אי אפשר להעיף מבט באירוע ביטחוני בימים אלה מבלי לראות את הביטוי "אפס אמון". זו מילת באזז, נכון, אבל זו מילת שימושית. בליבה טמון שינוי מהותי במוקד האבטחה הרחק מאבטחת היקפית.
אפס אמון הוא כבר מונח ישן, שצץ בתעשייה בסביבות שנת 2010, אך עקרונותיו משתרעים רחוק יותר מזה, עד לפורום יריחו, אוסף של מנהלים בכירים בתחום אבטחת הסייבר.
חברי יריחו טבעו לראשונה את המונח "דה-פרימטריזציה" בסביבות שנת 2004. משמעות הדבר היא ש"טבעת ברזל" סביב רשת הארגון אינה מספיקה עוד. ככל שקבלנים ושותפים עסקיים אחרים קיבלו גישה רבה יותר לרשת, הרעיון של "פנים" ו"חוץ" הפך להיות מסתורי יותר ויותר. בעבר, הרשת הייתה טירה עם חפיר, אך התפתחה לעיר, עם שערים מרובים והרבה אנשים שזרמו פנימה והחוצה בחופשיות.
דה-פרימטריזציה ויורשתה, אפס אמון, העבירו את המיקוד שלהם להגנה על נכסים בודדים בתוך הרשת. הדרך הטובה ביותר לעשות זאת היא לאמת באופן מתמיד מי ניגש לנכסים אלה, ומה מותר לו לעשות איתם. משמעות הדבר הייתה התמקדות בזהות כאבטחה החדשה.
אלו שלא יבצעו את המעבר הזה מסתכנים ביותר הפרות. דוח מצב אבטחת המידע של ISMS לשנת 2025 אפילו מציין מספר: פרצות אימות זינקו פי עשרה בשנה האחרונה, מ-2% ל-20% מהאירועים. דיווח "פריצת הנתונים" של ורייזון מאשר כי פרטי גישה נותרו וקטור התקיפה המוביל.
מדוע אישורים הפכו למפתח השלד
מדוע הפכו אישורים למפתח השלד של מערכות ארגוניות? חלק מזה קשור להתפתחות הקצה. קשה אפילו להגדיר את קצה הרשת כיום, כאשר כל כך הרבה ממנו מפוזר כעת בין מרכזי נתונים אזוריים שונים ושירותי ענן. עבודה היברידית גם מילאה תפקיד, והאיצה את הצורך של אנשים לגשת לרשת מרחוק.
גורם נוסף היה כלכלת גניבת המידע, שהתעשתה. תוכנה זדונית זו גנבה 2.1 מיליארד אישורים בשנת 2024 בלבד, על פי גוגלברגע שקמפיין של גניבת מידע גונב פרטי כניסה, קל למכור אותם ברשת האפלה, ותוקפים המגדירים פרטי כניסה יכולים להשתמש בהם כדי לטלטל ידיות דלתות דיגיטליות ברחבי האינטרנט.
כאשר הם מצליחים להשיג פגיעה ולפתוח חשבון נוסף, התוקפים יכולים להיות בטוחים שיהיה להם מספיק זמן לנצל את החשבון החטוף ולהימלט. 292 ימים בממוצע, לפי IBM, גילוי של פרצות אישורים הוא גם הגורם הארוך ביותר.
משתמשים שאינם אנושיים עולים כעת במספרם על בני אדם
יש סיבה נוספת לכך שזהות הפכה לחשובה יותר ויותר כחלק מאבטחה: זהויות לא אנושיות. בעבר, המשתמשים העיקריים במשאבי מחשוב ארגוניים היו אנשים. כיום, הודות למיקרו-שירותים, ממשקי API ודור מתפתח של שירותי בינה מלאכותית סוכנית, משתמשים לא אנושיים... בני אדם בנחיתות מספרית 144:1 במפעלים במהלך 2025. מדובר בעלייה של 56% לעומת השנה הקודמת.
הצמיחה של סוכני בינה מלאכותית רלוונטית במיוחד כאן משום ששירותים אלה הופכים לאוטונומיים יותר. ככל שהם צוברים ביטחון באוטומציה של בינה מלאכותית, ארגונים נוטים יותר לתת לסוכנים אלה יותר אחריות. אחוז השירותים הללו עם גישה מועדפת יגדל.
זהות היא יסודית
מגמות אלו הן הסיבה לכך שמסגרות תאימות מתמקדות בזהות. תקן ISO 27001:2022 נספח A 5.15-5.18 מקודד בקרות זהות כחלק ממערכת רחבה יותר של אמצעים ארגוניים המכסים בקרת גישה, ניהול זהויות, מידע אימות וזכויות גישה.
למסגרות בקרת אבטחה חזקות יש חוט משותף: כל זהות חייבת להיות ייחודית, מינימום הרשאות חייבות להיות הנורמה, וניתנות לביקורת. גישה מועדפת (MFA) צריכה להיות חובה עבור גישה מועדפת.
ההתמקדות של מסגרות אלה בזהות היא בזמן הנכון, שכן הרגולטורים מקדישים תשומת לב רבה יותר לנושא זה. ENISA מתאר משרד עורכי דין (MFA) כדרך חכמה להראות שאתם עומדים בתקנות NIS 2. חברות צריכות לשים לב לכך, שכן תקנה זו של האיחוד האירופי כרוכה בקנסות של עד 10 מיליון אירו או 2% מהמחזור העולמי עבור ארגונים שאינם עומדים בה.
מעבר לעמדת ביטחון ממוקדת זהות
אז איך חברות יכולות לאמץ תנוחת אבטחה מבוססת זהות שאינה תלויה בגבולות אמורפיים?
ישנם מרכיבים קונקרטיים התומכים באפס אמון. ניהול זהויות וגישה חזק הוא אחד מהם, הכולל הבטחה שכל משתמש, שירות ומכונה מזוהה באופן ייחודי ומאומת באופן רציף.
MFA היא דרך ברורה להתחמק מחטיפת חשבונות, אך היא אינה חפה מסיכונים. עייפות MFA היא אמיתית, בעוד שניתן להשתמש בפרוקסי גם כדי ליירט סשנים של MFA, וגנבי מידע יכולים לגנוב אסימוני סשן. גניבת אסימונים יכולה לעקוף חלק מה-MFA לחלוטין. בשנת 2024, מיקרוסופט זיהה 147,000 התקפות שידור חוזר של אסימונים, עלייה של 111% לעומת השנה הקודמת.
אימות ללא סיסמה באמצעות מפתחות היא דרך נוספת למנוע מאנשים ליפול קורבן להתקפות פישינג. זה יכול גם לעצור חלק מההתנהגויות שמשתמשי קצה מתקשים לוותר עליהן כשהם מנסים לבצע את העבודה, כגון שיתוף סיסמאות לגישה נוחה.
שינויים אלה עשויים להיראות כמשימות מרתיעות עבור ארגונים רבים, במיוחד אלו שהרכיבו את תשתית ה-IT שלהם ממערכות מרובות לאורך זמן, באמצעות רכישות, צוותים מקוטעים ושינויים טכנולוגיים אסטרטגיים. אך הם יכולים להקל על הדברים על ידי התחלה עם כמה עקרונות מרכזיים.
הטמע בקרות לפי נספח A 5.15-5.18 של ISO 27001 כבסיס. אלו ינחו אותך ביישום שיטות עבודה מומלצות של מדיניות גישה, ניהול מחזור חיי זהויות ותקני אימות. מסגרת כזו תעניק לך בסיס איתן בממשל באמצעות אמצעים כגון ביקורות גישה סדירות.
הסכימו למלא זהויות שאינן אנושיות באותה הקפדה המופעלת על עובדים. בצעו ניתוח פערים ובדקו מה יידרש כדי להתחשב באופן מקיף בכל חשבונות השירות ובתעודות TLS או מפתחות API שלהם, לדוגמה.
בסופו של דבר, המטרה היא לקבל את העובדה שאבטחת זהות היא כעת חלק יסודי בניהול אבטחה. אחרי הכל, אי אפשר להגן על מה שלא ניתן לאמת.
