האם הסודות שלכם גלויים?

חברת סייברארק (נסד"ק: CYBR), מובילה עולמית באבטחת חשבונות פריבילגיים, מדווחת על פערי ידע מדאיגים של מפתחי DevOps ואנשי אבטחה לגבי מיקומם של חשבונות פריבילגיים ושל secrets (סודות) בתשתית המחשוב הארגוני. כך, לפי הממצאים הראשונים של "דוח האיומים המתקדמים של סייברארק ל-2018". מבין מספר אפשרויות שהוצגו בפני המשתתפים בסקר - החל ממחשבים אישיים (PC), מחשבים ניידים, דרך מיקרו-שרותים (microservices) ועד לסביבות ענן וקונטיינרים - כמעט כולם (99%) נכשלו בזיהוי של כל המקומות בהם נמצאים חשבונות פריבילגיים או סודות.

האפשרות שלגביה זוהתה רמת חוסר-מודעות הגבוהה ביותר הייתה מאגרי קוד מקור כגון GitHub, כאשר 82% מהמשיבים לסקר לא ידעו שגם שם נמצאים חשבונות פריבילגיים או סודות. למקום השני בחוסר המודעות הגיעו המיקרו-שרותים Microservices(79%), ואחריהם סביבות ענן (77%) וכלי CI/CD המשמשים את צוותי ה-DevOps (75%). בפועל, חשבונות פריבילגיים וסודות נמצאים בכל אחת מישויות אלו.

אין אסטרטגיית אבטחה לחשבונות פריבילגיים ב-DevOps

סקר של גרטנר שנערך באמצע 2016 מצא שעד סוף אותה שנה, 50% מהארגונים ישתמשו ב-DevOps. למרות זאת, ממצא המחמיר עוד יותר את חוסר המודעות ,הוא ש-73% ממקצועני האבטחה דיווחו שאין להם כל אסטרטגיית אבטחה לחשבונות פריבילגיים ב-DevOps, מחדל היוצר נקודות תורפה משמעותיות אשר תוקפים יכולים לנצל.

אליזבת לולר, סגנית נשיא לאבטחת DevOps בסייברארק: "כל ארגון המשתמש ב-DevOps יוצר ומשתף עוד הרשאות לחשבונות פריבילגיים וסודות בין סביבות עסקיות הקשורות זו לזו. למרות שהטכנולוגיה הייעודית קיימת, כיוון שכל כך מעט ארגונים מנהלים ומאבטחים את הסודות, אלה הופכים למטרה עיקרית למתקפות. הרשאות וסודות שנפרצו מאפשרים לתוקפים - בין אם תוקף חיצוני או גורם זדוני הפועל מתוך הארגון - להשיג שליטה על כל תשתית המחשוב של הארגון. לכן אנו מוטרדים מכך שהמרוץ להשגת יתרון מחשובי ועסקי באמצעות DevOps שועט קדימה מהר יותר מהמודעות לכך שהמרחב החשוף להתקפה רק גדל, ואינו מנוהל."

צוותים מנותקים המתמודדים עם אבטחה מנותקת

צוותי DevOps רבים אינם מעריכים נכון את היקף הסודות הנמצאים בתשתית המחשוב, ועם זאת, הם מודעים לצורך לשפר את האבטחה. יותר משליש (36%) מאנשי המקצוע בתחום ה-DevOps המאחסנים או פורשים מידע בענן אמרו בסקר שכלים וסביבות DevOps שנפרצו הם אחת החולשות החמורות ביותר של האבטחה בארגון שלהם. עם זאת, רבים מהם פועלים לבדם לטיפול בבעיה.

בעוד שרק ל- 27% מצוותי האבטחה יש אסטרטגיית אבטחה לחשבונות פריבילגיים ב-DevOps, וכאשר 61% מהנשאלים מודים בחוסר אינטגרציה בין צוותים, מקצועני DevOps רבים לוקחים את העניינים לידיהם. למעשה, רבע (24%) מהם בנו פתרון אבטחה משלהם על מנת להגן על הסודות ולנהל אותם בפרוייקטי ה-DevOps שלהם.

לולר מוסיפה: "בניית פתרונות אבטחה משלך היא אולי בסדר, אבל רק עד לנקודה מסוימת. זו אינה דרך שאפשר להמשיך ולהרחיב עם הזמן. מ-Jenkins דרך Puppet וכלה ב-Chef, אין תקן משותף לכלי הפריסה השונים ומשמעות הדבר שאנשי הארגון צריכים להבין כיצד פועל כל אחד מהכלים על מנת לדעת כיצד לאבטח אותו. ה- DevOps באמת צריכים חבילת אבטחה משלהם וצוותי האבטחה חייבים לתת כאן מענה. הם יכולים לספק גישה שיטתית וכן פרקטיקות שיסייעו לצוותי ה-DevOps לשמור על האבטחה תוך האצת שחרור האפליקציות והגברת התפוקה.

אסטרטגיית אבטחה מעורפלת מגבירה את הסיכון

ארגונים עושים כיום שימוש מוגבר בכלי ניהול קונפיגורציה ואוטומציה בענן כדי לקדם יוזמות DevOps. כמעט מחצית (47%) מהמשיבים דיווחו שהם משתמשים בענן לצורכי פיתוחים פנימיים.

ואולם, הסקר מראה שהיעדר אסטרטגיית אבטחה ל-DevOps מגיע גם לענן: יותר משבעה מכל 10 (71%) הסתמכו על האבטחה המובנית של ספק הענן שלהם, כלומר אבטחת חשבונות פריבילגיים אינה משולבת באופן מלא בתהליכי ה-DevOps כאשר מתרחבים לסביבות נוספות.

לולר מסכמת, "כשאוספים את כל ממצאי הסקר השנה, ברור שהרבה ארגונים אינם מבינים את הצורך – או את המנגנון – לאבטחת ההרשאות לחשבונות פריבילגיים וסודות, בין אם הם בענן או באתר הלקוח (on-premise). DevOps חייבים להתמזג עם כלי אבטחה כדי להגן באפקטיביות על מידע פריבילגי. יצירת מודעות ואפשרות לשיתוף פעולה בין צוותי DevOps ואבטחה הוא הצעד הראשון שיסייע לעסקים להקים פלטפורמת אבטחה סקלאבילית המשתפרת בהתמדה עם כל פיתוח, בדיקה ושחרור של כלים וגרסאות חדשים."

דוח סייברארק בנושא איומים מתקדמים לשנת 2018

הדוח השנתי של סייברארק, "CyberArk Advanced Threat Landscape 2018" מתפרסם זו השנה ה-11 בשלושה חלקים. החלק הראשון מתמקד בשילוב אבטחת חשבונות פריבילגיים בתהליכי DevOps. הסקר נערך בספטמבר ואוקטובר 2017 באמצעות חברת Vanson Bourne בקרב יותר מ-1,300 מקבלי החלטות במחשוב ואבטחה, מפתחי DevOps ואפליקציות ומנהלי יחידות עסקיות ב-7 מדינות בעולם, בהן גם ישראל.