במשך שבועות, מומחי אבטחת סייבר וסוכנויות ממשלתיות האיצו בארגונים לשפר את הגנות הסייבר שלהם בשל האיום הגובר למתקפות סייבר בעקבות פלישת רוסיה לאוקראינה. המשמעות של זה היא לא רק שיפור מערכי הזיהוי והתגובה לאיומים הנוצרים, אלא גם בניית עמידות דיגיטלית גבוהה יותר ברמת התשתית כך שתוכל לעמוד בהתקפה בצורה טובה יותר. במקרים רבים, מדובר במשימה תובענית. שנתיים לאחר המהפך הדיגיטלי שנוצר בעקבות המגפה, משטח ההתקפה של ארגונים רבים גדול משמעותית לעומת זה שהיה לפני מגפת הקורונה.
משאבי ענן הם פגיעים במיוחד, מכיוון שמעבר לתקיפות "קלאסיות", רבים מהם הוגדרו באופן שגוי ללא כוונה, ונותרו חשופים ללא הגנה כלל. מאגרי מידע ואתרי אחסון מקוונים יהיו מטרה אטרקטיבית לתוקפים, אם החשש מפני מתקפות סייבר בעקבות המשבר באוקראינה אכן יתממש. למעשה, חוקרים כבר זיהו פשיטות על בסיס נתונים בענן בשבועות האחרונים, ועדיין יש גורמים זדוניים רבים שממתינים לפעול.
הערך של ענן ציבורי
מערכות ענן הופכות עם הזמן לתשתית העולם הדיגיטלי. הן מספקות דרך זולה וגמישה יחסית לאחסון וניהול מידע – יחד עם הקלת נטל הניהול על צוותי ה-IT, תוכנית מוכנה לשחזור נתונים במקרי אסון וגישה מכל מקום ובכל זמן שהוא. כתשתית לאפליקציות, מידע שמאוחסנים על ענן ציבורי עשויים להכיל:
• מידע עסקי קריטי של החברה
• מידע רגיש אישי על העובדים והלקוחות
• נכסים רוחניים וסודות מסחריים רגישים במיוחד
• מידע הנוגע ל-IT וניהול מחשבים כמו מפתחות API או מפתחות הצפנה, אותם ניתן לנצל למתקפות עתידיות. מיותר לציין שאם
פרט מידע אחד מכל אלה מגיע לידיים הלא נכונות, הנזק לארגון הנפגע עשוי להיות עצום ואף להוביל לקנסות רגולטוריים,
עלויות משפטיות, עלויות נוספות של צוותי ה-IT, ירידה בתוצרים ובמכירות, נטישת לקוחות ונזק למוניטין.
הבעיה עם מאגרי מידע המאוחסנים בענן
האתגר נובע מכך שקל מאוד להגדיר באופן שגוי שירותי אחסון ומאגרי מידע בענן. בנוסף, לאחר שאלו נותרים חשופים, יהיה קל יחסית לאתר אותם באמצעות כלי מדף לסריקת אתרי אינטרנט. זו דוגמה לאתגר העומד בפני צוותי האבטחה: הם צריכים לדאוג לאבטחה סביב השעון, אך לתוקפים נחוצה רק הזדמנות טובה אחת.
האתגר הופך לקשה אף יותר כשלוקחים בחשבון את המורכבות של סביבות ענן מודרניות של ארגונים גדולים. רוב הארגונים מתבססים על שילוב של בין שירותים מקומיים ובין שירותי ענן פרטיים וציבוריים, ומשקיעים בכמה ספקים שונים כדי לפזר את הסיכונים שלהם. דוח אחד מעריך ש-92% מהעסקים נוקטים באסטרטגיה של שימוש במספר שירותי ענן, בעוד ש-82% משקיעים בענן היברידי.
צוותי IT מתקשים לעמוד בקצב של התפתחות הפונקציונליות של ספק שירותי ענן אחד, קל וחומר כשמדובר בשניים או שלושה. ספקי שירותי הענן האלה מוסיפים פיצ׳רים חדשים באופן קבוע כדי לעמוד בדרישות של לקוחותיהם. זה אמנם נותן לארגונים מגוון רחב של אופציות שניתנות להתאמה אישית ברמת פירוט גבוהה, אך באותו הזמן מקשה על ביצוע הדברים הפשוטים בקלות.
המצב הזה בעייתי במיוחד לצוותי פיתוח ו-DevOps, שבמקרים רבים אינם עוברים הכשרת אבטחה המותאמת אישית לתפקיד שהם ממלאים. מחקר מהזמן האחרון שכלל מעל 1.3 מיליון אפליקציות לאנדרואיד ו-iOS חשף ש-14% מבין האפליקציות שהשתמשו בשירותי ענן ציבוריים בצד השרת שלהן חשפו מידע על המשתמש בעקבות הגדרה שגויה.
כפי שצוין במאמר הקודם, ישנן צורות רבות להגדרה שגויה של שירותי ענן, כשהנפוצות ביותר הן:
• הגבלות גישה חסרות
• מדיניות אבטחה קבוצתיות מתירניות מדי
• חוסר באמצעי בקרה על ההרשאות
• נתיבי תקשורת אינטרנט שלא הובנו באופן תקין
• פונקציות רשת וירטואלית שלא הוגדרו באופן תקין
מערכות ענן הן כבר יעד למתקפות
במקרה של הסלמה בתוקפנות, מערכות ענן חשופות יהיו מטרה טבעית. ניתן לגלות ולפרוץ רבות מהן בקלות יחסית: לדוגמה, חשבונות שנותרו פתוחים ללא הצפנה או הגנת סיסמה. למעשה, חוקרים כבר גילו פעילות סייבר התקפית מסוג זה – במקרה הזה, נגד מאגרי מידע בענן שממוקמים ברוסיה.
המחקר גילה שמתוך דגימה אקראית של 100 מאגרי מידע בענן שהוגדרו באופן לא תקין, 92 נפרצו. בחלקם שמות הקבצים הוחלפו במסרים נגד המלחמה, אך הרוב המכריע של מאגרי מידע, נמחקו לחלוטין באמצעות סקריפט פשוט.
לפיכך, הסיכונים הניצבים בפני ארגונים מערביים הם:
קבצים המוחזקים ככופר: מידע מודיעיני שפורסם לאחרונה מעריך שקבוצות פשיעת סייבר פרו-רוסיות מתכוננות לתקיפת מטרות. הקבוצות עשויות לנקוט בפעולות ״האקטיביזם״ (פריצה מטעמי אקטיביזם) באותן הטקטיקות המשמשות לגריפת רווח ממתקפה. במקרים רבים בעבר, התוכן של מאגרי מידע בענן הוחזק כשבוי.
מתקפות הרסניות: כפי שראינו בעבר, קל מאוד למחוק לחלוטין את התוכן של מאגרי מידע בענן מרגע שהושגה גישה אליהם. הסקריפט שזוהה במתקפות הפרו-אוקראיניות האחרונות מזכיר את זה שהיה בשימוש במתקפות ״Meow״ הידועות לשמצה משנת 2020.
דליפת מידע: לפני שהמידע נמחק לחלוטין, הגורמים הזדוניים ירצו לנתח אותו כדי לנסות ולגלות בו מידע רגיש ולהדליף אותו תחילה כדי להגביר את הנזק הכספי ולפגוע במוניטין לארגון שנפגע מהמתקפה.
כיצד לאבטח את מאגרי המידע מבוססי הענן שלכם
למרבה הצער, התמודדות עם אתגר ההגדרה של שירותי הענן אינה קלה כלל. עם זאת, ישנם מספר שינויים שתוכלו לעשות עוד היום כדי לסייע בצמצום הסיכונים שהוזכרו במאמר הזה. ביניהם:
• העברת האחריות לאבטחה מצוותי ה-DevOps באמצעות שילוב בדיקות אבטחה והגדרה אוטומטיות בתהליך הפיתוח
• ניהול מתמשך של הגדרות הקונפיגורציה באמצעות כלים לניהול חשיפת אבטחה בענן (CSPM)
• שימוש בכלים המובנים של ספקי שירותי הענן לניטור ולניהול מאובטח של תשתית הענן
• שימוש בכלי ״מדיניות כקוד״ (Policy as Code, PaC) לסריקה והערכה אוטומטית של החשיפה בענן
• הצפנת מידע רגיש כסטנדרט, כך שגם אם בקרת הגישה אינה מוגדרת באופן תקין, הפורצים לא יוכלו לגשת לנתונים עצמם
ככל שתשתית הענן גדלה, כך גדל גם משטח ההתקפה. עם מלחמה או בלעדיה, מומלץ להשתמש בפרקטיקות האלה כדי לצמצם את סיכוני הסייבר הגדלים.