הגן על נכסי האינטרנט שלך, הגן על העסק שלך

מאת אלון גולדפיז

המסחר האלקטרוני שינה את הדרך שבה העולם עושה עסקים. מלבד היותו "הפנים של העסק", אתר האינטרנט הוא צינור עסקי. לקוחות העסק ולקוחות פוטנציאליים מחפשים בו מידע מוצרים ופתרונות, שותפים עסקיים מחפשים מקור מידע, וכמובן, צרכנים רוכשים בו מוצרים. בחברות כגון אמזון (Amazon), אי-ביי (eBay) ואחרות, אתר האינטרנט של חברה הוא העסק עצמו. ברור אם כן שאתר אינטרנט שלא עובד כיאות משפיע באופן ישיר על שורת הרווח.

ההפרעה להכנסות של העסק היא רק חלק מהבעיה. עוצמתו של אתר האינטרנט של החברה היא גם חולשתו – הוא פתוח ונגיש לכולם. הנגישות הזאת הופכת את אתר האינטרנט למטרה טבעית לפושעי סייבר, האקרים ואקטיביסטים. התוצאה השלילית של פריצה ברורה – פגיעה במוניטין של החברה וגניבה של מידע רגיש, כדוגמת מספרי כרטיסי אשראי ומידע אישי.

אתגרים באבטחת אתרי אינטרנט
אתרי אינטרנט הם יותר מדרך נוחה וקלה להגיע למידע או לרכוש מוצרים. יותר ויותר אפליקציות ארגוניות מבוססות על הרשת והגישה אליהן היא דרך אותה תוכנת גלישה בה משתמשים צרכנים על מנת לרכוש מוצרים שונים. כתוצאה מכך, הסיכון שבגניבת מידע ארגוני רגיש הולך ועולה באופן דרמטי. הקושי באבטחת אתרי האינטרנט והאפליקציות שלהם טמון בארכיטקטורה ובדינמיקה שלהם. בעוד אבטחת הרשת היא יחסית ברורה, אתרי אינטרנט מורכבים ממאות ואפילו אלפי אלמנטים שונים הכוללים בין היתר כתובות אינטרנט, פרמטרים ו-Cookies. יצירת מדיניות עבור כל אחד מהפרטים הללו באופן ידני היא משימה כמעט בלתי אפשרית. בנוסף, אתרי אינטרנט משתנים לעיתים תכופות, דבר שמקשה אף יותר לעדכן את מדיניות האבטחה בכל פעם מחדש.

הקושי באבטחת אתרי אינטרנט הופך חמור אף יותר בשל חולשות רבות במערכת ההפעלה של אתרי האינטרנט עצמם והאפליקציות שרצות עליהם, אתגרים בפיתוח ויישום עדכונים, תיקונים בקוד ועדכונים אחרים, לצד לחץ של Time-To-Market. בנוסף, מאחורי רוב אתרי האינטרנט נמצאת תשתית מבוזרת המשרתת את אתר האינטרנט עצמו – דבר שהופך את התמונה למורכבת אף יותר. התוצאה: לעולם לא ניתן יהיה להניח שאפליקציות מבוססות רשת הינן מאובטחות: הן דורשות אמצעי אבטחה עצמאיים.

להגן על הנכסים המקוונים שלך
על מנת להגן על אתרי אינטרנט יש לנקוט בגישה הוליסטית, הכוללת את מבנה האתר ואת האפליקציות שלו, כמו גם את הרשת העומדת בבסיסו. הנה שלוש גישות ממוקדות שיעזרו לכם להגן טוב יותר על הנכסים המקוונים של העסק:

תכנות מאובטח וביקורת קוד – בצעו את ההנחיות המומלצות על ידי ה-OWASP  (ר"ת Open Web Application Security Project) וגופים אחרים. כך מתכנתים יוכלו לבנות אפליקציות מאובטחות ואמינות יותר ולהוריד את מספר המניפולציות לאורך מחזור החיים של האפליקציה. ברגע שפותח, הקוד חייב לעבור סקירה וביקורת על ידי גורם צד שלישי, עצמאי, שהוא בלתי תלוי בצוות הפיתוח.

בצעו הערכה לרמת הפגיעות של האפליקציה ומבחני עמידות בפני פריצה – בצעו סקירה של אפליקציות, ידנית או על ידי כלים אוטומטיים, על מנת לגלות חולשות. מבחני עמידות בפני פריצה ישלימו את התמונה עבור אפליקציות קריטיות בארגון.

השתמשו בפיירוול ספציפי ל-WAF (ר"ת Web – Web Application Firewall) – למעשה, הפיירוול מאפשר לארגונים למצוא ולחסום התקפות בשכבת האפליקציה. פיירוול בעל מומחיות כזאת נחוץ בנוסף לפתרונות אבטחת רשת קונבנציונאליים אשר מגנים מפני התקפות ברמת הרשת בלבד. התקפות מתוחכמות ניתנות לחסימה רק על ידי אבטחה רב שכבתית.

ככל שה-IT והאוטומציה נכנסים לחיי היום יום שלנו, כך גם תגדל כמות ורגישות המידע האישי והעסקי, השוכנים זה לצד זה בבסיס הנתונים של ארגונים שונים. אם נצרף לכך גם את התקפות הסייבר שהולכות ועולות בתחכום שלהן ובמספרן סביב העולם, ברור שהגיע הזמן שארגונים ייקחו צעדים אקטיביים לאבטחת המידע של הלקוחות שלהם, שנמצא תחת השגחתם. בניית אפליקציות מאובטחות, ביצוע שגרתי של מבחני פגיעות ושימוש בפיירוול אפליקטיבי מודרני, כולם תורמים להגנה עמוקה שיכולה לקרב אותנו יותר לעמידה באתגר.

הכותב הינו מהנדס מכירות בכיר, פורטינט ישראל