מתכוננים ל-Log4Shell הבא: 5 כלים להתגוננות מפני מתקפות מודרניות בענן

לא פחות מ-55% מהארגונים מדווחים על רמת אבטחה נמוכה בענן, מה שחושף אותם למתקפות קריטיות. אסטרטגיית טיפול רחבה תסייע בהגנה במהירות ובאפקטיביות – וכך תוכלו לעשות את זה

יישום אסטרטגיית אבטחה היא אתגר מורכב עבור תאגידים גדולים (צילום: Dreamstime)

מאת לירון לוין, Senior Distinguished Engineer ב-Palo Alto Networks

באופן טבעי וצפוי, יותר ויותר ארגונים מעבירים את הפעילות שלהם לענן: לפי דו"ח הענן השנתי שפרסמה Unit 42, יחידת המחקר של פאלו אלטו נטוורקס, 69% מהארגונים מנהלים יותר ממחצית מתהליכי העבודה שלהם בענן, לעומת 31% בלבד ב-2020. אבל הנה נתון מעניין במיוחד: לא פחות מ-55% מהארגונים דיווחו על רמת אבטחה נמוכה בענן.

ככל שיכולות הענן הולכות ומתפתחות, חשוב יותר מתמיד להגן על הארגון שלכם באמצעות שימוש בכלי אבטחת ענן, כדי להיות ערוכים להתמודדות עם מתקפת הסייבר הבאה. קחו לדוגמה את Log4Shell – אחת ממתקפות הסייבר הקריטיות של 2021, שחשפה חולשה חמורה במיוחד המאפשרת לתוקף להשתלט מרחוק על שרת ולעשות בו כרצונו. החולשה אותרה בחבילת תוכנה פופולרית (log4j) הנצרכת על ידי אפליקציות תשתית רבות, ולכן ההערכה היא שהחולשה השפיעה על מאות מיליוני שירותים בעולם.

יישום אסטרטגיית אבטחת מידע להתמודדות עם אירועים מסוג זה הוא אתגר מורכב עבור תאגידים גדולים, שכן הם נדרשים לזהות את כל השירותים והשרתים שפגיעים לחולשה, לעדכן וגם לתחקר אותם על מנת לוודא שלא נוצלו במהלך המתקפה ואחריה. אז איך עושים את זה נכון?

הגנה על קוד, זהויות ו-API

ארגון שמעוניין להגן על עצמו במהירות ובאפקטיביות נגד מתקפות מודרניות בענן, ממש כמו Log4Shell, צריך לדבוק באסטרטגיית טיפול רחבה הכוללת את העקרונות המנחים והכלים הבאים:

1. הגנה על קוד וזיהוי תלויות: אחד הכלים הפשוטים ביותר להתמודדות עם מתקפות שנובעות מחולשות ידועות הוא סריקת חבילות. מדובר בתהליך פשוט יחסית שסורק את כל חבילות התוכנה שהקוד צורך, מתריע אם אחת מהן מכילה חולשה ולעתים אף מעדכן אותה בצורה אוטומטית. כלים מסוג זה מאפשרים לכמת את רמת החשיפה של הארגון לחולשה ספציפית ולהעריך את עלות התיקון. ההיגיון ברור: לא ניתן להשמיש חולשה אם הקוד לא פגיע.

בשיטה זו מומלץ לשלב כלי שמסוגל לסרוק ולחסום השמשת חולשות בכל שלבי ה-software supply chain, כלומר, לא רק בשלב הכנסת קוד חדש למערכת אלא גם לאחר בניית הקוד וכן בזמן הריצה של האפליקציה. לדוגמה, מוצר שמכסה סריקת חולשות ב-github repository, בודק כל commit במערכת ה-CI, סורק באופן מחזורי את כל ה-images ב-container registry, ואת כל הקונטיינרים והשרתים בסביבות ההרצה השונות.

יחד עם זאת, סריקת קוד אינה מספיקה כיוון שתהליך עדכון חבילות עלול להימשך זמן רב ואינו מבטיח טיפול הרמטי בכל השירותים שכבר נפגעו מהתקרית. לכן, כל ארגון חייב ליישם גם שכבות הגנה אקטיביות ופתרונות פורנזיקה על מנת להוריד את רמת החשיפה של ההתקפה.

2. הגנת API: רוב תקיפות הרשת מנסות להשמיש (exploit) חולשה על ידי קריאות API לשירות. דרך ההגנה הפשוטה ביותר עבור מתקפות אלו מבוססת על שירות שמסוגל לזהות בצורה דינמית חתימות של ניסיונות התקפה.

בשימוש בשיטה זו רצוי לבחור פתרון שמבצע הגנת API אקטיבית, המסוגלת לחסום בקשות לא תקינות ולא להסתפק בפתרון סריקה פסיבי (out of band) שאמנם מסוגל לזהות את המתקפה, אך לא לחסום אותה. פתרון מסוג זה ניתן להתקין כחלק מהאפליקציה (RASP), לצד האפליקציה (side-car) או בצורה מרכזית כחלק מה-Application gateway.

3. הגנת Endpoint: שרשרת תקיפה בחולשות מסוג Log4Shell כוללת כמה שלבים: הפעלת חולשה, תקשורת עם שרת מרוחק, הורדת כלי תקיפה למכונה, הרצת כלי תקיפה במכונה, ניסיון להשתלט על מכונות נוספות ברשת המקומית וכמובן profit לתוקף (לדוגמא על ידי התקנת CryptoMiner או גניבת אינפורמציה). בפתרון Endpoint, תוכנה ייעודית המותקנת על השרת עצמו או בתוך אפליקציה שמותקנת על השרת, מזהה בצורה מדויקת כל אחד משלבי התקיפה ומאפשרת לחסום אותם בצורה מיידית. כיום ניתן למצוא פתרונות Endpoint לא רק עבור שרתים, אלה עבור כל שירותי הענן המודרניים, כגון containers ,kubernetes ,lambda functions ועוד.

בנוסף, מומלץ שארגונים הנמצאים בענן יישמו רבדים נוספים של הגנה על מנת לאפשר כיסוי מקסימלי במקרה של חדירה – Cloud Security Posture Management.

4. הגנה על תשתית הענן (CSPM): פתרון מסוג זה סורק באופן דינמי את תשתיות הענן ומסייע לצוותי התשתיות (DevOps) והאבטחה (InfoSec) לאפיין ולהגדיר את קונפיגורציות הענן בצורה הנכונה והבטוחה ביותר. באמצעות חידוד מדיניות האבטחה של הארגון ניתן להפחית את ההסתברות לתקיפה מוצלחת ולהקשות על התוקף לחדור לשירותים נוספים, במקרה שתקיפת הבסיס כבר בוצעה בהצלחה מצד התוקף (לדוגמה על ידי חסימת תקשורת חיצונית והגדרת הרשאות מינימליות).

5. הגנה על זהויות: אחת הסכנות המרכזיות בחולשות מסוג Log4Shell בסביבת ענן היא גניבת ההרשאות המקומיות של השירות או השרת הנפרץ, ושימוש בהן על מנת להשתלט על משאבים נוספים בארגון. פתרון בתחום זה מאפשר לזהות, לבודד ולחסום את הפעילות החשודה, וכן לזהות את סט השירותים שנפגע כתוצאה מהתקיפה.

התמודדות בצורה מוצלחת עם סכנת אבטחה קריטית כגון Log4Shell מצריכה שכבות רבות של הגנה והבנה עמוקה של כלי ההגנה השונים. ההמלצה שלי היא לבחור שותף אבטחה טכנולוגי שמספק פתרון רוחבי וכן שירותי תמיכה ופורנזיקה עם מומחיות ענן במקרה של פריצה.

הכתבה בחסות פאלו אלטו נטוורקס

פאלו אלטו נטוורקס היא חברת הסייבר הגדולה בעולם. החברה מעצבת את העתיד בעזרת טכנולוגיה שמשנה, מאבטחת ומייעלת את אופן הפעולה של אנשים וארגונים ברשת. משימת העל היא להגן על אורח החיים הדיגיטלי של כולנו, כאשר עובדי החברה עוזרים לארגונים ואנשים להתמודד עם אתגרי האבטחה הגדולים בעולם באמצעות חדשנות מתמדת המנצלת את פריצות הדרך האחרונות בתחום הבינה המלאכותית, אוטומציה ואורקסטרציה. חזון החברה הוא עולם בו כל יום הוא בטוח יותר מקודמו. החברה הגלובלית מעסיקה יותר מ-10,000 עובדים ברחבי העולם, מהם יותר מ-700 בישראל.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

רוצה להיות הראשון להגיב?

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: