גיל רפפורט, היזם הסדרתי ומנהל פעילות Alero בסייברארק, מדבר על סקר חדש בנושא ספקי צד שלישי ועל הפתרונות לבעיה שמטרידה מאוד את מנהלי האבטחה:
התחברות של ספקים וגורמי צד שלישי לרשת הארגונית היא סוגיה המטרידה יותר ויותר מנהלי אבטחה בכל העולם. כמעט לכל ארגון יש כיום מגוון של גופים כאלו, שקיבלו ממנו גישה לרשת הארגונית לצרכי תחזוקה, תמיכה במערכות פנימיות, במשאבים קריטיים ועוד.
מסקר בינלאומי שערכה סייברארק עולה כי 90% מהארגונים מאפשרים לגורמים חיצוניים (צד שלישי) גישה למערכות הקריטיות שלהם. מתוכם: ל-64% יש עד 100 ספקי צד שלישי, ול-26% יש מעל 100 ספקי צד שלישי!
עוד עולה מהסקר, ש-72% מהארגונים רואים בגישת צד שלישי כאחד מ-10 סיכוני האבטחה המובילים שלהם.
"הממצאים הללו לא ממש הפתיעו אותנו", אומר גיל רפפורט, מנהל פעילות Alero בסייברארק. "ככל שיותר משאבים של הארגון עוברים לענן, ויותר שירותים מחוץ לאתר החברה, ישנם יותר ספקים שצריכים להתחבר למערכות הארגון מבחוץ. גם לקוחות ושותפים מתחברים לעיתים לרשת
הארגונית מרחוק. המשמעות היא, לא מעט גורמי צד שלישי עם גישה לרשת."
איך הם מתחברים לרשת מבחוץ ומהם הסיכונים?
"מסתבר שרובם המכריע עדיין עושים זאת באמצעות טכנולוגיית VPN, טכנולוגיה שבאה לעולם בשנות ה-90 ועדיין משמשת את רוב הארגונים. על פי המחקר שבצענו, 86% מהארגונים משתמשים בשירות המסורתי הזה. 89% מהמשיבים לסקר אינם מרוצים מהיכולת של הרשת לאבטח את החיבור.
הם הצביעו על שני סוגי בעיות: טכנית - פתיחה והסרה של הרשאות גישה מרחוק; והיעדר visibility של הפעילות ברשת, כלומר: החברה לא תמיד מודעת למה שספקי צד שלישי עושים ברגע שהם מתחברים לרשת.
ה-VPN עצמו, כטכנולוגיה ישנה לא מספק הגנה לגישה פריבילגית כיוון שאינו משתמש בשיטות כמו למשל: Multi-Factor Authentication (MFA - אימות רב-גורמים) לצורך הזדהות חזקה, כלומר, בדיקת זהות מעבר לשם משתמש וסיסמא. לפי הסקר, שליש מהמשיבים לא מיישמים MFA
עבור ספקי צד שלישי שמתחברים לרשת.
בנוסף, ב-VPN יש אמון מובנה: מרגע הכניסה, המשתמש נהנה מגישה רחבה הרבה יותר ממה שהוא באמת צריך כדי לבצע את עבודתו. עוד בעיה היא ש- VPN חשוף למתקפות. האקרים אוהבים לתקוף תוכנות VPN משום שהן נפוצות כל כך ובשל אותה גישה נוחה שהתוכנה מספקת לרשתות של
הארגונים".
אז מה הפתרון?
"היום חשוב להשתמש בדרכים אחרות לספק גישה מרחוק למידע הרגיש ביותר ברשת: בהתבסס על גישת ה-Zero Trust מתן גישה פרטנית רק ליישומים הקריטיים במקום לרשת כולה, אימות רב-גורמי ביומטרי והקצאת גישה "בדיוק בזמן" (Just-in-Time), בשילוב עם בידוד וניהול סשנים.
כל אלה מאפשרים חלופה בטוחה ופשוטה ל-VPNs בנסיבות מסוימות, למשל לצרכי גישה פריבילגית למערכות קריטיות".
No VPN, No Agent, No Password
"בסייברארק השקנו לאחרונה את CyberArk Alero – מוצר מהפכני שפיתחנו, המאפשר גישה מאובטחת לספקי צד שלישי למערכות בארגון, בטכנולוגיית zero-trust, והיחיד שאינו משתמש ב-VPN, אינו דורש התקנת Agents (תוכנה), ונטול סיסמאות."
Alero מספק גישה מאובטחת מרחוק למערכות ואפליקציות בארגון, באמצעות שילוב של יכולות זיהוי ביומטריות המובנות בסמארטפון ובמקביל יצירה אוטומטית של קוד QR ייחודי וחד פעמי, אשר משלים את זיהוי הפנים או טביעת האצבע. מדובר בעידן חדש של גישה מאובטחת של ספקים
מרחוק והפתרון כבר מעורר עניין עצום בקרב לקוחות סייברארק בעולם.
עםAlero , מנהל הרשת בארגון ממלא טופס גישה והרשאות לספק החיצוני, לפי שעות ומערכות מורשות. המנהל מקבל לינק ושולח אותו לספק. עם הלחיצה על הלינק נפתח לספק עמוד עם קוד QR. הספק סורק את הקוד במצלמה האחורית של הטלפון, ובו זמנית מזדהה ביומטרית באמצעות
המצלמה הקדמית. רק אז הוא ניגש למשאבים שהורשו לו, למועד שהוקצה לו.