לא על ההצפנה לבדה: מה ארגונים חייבים ליישם בנוסף להצפנות חזקות?
מאת:
אביב ששוני, 3.8.20, 07:40
היישומים וממשקי ה-API, שפועלים עם המידע הלא מוצפן בבסיס נתונים, מהווים איום משמעותי יותר על בטיחותם של ארגונים מאשר פיצוח קריפטוגרפיה מבוססת טכנולוגיית קוונטים.
אנו כל כך מרותקים להצלחה שלנו בהצפנה, עד שאנו שוכחים, שרוב הנתונים, שמאוחסנים בתוך מסדי נתונים, כלל אינם מוצפנים.
ניתוח
Skyhigh בנושא בקרות ההצפנה מצא, שלמעלה מ-81% מספקי שירותי הענן מצפינים נתונים במעבר באמצעות
SSL או
TLS, אך
רק 9% מהספקים מצפינים נתונים ברגע שהם מאוחסנים בענן.
לכן, ארגונים, שמציעים גישה בלתי מוגבלת למסדי נתונים, שמאוחסנים בענן או באחסון של
AWS S3, עומדים בפני סיוט, שרק ממתין לקרות.
הבעיה היא, שהצפנה אינה מגנה לחלוטין על הנתונים, על רשתות המחשבים ועל מערכות דיגיטליות אחרות. היא מגנה על נתונים במעבר, ואם יש לנו מזל, על נתונים באחסון.
ההצפנה מגבירה את בקרת הגישה למערכות קריטיות אך כדי ש"רשתות" "ו"מערכות" תעבדנה נתונים ותפעלנה פקודות, עליהן להציג נתונים כטקסט פשוט. כך, שארגונים עומדים בפני סיכון גדול יותר מיישומים לא מוגנים ובלתי מותאמים מכפי שהם מאוימים מתוקפים בעולם הסייבר.
זו הסיבה לפריצות זדוניות הממשיכות להתרחש בקצב גובר. לא מכיוון שהנתונים אינם מוצפנים במעבר או באחסון, אלא מכיוון שיישומים ו-
API אינם יכולים לעבד את הנתונים בצורה המוצפנת שלהם. הנתונים חייבים להיות לא מוצפנים, ובשלב זה הם חשופים לפגיעה. וחולשות כאלו מושכות תוקפים.
היישומים וממשקי ה-
API, שפועלים עם המידע הלא מוצפן בבסיס נתונים, מהווים איום משמעותי יותר על בטיחותם של ארגונים מאשר פיצוח קריפטוגרפיה מבוססת טכנולוגיית קוונטים. זו אחת הסיבות, שהם הופכים למטרה לעיתים קרובות כל כך.
במחקר של
Labs ,F5 לאורך עשור של פריצות והפרות נתונים, נמצא, ש"יישומים היו היעד הראשוני ב-53% מהפריצות". לא רק שהן הדרך הקלה ביותר להגיע לנתונים, הן אחד המקומות היחידים, שנותרו בנתיב הנתונים המתארך המוצפן, שהנתונים אינם מוצפנים בו ומשמשים בקלות את מי שמחפש אותם.
הפכנו אדישים לפריצות והפרות מידע היום, מכיוון שהן מתרחשות בתדירות כה מדאיגה, כך, שחדשות על מיליוני רשומות, שנגנבו ממאגר נתונים ונשלחו דרך יישום הפכו שגרתיות עבורנו. כל זאת, למרות המאמצים להכריח אותנו להשתמש בהצפנה - להשתמש ב-
HTTPS במקום ב-
HTTP, ולמרות הדפדפנים ,שאוכפים סטנדרטים קריפטוגרפים על האלגוריתמים ואורכי המפתח המשמשים להצפנת נתונים מעיניים "סקרניות".
אם "הגנות הסייבר" של ימינו אכן נשענות מאוד על כוחה של ההצפנה, אז אנו באמת בצרות. מכיוון שלא עוצמת ההצפנה בלבד מונעת הפרות וזליגת נתונים, שמדביקות את פיד החדשות שלנו וסותמות את תיבות הדואר הנכנס. זה הכוח - ויותר, האינטליגנציה - שאיתם אנו יכולים לזהות ולמנוע התקפה המובילה לאובדן נתונים.
קוד זדוני מוצפן נשאר זדוני. הרשאות גנובות מוצפנות במערכות אימות יישומים הן עדיין הרשאות גנובות. ביטול תיבות הביניים לא מבטל את האיום על שרת אינטרנט, או שרת יישומים פגיע המנוצל כדי לקבל גישה לנתונים קריטיים.
ממשקי
API מהווים הזדמנות נהדרת עבור ארגונים לשלב יישומים במהירות ובקלות. הם מבטיחים זריזות, אך בו בזמן הם מגדילים את הסיכון. לכן, בנוסף להצפנות חזקות, ארגונים חייבים ליישם מעטפת הגנה איכותית לממשקי הגישה ל-
API שלהם.
זה לא מספיק להעריך את היכולת שלנו לחזק את ההצפנה אם זה לא מונע את ההתקפות המאיימות על ניצול יישומים וממשקי
API ומוביל אותם היישר אל תוך לב הכלכלה הדיגיטלית שלנו. הגנה על הנכסים (היישומים) הדיגיטליים שלנו ועל הערוצים דרכם ניגשים (
API) דורשת גישה הוליסטית יותר להגנה המשלבת אינטליגנציה, זהות וגילוי התקפות בנוסף להצפנה חזקה.
מאת:
אביב ששוני, אוגוסט 2020.
מנהל מגזר ממשלה, צבא ולקוחות אסטרטגיים, ב-
F5