"הנחת העבודה: המחשב והטלפון פועלים בסביבה מסוכנת תמיד"

"כיום, כשהפעילות העוינת ברשת גוברת והולכת ותופעת העבודה מרחוק כבר איננה אופנה של ימי הקורונה בלבד – פתרונות אבטחה מודרניים חייבים לצאת מההנחה שמכשיר הקצה, או הטלפון הנייד, פועלים בסביבה מסוכנת, ובכל זמן נתון", כך אמר צ'סטר וישנייבסקי, סמנכ"ל טכנולוגיות, סופוס (Sophos).

לדבריו, "במרכז העיר שבה אני מתגורר, הפסקת הצהריים בהחלט לא נראית כבעבר: בעוד שחלק מהעובדים חזרו לעבוד במשרדים, רובם נשארים בבית. מגיפת הקורונה תיזכר כנקודת מפנה במגוון תחומים, וקצב החיים המרוכז במשרד לעולם לא ישוב להיות כפי שהיה". וישנייבסקי הוסיף כי "הגמישות הגדלה מאפשרת לעובדים לעבוד מאחורי נתבי Wifi ביתיים, אך לא רק בבית: בפארקים או בבתי קפה, או לעבוד תוך כדי 'חופשת עבודה' במקומות רחוקים. מנהלי האבטחה צריכים להניח שמכשירי הקצה הללו נמצאים תמיד בשטח עוין".

שינוי שהפך לנורמלי החדש מאז מגיפת הקורונה. עבודה מרחוק. אילוסטרציה. צילום: BigStock

מהי "דחיפה לשמאל?"

לדברי וישנייבסקי, "עוד לפני הקורונה, ארגונים ניסו לשפר את יכולות האבטחה שלהם. הם ניסו 'לדחוף שמאלה', משמע להזיז את הדברים למיקום קרוב יותר לנקודת ההתחלה. מקור הביטוי בעולם פיתוח התוכנה, בו שלבי תהליך הפיתוח מומחשים כהתקדמות בציר, משמאל לימין, ונקודת ההתחלה היא בצד שמאל. גם בענף האבטחה היישומית אנו משתמשים במונח 'דחיפה לשמאל', בהתייחס לשרשרת התקיפה, שנעה מהתצפית המודיעינית בצד שמאל, אל הפעולה – גניבת מידע, או מטרה אחרת של התוקף – מימין".

"במשך שנים רבות", הסביר, "אסטרטגיות האבטחה עשו שימוש במתודולוגיית 'הגנה לעומק'. הרעיון הוא שלא כל הטכנולוגיות מתאימות לאיתור של סוג איום נתון, ולכן עדיף לפרוס אותן בשכבות. לעתים קרובות יש התאמה ישירה בין שכבות אלה ל'שמאליוּת' של אלמנט בשרשרת ההתקפה. היכולת לזהות פעילות בגבול הרשת, באמצעות חומת האש או מסנני הדוא"ל, או הגלישה שלכם, פירושה הכלה של האיום לפני שיש לו השפעה שלילית על הפעילות התקינה".

"באופן אידיאלי", ציין וישנייבסקי, "אנו רוצים לזהות ולחסום תוקף במיקום שמאלי ככל האפשר, כלומר בשלב מוקדם ככל האפשר. הזזת הזיהוי של פעילות עוינת לצד שמאל גם מספקת לאנליסטים התרעה מוקדמת על חדירה אפשרית ומאפשרת להם ליזום ציד איומים ממוקד יותר, וכך לצפות מראש נקודות תורפה שהתוקף עלול לזהות ולנצל".

"כשהעובדים במשרד, ניתן לרכז את השליטה על אמצעי אבטחה אלה ולספק הגנה מיטבית", אמר. "השאלה היא, האם ניתן לספק את אותה רמת הגנה לעובדים מרחוק, בלא תלות במיקומם הפיזי? האם ניתן לנטר ולהגיב לאיומים כשהעובדים שוהים מחוץ למשרד? אסטרטגיה זו לא הוכיחה את עצמה בימי הסגר, שתפסו רבים מאיתנו בלא תוכנית פעולה".

אילו פתרונות מתאימים לעידן העבודה מרחוק?

לדבריו, "ישנם יתרונות רבים בניטור הרשת כשאנו שולטים בה, אולם עלינו להבטיח שאנחנו יכולים להחיל כמה שיותר אלמנטים מהגנה זו גם כשהעובדים נמצאים במקומות שונים. לא רק שעלינו לספק הגנה אופטימלית, אלא גם לשמור על יכולות הניטור, הזיהוי והתגובה להתקפות המכוונות לנכסים מרוחקים אלה. רוב הארגונים עברו, או מתכננים לעבור – לשימוש בפתרונות EDR/XDR. זו התחלה נהדרת, אך לא כל הפתרונות עונים לכל הצרכים".

"בעידן העבודה מרחוק", אמר, "משתמשים מרוחקים שאינם מוגנים דיים, עלולים להיתקל במגוון איומים רחב, שהנפוצים שבהם הם כתובות URL והורדות זדוניות והתקפות רשת – שבימי הטרום-קורונה טופלו על ידי המכונות השומרות על 'המבצר התאגידי'. כשהמשתמשים היו מחוץ ל'מבצר', היו חסרים רכיבי סינון HTTPS ובדיקת תוכן גלישה. רק עם הוספת טכנולוגיות אלו להגנה, לצד זיהוי מבוסס התנהגות, מודלים של למידת מכונה, חומת אש במכשירי הקצה, הגנת אובדן נתונים (DLP), בקרת יישומים וזיהוי ומענה מורחבים (XDR) – מתקבלת חבילה מקיפה של הגנות – גם אם מכשירי הקצה עצמם משוטטים להם בעולם הפתוח".

וישנייבסקי סיכם באומרו כי "כדי להבטיח את יעילותן של יוזמות כגון גישת 'רשת עם אפס אמון' (ZTNA), לא ניתן להסתפק ביישום אמצעי הגנה על היישומים שמולם אנו פועלים: יש ליישם אמצעי הגנה גם על מכשירי הקצה המחוברים אליהם. בדיקות פשוטות, כמו לוודא שמערכת ההפעלה מעודכנת ושהיא מוגנת בתוכנת אבטחה מתאימה, עשויות להיות התחלה טובה, אך לא כל אמצעי ההגנה שווים זה לזה. כיום, לא רק שהקונספט של 'בפנים' ו'בחוץ' הוא מיושן – הוא פשוט מסוכן".