מְשׁוּתָף Cloud הסבר על פגיעויות וסיכוני אבטחה

Cloud פגיעויות הן נקודות עיוורות או נקודות כניסה אבטחתיות שניתן לנצל על ידי גורמים זדוניים.

בניגוד לסביבות מסורתיות, בהן פגיעויות ניתן למצוא לרוב ברמת הפרימיום (כגון חומות אש), פגיעויות בענן יכולות לנבוע ממספר תחומי פעילות; כגון תצורות שגויות, בקרת גישה, מודל אחריות משותפת לא מוגדר, מערכות מידע צלליות וכו'.

סביבת ענן מחוברת באופן מטבעה למספר משתמשים, שותפים, יישומים וספקים.

משטח תקיפה כה רחב פירושו שנכסי ענן חשופים לאיומים הנובעים מחטיפת חשבונות, גורמים זדוניים מבפנים, חטיפת חשבונות, ניהול לקוי של זהויות ופרטי אישורים, וממשקי API לא בטוחים.

הבדל ברור בין איומים לפגיעויות טמון בדחיפות שלהם.

אם פגיעות מייצגת חולשה הקיימת בלימבו, ומחכה לניצול, אזי האיום הוא אירוע זדוני או שלילי המתרחש בדרך כלל ברגע הנוכחי, ודורש התערבות דחופה.

בשלב הבא, הפגיעות היא זו שחשפה לראשונה את הארגון לאיומי אבטחת ענן .

לדוגמה, תצורות שגויות בענן מייצגות פגיעות, אשר עלולה לגרום לבקרות גישה חלשות, ובסופו של דבר להוביל לאיום של מתקפת סייבר.

בקיצור, פגיעות היא חולשה, ואיום הוא הפעולה או האירוע הפוטנציאליים שיכולים לנצל את החולשה הזו. אם הענן היה דלת נעולה, הפגיעות הייתה מנעול עם נקודת תורפה, והאיום היה מישהו שפותח אותו בכוח.

בליבתן, תשתיות ענן בנויות על שכבות ורכיבים שונים; פגיעויות יכולות להתקיים בכל שכבה.

תוצאה ישירה של הגדרות שגויות או מתירניות מדי, תצורות שגויות הופכות מערכת לפחות מאובטחת ממה שהיא צריכה להיות. הן יכולות להתרחש במכולות מבוססות ענן (כגון דליים של S3 שתצורתם שגוי), חומות אש או מכונות וירטואליות שלא תוקנו.

דוגמאות לתצורות שגויות כוללות גישת קריאה וכתיבה ציבורית כאשר היא אמורה להיות פרטית, הרשאות מיושנות או לא מתוקנות, או אפילו היעדר הגדרות הצפנה.

תצורות שגויות יכולות להתרחש עקב טעות אנוש, חוסר ידע או סקריפטים אוטומציה שנכתבו בצורה גרועה, ולהוביל לאובדן או דליפות נתונים, נזק למוניטין במקרה של מתקפה ואי עמידה בתקנים רגולטוריים.

כך היה במקרה של קפיטל וואן בשנת 2019, כאשר חומת אש של אפליקציית אינטרנט שתצורתה שגויה אפשרה גישה לא מורשית לדלי S3 שהכיל מידע רגיש (כולל מספרי ביטוח לאומי) של למעלה מ-100 מיליון לקוחות. קפיטל וואן נאלצה לשלם קנס של 80 מיליון דולר בגלל הפריצה.

מעצם הגדרתן, סביבות ענן הן מהירות תנועה, מבוזרות, ולעתים קרובות אינן נשלטות במלואן על ידי צוותי אבטחה, כך שנוצר חוסר מסוים של נראות.

זה יכול לקרות או משום שספקים מציעים רק כלים בסיסיים לנראות, ניטור מעמיק יותר כרוך בעלות נוספת, או משום שצוותים בתוך ארגון מתוחים ואין להם את הכישורים הספציפיים לענן הנדרשים כדי לנטר באמת את התשתית.

הנטייה של ארגונים לדחוף מהירות על פני אבטחה היא גם גורם תורם.

עם זאת, כאשר נראות מרגישה כעלות, לא כגורם משפיע על הערך, יריבים יכולים לחדור לתשתית ענן ולהישאר בלתי מורגשים למשך תקופה ארוכה יותר.

עם כל כך הרבה כלים, לוחות מחוונים ויומנים בתוך רשת ענן, קשה לקשר ולקבל תובנות מעשיות לגבי מה שקורה.

ניהול גישה מגדיר איזה משתמש או אפליקציה יכולים לגשת לנכס ענן.

זה כרוך בניהול זהויות דיגיטליות ובקרת גישה לשירותי ענן, יישומים ונתונים.

יש צורך להציב כמה גבולות ומגבלות כדי להבטיח שמידע רגיש לא יגיע לידיים מורשות. בעולם שבו השתלטויות על חשבונות משפיעות על יותר מ-77 מיליון איש בארה"ב לבדה, כמה פרקטיקות הופכות להיות בעלות חשיבות עליונה:

• יישום MFA (אימות רב-גורמי)
• אכיפת עקרון הגישה בעלת ההרשאות הנמוכות ביותר (מתן גישה רק אם היא נדרשת על ידי המשימה)
• שימוש בבקרת גישה מבוססת תפקידים לניהול גישה המבוססת על פונקציות עבודה

אחרת, ארגונים מסתכנים בדליפות נתונים, אי עמידה בתקנות ושיבושים תפעוליים.

תוקפים יכולים לחדור למערכת דרך חשבון שנחטף ולנצל מדיניות גישה לקויה, הם יכולים לעבור למשאבים או מערכות ברמה גבוהה יותר; המטרה היא להשיג שליטה רבה יותר על המערכת ולגרום נזק משמעותי.

בתוך תשתית ענן, ה- API יכול לאפשר למערכות, שירותים או יישומים שונים לקיים אינטראקציה עם סביבת הענן.

משמעות הדבר היא ש-APIs יכולים לשלוט בגישה לנתונים, תשתית ופונקציונליות.

חסר ביטחון API ייתכן שהמשמעות היא שהוא אינו דורש משתמש או אסימון תקפים כדי לגשת אליו, שהוא מעניק גישה רבה יותר מהנדרש, או שהוא רושם נתונים רגישים.

אם ממשקי API מוגדרים בצורה שגויה או חשופים, תוקפים ניגשים לנתונים (מידע על משתמשים, נתונים כספיים, רשומות רפואיות), אפילו ללא אישורים מלאים.

כך היה המקרה בשנת 2021, כאשר פגיעות במערכת של פלוטון API אפשר לכל אחד גישה לנתוני חשבון משתמש, אפילו עבור פרופילים פרטיים. הפגם, שהתגלה על ידי Pen Test Partners, אפשר לבקשות לא מאומתות לעבור, וחשף פרטים כמו גיל, מין, מיקום, משקל, סטטיסטיקות אימונים וימי הולדת.

גישה למסד נתונים כה מורכב הייתה עלולה להסלים עוד יותר לכדי דוקסינג, גניבת זהות או התקפות הנדסה חברתית.

מערכות מידע צלליות (Shadow IT) מתייחסות לשימוש בתוכנה, חומרה או מערכות IT אחרות בתוך ארגון ללא ידיעתן, אישורן או שליטהן של מחלקת ה-IT או האבטחה.

בין אם לשם נוחות ובין אם מתוך כוונה זדונית, עובדים יכולים לחפש כלים אחרים מעבר לאלו המסופקים רשמית, מה שמכניס סיכוני סייבר משמעותיים לארגון.

IT צללים בפועל יכול להיראות כך:

• עובד מעלה מסמכים הנדסיים רגישים לאחסון ענן אישי.
• מישהו המשתמש בכלי גישה מרחוק לא מורשים (כגון AnyDesk) כדי לפתור בעיות במערכות תעשייתיות או לגשת לסביבות SCADA בתשתיות קריטיות.
• קיום שיחות וידאו דרך פלטפורמות לא מאומתות (כמו וואטסאפ) במקום הסטנדרט הארגוני.

בתשתיות קריטיות או בסביבות אבטחה גבוהות, IT צללים יכול ליצור נקודות מתות מסוכנות - פתיחת נתיבים לדליפת נתונים, החדרת תוכנות זדוניות או אי עמידה בתקנות.

קשה יותר לאתר גורמי פנים זדוניים, רשלניים או מוחלשים עקב אופיים המהימן של המשתמש או המערכת המעורבת.

הנזק הפוטנציאלי הנובע מאנשים אלה עלול להוביל לפרצות נתונים, שיבושים בשירות, הפרות רגולטוריות והפסד כספי.

פגיעות יום-אפס היא פרצת אבטחה שלא הייתה ידועה בעבר, שאין לה תיקון זמין בזמן הגילוי, וניתן לנצל אותה לפני שהספק מודע לה.

בסביבות ענן, זה כולל פגיעויות בממשקי API של פלטפורמות ענן, מערכות תזמור מכולות, אפליקציות SaaS או עומסי עבודה המתארחים בענן.

האופי הדינמי, המקושר ורב-הדיירים של הענן מאפשר לפגמים להתפשט במהירות ולהשפיע על משאבים רבים, בעוד שלמשתמשים חסרה הנראות הנדרשת לתשתית לזיהוי מהיר.

בנוסף, תיקון מערכות ענן יכול לקחת זמן, מה שמגדיל את חלון החשיפה לימי אפס (Zero-Days).

החל משנת 2023, מניעת תצורה שגויה בענן הייתה דאגה מרכזית עבור יותר ממחצית החברות, על פי דו"ח זה, המציג את חומרת ההשלכות האפשריות שלהן.

אחת ההשלכות המזיקות ביותר של פגיעויות בענן היא חשיפה או אובדן של נתונים רגישים.

ארגונים מסתמכים לעתים קרובות על פתרונות אחסון ענן כדי לשמור את רישומי הלקוחות, מידע קנייני או נתונים תפעוליים.

לפיכך, פרצה יכולה להיות גניבת זהויות אישיות, מידע פיננסי, קניין רוחני או אפילו סודות מסחריים.

מעבר להשפעות המיידיות, אירועים כאלה עלולים להוביל גם לנזק ארוך טווח למוניטין ולקריסת אמון הלקוחות.

אנשים שנפגעו עלולים לנטוש את השירותים, ושותפים עשויים לשקול מחדש קשרים עסקיים.

אפילו אם ההפרה תבלום במהירות, עלות החקירה, התיקון, הודעה ללקוחות ותביעות משפטיות פוטנציאליות יכולה להגיע למיליוני דולרים, לא כולל עלויות אלטרנטיביות של אובדן פרודוקטיביות ושחיקת המותג.

רוב התעשיות כפופות למסגרות תאימות מחמירות - כגון GDPR, HIPAA, PCI DSS או CCPA - המחליטות כיצד יש לאחסן, לגשת אליהם ולהגן על נתונים.

כאשר פגיעויות מובילות לגישה בלתי מורשית או שליטה לא מספקת על נתונים רגישים, חברות מסתכנות בהפרת חוקים אלה. רגולטורים עשויים להטיל קנסות משמעותיים, לנקוט בהליכים משפטיים או לאכוף הגבלות תפעוליות.

לדוגמה, בתחומי שיפוט כמו האיחוד האירופי, קנסות במסגרת ה-GDPR יכולים להגיע עד 4% מההכנסה הגלובלית השנתית, מה שהופך אפילו אירוע בודד לאירוע בעל סיכון גבוה.

Cloud פגיעויות קיימות מספיק זמן כדי שארגונים יוכלו לפתח מתודולוגיות שלמות שנועדו להפחית סיכוני פגיעויות.

Cloud תשתיות הן דינמיות ביותר, שכן שירותים חדשים נפרסים ואינטגרציות מתווספות באופן קבוע.

כל אחד מהשינויים הללו מציג פוטנציאל לתצורה שגויה או חשיפות, מה שהופך את הערכת הפגיעויות למשימה מתמשכת.

אפילו כאשר ארגונים מזהים פגיעויות ומתחילים לתחזק אותן, ייתכן שחלק מהמערכות לא יפעלו כראוי עם גרסאות מעודכנות.

במקרים כאלה, פגיעויות מסוימות חייבות להישאר למען המשכיות תפעולית, מה שהופך את ניהולן לחיוני.

צוותי אבטחה זקוקים לגישה מובנית לתיעוד חריגים אלה, להערכת הסיכונים הנלווים וליישם אסטרטגיות בקרה מתאימות, כגון בידוד הפגיעות מהרשת.

CSPM כרוך בסריקת תשתיות לאיתור תצורות שגויות, הפרות מדיניות ובקרות גישה מתירניות יתר על המידה.

במקום להתמקד בפגמים בתוכנה, CSPM מטפל בסיכונים ארכיטקטוניים ותצורתיים (דלי S3 שגוי, אחסון לא מוצפן או העברות IAM) אשר עלולים להוביל לחשיפת נתונים או כשלים בתאימות.

CSPM מספק נראות בזמן אמת לסביבות ענן, בדיקות אוטומטיות מול מסגרות תאימות (כגון CIS, PCI או GDPR) והתראות על שגיאות בתצורה.

פלטפורמות CNAPP משפרות את אבטחת הענן, מאחדות שכבות הגנה מרובות ומשלבות Cloud ניהול תנוחת אבטחה Cloud פלטפורמות הגנה על עומסי עבודה (CWPP) וניהול פגיעויות במסגרת אחת.

הם מציעים תובנות מעמיקות יותר לאורך מחזור חיי האפליקציה, החל מתצורת התשתית ועד להתנהגות עומסי העבודה ואיומי זמן ריצה.

CNAPPs יכולים להשתלב עם כלי אבטחה אחרים על ידי הטמעת זיהוי מבוסס מארח, ניטור התנהגותי וסריקת פגיעויות ישירות במכונות וירטואליות, מכולות וסביבות ללא שרת.

בסביבות מקומיות, פגיעויות יופיעו לרוב ברמת ההיקפים; הגבול בין הרשת הפנימית והמאובטחת של הארגון לרשת החיצונית, שלעתים קרובות אינה מהימנה.

פערי אבטחה מקומיים עלולים להוביל לתוכנה מיושנת, שרתים בעלי תצורה שגויה, כשלי חומרה ואפילו פרצות אבטחה פיזיות.

עם זאת, בסביבות ענן, חומות אש ורשתות אינן יוצרות עוד גבול יציב, שכן זהות הופכת לגבול האבטחה הראשון והקריטי ביותר.

גם אם עקרונות אבטחה בסיסיים נותרו רלוונטיים, הענן מציג דינמיקות חדשות, במיוחד סביב אחריות, נראות ותנודתיות של נכסים.

Cloud סביבות חשופות בעיקר לדינמיקה, API איומים מונעי-מערכת, בניגוד לסביבות מקומיות שבהן הסכנה טמונה בסיכונים מובנים היטב כגון גישה פיזית לא מורשית, התקפות פנימיות או פריצות היקפיות.

ההבדלים העיקריים כוללים את שכיחותן של תצורות שגויות כגורם מוביל לפריצות, נוכחותם של משאבים קצרי מועד (מכולות, פונקציות ללא שרת), שלעתים קרובות חומקים מכלי סריקה מסורתיים, ותקיפות מבוססות זהות שהופכות שכיחות יותר ומועדפות על ידי תוקפים.

יתר על כן, גם אחריות האבטחה משתנה בענן, בעיקר בשל מודל האחריות המשותפת שנדון קודם לכן.

במסגרת זו, ארגונים אחראים לאבטחת נתונים, יישומים, תצורות וזהויות, כולל כל הלוגיקה סביב טיפול בקבצים:

• אימות וניקוי קבצים שהועלו.
• הגדרת הרשאות גישה ברמת האובייקט או הדלי.
• הצפנת נתונים במעבר ובמנוחה .
• יישום ניטור וזיהוי איומים באינטראקציות עם אחסון ענן.

לבסוף, כדי לעמוד בקצב המהירות והמורכבות של הענן, מנהיגי אבטחה חייבים להבין הן את השפה והן את אופיים המתפתח של האיומים.

אוצר מילים משותף בין צוותי DevOps, אבטחה ומנהיגות הוא בסיס להגנה מתואמת, וכל חברי הצוות צריכים להיות מתואמים סביב מונחים מרכזיים בתעשייה כגון: