דמיינו לעצמכם מנהל אבטחה של חדר כספות בבנק: יום אחד נאמר לו שהחל ממחר חדר הכספות ייסגר, כל הכספות יפוזרו באתרים שונים, לא יגלו לו היכן הן נמצאות, הוא לא ידע מי ניגש אליהן ומתי ולא ידע אם מעבירים אותן פעם נוספת לאתר אחר. למרות זאת, הוא ימשיך להיות אחראי על ביטחון הכספות ועל שלמות התכולה שלהן. אף מנהל אבטחה לא יסכים לעבוד בצורה כזאת כי איבוד השליטה לא יאפשר לו למלא את תפקידו ולהגן על היהלומים של הלקוחות.
למרבה הפלא, זה בדיוק התהליך שקרה למנהלי האבטחה של ארגונים ברחבי העולם בשנים האחרונות. בעידן הפרה-היסטורי של שנות ה-80, מאגרי המידע של ארגונים היו ריכוזיים: במרתף הבניין שכנו השרתים המרכזיים שהריצו אפליקציות, בעוד בסיס נתונים ראשי אחד שימש את כל פונקציות ושירותי האפליקציה. מספר מצומצם של מנהלי אבטחה שלט בהם וניהל אותם מקצה לקצה ולמשתמשים לא הייתה כל אפשרות לבצע שינוי כלשהו באף מרכיב של המערכת אשר עלול לחשוף את הדאטה למתקפות סייבר.
עם כניסתו של הענן לשוק, התפורר המבנה הריכוזי ולפתע נוצרה שכבת Shadow IT חדשה. מגוון עצום של מכשירים התווספו לרשת הארגונית, חלקם פרטיים, ועובדי הארגון הורידו אפליקציות ללא כל בקרה וחשפו חולשות במערך האבטחה.
איבוד השליטה הזה נראה היום כמו משחק ילדים לעומת האתגרים החדשים שהציב הענן הציבורי. אתגרים אלו דומים יותר לתרחיש חדר הכספות המבוזר שתואר לעיל. בארכיטקטורות חדשות של עולם המיקרו-שירותים, הדאטה מבוזר בין למעלה מ-100 סוגים של טכנולוגיות שונות בענן, כולל סוגים שונים של בסיסי נתונים; מערכות אחסון משותף; דאטה פייפליינס ועוד. הדאטה זורם גם לשירותי SaaS חיצוניים, כדוגמת Snowflake או Databricks.
יתרה מזאת, בעידן הענן, המפתח – ולא מנהל האבטחה – הוא הישות האחראית העיקרית על יצירה וניהול של בסיסי הנתונים הללו. המפתח יוצר אותם עבור המיקרו-שירותים שאותם הוא מפתח. כל מפתח מקים בסיסי נתונים בטכנולוגיה שהוא מעדיף, עם קונפיגורציות שונות, לוגים שונים, הצפנות שונות וארכיטקטורות גישה שונות, ופעמים תכופות הוא חושף מידע רגיש מבלי שהוא מודע לכך.
מנהלי האבטחה לא מוצאים את הידיים והרגליים בתוך הכאוס. הם מאבדים את השליטה על האבטחה. אין להם מושג היכן נמצא הדאטה הרגיש, לאן הוא זורם, מי ניגש אליו ומתי. בדיקה טכנולוגית שביצענו בארגונים גדולים בארה"ב מעידה כי מנהלי האבטחה לא יודעים על קיומם של כ-30% מבסיסי הנתונים שלהם המכילים מידע רגיש
לנוכח היווצרות ה-Shadow Data והעובדה שתהליך יצירת הדאטה עבר באופן כמעט גורף אל המפתחים, מנהלי האבטחה לא מוצאים את הידיים והרגליים בתוך הכאוס. הם מאבדים את השליטה על האבטחה. אין להם מושג היכן נמצא הדאטה הרגיש, לאן הוא זורם, מי ניגש אליו ומתי. בדיקה טכנולוגית שביצענו בארגונים גדולים בארה"ב מעידה כי מנהלי האבטחה לא יודעים על קיומם של כ-30% מבסיסי הנתונים שלהם המכילים מידע רגיש. כמובן שבלתי אפשרי להגן על מידע שלא יודעים על קיומו. ואם זה מזכיר קצת את מנהל חדר הכספות ההיפותטי – אין זה מקרי.
אתגר אבטחת הדאטה בענן הולך ומתעצם מידי יום והפתרונות המתמקדים באבטחת תשתית הענן לא מגינים על הדאטה כיעד ראשי. חברות שנולדו בעידן הענן הציבורי משוועות לגישה אחרת ובקרוב יצטרפו אליהן כל הארגונים הגדולים בעולם שעוברים לענן הציבורי.
מדובר גם בהזדמנות גדולה עבור תעשיית הסייבר הישראלי. בשנה האחרונה הבשילה תפיסת אבטחה חדשה בענן שמציבה כיעד ראשון את אבטחת הדאטה בענן וזכתה להגדרה DSPM, ראשי תיבות של Data Security Posture Management. גישה זו מחזירה את השליטה לידיו של מנהל האבטחה. היא מבצעת מיפוי אוטומטי ומתמשך של הדאטה תוך כדי שהיא מאתרת ומאפיינת את המידע הרגיש שקיים אצל חברות בענן. בכך, תפיסה זו עונה על השאלות: איפה הדאטה נמצא, מי נוגע בו, למי יש גישה אליו, ולאן הוא זז: האם בין חשבונות שונים, בין מדינות וגיאוגרפיות שונות ועוד. המיפוי חושף חולשות ואי ציות לרגולציה (כמו GDPR) ומספק המלצות לפתרונן.
הכותב: גיא שני הוא יזם סדרתי, מנכ"ל ושותף מייסד בחברת הסייבר Polar Security