אלי שלמה

ניהול מצב אבטחת נתונים בענן DSPM

by · 03/12/2022

הבו לנו DSPM כי חסרים לנו כלי אבטחה בענן 😉 שנת 2023 תביא איתה עוד סריה של כלי אבטחה בענן, וארגונים לבטח ירכשו עוד כלי או שניים (או הרבה יותר). במצב הכלים הנוכחי של היום, זה ממש כמו לשים עוד מכונית בחניה, נשתמש בה בהתחלה ואולי קצת אחרי, אבל בטווח הארוך תעלה אבק.

כלי אבטחה בענן הם חשובים, אבל להעמיס כלים יוצר פערי ידע עצומים ולא ממש מאפשר ניצול של היכולות בשטח, ולכן כלים רבים מנוצלים באחוז יחסית קטן לאחר היישום הראשוני שלהם. אם נשאל את עצמינו את השאלה הגדולה הבאה, כמה אחוז מסך היכולות של כלי אבטחה אנו מנצלים? האם נוכל להגיע למצב סביר של 50%? שזה מעט.

כלי אבטחה בענן הופכים להיות כלים מסועפים, לפחות בקטגוריות מסויימות והם כבר לא נותנים רק תמונה על Posture או Workload Protection, אלא הרבה יותר, ולעיתים נראה כי על העגלה של כלי אבטחה בענן כולם עושים הכל ומעמיסים את העגלה בעוד סריה של פתרונות. רוב ספקי האבטחה בענן מחטיאים את המהות והמטרה, וכמו באבטחה הם גם מפספסים נראות והבנה של הגדרות, נתונים, יוצרים פערים ולא נותנים את התמונה האמיתית.

המאמר הבא הוא חלק מסדרת מאמרים על DSPM. המאמר הנוכחי נותן הקדמה על DSPM, פערים קיימים ועל הפוטנציאל הגלום שפתרון DSPM יכול לתת בסביבה עננית.

נתונים בענן

נתונים הם הנכס החשוב ביותר של כל ארגון, ובמקרים רבים יכול להיות הבסיס לתוכנית ויישום אבטחה. ניהול מצב אבטחת נתונים (DSPM) הוא מגמת אבטחה מתפתחת של גרטנר כחלק מאותו Hype Cycle לאבטחת נתונים. המטרה של פתרונות DSPM היא לאפשר לצוותי אבטחה ובפרט GRC לענות על אינספור שאלות, בין היתר השאלות הבאות:

  • האם אנו יודעים מהם הנתונים הרגישים?
  • היכן נמצאים הנתונים הרגישים שלנו?
  • מהם הנתונים הרגישים שנמצאים בסיכון?
  • מהן הפעולות הנדרשות להכלת סיכונים?
  • האם הנתונים שלנו מטיילים במרחב הרשת?

כאמור, אלה הן רק שאלות כלליות לגבי מודעות אבטחת נתונים בענן.

המציאות בשטח מראה כי בכל סביבה היריעה רחבה יותר והנתונים מטיילים במרחב הטכנולוגי הארגוני, ובמקרי קצה נודדים לסביבות בלתי מורשות.

73da4 dspm hypecycle official

זה לא חדש שתשתיות ענניות שינו באופן מהותי את האופן שבו ארגונים פועלים ומתפקדים, ולכן מקרים של העברה ומיגרציה אל הענן של עומסי עבודה (Workloads), בסיסי נתונים, נכסים ונתונים בפרט היא פחות מורכבת בימים אלה ומספקת כלים ודרכים מגוונים. ארגונים יודעים כי תשתית טכנולוגית חדישה מקדמת פרודוקטיביות, ומאפשרת להם להגיב במהירות לדרישות וליצור הזדמנויות חדשות. עם זאת, הקצב והאופי המתירני של מיגרציות והעברות של נתונים אל הענן מרחיבים באופן דרמטי את שטח התקיפה, וכן את הסיכונים האיומים ומעלים את הסבירות לתקיפות שונות ובפרט למקרים של דליפת נתונים.

במילים פשוטות, האופי המבוזר של הענן וכן תשתיות מולטי ענניות גורם למורכבות של אבטחת מידע והגנה על נתונים.

אם נביט רגע על היסטוריה של הגנת נתונים אז זה ממש מזכיר מעלה סיטואציות של פרוייקטים מורכבים, ארוכי טווח ולעיתים כאלה שאינם מסתיימים. מבחינה היסטורית, מספר טכנולוגיות ניסו להתמודד עם אתגרים הקשורים לאבטחת מידע והגנה על נתונים, כולל:

  • גילוי, תיוג וסיווג נתונים (IP)
  • מניעת אובדן נתונים (DLP)
  • פיקוח על גישה לנתונים (DAG)

פתרונות DSPM מבטיחים רבות בהגנה על הענן ומשלבים יכולות מכל שלושת התחומים הללו ומייצגים את גישת הדור הבא באבטחת נתונים בענן. כלים רבים מבטיחים המון יכולות ואפשרויות על הנייר, אבל המציאות היא אחרת ורק בודדים מאפשרים להגיע למצב של 70-80% הגנה בענן.

אבטחת נתונים בענן – הדור הבא

‍ספקי DSPM שנולדו לענן נוקטים בגישה אחרת מאשר ספקי אבטחה קלאסיים, ואפשר לומר שהיא הגישה של “הענן תחילה”. בכדי להקל על גילוי, תיוג, סיווג, הערכה, תעדוף ותיקון בעיות אבטחת נתונים, הכלים באים לפתור בעיות אבטחה בענן על ידי אוטומציה של פעילויות זיהוי והגנה על נתונים בסביבה דינמית ובקנה מידה עצום.

ניהול מצב אבטחת הנתונים בענן מספק נראות לגבי מיקום הנתונים הרגישים, למי יש גישה לנתונים אלה, כיצד נעשה בהם שימוש ומהו נוף האבטחה של מאגר הנתונים והיישומים המשתמשים בהם. במילים פשוטות, ספקים וכלים של DSPM מספקים גילוי נתונים עם עוד תריסרי תוספות. כלומר, גילוי נתונים מעמיק בתוספת שילובים משתנים של תכונות יכולת צפייה בנתונים.

תכונות כאלה עשויות לכלול נראות בזמן אמת של מחזור חיי הנתונים, תהליכי נתונים, סיכונים ותאימות לבקרות אבטחת נתונים. המטרה היא לזהות פערי אבטחה וחשיפה מיותרת. DSPM מאיצה את ההערכות לגבי האופן שבו ניתן לאכוף את מצב אבטחת הנתונים באמצעות בקרות אבטחת נתונים משלימות. זאת בכדי לספק נראות לגבי מיקומם של נתונים רגישים, למי יש גישה לנתונים אלה, כיצד נעשה בהם שימוש ומהי מצב האבטחה של מאגר הנתונים או היישום.

3789f dspm meme

גישת DSPM מתמקדת באספקת גילוי וסיווג נתונים אוטומטיים, רציפים ומדויקים בתשתיות ענניות. הנקודות הבאות מספקות בהירות מסויימת לגבי האופן שבו גישות אלה מתיישבות, שלכולם יש צרכי גילוי וסיווג נתונים, אך כפי שניתן לראות, רוצים למנף אותם למטרות שונות:

  • ניהול נתונים תומך במאמצים כגון פיקוח על נתונים, איכות נתונים ודיוק, כמו גם מיפוי נתונים וניתוחם.
  • פיקוח על מידע תומך בניהול מחזור חיים של נתונים ומסייע בהפחתת ROT, במעבר לענן, הפחתת אחסון ואופטימיזציה של התשתית, ודרישות מחזור חיים של נתונים.
  • הקלה על תהליכי פרטיות ותאימות במטרה לאפשר מימוש של זכויות גישה של נושאי נתונים (DSAR), כגון, בקשות גישה לנתונים או בקשות מחיקה.
  • פרטיות מאפשרת מעקב אחר העברות נתונים וניהול תהליכי פרטיות כדי לתמוך בדרישות שונות, כגון, CCPA / GDPR.
  • צוותי אבטחה שואפים להבין נתונים כדי להחיל בקרות, כדי לפתח יציבות וגמישות, למזער את שטח האיומים ולשפר את העמידות והשימוש בתוכנות כופר.
  • מניעת אובדן נתונים (DLP) מאפשרת נקיטת פעולות כדי להגן על הנתונים ולאכוף מדיניות אבטחה.
  • פיקוח על גישה לנתונים (DAG) מתמקד ביישום מדיניות גישה לאבטחת נתונים עבור נתונים לא מובנים.
  • פתרונות טוקניזציה והצפנה לשימור תבניות (FPE) שואפים להגן על נתונים רגישים או ליצור עותק לא מזוהה של ערכת נתונים.

פתרונות ניהול אבטחה בענן

‍כיום קיימים שלושה סוגים נפוצים של כלי אבטחה המציעים פתרונות ניהול אבטחה: ניהול מצב אבטחה בענן (CSPM), ניהול מצב אבטחה SaaS (SSPM) וניהול מצב אבטחת נתונים (DSPM). הפתרונות יכולים להיות disintermediated (אבל הענן אוהב ביניים 😉), כגון:

  • CSPM מתמקד בתשתית הענן, ומבקש לספק נראות של נכסי ענן והתראות על תצורות שגויות מסוכנות.
  • SSPM מזהה תצורות שגויות, חשבונות מיותרים, הרשאות משתמש מוגזמות, סיכוני תאימות ובעיות אבטחה אחרות בענן.
  • DSPM מתמקדת בנתונים עצמם ובהקשר היישום שלהם על ידי ניתוח נתונים הן במנוחה והן בתנועה, סיווג הנתונים לפי הרגישות שלהם, כגון PII, PHI ומידע פיננסי, ומתן הנחיות תיקון כמו גם זרימות עבודה לסגירה אוטומטית של פערי אבטחה.

הפתרונות אבטחה המוזכרות הם לצד פתרונות נוספים שמשלימים את המעטפת של אבטחה בענן, כמו הפתרונות של KSMP, CWPP, CIEM וכן הלאה.

בעוד שפתרונות DSPM מתמקדים בגישה של ענן תחילה, אבטחת נתונים אינה מוגבלת רק לסביבות ענן. לכן פתרונות DSPM בוגרים יותר יכללו גם מקרי שימוש של סביבות היברידיות (on-prem) מכיוון שעדיין רוב הארגונים שומרים נתונים מסויימים (או רובם) בצורה מקומית ויעשו זאת גם בשנים הקרובות. בנוסף, ככל שמרחב ה- DSPM מתפתח, והפתרונות צוברים בשלות, חלקם יהפכו לפלטפורמות אבטחת נתונים חזקות יותר, שיכללו את היכולת:

  • גילוי וסיווג של נתונים רגישים
  • הפחתת שטח התקיפה
  • זיהוי בעיות אבטחת נתונים
  • תגובה לזיהוי דליפה פוטנציאלית
  • ניטור תהליכי של מחזור הנתונים
  • שמירה על חוסן מבצעי ומוכנות

חשוב להדגיש כי על הנייר כלי DSPM והפתרונות שנולדו בענן מותאמים תחילה לענן, לכן המציאות בשטח מראה כי כלי DSPM אינם יודעים להתמודד בימים אלה כראוי עם נתונים בסביבות מקומיות ומספספים את המהות של בקרות אבטחה רבות ובהן אבטחת נתונים. איפה הבעיות יכולות להיות כאשר מדובר על אבטחת נתונים? כמה סוגיות ממש כלליות:

  • מי אחראי על יצירת מפתח ההצפנה?
  • האם יהיו מצבים של BYOK ודומיו?
  • איפה המפתח הצפנה יוגדר?
  • האם המפתח יכול לנדוד בין סביבות ענניות?
  • האם המפתח יכול לנדוד בסביבה היברידית?
  • מה קורה כאשר הנתונים יושבים בסטורייג’ ללא סוכן?
  • איך יסרקו כמויות עצומות של נתונים בסטורייג מקומי?

בקיצור, נכון לימים אלה מה שרשום על הנייר עדיין אינו תואם את המציאות לסביבות מולטי ענניות ובפרט לסביבות מקומיות. 

טיפול במקרי שימוש מרכזיים באבטחה

המציאות הנוכחית כיום היא של סביבות מבוזרות מאוד – רבות מהן ממנפות טכנולוגיות ענן – פירושה שניתן לשתף בקלות כל קובץ או רכיב נתונים בלחיצת כפתור. DSPM מספק את החלק החסר כדי להשלים את הפאזל של רוב תוכניות האבטחה – אמצעי לזיהוי, הקשר והגנה על נתונים רגישים.

פתרונות DSPM מאפשרים לצוותי אבטחה:

  • להבין את הנתונים והיכן נמצא הסיכון – שילוב ללא סוכנים מספק לצוותי אבטחה נראות מיידית של כל נכסי הנתונים.
  • סיווג והערכה באופן אוטומטי של נתוני הארגון, ותובנות מעשיות להפחתת הסיכון.
  • הגנה על נתונים רגישים מפני דליפות – הערכות יזומות של חשיפה הפונה לרשת ציבורית, הרשאות גישה, ויחד עם יכולות זיהוי ותגובה שומרים על נכסי הנתונים היקרים ביותר של הארגון מפני התקפות.
  • תגובה לתקיפות – למידת מכונה תבטל כוונון מסורבל של ביטויים ידניים, ותלמד דפוסי אינטראקציה בין מערכות, משתמשים ונתונים, ותאפשר זיהוי של פעילות חריגה בזמן אמת.
  • ביזור ומינוף נתונים באופן מאובטח – הרשאות משתמש מדגישים את הנתונים הרגישים שזהות יכולה לגשת אליהם, מה שמודיע על פיקוח על גישה לנתונים וכן מקל על חיתוך הרשאות גישה ומאפשר שיתוף בטוח של נתונים.
  • פרודוקטיביות וביקורת – מלאי נתונים רגישים המתעדכן באופן רציף חוסך זמן ומאמץ בעת הדרישה לתאימות בקשות גישה, כמו גם ביקורות פרטיות ותאימות ע”י ידיעה תמידית של הנתונים שיש לארגון, היכן הוא ממוקם ולמי יש גישה.

האתגר הטכני

האתגרים הטכניים בענן הם דינמיים ואנו צריכים להתמודד עימם ביומיום, ולכן שילוב של כלי DSPM יכול לסייע במצבים רבים. מהם התאגרים המרכזיים שיש ביום?

הטמעה מונחית נתונים בענן יוצרים סיכונים – הענן הציבורי שינה את האופן שבו ארגונים עובדים עם נתונים והם כבר לא מסתמכים על מסדי נתונים מונוליטיים או פלטפורמות DevOps, אלא במקום זאת, ממנפים את גמישות הענן כדי לאמץ מגוון רחב של כלים ומיקרו-סרוויסים. פרדיגמות חדשות אלה מעניקות לצוותי מוצר וניתוח נתונים מרחב לחדש ולחזור על עצמם במהירות. יחד עם זאת, הם יוצרים סיכונים פוטנציאליים רבים כאשר מדובר בנתונים רגישים.

התפלגות נתונים – ארגונים נוטים לדמוקרטיזציה של נתונים, להרחבת הגישה אליהם ולשימוש במגוון כלים מהטובים מסוגם כדי להתמודד עם אתגרי נתונים ספציפיים. זה הופך את הצוותים ליותר מונחי נתונים, אבל גם אומר שמשטח התקיפה מתרחב לעשרות או מאות מאגרי נתונים פוטנציאליים.

כיום, מעט מאוד ארגונים גדולים מסתמכים על EDW יחיד. הגמישות של הענן מקלה על פיתוח אפליקציות ורכיבים חדשים ושמירה על כמויות גדולות יותר של נתונים גולמיים. זה הרבה יותר נפוץ לראות ארכיטקטורות ענן באמצעות אחסון אובייקטים בעלות נמוכה יותר, כגון, Azure Storage או AWS S3 כדי לאחסן נתונים גולמיים. לאחר מכן ניתן לעבד במגוון רחב של מסדי נתונים או שירותי ניתוח כדי לספק מקרי שימוש שונים בארגון.

פיתוח מבוסס מיקרו-סרוויסים – לא רק האחסון הפך מבוזר, אלא גם ההעדפות לפרק יישומים מונוליטיים למיקרו-סרוויסים – יישומים קטנים יותר או פיסות קוד, המתקשרים באמצעות ממשקי API. זה בתורו מקבל סיוע בפיתוח יישומים בקונטיינרים, ומשם מאפשר למפתחים לפרוס סביבות חדשות בכמה לחיצות.

מיקרו-סרוויסים מעניקים למפתחים גמישות ומשחררים אותם מהסתמכות יתר על DevOps. עם זאת, לכל מיקרו-סרוויס מוקצים נכסי נתונים, מה שמוביל לריבוי נוסף של עותקי נתונים עם פיקוח שאינו קיים או פיקוח מינימלי. ישנה פעילות מאומצת מול עיבוד או ניתוח נתונים. זה כמעט בלתי נמנע שמפתחים יעבירו או ישכפלו נתונים רגישים בתהליך כתיבת קוד חדש.

ארכיטקטורות מרובות עננים – האתגרים הקודמים טבועים באופן שבו ארגונים משתמשים בתשתית ענן. האימוץ של סביבות מרובות עננים מחריף אותן. הקלות של העברת נתונים בין רכיבים מובילה ארגונים לאמץ כלים מספקי ענן שונים – שוב, על מנת לפתור בעיית נתונים ספציפית. לדוגמה, מערך נתונים עשוי למצוא את עצמו בסביבה מולטי עננית ומתבסס על AWS Aurora וכן על Azure Synapse שצריכים להפעיל שאילתת SQL שונה, או כדי לייעל עלויות.

כאשר נתונים נעים בין סביבות מולטי ענניות, מעקב אחר נתונים וסיווג הופך למאתגר עוד יותר. כלים מקוריים המוצעים על ידי ספקי הענן הציבורי מוגבלים לענן ספציפי זה. לנתונים רגישים יש אפשרויות רבות עוד יותר לחלחל לפינות לא מפוקחות. בנסיבות אלה, יצירת פיקוח יעיל יכולה להיות קשה ביותר עד בלתי אפשרית.

הרשאות, מדיניות ואבטחת נקודות קצה – גישות קודמות לאבטחת נתונים ארגוניים התמקדו באבטחת גם בנקודות כניסה לרשת (פתרונות מדור קודם) או בניהול הרשאות, כלים וגישה למשתמשים (CSPM). עם זאת, אף אחת מהגישות הללו אינה מספיקה לעידן של ריבוי נתונים בענן:

  • רוב פרצות הנתונים בענן עצמו אינן פוגעות בנקודות קצה, ותוקפים מתמקדים ברכיבים המתארחים בענן הציבורי, שייתכן שאינם מכוסים על-ידי שירותי VPN ארגוניים. מכאן ההיקף מתמוסס, ומאמצי האבטחה צריכים להתרחש בתוך הענן ולא בנקודת הכניסה.
  • בלתי אפשרי לעקוב אחר השימוש בנתונים לאחר מתן הרשאות, וזאת, בשל ריבוי הנתונים, הנטייה להרחיב את הגישה לנתונים והאופן שבו נתונים משוכפלים עבור שירותי ניתוח שונים, כמעט בלתי נמנע שנתונים רגישים יגיעו למקום שאליו הם אינם שייכים. הרשאות לבדן יתקשו לכסות כל מקרה, וכידוע כל תיקון מהיר הופך לקבוע, וכל מקרה שבו מפתח מושך בטעות יותר נתונים ממה שהוא צריך, או שוכח למחוק עותק של הנתונים שיושבים בהתקני אחסון בענן.

DSPM מציע דרך לעקוף פערים ומגבלות ע”י סריקת הנתונים עצמם, במאגרי הענן שבהם הם מאוחסנים. זה מאפשר ניטור טוב יותר, כולל נתונים מוסתרים, נתוני גוסט וכן הלאה שנוצרים בענן או מועברים משירות ענן אחד למשנהו. חשוב לציין, כלי DSPM פועלים ללא קשר לשאלה אם הגישה המקורית לנתונים אושרה.

נראות טובה יותר לגבי מיקום הנתונים הרגישים – פתרונות DSPM סורקים מאגרי נתונים בענן, מגלים נתונים רגישים ומסווגים אותם. פעולה זו יוצרת מיפוי שאינו קיים ומלאים מדויקים של נכסי הנתונים של הארגון. זה עוזר להבין היכן מאוחסנים נתונים רגישים, מי ניגש לנתונים ולאן הם הולכים.

זיהוי סיכונים – ניתוח סיכונים סטטיים מזהה נתונים שאינם מוגנים באופן מלא ומונע שימוש לרעה בנכסי נתונים. סוגי הבדיקות המבוצעות כאן כוללות וידוא שהנתונים מוצפנים ושהרישום מופעל בכל מצב שבו מתבצעת גישה לנתונים רגישים.

בקרות – פתרונות DSPM מספקים מדיניות הנתמכת ע”י מודל איומים וסיכונים נתונים עמוק. הם יכולים לזהות סיכונים בזמן אמת כאשר הם מופיעים, ומאפשרים תיקון מיידי כדי לעצור הפרה פוטנציאלית.

לסיכום, אחרי בדיקה ארוכה ועדיין ראשונית של מספר כלי DSPM אפשר לומר שהגישה שונה מול השחקנים הקלאסיים, אבל עדיין ישנו ערפל רב באופק. בפרט כאשר מדובר על סביבות מולטי ענניות עם מורכבות טכנולוגית ובטח שמדובר על ניסיון מעניין לתת פתרון לאבטחת נתונים היברידית.

אנו נמצאים בתחילת הדרך ובעוד 2-3 שנים הכלים האלה יהיו במקום אחר, וכמו תמיד נישאר עם מספר וונדורים שיתנו את הפוקוס. אגב, כיום יש משהו כמו 20-25 כלי DSPM, חלקם וונדורים מוכרים וחלקם וונדורים חדשים במשחק.

Tags:

השאר תגובה