פרק של "עוד פודקאסט טכנולוגי" על עולם ה- Business applications של מנהל אבטחת המידע. עם שיחה בין דמי בן-ארי, מייסד שותף וסמנכ"ל טכנולוגיה בחברת Panorays, ומוריה אזולאי R&D Director בחברת OwnBackup.
דמי בן-ארי: "אז לפני שצוללים לענייני אבטחת מידע, תוכלי לספר לנו בקצרה מה OwnBackup עושה?"
מוריה אזולאי: "לפני כשנה וחצי OwnBackup רכשה סטארט-אפ שהייתי מהצוות המייסד בתחום אבטחת מידע וככה נכנסתי לארגון. אנחנו מספקים מוצרי Data Protection ל- SaaS, זו מערכת של מספר מוצרים שמונעת קטסטרופה במידע של ארגונים. אם פעם המידע היה יושב בדאטה סנטר בארגון, אז היום לכל ארגון גדול יש עשרות ספקי SaaS שונים, ולכן גם המידע מפוזר בסביבות ענן שונות. המטרות שלנו הן למנוע אובדן דאטה, ואם כבר קרתה קטסטרופה אז לאפשר לארגון להחזיר את המצב לקדמותו כמה שיותר מהר. המעטפת מורכבת מכמה מוצרים, למשל ארגז חול שמאפשר להריץ תהליכים בסביבה בטוחה כדי לחזות אם הם יגרמו לשיבוש או באג. לפעמים מתכננים תהליך שגורם לשינוי מידע או מחיקת מידע, המוצר מזהה איפה יהיה השינוי. יש לנו גם מוצרים לניהול הדאטה בצורה יותר כלכלית עבור הארגון, או מוצרי סקיוריטי."
דמי בן-ארי: "לגבי הסקיוריטי, אם ניקח דוגמה קונקרטית נניח כמו סיילספורס, אפליקציית SaaS שרוב הארגונים משתמשים בה ומחברים אותה לכל התהליכים הארגוניים, אז כל המידע על המכירות של הארגון מרוכז בסיילספורס והמשמע שאם השירות שלהם למטה – אז אנחנו כמשתמשים במערכת לא יכולים למכור כלום או כל המידע העסקי של חברה יכול להיגנב.
הסיטואציה במקרה כזה היא שזה לא מוצר שלנו שאנחנו מפתחים בחברה, אנחנו לא מציעים אותו ללקוחות, אבל בלי השירות שלהם אנחנו לא יכולים לפעול. אז אם רוצים לפגוע בי כארגון, מספיק שמשבשים לי את השירות ונפגע לי האימפקט הביזנסי. אז למעשה תוקף שמארגן שם משתמש וסיסמה של מישהו בארגון עם הרשאה לסיילספורס, יכול לגשת לשירות ולחבל בו.
אפשר למנוע את המקרה, זה משתמש שאפשר לזהות אותו עם אנומליה, אבל שמוכרים מוצרים ל- CISO שאחראי על אבטחת המידע בארגון, אין לו יכולת לקבל נראות להיקף ומשמעות הנזקים והסכנות כדי להבין את גודל הבעיה. אז ה- CISO מתקין המון כלים שמייצרים המון התרעות רק כדי לייצר כמה שיותר שכבות הגנה."
מוריה אזולאי: "נכון, לכן במוצר סקיוריטי שלנו אנחנו מאפשרים ל- CISO לדווח איפה הסביבות SaaS שלהם ולתעדף אותן. אולי הן מכילות מידע פיננסי או לידים, לכל סביבה יש קריטיות משתנה לארגון. אנחנו גם מריצים קלסיפיקציה על המידע מהצד שלנו, כדי להמליץ איפה המידע הרגיש, נניח אם אנחנו מזהים מידע פיננסי. לאדמין של אותה הסביבה יש כלים לסווג את הסביבה בלי לעבור שדה–שדה, זה הופך את התהליך למהיר ופשוט בזכות המלצות מתקדמות.
אחרי שהבנו איפה המידע הרגיש, צריך להבין מי יכול לגשת אליו, זה עולם מורכב של מודל הרשאות, כי כל פעולה שמתאפשרת למשתמש יכולה לגרום לתהליך מסוים. בנוסף כדי להבין את התמונה המלאה צריך להצליב מה יוזר מסוים רואה בארגון בעזרת כל ההרשאות שלו. ככה אפשר לזהות גם חריגות שרואים שינוי דרמטי מבחינת חשיפת הדאטה, למשל כמו מתן הרשאה להוריד את כל המידע. פה נכנס שת"פ בין ה- CISO לאדמין."
דמי בן-ארי: "נכון, אני למשל ממלא את תפקיד ה- CISO בארגון שלי, אני אחראי על סקיוריטי אבל ה- Business applications לא יושב תחתיי. אני אחראי על הסקיוריטי אבל אני לא הגורם המבצע, ונוצר מצב שלמי שכן צריך לבקר, לעשות תהליכים, אין באמת גישה להיגוי של האבטחה.
במקרה כזה אני צריך לקבל דשבורד על הביזנס אפליקיישן שלי. ככה ה- CISO והאדמין שהן שתי ישויות שונות לגמרי צריכות לשתף פעולה. שאתם ארגון של 100 אנשים עוד אפשר לטפל באתגר, אבל מה קורה שאנחנו 5,000 או 10,000 עובדים? חייבים לעשות מנגנון קולבורציה לערב את כל האנשים שבתהליך עצמו ולעשות תהליך של בקרה. יש פה המון אתגרים, במיוחד בעולם של עבודה מהבית, והעבודה על תשתית ענן."
מוריה אזולאי: "נכון, גם הווקטורים של התקיפה משתנים, כבר לא תוקפים את הדאטה סנטר שלך, הפרימטר של התקיפה התרחב משמעותית, צריך לנטר גורמים צד ג' שהם לא של הארגון. בשביל זה צריך עוד שכבות של הגנה וגיבוי, ככה שאם מצפינים לארגון את המידע לפחות אפשר לשחזר אותו כדי שהפעילות של הארגון לא תקפא."
___
הכתבה מבוססת על ראיון פודקאסט מסדרת "עוד פודקאסט טכנולוגי". בשיחה עם דמי בן-ארי, מייסד שותף וסמנכ"ל טכנולוגיה בחברת Panorays, בוגר ממר״ם ויחידת אופק, אחד ממייסדי עמותת בוגרי אופק. אתם מוזמנים להאזין.