חמישה צעדים לאבטחת היישומים הקריטיים בעסק
במרוץ התחרותי בין סטארטאפים חדשים לחברות ותיקות, טכנולוגיות כמו ענן, וירטואליזציה וקונטיינרים משחקות תפקיד מרכזי. שימוש אינטנסיבי בטכנולוגיות B2B חדשניות מחייב לשים לב לאבטחה שמציעות אותן טכנולוגיות, מעבר לחווית המשתמש שלהן
יישומים עסקיים קריטיים הם הכוח המניע של הפעילות העסקית. אימוץ הענן והתוכנה כשירות (SaaS) מחייבים שינוי בחשיבה משום שהגישה ליישומים מרכזיים אלה נעשית מכל מקום. עם זאת, יתרונות כמו צמצום עלויות הפיתוח וסקלביליות משופרת אינם צריכים להסיט את תשומת הלב ממרכזיותה של האבטחה.
מדוע יישומים אלה קריטיים לעסק?
ארגונים אוספים מידע ומיישמים כמויות משמעותיות של מידע ויישומים בחלקי העסק השונים. לכל עסק, בהתאם לתחום עיסוקו והענף שבו הוא פועל, יש רשימה של יישומים שהינם קריטיים לפעילות העסק, כולל המידע הנצבר בהם. דוגמאות ליישומים כאלה הם אפליקציות לטרנסאקציות פיננסיות ומידע רגיש של לקוחות שנצבר בהם; מערכות ERP, יישומים המסייעים בניהול מלאי קריטי אצל קמעונאים או בבתי חולים, או יישומים של רשומות רפואיות קריטיות (EHR) המכילים מידע אלקטרוני חיוני ואישי על בריאותם של בני אדם (ePHI) עבור ספקי שירותי בריאות, בתי חולים וחברות ביטוח. במקרה של נזק או אובדן של מידע כזה, העסק עלול למצוא את עצמו משותק והתוצאה הבלתי נמנעת היא שיבוש השירותים.
אז איך עסקים מאבטחים את כל המידע הרגיש ואת היישומים שמאחסנים ומנהלים אותו? למרבה הצער, הרבה עסקים ועובדי IT נמצאים בעמדה מסוכנת. הם אולי עושים עבודה מצוינת בבחירת היישומים הנכונים לצורכיהם אבל אינם טורחים להגן על ההשקעות היקרות שמריצות את הארגון ומניעות את יחסיו עם הלקוחות.
על פי סקר שערכה לאחרונה חברת סייברארק על יישומים קריטיים בקרב 1,450 מקבלי החלטות ב-IT משמונה באזור EMEA, 61% מהמשיבים ציינו שאפילו ההשבתה הקצרה ביותר ביישום עסקי קריטי עלולה ליצור שיבושים חמורים ולהשפיע לרעה על העסק. ולמרות זאת, 70% מאותם ארגונים אינם מציבים את אבטחת היישומים הקריטיים בראש סולם העדיפויות. מה אפשר לעשות כדי לגשר על הפער הזה? הנה כמה עצות שיסייעו לכם לפעול בכיוון הנכון.
1. זיהוי היישומים הקריטיים באמת לעסק
כאחראים לאבטחה, ברור שאתם צריכים להכיר טוב את החברה. חשוב להכיר את מנהלי המחלקות העסקיות ואת מנהלי הפונקציות העיקריות כגון כספים, משאבי אנוש ושיווק. ברגע שתכירו את המהלכים העסקיים העיקריים, תהיו בעמדה טובה יותר לזהות את היישומים שהינם באמת קריטיים לעסק, בין אם מדובר ביישומי תוכנה כשירות או יישומים שנבנו עם כלים ומתודולוגיות של DevOps.
2. להתרגל לענן (ולאבטח אותו)
חשוב להבין את אסטרטגיית הענן של הארגון, את התכנית ולוח הזמנים לניוד יישומים מאתר הארגון הפיזי לענן או מעבר ליישומים חדשים שנבנו מראש עבור הענן. שתפו פעולה עם בעלי תפקידים אחרים בארגון כדי לוודא שאבטחת גישה הפריבילגית ליישומים אלה מובאת בחשבון בעת תכנון ניוד היישומים לענן או אימוץ יישומי ענן חדשים.
3. אבטחת הגישה של האדמיניסטרטורים המנהלים את היישומים הקריטיים לעסק
לאחר זיהוי היישומים הקריטיים בארגון, יש לאבטח וליצור רוטציה בין כל הרשאות האדמין של יישומים אלה, לרבות התשתית. בנוסף, יש לבודד sessions בכדי למנוע גניבת הרשאות ובכדי ליצור שובל עקבות שלם של הפעילות הפריבילגית ביישום הקריטי. חשוב לזכור שבהרבה מקרים, האדמיניסטרטורים של היישומים הקריטיים יושבים מחוץ למחלקת המחשוב בקו עסקים מסוים של הארגון או באחת הפונקציות הארגוניות כגון כספים, משאבי אנוש או שיווק.
4. אל תשכחו את המכונות
חשוב לאבטח את הרשאות הגישה הפריבילגיות בין משתמשים אנושיים לאפליקציות ובין אפליקציות לאפליקציות, ואת חשבונות השירותים המשמשים את היישומים העסקיים הקריטיים ב-on premise, ב-SaaS וביישומי הענן cloud native שנבנו עם כלים ומתודולוגיות DevOps. שימוש בסודות מובנים בקוד (hard coded secrets) מהווה סיכון אבטחה משמעותי ליישומים הקריטיים לעסק ויש למנוע אותו.
5. מזעור הנזק הנשקף ליישומים קריטיים מצד תחנות עבודה בלתי מנוהלות של משתמשי קצה
כדי למנוע מתקפות על יישומים קריטיים שמתחילות בתחנות עבודה של Windows ו-Mac יש להסיר את הרשאות האדמין המקומיות וכך למנוע הורדת תוכנה זדונית. חשוב להשקיע בהגנה מפני מתקפות פישינג ובחינוך המשתמשים לאבטחה ומודעות כדי שיוכלו לזהות מתקפות כאלו.
גישה הוליסטית להגנת היישומים שעליהם רץ העסק צריכה לעמוד בראש סולם העדיפויות ללא קשר למיקום שבו היישומים רצים. בין אם באתר הפיזי של הארגון או בענן, חייבים לתת עדיפות ולהגן על היישומים והמידע בעלי הערך הרב ביותר.
רוצים להבין יותר איך להגן על היישומים העסקיים הקריטיים ואיך להעביר אותם לענן בהצלחה? הקליקו כאן