פרשנות | שירותי ענן הם יעד תקיפה אטרקטיבי בשעת מלחמה
השילוב של יותר ויותר חברות שמתנהלות בעיקר בענן, יחד עם מאמצי ארגוני הטרור ומדינות אויב ללחום באמצעות סייבר נגד תאגידים ומוסדות ישראליים – מדגיש ביתר שאת את האתגרים של אבטחת המידע בענן
הגנה לישראל
| 10/12/2023
צילום: נטי לוי
פעילות הארגונים בענן כבר הפכה לדבר שבשגרה. לא מדובר רק בפעילות (דאטה) של חברות היי-טק, אלא בכמעט כל עסק או חברה, קטנים כגדולים, ומרבית המשתמשים הפרטיים שעושים שימוש באפליקציות ובאתרי אינטרנט מבוססי ענן כמו Google Photos, iCloud ועוד.
כך, הפך הענן ליעד תקיפה פופולרי בקרב ההאקרים ולאתגר אבטחה מורכב. אמיתה זו נכונה תמיד, אך היא חשובה ביתר שאת בימי המלחמה ולאור מתקפות הסייבר ההולכות וגוברות של ארגוני ומדינות הטרור שחווים בימים אלה חברות וארגונים.
תקיפת ענן נגד בית חולים
כאשר מדובר בארגון או חברה, פריצה לענן, מעבר לסיכון הטמון בחשיפת מידע סודי והפרת פרטיות, עשויה להשבית את פעילותה ולמנוע ממנה להעניק שירות ללקוחותיה. קחו לדוגמה בית חולים ציבורי שהרשומות הרפואיות של המאושפזים בו שמורות בענן.
מתקפת סייבר על ענן זה עשויה למנוע גישה לאותן רשומות ולפגוע מהותית ביכולת של הצוות הרפואי להמשיך לטפל במאושפזים. לאחרונה גם פרסם מערך הסייבר הלאומי כי הנזק הממוצע לעסקים קטנים ובינוניים כתוצאה מתקיפת סייבר מוערך בכ-800 אלף שקל.
תקיפת ענן נגד בית חולים היא כנראה הדוגמה שהכי עשויה לסכן חיי אדם, אבל למעשה כל חברה שמאחסנת את נתוניה בענן היא יעד למתקפת סייבר, והמספרים מדברים בעד עצמם: בשנתיים האחרונות חלה עלייה משמעותית ביותר בשיעור החברות, מתוך אלו שפועלות בענן, שחוו לפחות חשיפה אחד לתקיפה בענן, וכעת הוא עומד על 79%.
אין חברה שחסינה הרמטית בפני התקפות סייבר על הענן שלה. יותר מזה: 83% ממתקפות סייבר על ענן נובעות מפגיעות או חולשות (Vulnerabilities) קיימת של משאבים מבוססי ענן או או מתופעה של Misconfiguration בהגדרות הענן.
כלומר, הבעיה היא לא עוצמת התוקף אלא חולשת הנתקף.בעתות מלחמה, כמו שישראל מצויה בה כעת, המגמה המדאיגה לעיל הופכת לקריטית יותר וכמות הניסיונות, ניצול חולשות והתחכום של התוקפים מקבל ביטוי משמעותי הרבה יותר.
ככל שעובר הזמן, ארגוני טרור ואף מדינות יריבות (דוגמת רוסיה-אוקראינה) משתמשות בטרור/לוחמת סייבר כאמצעי לחימה לכל דבר ועניין. כלומר, על אף שהלחימה מתנהלת ביבשה, באוויר ובים, היא מגבירה משמעותית את המוטיבציה ללחימה במרחב הסייברי, כאשר ויריבים רואים במרחב זה תחום לחימה בפני עצמו.
ארבעה אתגרים
ולכן, האתגר העיקרי של תעשיית אבטחת המידע בכללותה בעידן הנוכחי הוא אבטחת הענן (Cloud Security), ואת זו אפשר לחלק לארבעה סוגי אתגרי אבטחה: האתגר הראשון הוא ניהול תשתיות ענן באמצעות קוד (Infrastructure as Code).
אחת הדרכים היותר אפקטיביות של האקרים לתקוף ענן היא פשוט לכתוב קוד שתוקף את קוד ניהול הענן, ולכן יש צורך במעבר לניהול ענן דרך תהליכים ידניים/אמצעי הדרכה ולא דרך קוד.
האתגר השני הוא מחשוב ענן ללא שרתים (Serverless): שיטות אבטחה מסורתיות כמו חומת אש (פיירוול), מערכת למניעת חדירות (IPS), קשיחות (Hardening, הקטנת פגיעות שעל פני השטח) כבר אינן רלוונטיות מכיוון שהאקרים משתמשים בפרצות אלו כדי לשבש פעילויות יומיומיות באופן שלא ניתן לשליטה.
האתגר השלישי הוא הקומפוזיציה של תוכנות האבטחה שמבוססת על קוד פתוח, והרביעי הוא אבטחת התהליך האוטומטי של הגדלת משאבי המחשוב (Autoscaling) שהפך אף הוא לפרצת אבטחה.
אחד מהפתרונות הכי יעילים לאתגרים הללו הוא ניטור ענן (Cloud Security Monitoring). ניטור הוא השגחה באופן תמידי על סביבת הענן שלנו, תוך עשיית חקירות על אנומליות שמתרחשות באותה סביבה – והכל על-מנת לזהות אירועי סייבר כאלה ואחרים.
ניטור בסביבות ענן מתבצע על-ידי איסוף של לוגים של סביבת הענן עצמה ושל מוצרים צד שלישי המותקנים עליה. הניטור משתמש בפרמטרים כמו צריכת CPU, החיוב החודשי בענן, זיהוי פעילות חריגה במכונות שמותקנות על הענן ועוד.
אבטחת ענן היא אחד האתגרים היותר מורכבים של העולם הדיגיטלי, ולמרות שנעשתה ונעשית הרבה עבודה בנושא, יש עדיין הרבה עבודה לעשות כדי לאבטח ביעילות מקסימלית את הענן. חברות שעדיין לא מוגנות מפני תקיפות סייבר בענן, מוטב שיסדירו זאת כעת.
הכותב הוא סמנכ"ל אבטחת מידע בחברת Commit. בכתיבת המאמר השתתף גם מורן שמולביץ', MSSP ב-Commit.
השילוב של יותר ויותר חברות שמתנהלות בעיקר בענן, יחד עם מאמצי ארגוני הטרור ומדינות אויב ללחום באמצעות סייבר נגד תאגידים ומוסדות ישראליים – מדגיש ביתר שאת את האתגרים של אבטחת המידע בענן
צילום: נטי לוי
פעילות הארגונים בענן כבר הפכה לדבר שבשגרה. לא מדובר רק בפעילות (דאטה) של חברות היי-טק, אלא בכמעט כל עסק או חברה, קטנים כגדולים, ומרבית המשתמשים הפרטיים שעושים שימוש באפליקציות ובאתרי אינטרנט מבוססי ענן כמו Google Photos, iCloud ועוד.
כך, הפך הענן ליעד תקיפה פופולרי בקרב ההאקרים ולאתגר אבטחה מורכב. אמיתה זו נכונה תמיד, אך היא חשובה ביתר שאת בימי המלחמה ולאור מתקפות הסייבר ההולכות וגוברות של ארגוני ומדינות הטרור שחווים בימים אלה חברות וארגונים.
תקיפת ענן נגד בית חולים
כאשר מדובר בארגון או חברה, פריצה לענן, מעבר לסיכון הטמון בחשיפת מידע סודי והפרת פרטיות, עשויה להשבית את פעילותה ולמנוע ממנה להעניק שירות ללקוחותיה. קחו לדוגמה בית חולים ציבורי שהרשומות הרפואיות של המאושפזים בו שמורות בענן.
מתקפת סייבר על ענן זה עשויה למנוע גישה לאותן רשומות ולפגוע מהותית ביכולת של הצוות הרפואי להמשיך לטפל במאושפזים. לאחרונה גם פרסם מערך הסייבר הלאומי כי הנזק הממוצע לעסקים קטנים ובינוניים כתוצאה מתקיפת סייבר מוערך בכ-800 אלף שקל.
תקיפת ענן נגד בית חולים היא כנראה הדוגמה שהכי עשויה לסכן חיי אדם, אבל למעשה כל חברה שמאחסנת את נתוניה בענן היא יעד למתקפת סייבר, והמספרים מדברים בעד עצמם: בשנתיים האחרונות חלה עלייה משמעותית ביותר בשיעור החברות, מתוך אלו שפועלות בענן, שחוו לפחות חשיפה אחד לתקיפה בענן, וכעת הוא עומד על 79%.
אין חברה שחסינה הרמטית בפני התקפות סייבר על הענן שלה. יותר מזה: 83% ממתקפות סייבר על ענן נובעות מפגיעות או חולשות (Vulnerabilities) קיימת של משאבים מבוססי ענן או או מתופעה של Misconfiguration בהגדרות הענן.
כלומר, הבעיה היא לא עוצמת התוקף אלא חולשת הנתקף.בעתות מלחמה, כמו שישראל מצויה בה כעת, המגמה המדאיגה לעיל הופכת לקריטית יותר וכמות הניסיונות, ניצול חולשות והתחכום של התוקפים מקבל ביטוי משמעותי הרבה יותר.
ככל שעובר הזמן, ארגוני טרור ואף מדינות יריבות (דוגמת רוסיה-אוקראינה) משתמשות בטרור/לוחמת סייבר כאמצעי לחימה לכל דבר ועניין. כלומר, על אף שהלחימה מתנהלת ביבשה, באוויר ובים, היא מגבירה משמעותית את המוטיבציה ללחימה במרחב הסייברי, כאשר ויריבים רואים במרחב זה תחום לחימה בפני עצמו.
ארבעה אתגרים
ולכן, האתגר העיקרי של תעשיית אבטחת המידע בכללותה בעידן הנוכחי הוא אבטחת הענן (Cloud Security), ואת זו אפשר לחלק לארבעה סוגי אתגרי אבטחה: האתגר הראשון הוא ניהול תשתיות ענן באמצעות קוד (Infrastructure as Code).
אחת הדרכים היותר אפקטיביות של האקרים לתקוף ענן היא פשוט לכתוב קוד שתוקף את קוד ניהול הענן, ולכן יש צורך במעבר לניהול ענן דרך תהליכים ידניים/אמצעי הדרכה ולא דרך קוד.
האתגר השני הוא מחשוב ענן ללא שרתים (Serverless): שיטות אבטחה מסורתיות כמו חומת אש (פיירוול), מערכת למניעת חדירות (IPS), קשיחות (Hardening, הקטנת פגיעות שעל פני השטח) כבר אינן רלוונטיות מכיוון שהאקרים משתמשים בפרצות אלו כדי לשבש פעילויות יומיומיות באופן שלא ניתן לשליטה.
האתגר השלישי הוא הקומפוזיציה של תוכנות האבטחה שמבוססת על קוד פתוח, והרביעי הוא אבטחת התהליך האוטומטי של הגדלת משאבי המחשוב (Autoscaling) שהפך אף הוא לפרצת אבטחה.
אחד מהפתרונות הכי יעילים לאתגרים הללו הוא ניטור ענן (Cloud Security Monitoring). ניטור הוא השגחה באופן תמידי על סביבת הענן שלנו, תוך עשיית חקירות על אנומליות שמתרחשות באותה סביבה – והכל על-מנת לזהות אירועי סייבר כאלה ואחרים.
ניטור בסביבות ענן מתבצע על-ידי איסוף של לוגים של סביבת הענן עצמה ושל מוצרים צד שלישי המותקנים עליה. הניטור משתמש בפרמטרים כמו צריכת CPU, החיוב החודשי בענן, זיהוי פעילות חריגה במכונות שמותקנות על הענן ועוד.
אבטחת ענן היא אחד האתגרים היותר מורכבים של העולם הדיגיטלי, ולמרות שנעשתה ונעשית הרבה עבודה בנושא, יש עדיין הרבה עבודה לעשות כדי לאבטח ביעילות מקסימלית את הענן. חברות שעדיין לא מוגנות מפני תקיפות סייבר בענן, מוטב שיסדירו זאת כעת.
הכותב הוא סמנכ"ל אבטחת מידע בחברת Commit. בכתיבת המאמר השתתף גם מורן שמולביץ', MSSP ב-Commit.
