ייחודי להגנת תשתיות ענן. לפני שנצלול לפתרון כפי שהסביר אותו ולדי סנדלר בראיון לישראל דיפנס, רצוי לתאם כמה הנחות ומושגים. הפתרון של החברה מיועד לאנשי DevOps ו-SecOps, אלו שאחראים בארגון על יישום האפליקציות הארגוניות בתשתיות ענן. הפתרון פועל בקרב ספקי ענן מובילים כמו אמזון, מיקרוסופט ולאחרונה גם גוגל. הפתרון תומך גם בקוברנטיס.
הפתרון של Lightspin, בדומה לפתרונות הגנה נוספים על תשתיות ענן, תלוי במידע שספק הענן מייחצן דרך ממשקי ה-API שלו. בהפשטה, מדובר בשני סוגי מיידעים עיקריים - הרשאות ותצורה (Configuration). את המידע הזה מנתחים ומוציאים ממנו תובנות עבור אנשי DevOps.
עוד נקודה שחשוב לציין היא שלרוב, אנשי DevOps פחות עוסקים באבטחת מידע ואנשי אבטחת מידע פחות עוסקים ב-DevOps. ״משם התחלנו״, מסביר סנדלר. ״רצינו לבנות פתרון שמספק לאנשי DevOps פתרון פשוט יחסית שיעלה את רמת האבטחה של התשתיות ענן בהן נעשה שימוש.״
סנדלר מסביר כי אבטחת ענן זה תחום שהפך בתקופה האחרונה לשם קוד חם בתעשייה ומתמודדים עליו מגוון שחקנים. גדולים כקטנים. עם זאת, כולם תלויים במידע שחושף ספק הענן באמצעות ממשקי ה-API שלו. השאלה מה עושים עם המידע הזה.
״זה שוק גדול. חלק מהשחקנים התחילו מפתרונות שמוודאים שהארגון עומד בתקינה תקינה (Compliance). כלומר, לוקחים את המידע מתשתית הענן ומשווים אותה לדרישות התקינה. זה יצר מצב של ריבוי שחקנים שמספקים את אותו פתרון״, מסביר סנדלר.
״בהיבט אבטחת מידע, פתרונות Compliance מייצרים הרבה ״רעש״ ומביאים לכך שלקוחות אינם מתייחסים ברצינות ל״רשימות מכולת״. כאשר בודקים עמידה בתקינה, למשל, צריכים לבדוק גם חוקים בפיירוול. יכולים להיות אלפי חוקים שמרביתם לא רלוונטים בהיבט תיקוני אבטחת מידע. כך גם בסריקת פגיעויות. רשימה עם אלפי רשומות מביאה לכך שלא מתייחסים אליה בסופו של דבר.
״לאחר שסרקנו את השוק והבנו מה יש ומה אנשי DevOps צריכים, פיתחנו את המנוע שלנו. לקח לנו שנה וחצי לפתח אותו. המטרה הייתה לספק סריקת תשתיות ענן לפגיעויות עם אפשרות לצור עדיפות עבור אנשי ה-DevOps מה צריך לתקן. כתוצר, רצינו לתת קובץ ״תשתית כתצורה״ (infrastructure as code) כדוגמאת Terraform.״
איך אתם מייצרים מדרג עדיפות בתיקון הפגיעויות שמצאתם?
״ובכן״, מסביר סנדלר. ״המנוע שפיתחנו יודע לייצר מסלולי תקיפה אפשריים. אנחנו מתשאלים את תשתית הענן (הרשאות וקונפיגורציות) של הלקוח וכשלב ראשון, מבצעים איתור נכסים (Asset Management). כלומר, אנו יודעים לקשר בין כל מרכיבי תשתית הענן של הלקוח לכדי מודל שלם. שרתים, קונטיינרים, אשכולות קוברנטיס ועוד.
״אחרי שמיפינו והבנו איך נראית תשתית הלקוח, האלגוריתם הייחודי שלנו בונה מסלולי תקיפה אפשריים, על בסיס המידע המסוים של הלקוח. מסלול התקיפה נבנה על בסיס הידיעה אילו הרשאות יש לרכיבי הענן השונים בתשתית הלקוח ואיך הוגדרה הקונפיגורציה של כל רכיב.
״בצורה כזו, אנחנו יודעים להגיד ללקוח שבגלל החיבור של מאזן העומסים (load balancer) שלו לרשת, יש בסיס נתונים חשוף במורד הדרך. או שבגלל שהוא הגדיר הרשאות לא נכונות בשרת הג׳נקינס, אפשר לזוז אצלו רוחבית (Lateral Movement) בתשתית הענן ולהגיע למידע רגיש. או שבגלל שהוא מספק הרשאה חזקה לקונטיינר או מיקרוסרוויס של ספק צד ג׳ הוא חשוף. אלו רק דוגמאות לתרחישים אפשריים.
״המנוע לחישוב מסלולי התקיפה מבוסס על בסיס נתונים גרפי. במקום דו״ח הכולל עשרות אלפי ממצאים, שאף אחד לא יעשה איתו כלום, הלקוח מקבל קובץ תצורה עם כל התיקונים הכי חשובים כבר בפנים. כל מה שנשאר לאנשי ה-DevOps זה לעבור עליו - ולהטמיע. היה לנו לקוח שבפחות משעה צמצם כ-80 מסלולי תקיפה לתשתיות ענן שלו. הפתרון שלנו מגשר בין אבטחת המידע ל-DevOps. זו נקודה קריטית כאמור. שני הגופים האלו לא תמיד עובדים יחד.״
אילו תופעות אבטחת מידע ראית בעולם ה-DevOps?
סנדלר מסביר שיש חברות כמו נטפליקס שמאד חזקות בתפעול תשתיות בענן (״כולם רוצים להיות נטפליקס״). לעומת זאת, יש חברות שרק התחילו את המעבר לענן ואין להם מושג איך לנהל את התשתיות באופן כללי, בטח לא בתחום אבטחת מידע.
״יש לקוחות שלא יודעים איך לעשות בדיקות בסיסיות לאבטחה בענן. ה-DevOps מאד עמוסים וצריכים כלי עזר בהקשר זה. מהנדס אבטחת המידע לא תמיד מבין ב-DevOps. בגלל הפער הזה, רואים באקטים לא מוצפנים וללא אבטחה באמזון עם גיגות של מידע רגיש. ניהול הרשאות בענן ציבורי הוא בכלל תחום מורכב שאין בו הרבה מומחי תוכן. ארגונים מריצים ג׳נקינס ללא אבטחה שמאפשר תנועה רוחבית בקלות יחסית. ועוד תופעות״, אומר סנדלר.
״במתקפה נגד חברת קפיטל וואן (2019), התוקף השתמש בהרשאה אחת בלבד - לקרוא מידע. זה כוחו של הענן. הכל מבוסס על הרשאות ותצורות. יש חברות בודדות בעולם שמנהלות הרשאות בענן כמו שצריך. תוסיף לזה ספקי צד ג׳ שרצים אצלך בענן עם הרשאות עודפות וחזקות.
״לכל המורכבות הזו תוסיף את הלחץ של ההנהלה לצאת מהר לשוק עם מוצר וגרסאות חדשות. אז חוסכים בניהול הרשאות.״
תכניות לעתיד?
״עד כה השקענו כמעט את כל המשאבים בפיתוח המוצר. לקח לנו הרבה זמן להביא למצב שהמוצר שלנו רץ כמו שצריך במינימום הרשאות בתשתיות של אחרים. עכשיו מתחילים להשקיע יותר בשיווק ופיתוח עסקי״, מסכם סנדלר. ״חשוב להדגיש שאצלנו יותר מחצי מאנשי המו״פ נשים. יש לנו צוות גדול של מפתחות וחשוב לנו לצור חברה הטרוגנית ככל הניתן.״
