אבטחת מידע בעידן מחשוב ענן – אילו שירותים מוצעים לעסקים?
מאת:
מיכאל פנחס, 25.7.17, 07:38
עסקים קטנים ובינוניים מגלים, שמערכות הפיירוול והאנטי-וירוס, שהתקינו אצלם בעסק, לא מספקות הגנה מפני עולם הסייבר העכשווי. מאות עסקים בארץ כבר שילמו "כופר" להאקרים. למה אבטחת מידע, שאינה בענן, הפכה לבעייתית? אילו שירותי אבטחה בענן מוצעים לעסקים וע"י מי?
כיום, יש מגוון רחב של
ספקי שירותים בענן בישראל, עם למעלה מ-15 חוות שרתים (
Data Centers) בינוניות וגדולות ועוד כמה עשרות חוות שרתים קטנות, שמספקות שירותי ענן ללקוחות העסקיים בישראל, בכל התחומים. מלבד
Triple C ובינת עסקים, שהיו ראשונות בשוק שירותי הענן המקומיים, אפשר למצוא כיום מספר רב של ספקים ואינטגרטורים גדולים (יחסית) בתחום שירותי הענן בישראל ובכלל זה:
בזק בינלאומי, בזק, הוט,
MedOne, סלקום, פרטנר, טלדור, תים,
IBM ועוד.
אחד השירותים החשובים ביותר של ספקי שירותי הענן לעסקים הוא:
אבטחת מידע בענן, לעסקים ברמת ה-
SMB וה-
SME. יש כיום תחרות עזה בין הפתרונות לשירותי אבטחה לעסקים קטנים בענן, במיוחד בין אלה של בינת עסקים לחברת בזק בינלאומי. אחרי 2 המתחרים הגדולים הללו בתחום זה, יש שפע של מתחרים גדולים וקטנים יותר (יחסית), בתחום שירותי האבטחה בענן.
אמנם,
Triple C הייתה ראשונה בתחום זה (עם פורטל שירות מלא בשירותי ענן, כבר בעשור הקודם), אך כיום המתחרים בה מספקים שירות מלא "קצה לקצה", עם כמה עננים בארץ ובעולם (לשרידות מרבית), כולל התקנות ותמיכה לכל סוגי התקשורת (לרבות
שירותי אינטרנט עסקיים) ושירותים "בחצר הלקוח" (
On Premise), ולחלקן יש פריסה פיזית בשטח של טכנאי שירות לתמיכה 24
7X, עם מגוון של רישיונות והסמכות לכל צרכי הלקוחות באשר הם.
לקוח עסקי, שרוצה לחסוך בהוצאות
אבטחת המידע שלו, חייב לבדוק את העלויות. רבים שבויים בהסכמי אבטחת מידע ישנים, שנמשכים שנים רבות, ומשלמים על זה הון עתק ללא כל תועלת ממשית. אבטחת מידע היא לא חברת ביטוח, שמשלמים על הפוליסה שלה לשעת צרה. אבטחת מידע היא תחום דינמי, שמשתנה די מהר ושיש לבחון אותו – כל הזמן. מי שמשלם אלפי ₪ לשנה על שירותי אבטחת מידע לעסק שלו, חייב לבצע מידית רביזיה של כל מערך האבטחה שלו ולקבל ייעוץ מקצועי מהמומחים לתחום.
האם שירותי ענן ציבוריים בכלל מאובטחים?
התשובה היא חד משמעית –
כן. שירותי האבטחה בשירותי הענן מסופקים ברמה טובה יותר מרמת האבטחה, שניתן למצוא בעסקים ובארגונים בישראל (במערכות הפנימיות שלהם) מהסיבות הבאות:
- הפרנסה של ספק שירותי הענן תלויה כל כולה ברמת האמון ורמת האבטחה, שהוא מספק ללקוחות שלו. לכן, ספק שירותי ענן לא יתפשר בנושא הזה, כי זה המוניטין שלו והפרנסה שלו.
- ספק שירותי הענן יכול להעסיק את המומחים הטובים ביותר, שהוא יכול למצוא בשוק ולשכור את היועצים הטובים ביותר כדי להשיג רמת אבטחה מתאימה וטובה, שתענה על כל הצרכים של לקוחותיו.
- מערכות האבטחה של ספק שירותי הענן תמיד תהיינה מעודכנות, כי העדכניות של שירותיו היא חלק בלתי נפרד מרמת השירות, שהוא מספק בשוק כל כך תחרותי.
- ספקי ענן חייבים לפעול על פי הרגולציות המחמירות ביותר הקיימות בשוק, אחרת לא ישיגו לקוחות ולא יוכלו להתקיים. לכן, ספקי שירותי הענן מגינים על המידע הנמצא ענן בכפיפות וציות לתקנים הבינלאומיים והמקומיים ולרגולציות המחמירות ביותר בכל תחום, בלי להתפשר בנושאים הללו. אחד המענים לרגולציות הללו היא הרגולציה האוסרת על ארגונים ועסקים מסוימים (למשל בתחומי הפיננסים והבריאות), להוציא את המידע שיש להם מחוץ לגבולות ישראל. לכן, ארגונים ועסקים, שכפופים לרגולציה כזו, אינם יכולים להשתמש בעננים בינלאומיים, שאין לה נוכחות בישראל (דוגמת אמזון וגוגל).
למה אבטחת מידע, שאינה בענן, הפכה לבעייתית ביותר?
שירותי אבטחת מידע קיימים מאז שהתגלה הווירוס הראשון במערכות המחשוב בתחילת שנות ה-80 של המאה הקודמת. רוב העסקים הקטנים והבינוניים (
SMB) משתמשים באמצעי אבטחה מקומיים: נתב אבטחה,
Firewall מקומי, תוכנות הגנה מקומיות דוגמת אנטי-וירוס ואנטי-ספאם.
אולם, כל אמצעי ההגנה הללו שייכים
לעבר. אין בהם כל תועלת לעסק בהווה וכמובן בעתיד. הסיבה די ברורה: התוקפים מזמן עברו לשיטות תקיפה שונות לגמרי והכלים הישנים הללו אינם יודעים להתמודד עימן.
יתרה מכך, בבדיקות, שנערכו לאחרונה במערכות המחשוב של עסקים קטנים (בעולם וגם בישראל) נמצא, ש-80% לפחות מהעסקים חוו תקיפת סייבר אחת לפחות בשנה האחרונה, מאות עסקים בישראל שילמו כפר כשחוו התקפת כופר (
Ransomware) על מחשביהם וכמחצית ממחשבי העסקים נגועים ברוגלות ונוזקות. כל המקרים הללו מתרחשים
במערכות שאינן בענן.
דהיינו: המערכות העסקיות הקיימות (הוותיקות) משמשות בסיס להאקרים כדי לתקוף עסקים אחרים, בלי שבעל העסק יודע, שהוא מהווה בסיס לתקיפות של עסקים אחרים דרכו. המצב הזה נכון גם למחשבים ניידים, טאבלטים וסמארטפונים, שמקושרים לרשת העסקית הנגועה. אין מערכת הפעלה או מערכת מחשוב (כולל מרכזיות), שלא ניתן לפרוץ ולחדור אליה ו\או לשתול בה נוזקות ורוגלות, או להצפין ולחסום את המחשב ולדרוש "כופר" כדי לשחרר את החסימה.
אז מה בעלי עסקים קטנים עד בינוניים אמורים לעשות?
מי שינסה להקדים את התוקפים ע"י שדרוגים של מערכות האבטחה שלו יגלה, שהוא נמצא במרוץ בלתי פוסק ויקר כשידו תהיה תמיד על התחתונה. דהיינו: מדובר בהשקעות, שאין בהן שום
ROI. מדובר במהלך של בזבוז כסף מתמיד על מערכות יותר ויותר משוכללות, יותר ויותר יקרות.
החלופה המומלצת כיום היא: שירותי אבטחה מנוהלים. כמו כל שירות בענן, העסק משלם על השירות בגישת ה-
SaaS (
Software as a Service). דהיינו: לפי שימוש במרכיבי האבטחה השונים.
ספק מתמחה במתן שירותי אבטחה בענן מספק את רמת ההגנה העדכנית ביותר והטובה ביותר לעסק, מבלי שבעל העסק צריך להיות במרוץ מתמיד מול השכלולים והשיטות החדשות של ההאקרים.
אולם, גם העברת האבטחה לשירות מנוהל אין בה 100% של ביטחון מפני פגיעה. אך זה מצב יותר טוב מהמצב הקיים של 0% הגנה על מערכות המידע של העסק, בגלל שימוש בכלים מקומיים ישנים, שאבד עליהם הכלח ואינם רלבנטיים יותר לשיטות התקיפה של היום ומחר.
אילו שירותי אבטחה בענן מוצעים לעסקים?
מגוון השירותים הקיימים בישראל לעסקים ברמת ה-
SMB עד רמת ה-
SME מאוד מגוון וכוללים כמה רמות ומרכיבים, שלעיתים קרובות משווקים ב"חבילות אבטחה":
- אבטחה ברמה רשתית. כלומר: האבטחה מצויה ברשת ובענן של ספק התקשורת ולא במחשבי ונתבי העסק. יש לא מעט ספקי תקשורת המציעים שירות כזה. יש לבחון את מרכיבי השירות והעלויות בטרם בוחרים בפתרון מהסוג הזה, שבד"כ מסופק במחירים מאוד אטרקטיביים. יש לבדוק אם השירות הרשתי מכסה את האיומים הבאים: 1) גלישה בטוחה ברשת הסלולרית והקווית, 2) הגנה מפני מגוון איומי סייבר לכל לקוח קצה בכל מקום שהוא נמצא, כולל הגנה בעת גלישה ב-WiFi. 3) הגנות בסיסיות: מפני וירוסים, הונאות רשת, גניבות זהות, 4) הגנה מפני וירוס כופר (Ransomware), 5) הגנה מפני השתלטות, איומי חדירה לפרטיות וגניבת פרטים, 6) חסימה של קישורים חשודים ברשת (ואפשרות הגנה על קטינים, במקום שנדרש), 7) Anti-Malware, Anti-Phishing, 8) הגנת סייבר בענן למערכות IoT ("בית \ משרד חכם") אם יש בעסק, 9) יכולת התאמה פרסונלית של רמת האבטחה לכל משתמש קצה ולכל מכשיר קצה.
- חבילות אבטחה בענן. כלומר: האבטחה מצויה בענן, לא אצל ספק התקשורת, עם אפשרות ל"תוכנות לקוח" במחשבי ונתבי העסק. השירות בענן מסופק על בסיס SaaS. כלומר: העסק משלם רק עבור הצריכה של השירות ולפי כמות המשתמשים \ עמדות הקצה המוגנות ולפי רמות השירות. גם כאן, מומלץ לבדוק את כל מרכיבי האבטחה המופיעים בסעיף הקודם, מי מספק את התשתיות והכלים לשירותי האבטחה בענן ועוד.
- שילוב האבטחה בשירותים נוספים בענן והגנה עליהם יחד. אפשר לשלב בקלות את כל אחת מחבילות האבטחה בענן, עם חבילות מקבילות, שנמצאות בפורטל השירות דוגמת: מצלמות אבטחה, מערכות אבטחה פיזית, גיבויים, התאוששות מאסון והמשכיות עסקית, Office365, שרתים וירטואליים, טלפוניה בענן, Contact Center as a Services, יישומי וידיאו מכל סוג ועוד.
- שירותי אבטחה רק לתחום הטלפוניה. יש כאן מגוון של פתרונות, החל ממערכות SBC (ר"ת: Session Border Control) ועד מערכות הגנה בענן. תשומת לב, ששירותי ההגנה המקובלים הקיימים בענן אינם יודעים להגן נכון או בכלל על שירותי הטלפוניה (שבענן או שלא בענן). חשוב לדעת, שלפי הרגולציה הקיימת בישראל, ספקי התקשורת אינם מתחייבים לאיזו רמה של הגנה על התקשורת של הלקוחות העסקיים שלהם. כ"כ, יש לשים לב, אם שירותי האבטחה של הטלפוניה בענן הם שירותים פאסיביים (דהיינו: רק מספקים התראות על חריגות), או שהם שירותי אקטיביים (היודעים להתגונן ולחסום מיידית ואף אוטומטית התקפות, או הונאות \ גניבת שיחות וכיו"ב). הפער במחירי השירות מאוד משמעותיים, ובד"כ שירותים פאסיביים אינם מספקים הגנה של ממש, כי עד שבעל המרכזיה מקבל את ההתראה, מזהה את הבעיה, שדווחה לו, ומתארגן לפתור אותה, כבר נגרם לו נזק, שיכול להיות מאוד משמעותי מבחינה כלכלית.
יש לקחת בחשבון, שכדי לקבל "איכות שירות" בפתרונות אבטחה והגנת סייבר בענן ציבורי, צריך גם חיבור תקשורת איכותי (קו עם
SLA), במסגרת חבילת תקשורת מתאימה (דוגמת
IPVPN), ולא חיבור לאינטרנט בגישת ה-
Best Efforts, שיש כיום בחיבורים הפרטיים לאינטרנט (לרבות ב"שוק הסיטונאי"), מה שחלק מהעסקים מיישמים אצלם (כדי לחסוך בהוצאות התקשורת לאינטרנט).
מי מספק בישראל שירותי אבטחת מידע בעידן מחשוב ענן
יש ספקים ואינטגרטורים רבים בשוק האבטחה המקוון הישראלי דוגמת:
IBM, מטריקס,
We!,
HPE,
Gama Operations, מלם-תים, החברות בקבוצת בינת, טריפל-סי, החברות בקבוצת בזק, קבוצת סלקום, קבוצת פרטנר ועוד, שמציעים שירותי אבטחה מנוהלים לעסקים במגוון רחב של אפשרויות.
אולם, יש שונות רבה בין החברות במגוון השירותים, העלויות, רמת השירות (
SLA), רמת התמיכה ויכולות אכיפת מדיניות אבטחה מרחוק על כל מכשירי הקצה הנייחים והניידים. לכן, מומלץ להיעזר באנשי מקצוע כדי לנתח את צרכי העסק בתחום אבטחת המידע, לקבוע את רמת הסיכונים (שממנה נגזרים השירותים שיירכשו), לקבוע את הכללים הבסיסיים למדיניות אבטחה, לקבוע את רמות האבטחה (בין לפי סוגי המשתמשים ובין לפי סוגי מכשירי הקצה הקיימים ברשת של העסק) ולקבוע את שיטות האכיפה של מדיניות האבטחה.
לאחר ניתוח צרכי העסק וקביעת התקציב האפשרי, יש לבצע השוואה ותיחור בין הספקים השונים כדי להגיע לפתרון האופטימלי מבחינת עלות-תועלת לעסק. לכל עסק יש רגישויות וצרכים שונים בתחום האבטחה ולכן אין פתרון אחיד לכולם.
שורה תחתונה בתחום אבטחת מידע בענן:
רכישת פתרונות מתקדמים לאבטחת מידע בענן, כמו כל רכישה בעסק, צריכה להיעשות רק לאחר בחינת צרכי המשתמשים בעסק מול הפתרונות הקיימים בשוק והתקציב האפשרי. יש יתרון בשימוש בשירותי ענן, בגלל שיטת השימוש והתשלום (משלמים רק על מה שצורכים).
מומלץ, שכל בעל עסק יבחן את אבטחת מערכות המחשוב שלו (גם ע"י הזמנת "מבחני חדירה" מספקים המתמחים במבחנים כאלה), והאם זה הזמן להוציא את תחום האבטחה למיקור חוץ, דהיינו: לשירותי ענן. כיום, הספקים המובילים בעולם ובארץ מציעים מגוון רחב של שירותי אבטחה למערכות המחשוב, התקשורת והטלפוניה, במסגרת סל שירותים מתקדמים בענן ובתמחור לפי שימוש בפועל (
SaaS).
מומלץ לבחון
קודם כל את שירותיו של ספק שירותי הענן עצמו, כי שירותיו יהיו (ככל הנראה) מותאמים טוב יותר לשאר שירותי הענן, שהוא מספק. לדוגמה: מי שמשתמש בשירותי הענן של
אמזון-AWS, מומלץ לבחון קודם כל את שירותי האבטחה והסייבר של אמזון-
AWS, שמסופקים על ידה בחבילות השונות המוצעות על ידה, לפני שבוחרים או מוסיפים איזה שירות אבטחה אחר בענן.
מאת: מיכאל פנחס, מהנדס תקשורת, יולי 2017.
מחבר המדריך לפתרונות תקשורת ומחשוב ענן ולרכישת מרכזיות טלפון IP לעסקים