Site icon

ניהול מצב אבטחת נתונים בענן DSPM

Data Security Posture Management (DSPM)

הבו לנו DSPM כי חסרים לנו כלי אבטחה בענן 😉 שנת 2023 תביא איתה עוד סריה של כלי אבטחה בענן, וארגונים לבטח ירכשו עוד כלי או שניים (או הרבה יותר). במצב הכלים הנוכחי של היום, זה ממש כמו לשים עוד מכונית בחניה, נשתמש בה בהתחלה ואולי קצת אחרי, אבל בטווח הארוך תעלה אבק.

כלי אבטחה בענן הם חשובים, אבל להעמיס כלים יוצר פערי ידע עצומים ולא ממש מאפשר ניצול של היכולות בשטח, ולכן כלים רבים מנוצלים באחוז יחסית קטן לאחר היישום הראשוני שלהם. אם נשאל את עצמינו את השאלה הגדולה הבאה, כמה אחוז מסך היכולות של כלי אבטחה אנו מנצלים? האם נוכל להגיע למצב סביר של 50%? שזה מעט.

כלי אבטחה בענן הופכים להיות כלים מסועפים, לפחות בקטגוריות מסויימות והם כבר לא נותנים רק תמונה על Posture או Workload Protection, אלא הרבה יותר, ולעיתים נראה כי על העגלה של כלי אבטחה בענן כולם עושים הכל ומעמיסים את העגלה בעוד סריה של פתרונות. רוב ספקי האבטחה בענן מחטיאים את המהות והמטרה, וכמו באבטחה הם גם מפספסים נראות והבנה של הגדרות, נתונים, יוצרים פערים ולא נותנים את התמונה האמיתית.

המאמר הבא הוא חלק מסדרת מאמרים על DSPM. המאמר הנוכחי נותן הקדמה על DSPM, פערים קיימים ועל הפוטנציאל הגלום שפתרון DSPM יכול לתת בסביבה עננית.

נתונים בענן

נתונים הם הנכס החשוב ביותר של כל ארגון, ובמקרים רבים יכול להיות הבסיס לתוכנית ויישום אבטחה. ניהול מצב אבטחת נתונים (DSPM) הוא מגמת אבטחה מתפתחת של גרטנר כחלק מאותו Hype Cycle לאבטחת נתונים. המטרה של פתרונות DSPM היא לאפשר לצוותי אבטחה ובפרט GRC לענות על אינספור שאלות, בין היתר השאלות הבאות:

כאמור, אלה הן רק שאלות כלליות לגבי מודעות אבטחת נתונים בענן.

המציאות בשטח מראה כי בכל סביבה היריעה רחבה יותר והנתונים מטיילים במרחב הטכנולוגי הארגוני, ובמקרי קצה נודדים לסביבות בלתי מורשות.

זה לא חדש שתשתיות ענניות שינו באופן מהותי את האופן שבו ארגונים פועלים ומתפקדים, ולכן מקרים של העברה ומיגרציה אל הענן של עומסי עבודה (Workloads), בסיסי נתונים, נכסים ונתונים בפרט היא פחות מורכבת בימים אלה ומספקת כלים ודרכים מגוונים. ארגונים יודעים כי תשתית טכנולוגית חדישה מקדמת פרודוקטיביות, ומאפשרת להם להגיב במהירות לדרישות וליצור הזדמנויות חדשות. עם זאת, הקצב והאופי המתירני של מיגרציות והעברות של נתונים אל הענן מרחיבים באופן דרמטי את שטח התקיפה, וכן את הסיכונים האיומים ומעלים את הסבירות לתקיפות שונות ובפרט למקרים של דליפת נתונים.

במילים פשוטות, האופי המבוזר של הענן וכן תשתיות מולטי ענניות גורם למורכבות של אבטחת מידע והגנה על נתונים.

אם נביט רגע על היסטוריה של הגנת נתונים אז זה ממש מזכיר מעלה סיטואציות של פרוייקטים מורכבים, ארוכי טווח ולעיתים כאלה שאינם מסתיימים. מבחינה היסטורית, מספר טכנולוגיות ניסו להתמודד עם אתגרים הקשורים לאבטחת מידע והגנה על נתונים, כולל:

פתרונות DSPM מבטיחים רבות בהגנה על הענן ומשלבים יכולות מכל שלושת התחומים הללו ומייצגים את גישת הדור הבא באבטחת נתונים בענן. כלים רבים מבטיחים המון יכולות ואפשרויות על הנייר, אבל המציאות היא אחרת ורק בודדים מאפשרים להגיע למצב של 70-80% הגנה בענן.

אבטחת נתונים בענן – הדור הבא

‍ספקי DSPM שנולדו לענן נוקטים בגישה אחרת מאשר ספקי אבטחה קלאסיים, ואפשר לומר שהיא הגישה של "הענן תחילה". בכדי להקל על גילוי, תיוג, סיווג, הערכה, תעדוף ותיקון בעיות אבטחת נתונים, הכלים באים לפתור בעיות אבטחה בענן על ידי אוטומציה של פעילויות זיהוי והגנה על נתונים בסביבה דינמית ובקנה מידה עצום.

ניהול מצב אבטחת הנתונים בענן מספק נראות לגבי מיקום הנתונים הרגישים, למי יש גישה לנתונים אלה, כיצד נעשה בהם שימוש ומהו נוף האבטחה של מאגר הנתונים והיישומים המשתמשים בהם. במילים פשוטות, ספקים וכלים של DSPM מספקים גילוי נתונים עם עוד תריסרי תוספות. כלומר, גילוי נתונים מעמיק בתוספת שילובים משתנים של תכונות יכולת צפייה בנתונים.

תכונות כאלה עשויות לכלול נראות בזמן אמת של מחזור חיי הנתונים, תהליכי נתונים, סיכונים ותאימות לבקרות אבטחת נתונים. המטרה היא לזהות פערי אבטחה וחשיפה מיותרת. DSPM מאיצה את ההערכות לגבי האופן שבו ניתן לאכוף את מצב אבטחת הנתונים באמצעות בקרות אבטחת נתונים משלימות. זאת בכדי לספק נראות לגבי מיקומם של נתונים רגישים, למי יש גישה לנתונים אלה, כיצד נעשה בהם שימוש ומהי מצב האבטחה של מאגר הנתונים או היישום.

גישת DSPM מתמקדת באספקת גילוי וסיווג נתונים אוטומטיים, רציפים ומדויקים בתשתיות ענניות. הנקודות הבאות מספקות בהירות מסויימת לגבי האופן שבו גישות אלה מתיישבות, שלכולם יש צרכי גילוי וסיווג נתונים, אך כפי שניתן לראות, רוצים למנף אותם למטרות שונות:

פתרונות ניהול אבטחה בענן

‍כיום קיימים שלושה סוגים נפוצים של כלי אבטחה המציעים פתרונות ניהול אבטחה: ניהול מצב אבטחה בענן (CSPM), ניהול מצב אבטחה SaaS (SSPM) וניהול מצב אבטחת נתונים (DSPM). הפתרונות יכולים להיות disintermediated (אבל הענן אוהב ביניים 😉), כגון:

הפתרונות אבטחה המוזכרות הם לצד פתרונות נוספים שמשלימים את המעטפת של אבטחה בענן, כמו הפתרונות של KSMP, CWPP, CIEM וכן הלאה.

בעוד שפתרונות DSPM מתמקדים בגישה של ענן תחילה, אבטחת נתונים אינה מוגבלת רק לסביבות ענן. לכן פתרונות DSPM בוגרים יותר יכללו גם מקרי שימוש של סביבות היברידיות (on-prem) מכיוון שעדיין רוב הארגונים שומרים נתונים מסויימים (או רובם) בצורה מקומית ויעשו זאת גם בשנים הקרובות. בנוסף, ככל שמרחב ה- DSPM מתפתח, והפתרונות צוברים בשלות, חלקם יהפכו לפלטפורמות אבטחת נתונים חזקות יותר, שיכללו את היכולת:

חשוב להדגיש כי על הנייר כלי DSPM והפתרונות שנולדו בענן מותאמים תחילה לענן, לכן המציאות בשטח מראה כי כלי DSPM אינם יודעים להתמודד בימים אלה כראוי עם נתונים בסביבות מקומיות ומספספים את המהות של בקרות אבטחה רבות ובהן אבטחת נתונים. איפה הבעיות יכולות להיות כאשר מדובר על אבטחת נתונים? כמה סוגיות ממש כלליות:

בקיצור, נכון לימים אלה מה שרשום על הנייר עדיין אינו תואם את המציאות לסביבות מולטי ענניות ובפרט לסביבות מקומיות. 

טיפול במקרי שימוש מרכזיים באבטחה

המציאות הנוכחית כיום היא של סביבות מבוזרות מאוד – רבות מהן ממנפות טכנולוגיות ענן – פירושה שניתן לשתף בקלות כל קובץ או רכיב נתונים בלחיצת כפתור. DSPM מספק את החלק החסר כדי להשלים את הפאזל של רוב תוכניות האבטחה – אמצעי לזיהוי, הקשר והגנה על נתונים רגישים.

פתרונות DSPM מאפשרים לצוותי אבטחה:

האתגר הטכני

האתגרים הטכניים בענן הם דינמיים ואנו צריכים להתמודד עימם ביומיום, ולכן שילוב של כלי DSPM יכול לסייע במצבים רבים. מהם התאגרים המרכזיים שיש ביום?

הטמעה מונחית נתונים בענן יוצרים סיכונים – הענן הציבורי שינה את האופן שבו ארגונים עובדים עם נתונים והם כבר לא מסתמכים על מסדי נתונים מונוליטיים או פלטפורמות DevOps, אלא במקום זאת, ממנפים את גמישות הענן כדי לאמץ מגוון רחב של כלים ומיקרו-סרוויסים. פרדיגמות חדשות אלה מעניקות לצוותי מוצר וניתוח נתונים מרחב לחדש ולחזור על עצמם במהירות. יחד עם זאת, הם יוצרים סיכונים פוטנציאליים רבים כאשר מדובר בנתונים רגישים.

התפלגות נתונים – ארגונים נוטים לדמוקרטיזציה של נתונים, להרחבת הגישה אליהם ולשימוש במגוון כלים מהטובים מסוגם כדי להתמודד עם אתגרי נתונים ספציפיים. זה הופך את הצוותים ליותר מונחי נתונים, אבל גם אומר שמשטח התקיפה מתרחב לעשרות או מאות מאגרי נתונים פוטנציאליים.

כיום, מעט מאוד ארגונים גדולים מסתמכים על EDW יחיד. הגמישות של הענן מקלה על פיתוח אפליקציות ורכיבים חדשים ושמירה על כמויות גדולות יותר של נתונים גולמיים. זה הרבה יותר נפוץ לראות ארכיטקטורות ענן באמצעות אחסון אובייקטים בעלות נמוכה יותר, כגון, Azure Storage או AWS S3 כדי לאחסן נתונים גולמיים. לאחר מכן ניתן לעבד במגוון רחב של מסדי נתונים או שירותי ניתוח כדי לספק מקרי שימוש שונים בארגון.

פיתוח מבוסס מיקרו-סרוויסים – לא רק האחסון הפך מבוזר, אלא גם ההעדפות לפרק יישומים מונוליטיים למיקרו-סרוויסים – יישומים קטנים יותר או פיסות קוד, המתקשרים באמצעות ממשקי API. זה בתורו מקבל סיוע בפיתוח יישומים בקונטיינרים, ומשם מאפשר למפתחים לפרוס סביבות חדשות בכמה לחיצות.

מיקרו-סרוויסים מעניקים למפתחים גמישות ומשחררים אותם מהסתמכות יתר על DevOps. עם זאת, לכל מיקרו-סרוויס מוקצים נכסי נתונים, מה שמוביל לריבוי נוסף של עותקי נתונים עם פיקוח שאינו קיים או פיקוח מינימלי. ישנה פעילות מאומצת מול עיבוד או ניתוח נתונים. זה כמעט בלתי נמנע שמפתחים יעבירו או ישכפלו נתונים רגישים בתהליך כתיבת קוד חדש.

ארכיטקטורות מרובות עננים – האתגרים הקודמים טבועים באופן שבו ארגונים משתמשים בתשתית ענן. האימוץ של סביבות מרובות עננים מחריף אותן. הקלות של העברת נתונים בין רכיבים מובילה ארגונים לאמץ כלים מספקי ענן שונים – שוב, על מנת לפתור בעיית נתונים ספציפית. לדוגמה, מערך נתונים עשוי למצוא את עצמו בסביבה מולטי עננית ומתבסס על AWS Aurora וכן על Azure Synapse שצריכים להפעיל שאילתת SQL שונה, או כדי לייעל עלויות.

כאשר נתונים נעים בין סביבות מולטי ענניות, מעקב אחר נתונים וסיווג הופך למאתגר עוד יותר. כלים מקוריים המוצעים על ידי ספקי הענן הציבורי מוגבלים לענן ספציפי זה. לנתונים רגישים יש אפשרויות רבות עוד יותר לחלחל לפינות לא מפוקחות. בנסיבות אלה, יצירת פיקוח יעיל יכולה להיות קשה ביותר עד בלתי אפשרית.

הרשאות, מדיניות ואבטחת נקודות קצה – גישות קודמות לאבטחת נתונים ארגוניים התמקדו באבטחת גם בנקודות כניסה לרשת (פתרונות מדור קודם) או בניהול הרשאות, כלים וגישה למשתמשים (CSPM). עם זאת, אף אחת מהגישות הללו אינה מספיקה לעידן של ריבוי נתונים בענן:

DSPM מציע דרך לעקוף פערים ומגבלות ע"י סריקת הנתונים עצמם, במאגרי הענן שבהם הם מאוחסנים. זה מאפשר ניטור טוב יותר, כולל נתונים מוסתרים, נתוני גוסט וכן הלאה שנוצרים בענן או מועברים משירות ענן אחד למשנהו. חשוב לציין, כלי DSPM פועלים ללא קשר לשאלה אם הגישה המקורית לנתונים אושרה.

נראות טובה יותר לגבי מיקום הנתונים הרגישים – פתרונות DSPM סורקים מאגרי נתונים בענן, מגלים נתונים רגישים ומסווגים אותם. פעולה זו יוצרת מיפוי שאינו קיים ומלאים מדויקים של נכסי הנתונים של הארגון. זה עוזר להבין היכן מאוחסנים נתונים רגישים, מי ניגש לנתונים ולאן הם הולכים.

זיהוי סיכונים – ניתוח סיכונים סטטיים מזהה נתונים שאינם מוגנים באופן מלא ומונע שימוש לרעה בנכסי נתונים. סוגי הבדיקות המבוצעות כאן כוללות וידוא שהנתונים מוצפנים ושהרישום מופעל בכל מצב שבו מתבצעת גישה לנתונים רגישים.

בקרות – פתרונות DSPM מספקים מדיניות הנתמכת ע"י מודל איומים וסיכונים נתונים עמוק. הם יכולים לזהות סיכונים בזמן אמת כאשר הם מופיעים, ומאפשרים תיקון מיידי כדי לעצור הפרה פוטנציאלית.

לסיכום, אחרי בדיקה ארוכה ועדיין ראשונית של מספר כלי DSPM אפשר לומר שהגישה שונה מול השחקנים הקלאסיים, אבל עדיין ישנו ערפל רב באופק. בפרט כאשר מדובר על סביבות מולטי ענניות עם מורכבות טכנולוגית ובטח שמדובר על ניסיון מעניין לתת פתרון לאבטחת נתונים היברידית.

אנו נמצאים בתחילת הדרך ובעוד 2-3 שנים הכלים האלה יהיו במקום אחר, וכמו תמיד נישאר עם מספר וונדורים שיתנו את הפוקוס. אגב, כיום יש משהו כמו 20-25 כלי DSPM, חלקם וונדורים מוכרים וחלקם וונדורים חדשים במשחק.

Exit mobile version