סקר: הסתמכות יתר על ספקי ענן למטרות אבטחה מציבה ארגונים בסיכון למתקפה
מאת:
מערכת Telecom News, 1.7.19, 22:01
סקר, שנערך בקרב 1,000 מנהלי IT ומקבלי החלטות בארגונים ברחבי העולם כולל בישראל מראה, ש-75% מהארגונים מסתמכים בעיקר על ספקי שירותי ענן כדי להגן על עומסי העבודה שלהם. מהם התחומים המטרידים ביותר את הארגונים באבטחת ענן ציבורי?
לפי סקר חדש של
סייברארק, שעוסקת באבטחת גישה פריבילגית, שכבה קריטית באבטחת ה-
IT המגנה על דאטה, תשתיות ונכסי מידע לרוחב הארגון, בענן ובתהליכי
DevOps, ושפעילה מהמטה וממרכז הפיתוח בישראל, מהמטה בניוטון, ארה"ב וממשרדים נוספים באירופה, אסיה פסיפיק ויפן, בזמן שארגונים מעבירים לסביבות ענן ציבורי יותר ויותר יישומים קריטיים, נתונים ומידע של לקוחות בפיקוח רגולטורי וכן תהליכי פיתוח, 36% מהארגונים הגלובליים אומרים, שהיתרון העיקרי של העברת עומסי העבודה לענן הוא צמצום סיכון האבטחה. זאת, למרות שהרבה ספקיות ענן ציבורי מספקות הנחיות ברורות לגבי מודל האחריות המשותפת לאבטחה והתקינה בסביבות ענן.
הממצאים הם חלק מסקר של החברה, שהתפרסם בתוך דו"ח האיומים הגלובליים המתקדמים של סייברארק ל-2019:
CyberArk Global Advanced Threat Landscape Report 2019: Focus on Cloud
.
ככל שארגונים ממשיכים להשתמש בענן כדי להאיץ את הטרנספורמציה הדיגיטלית שלהם, הסתמכות על ספקיות הענן למטרות אבטחה מהווה סיכון משמעותי:
- 49% מהמשיבים מעבירים יישומים עסקיים קריטיים (כלומר, ERP, CRM או ניהול פיננסי) לסביבת ענן ציבורי.
- 45% מאחסנים נתוני לקוחות הכפופים לפיקוח רגולטורי בענן הציבורי.
- 39% משתמשים בענן הציבורי למטרות פיתוח פנימיות, לרבות DevOps.
- 75% מסתמכים על האבטחה המובנית שמספקת ספקית הענן הציבורי, למרות שמחצית (50%) מהם יודעים, שהאבטחה המובנית של הספק אינה מספיקה.
גישה פריבילגית היא התחום המדאיג ביותר באבטחת ענן
על פי המחקר, התחומים המטרידים ביותר בשימוש בענן ציבורי הם:
- גישה פריבילגית לגורמי פנים, שותפים וקבלנים (46%).
- גישה בלתי מורשית למערכות ניהול הענן (46%).
- שימוש באותן הרשאות לכלל סביבות המחשוב, האחסון והאפליקציות (44%).
הבעיה הופכת לקריטית עוד יותר כאשר הרשאות בלתי-מאובטחות ובלתי-מנוהלות מעניקות גישה פריבילגית, מה שעלול לאפשר לתוקפים להשיג הרשאות גבוהות יותר ולקבל גישה עוד יותר פריבילגית לתשתית הענן.
על פי הסקר:
- רוב הארגונים (62%) אינם מודעים לקיומם של הרשאות, סודות ומפתחות וחשבונות פריבילגיים בסביבות IaaS (תשתית כשירות) ו-PaaS (פלטפורמה כשירות).
- רק ל-49%יש כיום אסטרטגיה לאבטחת גישה פריבילגית לתשתית ענן ובתוך תשתית הענן.
אדם בוסניאן, (בתמונה למעלה), סגן נשיא בכיר לפיתוח עסקי גלובלי בסייברארק: "הסיכונים הנובעים כתוצאה מהיעדר בהירות לגבי זהות האחראי לאבטחה בענן מורכבים, בין היתר, מכישלון באבטחת גישה פריבילגית בסביבות אלו. למרות שעננים משמשים כיום לעתים קרובות גם לאחסון נתונים רגישים הכפופים לרגולציה, מפתיע לגלות, שלפחות ממחצית הארגונים אין בכלל אסטרטגיה לאבטחת הרשאות פריבילגיות בענן. הממצא הזה נותר ללא שינוי מאז הדו"ח האחרון שפרסמנו".
הורדת עותק של הדו"ח המתמקד במצב הנוכחי של אבטחת ענן -
כאן.
בתוך כך, רק בסוף השבוע
דווח על מתקפת סייבר סינית נגד תשתית הענן של
HPE ועל 8 חברות טכנולוגיה ושירותים גדולות, שעושות שימוש בתשתית, כדי לגנוב סודות מסחריים. אחת הנקודות הקריטיות של המתקפה הייתה כנראה שינוי הכיוון
(pivot) מהענן הציבורי לרשתות של הלקוחות, ע"י ניצול של
jump servers, שהיוו גשר לרשת הפנימית. לפי סייברארק זהו שלב קריטי, שבו הארגונים יכלו להכיל את המתקפה או לפחות לזהות אותה. זה גם השלב הקריטי, שחייב את התוקפים להתמקד במערכות הארגון ובהרשאות שלו. עד לאותה נקודת חיבור בין הענן לרשת של הארגון, התוקפים היו יכולים להסתמך על הגישה הרחבה וכנראה הבלתי מוגבלת של ספק הענן לנכסי המידע של הלקוחות.