ניהול משתמשים ובקרת גישה לשירותי ענן ומערכות הארגון בצורה חכמה

מאת גון קמני

"מכרתי לו בית שלא היה שלי, כי לא רציתי שייסע מכאן עם יחס שלילי", שרו להקת "בצל ירוק" ואריק איינשטיין למילים של חיים חפר, ואולי ידעו שהם מנבאים את העתיד. שימוש בזהות גנובה למגוון פעולות הונאה וגניבה הפכו לדרך פעולה שכיחה עבור התוקפים.

תופעת ההתחזות וגניבת הזהות במרחב הוירטואלי גורמת נזקים הנאמדים בעשרות רבות של מליוני דולרים כל שנה. ככל שמתרחב תחום השימוש ביישומים דיגיטליים בכלל וביישומים מבוססי ענן (SaaS) והתלות שלנו בגישה מרחוק לאפליקציות ושירותים שונים, כך גדל משמעותית מרחב התקיפה ומגוון האיומים והסיכון של הארגון והלקוחות.

אם בעבר תוקף היה צריך "לעבוד קשה" כדי לעקוף את מערכות האבטחה הארגוניות ולקבל גישה לנתונים רגישים של הארגון, כיום, בעידן הענן,  התוקף מסתפק בהשגת פרטי ההזדהות של משתמש ארגוני לשירותי Google Cloud, למשל, וכשפרטים אלו בידו, הוא ניגש "באלגנטיות" וללא מאמץ לשירותי הארגון תוך התחזות לעובד, ללא התמודדות עם מערכות אבטחה וללא יצירת "רעש" במערכת.

קחו למשל את תופעת הפישינג, המשמשת לגניבת פרטי משתמש והתחזות – בשנים 2008-2009 התייחסנו (אנשי אבטחת המידע דאז), לתופעת הפישינג כבעיית אבטחת מידע "פתורה". כלומר לבעיה שניתן לה מענה אבטחתי סביר, אשר הנזקים כתוצאה ממימושה אינם משמעותיים. עם התרחבות השימוש והתלות בענן, חזרה תופעת הפישינג והרימה ראשה בתצורה מפותחת ומתוחכמת בהרבה. משנת 2012 ואילך, ככל שאימוץ הענן הופך נפוץ יותר ויותר, כך מגבירים ארגוני הפשיעה למיניהם את מאמציהם להשגת פרטי משתמשים ולהתחזות. זאת מהטעם הפשוט, שהתחזות למשתמש ארגוני ביישומי ענן "חוסכת" לתוקף כל מאמץ חדירה למערכות הארגון. התוקף מתחזה למשתמש הארגון ומקבל גישה ב"דרך המלך" למשאבי הארגון בענן.
כחלק מההתמודדות עם תופעות אלו פיתחו ב"צד המגן" מערכות, שמאפשרות הגנה על הזהות וחיזוק רמת האבטחה ורמת הסמך בתהליך אימות זהות המשתמש. החל בדרישת סיסמה מורכבת, דרך הוספת מענה לשאלות "סבתא", עבור בשימוש באמצעים ביומטריים ובמחוללי קוד חד פעמי, ועד זיהוי מיקום המשתמש בזמן אמת ובניית "פרופיל" משתמש ייחודי ומתוחכם.

חברת אוקטה (Okta) מובילה את תחום ניהול המשתמשים ובקרת הגישה ליישומי ענן ולמערכות הארגון. אוקטה הינה פלטפורמה מבוססת ענן, אשר מטפלת בכל היבטי ניהול הזהות, כולל מתן גישה מאובטחת ויעילה ליישומים, ניהול הרשאות ובקרת גישה, מתן והסרת הרשאות לאפליקציות ויישומים ועוד. המערכת מיועדת לשימוש מגוון אוכלוסיות: ממשתמשי הארגון, דרך שותפים עסקיים וספקים ועד לקהל משתמשי הארגון.

למשל, ההזדהות לרשת החברתית לינקדאין מבוצעת על בסיס שימוש בפלטפורמה של אוקטה (מאחורי הקלעים ובאופן שקוף לחלוטין למשתמש מתבצע תהליך אלגוריתמי מתוחכם, המאפשר אכיפת מדיניות אבטחה והזדהות מתאימה).

לאוקטה אלפי לקוחות בעולם ומאות מיליוני משתמשים. בישראל יש כ-150 חברות שהן לקוחות אוקטה ומאות אלפי משתמשים.

בפרויקט שהושלם לאחרונה על ידי חברת ווי-אנקור (We-Ankor)  מקבוצת חילן אצל לקוח בתחום הביטוח בארץ, הוטמעה מערכת אוקטה בתוך שעות ספורות. המערכת אפשרה אימות המבוסס על מספר גורמים (MFA – Multi Factor Authentication)  בגישת ה-VPN לארגון,

בסיום תהליך ההטמעה המלא, שארך ימים ספורים, המערכת אפשרה ניהול מלא של מחזור חיי המשתמש, הן עבור עובדי החברה והן עבור לקוחותיה (Full Life Cycle Management).

אוקטה מהווה בסיס מרכזי ויחיד לניהול פרטי הזהות וההרשאות של המשתמש –  Identity One Pane of Glass, אשר מספק ערך מוסף אבטחתי משמעותי בשל היכולת לנהל את כל פרטי המשתמש, מדיניות השימוש ובקרת הגישה והאכיפה – בנקודה מרכזית אחת נוחה ומאובטחת.

בכל יום נמנעים מאות ואף אלפי ניסיונות התחזות והונאה על ידי שימוש במערכות אוקטה ברחבי העולם.

אוקטה מתאימה לארגונים ולחברות מכל סוג וגודל. מחברה בת 30 עובדים ועד ארגוני ענק מבוזרים, הכוללים מאות אלפי עובדים , המערכת מאפשרת גידול וביצוע שינויים בצורה מהירה ונוחה מאוד. ארגונים אשר משתמשים במערכת מדווחים על צמצום זמן הטיפול בנושא הרשאות משתמשים ברמה של עשרות אחוזים ומציגים ROI מוכח וממשי בשל שימוש נרחב באוטומציה ויכולות למידת מכונה, אשר גם תורמות אבטחתית וגם מאפשרות חיסכון בכוח אדם בצד ה-IT לצד קיצור זמן ה-Onboarding והטיפול בכל משתמש.

בנוסף, המערכת מאפשרת גמישות רבה מאוד בעבודה מרחוק, בגישה למערכות וליישומי הארגון והענן בצורה נוחה ומאובטחת, מכל אמצעי גישה (מחשב נייד, שולחני, סמארטפון…), והינה אגנוסטית לשיוך ל-Domain כזה או אחר, או הימצאות המשתמש במיקום פיסי כזה או אחר.

השימוש באוקטה נותן מענה לחשיפות הנוצרות על ידי החוליה החלשה בשרשרת, והיא – אנחנו, הגורם האנושי.

בחברת ווי-אנקור מקבוצת חילן התפתח על בסיס מערכת אוקטה שירות 24/7, המאפשר ללקוח לקבל ניטור ובקרת אבטחה מלאים על ניסיונות גניבת זהות של משתמשי הארגון, במקביל לשירות תמיכה מלא במערכת.

Okta – The Global Leader of Identity Management, Access Control and Zero Trust.

הכותב הוא סמנכ"ל חטיבת אבטחת מידע וסייבר בחברת ווי-אנקור מקבוצת חילן.