CASB והגנה על המידע

מהו CASB טוב? מה יכול להתאים לארגון שלי? האם שוב מדובר על הטמעה ארוכה? איך CASB תורם להגנה על המידע? ואולי בכלל אני צריך לשלב שני פתרונות CASB?
התשובות ודגשים נוספים במאמר.

המצב בענן

המעבר לענן והטרנפורמציה הדיגיטלית שהגיעה בעקבותיו פתחה בפני כולנו עולם חדש לגמרי ולצורך הענין עולם ללא גבולות, מהיר ודינמי וכתוצאה מכך הדרך שאנו יוצרים תוכן, צורכים תוכן, משתפים מידע ואוספים מידע גורמת לעבודה ולפעולות של משתמשי הקצה להיות פשוטה ויעילה הרבה יותר מאשר פעולות שנעשו לפני כן.

בנוסף לכך גם בצד הניהולי של האדמין הפעולות נעשו פשוטות יותר ומאפשרות לאמץ טכנולוגיות באופן מהיר יותר.
יחד עם השינויים של המעבר לענן המידע הארגוני, האפליקציות והתשתיות בחלקן או ברובן נמצאות בענן ולכן הגישה למידע זמינה ונגישה מכל מקום וכל התקן קצה ולעיתים גם לגורמים לא מהימנים.

מצד אחד המידע הארגוני זמין למשתמשי הקצה, אך מצד שני שטח התקיפה של הארגון גדל באופן משמעותי וחושף את המידע הארגוני למתקפות חדשות כדוגמת מתקפות Illicit Consent, כאשר במתקפה כזאת התוקף יוצר אפליקציית ענן לא אמינה אשר מבקשת מאותו משתמש לאשר את האפליקציה ולתת בה אמון וכתוצאה מכך זהות המשתמש נחשפת לתוקף ואפילו במצבים בהם נעשה שימוש באמצעות MFA.

אז שטח התקיפה של הארגון גדל באופן משמעותי והגבולות כבר נעשו מטושטשים והייתי אומר שאפילו במקרים מסוימים אין גבולות, ולכן כל משתמש יכול לגשת מכל מקום להוריד מידע ארגוני, לאשר אפליקציות זדוניות ולתת גישה למידע, לאפשר גניבת זהויות ולחשוף את כל המידע בענן לכל גורם.

אז מה עושים? ישנם רובדים שונים של אבטחת מידע של זהויות, התקני וקצה וכן הלאה אך אחד החשובים הוא פתרון CASB בלבד! פתרון אשר נמצא כבר בארגונים מסוימים אבל רק אצל המעטים מבינהם.

מהו CASB

תשתית CASB מספקת לארגון מידע, נראות, שליטה ואכיפה על כל פעולה שהיא אשר נעשית בארגון מול שירותי הענן השונים וגם הקטנה ביותר והחל מרמת משתמשי הקצה, אפליקציות ועד פעולות אדמין שונות.

מה המטרה של CASB? המטרה של CASB כמובן להגן על המידע אבל פה זה נחלק למספר דגשים:

אפליקציות ויישומים – הגנה על המידע הארגוני מפני אפליקציות ענן ויישומים שונים הניגשים אל המידע, במצב זה כל תעבורת הגישה מול אותן אפליקציות נגישה לתשתית CASB ומכאן אנו מקבלים נראות מלאה על כל הנעשה.

מכאן CASB בודק מהי מידת הסיכון של השימוש בהם, איזה אפליקציה נמצאת בשימוש, לאיזה מידע אותן אפליקציות ניגשות, מהי רמת ההרשאה? כיצד ניתן לקבל נראות וכן הלאה.

משתמשי קצה – לצד האפליקציות גם הפעולות של משתמש קצה מאד חשובות החל מפעולות פשוטות של כניסה למערכות וביצוע אנומליה וניתוח התנהגות על הגישה של משתמשי הקצה ועד שימוש באפליקציות שונות, וכמובן בצד הניהולי כל פעולת אדמין נרשמת בתשתית CASB. מכאן אנו מקבלים נראות על כל הנעשה בענן וסביבו.

כאשר בודקים פתרון CASB אנו צריכים לקחת בחשבון דגשים נוספים כגון:

API – לרוב פתרון ענן שאינו מצריך שינוי תשתיתי ואינו מצריך Agent, במצב זה החיבור מול אפליקציות ייעשה באופן ישיר על גבי API ובאמצעות מזהי אבטחה שונים, כדוגמת OAuth.

יכול לכלול גם חיבור מול שרתי פרוקסי למינהם כדוגמת Log Collector של Microsoft CASB (aka Adallom) ובנוסף לכך הנתונים עצמם לא נשמרים בתשתית CASB.

Proxy – יכול להיות פתרון ענן או מקומי אשר לרוב דורש שינוי תשתיתי ומצריך Agent (במצב Forward Proxy), במצב כזה החיבור מול האפליקציות יכול להיעשות לפי פוליסי כולל אכיפה על התקני קצה.

במצב כזה כל תעבורה אשר יוצאת מתוך התקן עם Agent נעשית לפי פוליסי של אותו Proxy.

הערה: ישנם תרחישים שניתן לבצע אינטגרציה בין CASB מבוסס API לבין פתרון Reverse Proxy נוסף, בין היתר השילוב של Microsoft Cloud App Security עם Azure AD Conditional Access להגנה על אפליקציות.

על Shadow IT

המושג של Shadow IT קיבל מיקוד לאחר המעבר לענן והעובדה שאנו חייבים נראות, שליטה ואכיפה על כל הנעשה מול שירותי הענן. כאשר לוקחים מצבים בהם מידע ארגוני נמצא בענן או מצב של ספקים אשר מתחברים אל התשתית הארגונית והתופעה הלא חדשה של חיבור אפליקציות אל הארגון לעיתים ע"י גורמים לא טכניים בארגון.

Shadow IT היא עובדה קיימת בארגונים ותופעה שמתרחבת אפילו בארגונים שבהם ישנו דגש על אבטחת מידע ולתופעה זאת ישנם השלכות רבות בינהם איום על המערך התקין של המחשוב בארגון. ההשפעות שעלולות להיות על מערך המחשוב, הם:

• אופן ותפקוד המחשוב הארגוני וטיפול במידע הארגוני
• הצורך בנהלי IT בארגון כדוגמת מדיניות ארגונית
• סיכונים ואיומי אבטחה חיצוניים החל מעובד פנימי ועד מתקפות סייבר
• אובדן נתונים וזליגת מידע (בשימוש לא נכון או אינטגרציה לא תקינה)
• אינטגרציה בין מערכות שונות ושימוש לא נכון בטכנולוגיות הארגוניות

המגמה של Shadow IT תתגבר ותתעצם בארגונים והסיבות המרכזיות להתגברות Shadow IT הם:

• ערך עסקי – קידום פתרונות טכנולוגיים עי” מחלקות שונות כגון שיווק, פרסום וכו’
• ניידות – חיבור התקנים וציוד חיצוני לארגון ללא ידיעת צוות המחשוב (Cosumerization)
• מערכות ואפליקציות – חיבור אפליצקיות ומוצרים ללא אישור של אבטחת מידע

הדוגמא היותר נפוצה היא, בחטיבות שונות בארגונים ישנם תקציבים גדולים בהרבה מאלה שיש ל-IT הארגוני ולכן הקלות של שילוב אפליקציות נוספות הוא בלתי נמנע ומופיע לעיתים קרובות.

במצב כזה המחשוב הארגוני נמצא במצב “שדברים נעשים ללא ידיעתם" ולכן המחשוב הארגוני צריך לפעול בהתאם בכדי לעצור את התופעה או לנהל מצבים כאלה בצורה יעילה, בין היתר לפי הדגשים הבאים:

• חדשנות – בארגונים בהם IT ארגוני שם דגש על חדשנות התופעה היא מצומצמת ונעשית בשיתוף פעולה
• ברוקר – טכנולוגיות חדשות שקיימות ומטרתם לדעת מה קורה עם כל אותם טכנולוגיות ומידע שאינם יודעים עליהם
• מדיניות – החלק הקשה בתהליך והוא קביעת מדיניות ארגונית לגבי טכנולוגיות ואפליקציות חדשות בארגון

בנוסף לכך תחזיות ומחקרים של גרטנר מציגים תמונה על תופעת Shadow IT והיא:

• חטיבות שיווק יוציאו תקציבים על טכנולוגיות יותר מאשר IT ארגוני By 2017 the CMO will Spend More on IT Than the CIO
• 85% מהארגונים יעשו שימוש במערכות CASB עד 2020 Gartner’s Latest CASB Report

איך ניתן לראות Shadow IT בארגונים – Shadow IT מופיע בכל הארגונים כאלה שעובדים עם שירותי ענן וגם כאלה שעובדים עם סביבה מקומית ולכן Shadow IT נחלק למספר קטגוריות:

שירותי ענן ואפליקציות-שירותי ענן ואפליקציות מאושרות, כגון: Office 365, Azure, ServiceNow, Salesforce ועוד (IT Sanctioned).

לסיכום, הרובד של אבטחת מידע (Session Broker) הינו רובד חשוב לארגונים שאימצו ומאמצים את שירותי הענן השונים ומסייע באופן משמעותי של נראות, שליטה והגנה על המידע.

מאמרים נוספים

• Cloud App Security רישום והגדרה ראשונית
• שירות Cloud App Security
• Protecting from ransomware with Cloud App Security (Solution1)