דו"ח איומים ישראלי מ-7 מדינות כולל ישראל: האם סודות הארגון שלכם גלויים?
מאת: מערכת Telecom News, 19.12.17, 11:24 רוב הארגונים חסרי אסטרטגיה לניהול ואבטחת סודות (secrets) בתהליכי .DevOps צוותי ה-DevOps והאבטחה חייבים לשתף פעולה כדי להפחית סיכון למתקפות סייבר.
חברת סייברארק Cyberark הישראלית, שפעילה מהמטה ומרכז הפיתוח בישראל, מהמטה בניוטון ארה"ב וממשרדים נוספים באירופה, אסיה פסיפיק ויפן, ועוסקת באבטחת חשבונות פריבילגיים, שכבה קריטית באבטחת ה-IT המגנה על דאטה, תשתיות ונכסי מידע לרוחב הארגון, בענן ובתהליכי DevOps, מדווחת על פערי ידע מדאיגים של מפתחי DevOps ואנשי אבטחה לגבי מיקומם של חשבונות פריבילגיים ושל secrets (סודות) בתשתית המחשוב הארגוני. כך, לפי הממצאים הראשונים של "דו"ח האיומים המתקדמים של סייברארק ל-2018".
הדו"ח השנתי הזה של סייברארק, "CyberArk Advanced Threat Landscape 2018" מתפרסם זו השנה ה-11 ב-3 חלקים. החלק הראשון מתמקד בשילוב אבטחת חשבונות פריבילגיים בתהליכי DevOps. הסקר נערך בספטמבר ואוקטובר 2017 באמצעות חברת Vanson Bourne בקרב יותר מ-1,300 מקבלי החלטות במחשוב ואבטחה, מפתחי DevOps ואפליקציות ומנהלי יחידות עסקיות ב-7 מדינות בעולם, בהן גם ישראל.
מבין מספר אפשרויות שהוצגו בפני המשתתפים בסקר - החל ממחשבים אישיים (PC), מחשבים ניידים, דרך מיקרו-שרותים (microservices) ועד לסביבות ענן וקונטיינרים - כמעט כולם (99%) נכשלו בזיהוי של כל המקומות בהם נמצאים חשבונות פריבילגיים או סודות.
האפשרות, שלגביה זוהתה רמת חוסר-מודעות הגבוהה ביותר, הייתה מאגרי קוד מקור כגון GitHub, כאשר 82% מהמשיבים לסקר לא ידעו שגם שם נמצאים חשבונות פריבילגיים או סודות. למקום השני בחוסר המודעות הגיעו המיקרו-שרותים Microservices(79%), ואחריהם סביבות ענן (77%) וכלי CI/CD המשמשים את צוותי ה-DevOps (75%). בפועל, חשבונות פריבילגיים וסודות נמצאים בכל אחת מישויות אלו.
אין אסטרטגיית אבטחה לחשבונות פריבילגיים ב-DevOps
סקר של גרטנר, שנערך באמצע 2016 מצא, שעד סוף אותה שנה 50% מהארגונים ישתמשו ב-DevOps. למרות זאת, ממצא המחמיר עוד יותר את חוסר המודעות הוא, ש-73% ממקצועני האבטחה דיווחו, שאין להם כל אסטרטגיית אבטחה לחשבונות פריבילגיים ב-DevOps, מחדל היוצר נקודות תורפה משמעותיות, שתוקפים יכולים לנצל.
צוותים מנותקים המתמודדים עם אבטחה מנותקת
צוותי DevOps רבים אינם מעריכים נכון את היקף הסודות הנמצאים בתשתית המחשוב, ועם זאת, הם מודעים לצורך לשפר את האבטחה. יותר משליש (36%) מאנשי המקצוע בתחום ה-DevOps, שמאחסנים או פורשים מידע בענן, אמרו בסקר, שכלים וסביבות DevOps שנפרצו הם אחת החולשות החמורות ביותר של האבטחה בארגון שלהם. עם זאת, רבים מהם פועלים לבדם לטיפול בבעיה.
בעוד שרק ל-27% מצוותי האבטחה יש אסטרטגיית אבטחה לחשבונות פריבילגיים ב-DevOps, וכאשר 61% מהנשאלים מודים בחוסר אינטגרציה בין צוותים, מקצועני DevOps רבים לוקחים את העניינים לידיהם. למעשה, רבע (24%) מהם בנו פתרון אבטחה משלהם כדי להגן על הסודות ולנהל אותם בפרויקטי ה-DevOps שלהם.
אסטרטגיית אבטחה מעורפלת מגבירה את הסיכון
ארגונים עושים כיום שימוש מוגבר בכלי ניהול קונפיגורציה ואוטומציה בענן כדי לקדם יוזמות DevOps. כמעט מחצית (47%) מהמשיבים דיווחו, שהם משתמשים בענן לצורכי פיתוחים פנימיים.
ואולם, הסקר מראה, שהיעדר אסטרטגיית אבטחה ל-DevOps מגיע גם לענן: יותר מ-7 מכל 10 (71%) הסתמכו על האבטחה המובנית של ספק הענן שלהם, כלומר אבטחת חשבונות פריבילגיים אינה משולבת באופן מלא בתהליכי ה-DevOps כאשר מתרחבים לסביבות נוספות.
אליזבת לולר, סגנית נשיא לאבטחת DevOps בסייברארק: "כל ארגון, שמשתמש ב-,DevOps יוצר ומשתף עוד הרשאות לחשבונות פריבילגיים וסודות בין סביבות עסקיות הקשורות זו לזו. למרות שהטכנולוגיה הייעודית קיימת, כיוון שכל כך מעט ארגונים מנהלים ומאבטחים את הסודות, אלה הופכים למטרה עיקרית למתקפות.
הרשאות וסודות שנפרצו מאפשרים לתוקפים, בין אם תוקף חיצוני או גורם זדוני הפועל מתוך הארגון, להשיג שליטה על כל תשתית המחשוב של הארגון. לכן, אנו מוטרדים מכך, שהמרוץ להשגת יתרון מחשובי ועסקי באמצעות DevOps שועט קדימה מהר יותר מהמודעות לכך, שהמרחב החשוף להתקפה רק גדל, ואינו מנוהל.
בניית פתרונות אבטחה משלך היא אולי בסדר, אבל רק עד לנקודה מסוימת. זו אינה דרך שאפשר להמשיך ולהרחיב עם הזמן. מ-Jenkins דרך Puppet וכלה ב-Chef, אין תקן משותף לכלי הפריסה השונים ומשמעות הדבר היא, שאנשי הארגון צריכים להבין כיצד פועל כל אחד מהכלים כדי לדעת כיצד לאבטח אותו.
ה-DevOps באמת צריכים חבילת אבטחה משלהם וצוותי האבטחה חייבים לתת כאן מענה. הם יכולים לספק גישה שיטתית וכן פרקטיקות, שתסייענה לצוותי ה-DevOps לשמור על האבטחה תוך האצת שחרור האפליקציות והגברת התפוקה.
כשאוספים את כל ממצאי הסקר השנה ברור, שהרבה ארגונים אינם מבינים את הצורך או את המנגנון לאבטחת ההרשאות לחשבונות פריבילגיים וסודות, בין אם הם בענן או באתר הלקוח (on-premise).
DevOps חייבים להתמזג עם כלי אבטחה כדי להגן באפקטיביות על מידע פריבילגי. יצירת מודעות ואפשרות לשיתוף פעולה בין צוותי DevOps ואבטחה הוא הצעד הראשון, שיסייע לעסקים להקים פלטפורמת אבטחה סקלאבילית המשתפרת בהתמדה עם כל פיתוח, בדיקה ושחרור של כלים וגרסאות חדשים".