פאנל מומחים דן בשאלה: ״כיצד לבחור את מוצר אבטחת המידע המתאים לארגון?״
בפאנל השתתפו דורון כחילה, מנהל סופוס ישראל | מיכאל פרילוצקי, סמנכ"ל חדשנות פורסקאוט | רני אסנת, סמנכ״ל אסטרטגיה בכיר באקווה סקיוריטי | יצחק לוי, ארכיטקט אבטחת מידע ומנהל טכני צוות ה-PS ב2Bsecure | נטע שרעבי, מנהלת צוות ההנדסה של פורטינט ישראל
עמי רוחקס דומבה
| 24/07/2022
bigstock
הצלחתו של ארגון יכולה לקום וליפול על יכולות ההגנה שלו. אתם יכולים להשקיע את כל חייכם במיזם ייחודי וחדשני שיפרוץ דרך ויביא בשורה ענקית לתעשיות ספציפיות או לעולם כולו, אבל אם לא תבצעו השקעה נכונה ומושכלת בהטמעת יכולות אבטחת מידע, כל העבודה שלכם עלולה לרדת לטמיון.
השוק רווי באופציות אבטחת מידע וסייבר ארגוניות ויותר מידי ארגונים לא מודעים לאתגרי האבטחה הקיימים או מבינים אותם לעומק ובהתאם לזה גם לא יודעים איזה פתרון הם צריכים לחפש.
על מנת לסייע לכם לבחור את פתרון אבטחת המידע המתאים ביותר לארגון שלכם בשנת 2022, ריכזנו תובנות ממספר מומחי אבטחת מידע מהחברות המובילות בתעשייה, שיוכלו להסביר על מה צריך לחשוב ומה צריך לדעת כאשר בוחרים במוצר אבטחת מידע כדי שיתאים לצרכים הספציפיים של הארגון שלכם?
אתגרי אבטחת המידע איתם מתמודדת התעשייה
"בשנים הקרובות ארגונים יצטרכו להתמודד עם אתגרי אבטחה משמעותיים בתחום האינטרנט של הדברים (IoT). כך למשל מוסדות רפואה יצטרכו למצוא דרכים להגן על ציוד רפואי חכם, בתים חכמים יצטרכו לחזק את ההגנות שלהם וכך גם תעשיות הרכב האוטונומי ויצרני המזון שמשלבים טכנולוגיה חכמה ועוד.
בתוך כך, תחומי אפליקציות ופיתוח קוד, שמשתנים בצורה מאוד מהירה, מציבים גם הם אתגרי אבטחה לא פשוטים לארגונים שרק ילכו וישתכללו עם הזמן. כמוהם, גם תחום הענן הציבורי שתופס תאוצה ונמצא על הכוונת של תוקפים רבים, חושף את הארגונים לאתגרי אבטחה חדשים", מסביר יצחק לוי, ארכיטקט אבטחת מידע ומנהל טכני צוות ה-PS ב2Bsecure, חברת אבטחת המידע והסייבר של מטריקס.
"לצד כל אלה, העבודה מהבית הציבה גם היא מורכבות אבטחתית לארגונים שנאלצים לפרוש את ההגנה שלהם בצורה בטוחה גם אל מחוץ לכותלי הארגון".
נטע שרעבי, מנהלת צוות ההנדסה של פורטינט ישראל, מוסיפה כי, "אחד הטרנדים שאנחנו רואים בשנים האחרונות הוא האצה במעבר לשירותים דיגיטליים גם בסביבות ה-OT. היום, ניהול שרשרת האספקה בצורה יעילה ואפקטיבית הוא קריטי לעסקים ועל כן, אנחנו רואים עוד ועוד רשתות OT שכבר לא נותרות מבודדות ומתחברות לרשת ה-IT. לכן, אחד האתגרים הבולטים שארגונים יצטרכו להתמודד עימם הוא הגנה על רשתות OT".
רני אסנת, סמנכ״ל אסטרטגיה בכיר באקווה סקיוריטי, מרחיב ואומר, כי "הגיוון והסיבוכיות של המערכות הטכנולוגיות השונות מתרחבים כל העת, וארגונים מתקשים לפתח ולשמר מומחיות בכל התחומים הרלוונטיים. דוגמה מצוינת לכך היא המעבר לענן ולטכנולוגיות שהן Cloud Native כגון קוברנטיס.
"ההבנה של צוותי אבטחה בטכנולוגיות האלה נמצאת בפיגור לעומת השימוש בהן בפועל. בכלל, המחסור בכוח אדם מיומן הוא כרוני. שנית, עולם התוכנה ממשיך להתפתח וכמות הקוד ותכיפות העדכונים שלו הולכת וגדלה, יחד עם השימוש הגובר בקוד פתוח.
"ההאצה הזו שוב שמה את גורמי האבטחה בעמדה שבה הם מנסים לרדוף אחר דברים שכבר קרו – ולכן גישות של DevSecOps או שילוב אבטחה באופן אוטומטי בתהליכי פיתוח והפצה של תוכנה הן פתרון ארוך-טווח הכרחי".
לפי דורון כחילה, מנהל סופוס ישראל, "72% מהארגונים חוו עלייה בהיקף, במורכבות ו/או בהשפעה של התקפות סייבר במהלך השנה האחרונה. זה, בתורו, מציב דרישות גדולות יותר מצוותי IT של ארגוני לקוחות. למעלה משני שלישים (69%) ממומחי ה-IT ראו את עומס העבודה באבטחת הסייבר שלהם גדל במהלך השנה האחרונה.
״מה שמוביל לעלויות גבוהות יותר. למעשה, העלות הכוללת הממוצעת לתיקון התקפת תוכנת כופר בארגון בינוני היה 1.4 מיליון דולר בשנה שעברה".
אתגר נוסף לפי מיכאל פרילוצקי, סמנכ"ל חדשנות פורסקאוט, הינו "ריבוי פתרונות אבטחת מידע שלא בהכרח מתחברים ועובדים יחד, אשר פוגע ביכולת צוותי אבטחת מידע להבין את תמונת המצב ומקשה על יכולת התגובה לאירועים שונים".
כיצד מאתרים את הפתרון הנכון לארגון?
שרעבי מסבירה כי, "כאשר מחפשים פתרונות אבטחת מידע, הכי חשוב להבין ולהגדיר את הצרכים, שהם נגזרת של מצב קיים, וכן מה הם הכאבים, מה הם מנועי הצמיחה של העסק, רגולציות שבהן הארגון מחויב לעמוד ומצב עתידי אליו הארגון שואף להגיע. לאחר מכן, יש לבחור את הפתרונות שיענו בצורה המרבית על הצרכים הספציפיים של אותו ארגון".
לוי מרחיב על כך ואומר, כי "כדי להבין את צרכי אבטחת המידע של הארגון, צריך דבר ראשון לערוך מיפוי של כלל נכסי המידע וציודי ה-IP שלו. לאחר מכן, יש לבצע דירוג של סיכונים לכל הנכסים, להגדיר מה האיומים הרלוונטיים עליהם ולבנות ארכיטקטורה הגנתית בהתאם.
״בתהליך זה הדגש צריך להיות על איומים שכיחים יותר מבלי להתמקד בתרחישים נדירים - זה משהו שהרבה מנהלי אבטחת מידע 'נופלים' בו לא מעט. אם עושים מיפוי נכון ומעמיק של האיומים ניתן בקלות להבין האם יש צורך במוצר אבטחה אחד או במספר פתרונות משלימים בהמשך".
מה חשוב שיכלול הפתרון
"ארגון חייב ליישם טכנולוגיות שיאפשרו לו 'לראות' את כל המרחב הדיגיטלי על כל מרכיביו. כל הזמן. ובזמן אמת. זה יאפשר לארגון להגיע לתמונת מצב מלאה, שלמה ומקיפה של כל רכיבי הרשת הארגונית, רק אז ארגון יוכל להבטיח ציות למדיניות וכללי אבטחת הסייבר בארגון, מסביר פרילוצקי.
על פי כחילה, "פתרונות אבטחת הסייבר צריכים להיות מורכבים משכבות הגנה מרובות עם מספר רבדים (mitigations) בכל שכבה. זה ישפר את החוסן הארגוני נגד התקפות סייבר מבלי לשבש את פרודוקטיביות המשתמשים. כך, גם יהיו לארגון הזדמנויות רבות לזיהוי מתקפות סייבר, ואפשרויות לעצור אותן לפני שיזיקו לארגון".
פרילוצקי פרט שלושה קריטריונים מהותיים עליהם צריך לשים הארגון דגש כשהוא מקים מערך אבטחת מידע:
"גמישות ארכיטקטונית – יש שוני רב בין רשתות של ארגונים שונים, ואפילו רשתות של אותו ארגון יכולות להיות שונות באזורים שונים בארגון. לכן גמישות ארכיטקטונית של הפתרון תאפשר התאמה לכל אותן רשתות.
״יכולת אינטגרציה – לכל ארגון יש מספר רב של פתרונות אבטחה. ארגון יכול להשיג רמת אבטחת מידע מירבית, רק אם כל המוצרים עובדים בתיאום ובשיתוף מידע.
״תגובה אוטומטית לאיומים – אנחנו עדים לגידול העצום בכמות האיומים , כשלצידו, מתחזק גם המחסור באנשי מקצוע מיומנים. ארגונים לא יוכלו להגדיל את כמות אנשי המקצוע לנצח. זה פשוט לא יתאפשר כלכלית, ולכן חייבים לשים דגש על אוטומציה של התהליכים".
כיצד ניתן להבטיח הטמעה מוצלחת של הפתרון בארגון
לפי אסנת, "כאשר מתעניינים במוצר אבטחת מידע, כדאי מאד לברר עם משתמשים קיימים של המוצר את שביעות רצונם, ולהקפיד לבדוק זאת מול ארגונים שדומים בגודלם ובצרכים שלהם לארגון שלכם. שנית, לבדוק את המוצר על הסביבה הטכנולוגית של הארגון – מכיוון שכיום סביבת ה-IT כל כך מגוונת ושונה בין ארגונים.
״בנוסף, צריך לבחון מראש אם יש היבטים ייחודים לארגון שישפיעו על הבחירה – למשל טכנולוגיות ספציפיות שאינן מאד נפוצות, או מהי הרמה הטכנית של צוות האבטחה. ישנם למשל ארגונים 'רזים' שדורשים רמה גבוהה של אוטומציה כי צוות האבטחה שלהם אינו גדול מספיק לנהל כלים רבים באופן ידני.
״כדאי גם להגדיר מראש קריטריונים להצלחה – זמן הטמעה, פרמטרים מדידים של התוצאות שהמוצר מביא, וכו' – כך ניתן לדעת די מהר האם אנחנו בנתיב הנכון להצלחה או לא".
"כדי שהפתרון יוטמע ויתקבל בצורה טובה כדאי לשים דגש על חוויית המשתמש מכיוון שפתרונות שמסרבלים את תהליכי העבודה נוטים להיכשל כבר בשלב ההטמעה או שגורמים בהמשך למשתמשים למצוא מעקפים שמסכנים את הארגון - לעיתים אפילו הרבה יותר מאשר לפני הטמעת הפתרון", מסביר לוי. לפיו, "כדאי להסביר ולהציג לעובדי הארגון מה היתרונות של הפתרון וכיצד הוא יכול לייעל את עבודתם – גם זה עשוי לסייע לפתרון להיקלט בארגון באופן טוב יותר".
כחילה מדגיש, כי "אבטחת מערכות מידע היא לא רק יישום בקרות אבטחה, אלא גם קביעה ושמירה של מדיניות אבטחה רחבה של הארגון, וכן קביעת כללים ותהליכים המסדירים בקרות, הרשאות ותאימות. כמו כן, יש להעריך, לבדוק ולשדרג את בקרות האבטחה מעת לעת.
״יש לבצע ניטור רציף של הרשת, שהוא חשוב ביותר לזיהוי וצייד איומים כדי לשמור על הארגון נקי מהם. ויש לזכור – גם בימינו, החוליה החלשה ביותר היא עדיין המשתמשים, ולכן חשוב מאוד לשמור על מודעות אבטחת הסייבר בארגון".
בפאנל השתתפו דורון כחילה, מנהל סופוס ישראל | מיכאל פרילוצקי, סמנכ"ל חדשנות פורסקאוט | רני אסנת, סמנכ״ל אסטרטגיה בכיר באקווה סקיוריטי | יצחק לוי, ארכיטקט אבטחת מידע ומנהל טכני צוות ה-PS ב2Bsecure | נטע שרעבי, מנהלת צוות ההנדסה של פורטינט ישראל
bigstock
הצלחתו של ארגון יכולה לקום וליפול על יכולות ההגנה שלו. אתם יכולים להשקיע את כל חייכם במיזם ייחודי וחדשני שיפרוץ דרך ויביא בשורה ענקית לתעשיות ספציפיות או לעולם כולו, אבל אם לא תבצעו השקעה נכונה ומושכלת בהטמעת יכולות אבטחת מידע, כל העבודה שלכם עלולה לרדת לטמיון.
השוק רווי באופציות אבטחת מידע וסייבר ארגוניות ויותר מידי ארגונים לא מודעים לאתגרי האבטחה הקיימים או מבינים אותם לעומק ובהתאם לזה גם לא יודעים איזה פתרון הם צריכים לחפש.
על מנת לסייע לכם לבחור את פתרון אבטחת המידע המתאים ביותר לארגון שלכם בשנת 2022, ריכזנו תובנות ממספר מומחי אבטחת מידע מהחברות המובילות בתעשייה, שיוכלו להסביר על מה צריך לחשוב ומה צריך לדעת כאשר בוחרים במוצר אבטחת מידע כדי שיתאים לצרכים הספציפיים של הארגון שלכם?
אתגרי אבטחת המידע איתם מתמודדת התעשייה
"בשנים הקרובות ארגונים יצטרכו להתמודד עם אתגרי אבטחה משמעותיים בתחום האינטרנט של הדברים (IoT). כך למשל מוסדות רפואה יצטרכו למצוא דרכים להגן על ציוד רפואי חכם, בתים חכמים יצטרכו לחזק את ההגנות שלהם וכך גם תעשיות הרכב האוטונומי ויצרני המזון שמשלבים טכנולוגיה חכמה ועוד.
בתוך כך, תחומי אפליקציות ופיתוח קוד, שמשתנים בצורה מאוד מהירה, מציבים גם הם אתגרי אבטחה לא פשוטים לארגונים שרק ילכו וישתכללו עם הזמן. כמוהם, גם תחום הענן הציבורי שתופס תאוצה ונמצא על הכוונת של תוקפים רבים, חושף את הארגונים לאתגרי אבטחה חדשים", מסביר יצחק לוי, ארכיטקט אבטחת מידע ומנהל טכני צוות ה-PS ב2Bsecure, חברת אבטחת המידע והסייבר של מטריקס.
"לצד כל אלה, העבודה מהבית הציבה גם היא מורכבות אבטחתית לארגונים שנאלצים לפרוש את ההגנה שלהם בצורה בטוחה גם אל מחוץ לכותלי הארגון".
נטע שרעבי, מנהלת צוות ההנדסה של פורטינט ישראל, מוסיפה כי, "אחד הטרנדים שאנחנו רואים בשנים האחרונות הוא האצה במעבר לשירותים דיגיטליים גם בסביבות ה-OT. היום, ניהול שרשרת האספקה בצורה יעילה ואפקטיבית הוא קריטי לעסקים ועל כן, אנחנו רואים עוד ועוד רשתות OT שכבר לא נותרות מבודדות ומתחברות לרשת ה-IT. לכן, אחד האתגרים הבולטים שארגונים יצטרכו להתמודד עימם הוא הגנה על רשתות OT".
רני אסנת, סמנכ״ל אסטרטגיה בכיר באקווה סקיוריטי, מרחיב ואומר, כי "הגיוון והסיבוכיות של המערכות הטכנולוגיות השונות מתרחבים כל העת, וארגונים מתקשים לפתח ולשמר מומחיות בכל התחומים הרלוונטיים. דוגמה מצוינת לכך היא המעבר לענן ולטכנולוגיות שהן Cloud Native כגון קוברנטיס.
"ההבנה של צוותי אבטחה בטכנולוגיות האלה נמצאת בפיגור לעומת השימוש בהן בפועל. בכלל, המחסור בכוח אדם מיומן הוא כרוני. שנית, עולם התוכנה ממשיך להתפתח וכמות הקוד ותכיפות העדכונים שלו הולכת וגדלה, יחד עם השימוש הגובר בקוד פתוח.
"ההאצה הזו שוב שמה את גורמי האבטחה בעמדה שבה הם מנסים לרדוף אחר דברים שכבר קרו – ולכן גישות של DevSecOps או שילוב אבטחה באופן אוטומטי בתהליכי פיתוח והפצה של תוכנה הן פתרון ארוך-טווח הכרחי".
לפי דורון כחילה, מנהל סופוס ישראל, "72% מהארגונים חוו עלייה בהיקף, במורכבות ו/או בהשפעה של התקפות סייבר במהלך השנה האחרונה. זה, בתורו, מציב דרישות גדולות יותר מצוותי IT של ארגוני לקוחות. למעלה משני שלישים (69%) ממומחי ה-IT ראו את עומס העבודה באבטחת הסייבר שלהם גדל במהלך השנה האחרונה.
״מה שמוביל לעלויות גבוהות יותר. למעשה, העלות הכוללת הממוצעת לתיקון התקפת תוכנת כופר בארגון בינוני היה 1.4 מיליון דולר בשנה שעברה".
אתגר נוסף לפי מיכאל פרילוצקי, סמנכ"ל חדשנות פורסקאוט, הינו "ריבוי פתרונות אבטחת מידע שלא בהכרח מתחברים ועובדים יחד, אשר פוגע ביכולת צוותי אבטחת מידע להבין את תמונת המצב ומקשה על יכולת התגובה לאירועים שונים".
כיצד מאתרים את הפתרון הנכון לארגון?
שרעבי מסבירה כי, "כאשר מחפשים פתרונות אבטחת מידע, הכי חשוב להבין ולהגדיר את הצרכים, שהם נגזרת של מצב קיים, וכן מה הם הכאבים, מה הם מנועי הצמיחה של העסק, רגולציות שבהן הארגון מחויב לעמוד ומצב עתידי אליו הארגון שואף להגיע. לאחר מכן, יש לבחור את הפתרונות שיענו בצורה המרבית על הצרכים הספציפיים של אותו ארגון".
לוי מרחיב על כך ואומר, כי "כדי להבין את צרכי אבטחת המידע של הארגון, צריך דבר ראשון לערוך מיפוי של כלל נכסי המידע וציודי ה-IP שלו. לאחר מכן, יש לבצע דירוג של סיכונים לכל הנכסים, להגדיר מה האיומים הרלוונטיים עליהם ולבנות ארכיטקטורה הגנתית בהתאם.
״בתהליך זה הדגש צריך להיות על איומים שכיחים יותר מבלי להתמקד בתרחישים נדירים - זה משהו שהרבה מנהלי אבטחת מידע 'נופלים' בו לא מעט. אם עושים מיפוי נכון ומעמיק של האיומים ניתן בקלות להבין האם יש צורך במוצר אבטחה אחד או במספר פתרונות משלימים בהמשך".
מה חשוב שיכלול הפתרון
"ארגון חייב ליישם טכנולוגיות שיאפשרו לו 'לראות' את כל המרחב הדיגיטלי על כל מרכיביו. כל הזמן. ובזמן אמת. זה יאפשר לארגון להגיע לתמונת מצב מלאה, שלמה ומקיפה של כל רכיבי הרשת הארגונית, רק אז ארגון יוכל להבטיח ציות למדיניות וכללי אבטחת הסייבר בארגון, מסביר פרילוצקי.
על פי כחילה, "פתרונות אבטחת הסייבר צריכים להיות מורכבים משכבות הגנה מרובות עם מספר רבדים (mitigations) בכל שכבה. זה ישפר את החוסן הארגוני נגד התקפות סייבר מבלי לשבש את פרודוקטיביות המשתמשים. כך, גם יהיו לארגון הזדמנויות רבות לזיהוי מתקפות סייבר, ואפשרויות לעצור אותן לפני שיזיקו לארגון".
פרילוצקי פרט שלושה קריטריונים מהותיים עליהם צריך לשים הארגון דגש כשהוא מקים מערך אבטחת מידע:
"גמישות ארכיטקטונית – יש שוני רב בין רשתות של ארגונים שונים, ואפילו רשתות של אותו ארגון יכולות להיות שונות באזורים שונים בארגון. לכן גמישות ארכיטקטונית של הפתרון תאפשר התאמה לכל אותן רשתות.
״יכולת אינטגרציה – לכל ארגון יש מספר רב של פתרונות אבטחה. ארגון יכול להשיג רמת אבטחת מידע מירבית, רק אם כל המוצרים עובדים בתיאום ובשיתוף מידע.
״תגובה אוטומטית לאיומים – אנחנו עדים לגידול העצום בכמות האיומים , כשלצידו, מתחזק גם המחסור באנשי מקצוע מיומנים. ארגונים לא יוכלו להגדיל את כמות אנשי המקצוע לנצח. זה פשוט לא יתאפשר כלכלית, ולכן חייבים לשים דגש על אוטומציה של התהליכים".
כיצד ניתן להבטיח הטמעה מוצלחת של הפתרון בארגון
לפי אסנת, "כאשר מתעניינים במוצר אבטחת מידע, כדאי מאד לברר עם משתמשים קיימים של המוצר את שביעות רצונם, ולהקפיד לבדוק זאת מול ארגונים שדומים בגודלם ובצרכים שלהם לארגון שלכם. שנית, לבדוק את המוצר על הסביבה הטכנולוגית של הארגון – מכיוון שכיום סביבת ה-IT כל כך מגוונת ושונה בין ארגונים.
״בנוסף, צריך לבחון מראש אם יש היבטים ייחודים לארגון שישפיעו על הבחירה – למשל טכנולוגיות ספציפיות שאינן מאד נפוצות, או מהי הרמה הטכנית של צוות האבטחה. ישנם למשל ארגונים 'רזים' שדורשים רמה גבוהה של אוטומציה כי צוות האבטחה שלהם אינו גדול מספיק לנהל כלים רבים באופן ידני.
״כדאי גם להגדיר מראש קריטריונים להצלחה – זמן הטמעה, פרמטרים מדידים של התוצאות שהמוצר מביא, וכו' – כך ניתן לדעת די מהר האם אנחנו בנתיב הנכון להצלחה או לא".
"כדי שהפתרון יוטמע ויתקבל בצורה טובה כדאי לשים דגש על חוויית המשתמש מכיוון שפתרונות שמסרבלים את תהליכי העבודה נוטים להיכשל כבר בשלב ההטמעה או שגורמים בהמשך למשתמשים למצוא מעקפים שמסכנים את הארגון - לעיתים אפילו הרבה יותר מאשר לפני הטמעת הפתרון", מסביר לוי. לפיו, "כדאי להסביר ולהציג לעובדי הארגון מה היתרונות של הפתרון וכיצד הוא יכול לייעל את עבודתם – גם זה עשוי לסייע לפתרון להיקלט בארגון באופן טוב יותר".
כחילה מדגיש, כי "אבטחת מערכות מידע היא לא רק יישום בקרות אבטחה, אלא גם קביעה ושמירה של מדיניות אבטחה רחבה של הארגון, וכן קביעת כללים ותהליכים המסדירים בקרות, הרשאות ותאימות. כמו כן, יש להעריך, לבדוק ולשדרג את בקרות האבטחה מעת לעת.
״יש לבצע ניטור רציף של הרשת, שהוא חשוב ביותר לזיהוי וצייד איומים כדי לשמור על הארגון נקי מהם. ויש לזכור – גם בימינו, החוליה החלשה ביותר היא עדיין המשתמשים, ולכן חשוב מאוד לשמור על מודעות אבטחת הסייבר בארגון".
