אבטחת חשבונות פריבילגיים: תכנית אסטרטגית, לא "פרויקט"

צוותי אבטחת מידע בארגונים מכירים כיום יותר ויותר בעובדה, שעמידה בתקנות ורגולציה (compliance) אינה מילה נרדפת לאבטחה. כדי לאבטח ארגון או עסק, לא מספיק לעמוד בתקנות או לנקוט בגישה של "פרויקט". למרות שעמידה ברגולציה הוא היבט חשוב, זהו הרף התחתון בלבד, ואפילו לא הסף הנדרש בעולם של איומים מתקדמים, ומתמידים. רמת התחכום של התוקפים ממשיכה להשתפר וכיום הם פועלים בתוך הרשתות – גונבים הרשאות, ומתקדמים מחשבון פריבילגי אחד לשני כדי להגיע ליעד מוגדר.

אבטחה מחייבת דפוס חשיבה הרבה יותר רחב מאשר "ציות לדרישות הביקורת". היא מצריכה תוכנית הוליסטית. דוגמה טובה למוטו הזה אפשר למצוא במאמר שהתפרסם לאחרונה ב-Computerworld על ידי מנהל אבטחה ששמו ושם החברה שבה הוא עובד לא נחשפו מסיבות מובנות. מחבר המאמר דן בצורך של הארגון שלו לעמוד בדרישות לקבלת הסמכה מחמירה יותר לנהלי הטיפול של החברה בכרטיסי אשראי. כחלק מתהליך ההסמכה, הוא הצליח להוכיח שהחברה עומדת בדרישות, אבל גילה גם שהדרישות אינן מספיקות בכדי להגן על הארגון מפני סיכוני אבטחה. לפיכך, הוא תכנן לבצע שינויים נוספים.

היום ידוע שחשבונות פריבילגיים משמשים ככלי מתקפה כמעט בכל התקפה מתקדמת וממוקדת וכי חשבונות כאלה, וההרשאות אליהם, מהווים סיכון קריטי לארגונים. ברור גם, שעל מנת להגן באמת על המידע של הארגון – ומכאן על עסקיו – מפני פריצות הרסניות – החשבונות הפריבילגיים וההרשאות חייבים להיות מאובטחים ומנוהלים על מנת להגביל את הנזק שתגרום מתקפה, לבלום תנועה רוחבית ולמנוע השתלטות מוחלטת על הרשת.

בסרטון הווידאו הקצר להלן, מסביר סמנכ"ל השיווק של CyberArk, ג'ון ווראל, שיותר ארגונים מתחילים להתייחס לאבטחת החשבונות הפריבילגיים כאל נושא אסטרטגי בעדיפות עליונה - ומשיקים תכניות, ולא פרויקטים טקטיים. כיום, למנהלי אבטחה בכירים רבים יש סמכות חוצת-ארגון להתמודד עם מה שנחשב לסיכון הוריזונטאלי. עסקים חייבים להסתגל למצב החדש ולהוסיף שכבה חדשה של אבטחה אל הרשת הארגונית על מנת לאבטח את מערכות המחשוב. עסקים של ימינו מנוהלים על בסיס מערכות ה-IT שלהם, ולכן, אם לא מקימים ומתחזקים רמת אמון גבוהה במערכת אלו, הסיכונים גבוהים מאוד.

ג'ון ווראל: "אין עסק או תעשייה שאין להם חשבונות פריבילגיים. כל עסק מנוהל על מערכות IT, וה-IT מבוסס על חשבונות פריבילגיים. לא לאבטח את החשבונות האלה זו אפילו לא אופציה. שוק אבטחת החשבונות הפריבילגיים מאוד מעניין. עד לפני שנתיים שלוש המוטיבציה בשוק הזה היתה עמידה בתקנות של גופי פיקוח ורגולציה שונים, עמידה בדרישות המבקר. בשנתיים האחרונות ראינו מעבר משמעותי - משיקולי רגולציה לשיקולי אבטחה. ארגונים כיום מתייחסים לאבטחת חשבונות פריבילגיים כאל תוכנית מנוהלת, מדובר במעבר מפרויקט לפלטפורמה, מנושא טקטי לאסטרטגי"