"צוותי הפיתוח ממאדים – צוותי האבטחה מנוגה"

"מנהלי אבטחת המידע בארגונים מוטרדים מכל כיוון אפשרי. אחת החזיתות שהם נדרשים לפעול בה קשורה לפיתוח יישומים בארגון. הם מחפשים אמצעים להדק את שיתוף הפעולה עם גופי הפיתוח, על מנת לזהות בעיות אבטחה כבר בקוד ולוודא שיתוקנו במהירות, לפני ההעלאה לייצור. הקשר בין אנשי אבטחת המידע למפתחים ותקלות בקוד מטרידים את מנוחת אנשי הגנת הסייבר. הם מבינים שיש לשפר את הקשרים בין הצוותים שהשפות שלהן שונות: הם כמו 'גברים ממאדים – נשים מנוגה'. צריך דור חדש של כלים, שיסייעו לבחון את אבטחת המידע בקוד המקור", כך אמר סטיב ווילסון, סמנכ"ל המוצרים של קונטרסט סקיוריטי.

ווילסון ביקר באחרונה בישראל. הוא אמר בראיון לאנשים ומחשבים כי "עולם פיתוח היישומים בארגון יוצר דור חדש של בעיות למנהלי האבטחה. בנוסף לצורך בהידוק הקשר בין אנשי ההגנה והפיתוח, ברחבי העולם מתרחבת הרגולציה על חברות תוכנה, והיא הואצה בעקבות אירועי אבטחה משמעותיים, בהם סולארווינדס. בעקבות אירוע זה, תקנה אמריקנית נשיאותית חדשה, שנכנסה לתוקף באחרונה, קובעת שחברות שמספקות תוכנה לארגוני ממשל נדרשות לשקיפות רבה יותר ועליהן לפרסם SBOM – את רשימת הספריות שבהן אנשי הפיתוח משתמשים, באיזה קוד ובאילו תוכנות צד ג' נעשה שימוש בפיתוח, וכמובן אילו בעיות וחולשות אבטחה יש בתוכנות".

"הבעיה", ציין, "היא שהכלים הקיימים עובדים בשיטות המסורתיות, מבוססות סריקת קוד פסיבית, והם יוצרים התראות שווא רבות. הם מאתרים הרבה מאוד סיכונים ועלולים להוביל לעימותים בין צוותי האבטחה והפיתוח. זה כאב ראש גדול למנהלי האבטחה, הנדרשים לשקיפות ומדווחים על קוד בעל אלפי פגיעויות שאותרו, כשבדיעבד, חלקו הגדול לא אמיתי".

"הפתרונות חייבים לדווח על פגיעויות בקוד ולהתאים לכלי הפיתוח המודרניים"

קונטרסט סקיוריטי הוקמה ב-2014 על ידי אלן ניומן, המנכ"ל, וג'ף וויליאמס, סמנכ"ל הטכנולוגיות, במטרה להחליף פתרונות AppSec מסורתיים, שלא מסוגלים להגן באפקטיביות על ארגונים שמפתחים בסביבות מודרניות. היא גייסה יותר מרבע מיליארד דולר, מונה 400 עובדים ועל לקוחותיה נמנות חברות רבות מרשימת פורצ'ן 2,000, כולל הממשל האמריקני. בהנהלת החברה יושבים ג'ון תומפסון, לשעבר מנכ"ל סימנטק ויו"ר מיקרוסופט, וסטיב מנוצ'ין, שהיה שר האוצר בממשל של הנשיא האמריקני הקודם, דונלד טראמפ.

לדברי ווילסון, "פתרונות הדור החדש בתחום חייבים גם לדווח על פגיעויות בקוד וגם להתאים לכלי הפיתוח המודרניים. כך, הכלים יספקו תמונה נכונה ומדויקת יותר על סיכוני האבטחה בקוד היישומים בארגון. הפתרון שלנו מאפשר למפתחים לשחרר קוד מאובטח יותר להגנה על אפליקציות עסקיות. הפלטפורמה שלנו מעניקה לצוותי פיתוח, DevOps ואבטחת מידע יכולת לשחרר קוד במהירות רבה מאוד, לאורך כל מחזור חיי הפיתוח".

רם יוניש, מנהל הסניף הישראלי של קונטרסט סקיוריטי ומוביל שיתופי הפעולה והרכישות של החברה באירופה ובישראל. צילום: רמי זרנגר

בדצמבר 2020 רכשה קונטרסט סקיוריטי את הסטארט-אפ הישראלי קלאוד אסנס תמורת כמה מיליוני דולרים, ועל בסיסו היא הקימה מרכז פיתוח בישראל. קלאוד אסנס פיתחה פתרון לאבטחת יישומים שפועלים בסביבת קלאוד נייטיב, באמצעות בדיקות אבטחה כחלק מתהליך הפיתוח (DevOps). החברה הוקמה על ידי שלושה, שאחד מהם הוא רם יוניש, ממייסדי ולשעבר מנכ"ל סימפליפיי, שנמכרה לצ'ק פוינט. יוניש, מנהל הסניף הישראלי של קונטרסט סקיוריטי והמוביל את שיתופי הפעולה והרכישות של החברה באירופה ובישראל, אמר לאנשים ומחשבים כי "אנחנו מתמחים בפיתוח כלים מדויקים, שיודעים להעריך את הסיכונים של הלקוחות שלנו".

"פתרון הליבה שלנו מבוסס על Code Instrumentation", ציין. "הוא מבוסס על סוכן (Agent) בתוכנה שמאפשר לאתר פגיעויות וסיכונים אמיתיים בלבד. כך המפתחים יכולים לראות ולתקן את הפגיעויות בקוד בצורה יעילה ומהירה מאוד. לרוב הפתרונות המתחרים לוקח בממוצע כמה חודשים עד שנה לתקן את החולשות מהסוג הזה. אנחנו יכולים לקצר את זמן התיקון עד פי 45 – מחודשים לשבוע. כך אנחנו מאפשרים למפתחים להיות יותר פרודוקטיביים, לתקן ליקויים במהירות ולהימנע מסכנות אבטחה. הפתרון פועל בסביבת הייצור, וככזה, הוא שמר על הלקוחות שלנו במתקפת Log4J, שהעסיקה את כל העולם עוד לפני שהחולשה בכלל התגלתה".

תוכנית השותפים של קונטרסט סקיוריטי

ווילסון בא ארצה על מנת לקדם את תוכנית השותפים החדשה של החברה. "התוכנית מייצרת אקו-סיסטם גלובלי שאנחנו מקימים ומורכבת מחברות אינטגרציה, ספקי ענן, ערוצי הפצה וחברות שמפתחות טכנולוגיות אבטחה משלימות. מטרתה היא לספק ללקוחות החברה חיבור נוח בין פלטפורמת אבטחת האפליקציות שלנו לפתרונות של השותפים. לתוכנית כבר הצטרפו חברות רבות, בהן אמזון, AWS, מיקרוסופט ו-VMware", אמר.

על שוק התוכנה הישראלי אמר ווילסון שהוא "בעל מודעות עמוקה לאבטחה, ואנ חנו עובדים פה עם מטריקס DevOps כאינטגרטור. חברות פה מודאגות מפגיעויות התוכנה שלהן. התרשמתי מהתחכום שיש לחברות תוכנה בישראל בהתמודדות עם סכנות הסייבר, כמו גם מרמת הפיתוח הגבוהה ומהמודעות שהמפתחים מקדישים לאיומים".

לסיכום הוא ציין ש-"יש דור חדש של כלי אבטחת יישומים שמנהלי האבטחה בארגונים יכולים לשלב בפיתוח היישומים שלהם, לדעת בדיוק את הסיכונים – ולהגן על עצמם טוב יותר".