תרגום מכתבת מקור מאת קייטי דונגן, כפי שהופיעה במגזין TechTarget
קצב ההתקדמות המהיר של טכנולוגיות מחשוב ענן מפעיל לחץ חדש על המשאבים והמיומנויות של אנשי מקצוע בתחום האבטחה. סקר שנערך לאחרונה על-ידי ארגוןCloud Security Alliance חשף צורך בתעשייה לתעדף ידע מקצועי בתחומי האבטחה בעת שימוש בשירותי ענן.
כאשר התבקשו המשיבים לדרג את חששותיהם בנוגע לאימוץ תשתית ענן או למעבר לתשתית ענן, ציינו 81% מהם את האבטחה במקום הראשון. המורכבויות הגוברות בעולם הענן אינן מקילות על אתגרי האבטחה הללו.
המחקר, שבוצע על-ידי ארגון Cloud Security Alliance בשיתוף חברת אלגוסק, ספקית הפתרונות לאבטחת רשת, מצא אתגרי אבטחה נפוצים הקשורים לארכיטקטורות של סביבות מוטות ענן, סביבות היברידיות וסביבות מרובות עננים. סקר “מורכבות האבטחה בענן” כלל 700 אנשי מקצוע בתחומי ה-IT ואבטחת המידע, וזיהה תחומים לשיפור ואת מצב האימוץ של סביבות ענן פרטיות, ציבוריות ומשולבות.
מורכבות הענן מחריפה את פערי המיומנויות בעולם אבטחת הסייבר
איצי טננבאום, מנהל שיווק מוצר באלגוסק, הפועלת מרידג’פילד פארק, ניו ג’רזי, אמר כי פערי המיומנויות בעולם אבטחת הסייבר גדלים בעקביות בהתאם לעלייה במורכבות התשתיות. בעבר, צוות אבטחה אחד באתר פיקח על האבטחה כולה, מקצה לקצה. כיום, התנאים שונים מאוד.
“יש לנו ענן ציבורי וענן פרטי, ובענן הציבורי יש בקרות אבטחה רבות ושונות – בקרות אבטחה מוטות ענן, בקרות אבטחה של צדדים שלישיים וחומות אש בענן,” ציין טננבאום.
המשאבים והמיומנויות בתחום אבטחת הסייבר מוגבלים, וכך נוצר מקום לטעויות אנוש. יותר מ-200 ממשיבי הסקר חוו הפסקת שירות בשנה האחרונה, והגורם השכיח ביותר להפסקות שירות אלו היה טעות אנוש. בגלל מבחר האפשרויות, וכיוון שארגונים משתמשים במספר פלטפורמות – ובל נשכח את המורכבויות של כל אחת מהן – קשה לאנשי אבטחה להתמחות בכול. כתוצאה מכך, נולדו צוותי אבטחה שמורכבים מאנשי אבטחה בודדים המתמחים בתשתיות שונות.
בארגונים רבים יש אנשים ייעודיים לכל פלטפורמה. מפתחי ענן, צוותי אבטחה בענן, צוותי אבטחה מסורתיים, מנהלי אבטחת מידע וסייבר (CISO), אנשי אבטחת מידע ואנשי תפעול אבטחה – כולם יכולים לבצע שינויים בסביבה מבלי לתקשר אלו עם אלו. אי יידוע הגורמים האחרים אודות שינויים יכול להוביל להשלכות אבטחה אותן ניתן היה למנוע, ולעבודה נוספת הנדרשת לבקרת נזקים.
אבטחה צריכה להיות הגורם המניע בכל הדרגים
אומנם היעדים העסקיים הם הקובעים את סדרי העדיפויות בחברה, אך ההגה צריך להיות בידי האבטחה. לעיתים קרובות, נזכרים באבטחה רק כמחשבה שנייה בפעילות העסקית ובפיתוח. עסקים שנפגעו ונדרשו לתת דין וחשבון בחדשות ובמדיה מדגישים מחדש את החשיבות של אסטרטגיית אבטחה בענן. החוקרים מקווים כי עסקים ינקטו גישה מעשית בנוגע לשילוב אמצעי אבטחה בכל הדרגים, לפני שתתרחש תקרית.
“כשאנחנו עוברים לסביבה החדשה והמורכבת הזו, עלינו לוודא כי האבטחה היא גורם מסייע, ואינה משתרכת מאחורי הפונקציונליות והיכולות האחרות שיש לנו בענן,” אמר ג’ון יאו, סמנכ”ל מחקר גלובלי ב-Cloud Security Alliance.
במקביל לעלייה בפופולריות ובמורכבות של טכנולוגיות מחשוב ענן, הזנחת הפן האבטחתי הופכת לסיכון עסקי, הוסיף יאו, וציין כי חברות מצאו את עצמן בכותרות ואף גרוע מכך כתוצאה מפרצות אבטחה.
“אם גורם אנושי טועה, ומידע רגיש או מסמכים של העסק נחשפים, זה מעיד לא רק על העסק, אלא גם על שירותי הענן שבשרשרת האספקה שלו,” אמר יאו.
הוא הוסיף כי יש לשים דגש על המודעות ולשלב אותה בתרבות הארגונית, אך גישה זו אינה בהכרח דבר שבשגרה כיום. החוקרים עודדו ארגונים לשפר את רמת הידע של העובדים – הן בחברה והן בשרשרת האספקה של הענן – בנושא אבטחת סייבר, והפוטנציאל לפגיעה מהווה אמצעי מנע חכם.
“האבטחה לא צריכה להיות מוגבלת לצוות האבטחה בלבד. היא צריכה להיות דבר רוחבי בעסק,” אמר יאו.
צוותי אבטחת ענן יעמדו בפני בעיות מורכבות בעתיד הקרוב
כמו העלייה במורכבות של סביבות הענן, גם הבעיות עימן מתמודדים צוותי האבטחה יציגו מגמה דומה, כך על-פי המחקר. לדעת החוקרים, הבעיות המורכבות של העתיד דורשות פעולות מנע כיום.
“אם נחשוב לרגע על אפשרויות הגדילה שמציע הענן, שאנחנו כל כך אוהבים, כי הן אחד מיתרונותיו של הענן, הרי שגם הפגיעות שלכם עלולה לגדול. לכן כל כך חשוב לשלוט באבטחה בשלב מוקדם,” הסביר יאו.
מרבית המשיבים בסקר (66%) משתמשים במספר פלטפורמות ענן – מצב המכונה גם סביבה מרובת עננים. כמו כן, נמצא בסקר כי 35% מהמשיבים משתמשים ביותר משלושה ספקים של פלטפורמות ענן. נוסף על כך, 55% מהארגונים עשויים להשתמש הן בענן פרטי והן בענן ציבורי, שיטה המכונה סביבת ענן היברידית.
זהו בדיוק המקור לשם הסקר, “מורכבות הענן”. הוא משקף את המציאות בשימוש בענן כיום, אשר החוקרים צופים שמורכבותה תלך ותחריף. לפי ההערכות, שיעור הארגונים המשתמשים בשילובים של סביבות היברידיות ומרובות עננים – 36% – יצמח במהירות בשלוש השנים הבאות.
איך מתמודדים עם מורכבות האבטחה בענן
לנוכח התפתחות המורכבויות, החוקרים גילו כי הנראות אל תוך הסביבה היא קריטית, כמו גם מומחיות גבוהה של הצוות בחברה וספקיות הענן. אוטומציה יכולה לסייע בנגישות לתוך הענן ובפערי המיומנויות בתחום אבטחת הסייבר.
“בנוסף למניעת הטעויות, במקרים רבים תוכלו גם למנוע את הצורך במומחיות ספציפית בפלטפורמות שונות”, אמר טננבאום.
כך ניתן גם מענה לממצא הסקר כי טעויות אנוש הן הגורם השכיח ביותר להפסקות שירות. שליש מהמשיבים חוו הפסקת שירות של שלוש שעות ויותר, ו-10% דיווחו על הפסקת שירות של יותר מיום אחד. לפי טננבאום, כך ניתן לקבל פרספקטיבה אודות ממצאי הסקר של גרטנר בנושא. על-פי ההערכות בדוח, הפסקת שירות ממוצעת עולה לארגון 5,600 דולר לדקה.
“דמיינו לעצמכם בנק, בית חולים או חברת אשראי שהשירותים שלהם מופסקים למשך פרק זמן כה ממושך,” אמר טננבאום. “מכל הממצאים בדוח, הנתון הזה זעזע אותי יותר מכול. במקרה של בתי חולים ושירותי בריאות, לא מדובר אפילו בעניין של זמן או כסף בלבד: מדובר בחיים.”
הדוח הכולל של אלגוסק ו-Cloud Security Alliance סוקר שינויים ואתגרים בתעשייה כתוצאה מהמורכבויות ומהטכנולוגיה המשתנה בתחום הענן. אין מדובר רק בהצצה לחוויותיהם של עסקים עם תשתיות הענן, אלא גם במפת דרכים לאתגרים הסבוכים שעימם ייאלצו צוותי אבטחה להתמודד בעתיד. בלב המחסור הנוכחי במיומנויות אבטחת סייבר, הסקר מהווה תזכורת חשובה כי סביבות IT ארגוניות מתקדמות דורשות אסטרטגיות אבטחת ענן מתקדמות.
אודות אלגוסק
אלגוסק היא החברה המובילה של פתרונות ניהול אבטחת רשת בענן, ברשת המקומית ובפלטפורמות היברידיות.
הטכנולוגיה של אלגוסק מאפשרת ללקוחותיה לפשט ולנהל באופן אוטומטי את אבטחת הרשת הארגונית באופן שעונה על צרכים עסקיים משתנים. בעזרת אלגוסק, ארגונים יכולים לנהל את השינויים במדיניות אבטחת המידע באופן מהיר, יעיל ובטוח ובאפס מגע על פני הענן, SDN והרשת המקומית, תוך עמידה בדרישות הרגולציה והתקינה המחמירות ביותר. אלגוסק משרתת למעלה מ 1800 ארגונים, כולל 20 מרשימת הפורצ’ן 50 ומסייעת להם להפוך ליותר זריזים, בטוחים יותר ותואמים יותר – בכל עת. החל משנת 2005 אלגוסק מציעה את ערבות ההחזר הכספי היחידה בענף, עדות להתחייבותה לשביעות רצון הלקוחות.
