המאמר באדיבות חברת אבטחת המידע ESET
מחשוב ענן הוא מרכיב חיוני במרחב הדיגיטלי שבו פועלים היום כל העסקים, כולל עסקים קטנים ובינוניים. כיום, יותר סביר שתשתיות ה-IT, הפלטפורמות והתוכנות יסופקו כשירות (SaaS – Software as a Service) ופחות בצורה המסורתית, על-גבי המחשבים המקומיים עצמם. המודל הזה מושך עסקים קטנים-בינוניים יותר מכל מגזר לקוחות אחר, מכיוון שהוא מאפשר להם לתפקד ברמה דומה לזו של יריביהם הגדולים, תומך בגמישות העסק ובצמיחתו מבלי לשבור חסכונות.
זו כנראה הסיבה לכך ש-53% מהעסקים הקטנים-בינוניים ברחבי העולם שענו לסקר מהזמן האחרון אמרו שהם מוציאים כ-1.2 מיליון דולר בשנה על שירותי ענן – עלייה של 38% לעומת השנה הקודמת. עם זאת, השינוי הדיגיטלי הזה כרוך בסיכון, ולכן חשוב להבין את הטעויות העיקריות שעסקים קטנים מבצעים עם שירותי הענן שלהם. האמת היא שגם ארגונים גדולים טועים לעיתיםף ושוכחים את כללי הבסיס האלה. להלן שבעת הטעויות העיקריות של עסקים קטנים ובינוניים באבטחת שירותי הענן שלהם:
הזנחת שימוש באימות רב-שלבי
סיסמאות סטטיות הן לא בטוחות מיסודן, ולכן חשוב לאמץ מדיניות טובה להגדרת סיסמאות. ניתן לגנוב סיסמאות בדרכים שונות, כמו מתקפת פישינג, שיטות לפריצה בכוח (Brute-force) או באמצעות ניחוש פשוט. לכן, עליכם להוסיף שכבת אימות נוספת בדמות אימות רב-שלבי, שתקשה על התוקפים לגשת לחשבונות שירותי הענן שלכם. כך תצמצמו את הסיכון מפגיעת כופרות, גניבת נתונים והשלכות אחרות. אפשרות אחרת כוללת מעבר לשיטות אימות אחרות, במידת האפשר, כמו אימות ללא סיסמה.
הסתמכות על האבטחה של ספק שירותי הענן
רבים ממנהלי ה-IT מאמינים שהמשמעות של השקעה בענן היא העברת האחריות לגורם חיצוני אמין. זה נכון רק באופן חלקי. בפועל, ישנו מודל אחריות משותפת לאבטחת הענן, המחולק בין ספק שירותי הענן ובין הלקוח. החלק שלו אתם אמורים לדאוג תלוי בסוג שירות הענן (תוכנה, תשתית או פלטפורמה) ובספק השירות. אך גם כאשר מרבית האחריות מוטלת על ספק השירות (למשל, בתוכנות SaaS), כדאי להשקיע בכלי בקרה חיצוניים נוספים
הזנחת גיבויים
כמו בעיקרון הקודם, אל תניחו שספק שירותי הענן (במקרה הזה, שירותי שיתוף קבצים ואחסון, למשל) שומר עליכם. תמיד כדאי להתכונן למקרה הגרוע מכל, שככל הנראה יהיה קריסת מערכות או מתקפת סייבר. לא רק הנתונים האבודים יזיקו לעסק שלכם, אלא גם זמן השבתה ופגיעה בפרודוקטיביות שיכולים לנבוע מתקרית סייבר.
הזנחת עדכוני אבטחה
אם לא תתקינו עדכוני אבטחה בזמן, תחשפו את מערכות הענן שלכם לניצול של פרצות אבטחה. זה יכול לגרום בתורו להדבקה בנוזקות, להדלפת נתונים ועוד. ניהול עדכוני אבטחה זו פרקטיקה אבטחתית בסיסית, הרלוונטית גם לשירותי ענן ממש כפי שהיא רלוונטית לאפליקציות המותקנות ישירות על המחשב בארגון.
הגדרה שגויה של הענן
ספקי שירותי ענן דוגלים בחדשנות. אך הכמות האדירה של אפשרויות ויכולות שהם משיקים בעקבות משובי לקוחות, עשויה ליצור סביבת ענן מורכבת מאוד לעסקים קטנים-בינוניים רבים, ורבים מהם מתקשים לדעת אילו הגדרות הן הבטוחות ביותר. בין הטעויות הנפוצות – הגדרת אחסון הענן כך שכל גורם חיצוני יכול לגשת אליו, והשארת פורטים פתוחים.
הימנעות מניטור תעבורת הענן
נהוג בתעשיית האבטחה לצאת מהנחה שפריצה לסביבת הענן היא לא שאלה של ״אם״ אלא של ״מתי״. לכן, חשוב מאוד לזהות ולהגיב במהירות לסימנים מקדימים המרמזים על התקפה, כך שתוכלו להכיל מתקפה לפני שהיא מסוגלת להשפיע על הארגון. לכן, ניטור מתמשך של תעבורת הענן הוא בגדר חובה.
הזנחת הצפנה של הנכסים החשובים
אף סביבה אינה חסינה ב-100% מפני פריצות. אם כך, מה יקרה אם גורם זדוני יצליח להגיע לנתונים הפנימיים הרגישים ביותר שלכם, או למידע אישי של עובדים או לקוחות? הצפנה של הנתונים האלה בזמן האחסון וההעברה מבטיחה שלא יהיה ניתן להשתמש בנתונים האלה, גם אם מישהו מצליח לשים את ידו עליו.
המלצות: כיצד לאבטח את הענן בצורה נכונה
הצעד הראשון בהתמודדות עם סיכוני אבטחת הענן, היא להבין מהו תחום האחריות שלכם, ומהו תחום האחריות של ספק שירותי הענן. לאחר מכן צריך לקבל החלטה – האם אתם סומכים על אמצעי אבטחת הענן הפנימיים של ספק שירותי הענן, או שאתם רוצים להוסיף עליהם מוצרים חיצוניים נוספים.
חברת ESET מציעה את הצעדים הבאים:
♦ השקיעו בפתרונות אבטחה חיצוניים לשיפור אבטחת הענן וההגנה על שירותי הדוא״ל, האחסון ושיתוף הפעולה, בנוסף לאפשרויות האבטחה המובנות בשירות של ספקי הענן המובילים.
♦ הוסיפו כלי זיהוי ותגובה מורחבים או מנוהלים (XDR/MDR) כדי לסייע בתגובה מהירה לתקריות והכלת פריצות וטיפול בהן.
♦ פתחו והטמיעו תוכנית מתמשכת ומבוססת-סיכונים להתקנת טלאי אבטחה, המבוססת על ניהול נכסים חזק (כלומר, דעו אילו נכסי ענן נמצאים ברשותכם ודאגו לכך שהם מעודכנים תמיד)
♦ הצפינו נתונים בזמן האחסון (ברמת בסיס הנתונים) ובזמן ההעברה, כדי להבטיח שהוא מוגן גם אם התוקפים מצליחים לשים עליו את ידיהם. זה ידרוש גילוי וסיווג נתונים אפקטיבי ומתמשך.
♦ הגדירו מדיניות ברורה לבקרת גישה; הפכו סיסמאות חזקות ואימות רב-שלבי לחובה; הגדירו עקרונות למתן הרשאות מינימליות למשתמשים שונים; והוסיפו הגבלות והרשאות על בסיס כתובות IP לכתובות ספציפיות.
♦ שקלו אימוץ של גישת ״אפס אמון״ (Zero Trust), שתכלול רבים מהמרכיבים שהוזכרו מעלה (אימות רב-שלבי, XDR, הצפנה) יחד עם הפרדת הרשת וכלי בקרה אחרים.
ולבסוף ההמלצה החשובה ביותר: זכרו שאבטחת ענן אינה רק אחריותו של ספק שירותי הענן. קחו שליטה עוד היום כדי לנהל את סיכוני הסייבר שלכם בצורה טובה יותר.
קומסִקיור היא הנציגה והמפיצה הבלעדית בישראל של חברת ESET