הסיבה שבגללה בנקים מאמצים גישה מודרנית לאבטחת סייבר – מודל 'אפס אמון'
בנקים רבים כיום עדיין מסתמכים על גישת "המצודה והתעלה" (Castle-and-moat) – הידועה גם בשם "אבטחה היקפית" – כדי להגן על הנתונים מפני מתקפות זדוניות. בדומה למצודות בימי הביניים שהיו מוגנות באמצעות חומות אבן, תעלות ושערים, בנקים שמשתמשים באבטחה היקפית משקיעים רבות בביצור המערכות ההיקפיות ברשת באמצעות חומות אש, שרתי Proxy, מלכודות דבר וכלים אחרים למניעת פלישות. אבטחה היקפית שומרת על נקודות הכניסה והיציאה לרשת על-ידי אימות חבילות הנתונים וזהות המשתמשים שנכנסים לרשת הארגונית ויוצאים ממנה, ולאחר מכן מניחה שהפעילות בתוך הרשת ההיקפית המחוזקת בטוחה באופן יחסי.
כיום, מוסדות פיננסיים מנוסים עוזבים פרדיגמה זו ומיישמים גישה מודרנית לאבטחת סייבר – מודל 'אפס אמון'. הקו המנחה את המודל 'אפס אמון' הוא לא לתת אמון באף אחד – פנימי או חיצוני – כברירת מחדל, והוא מחייב אימות קפדני של כל אדם או מכשיר לפני שהוא מעניק לו גישה.
המערכות ההיקפיות של המצודה ממשיכות להיות חשובות, אולם במקום להשקיע עוד ועוד בחומות מבוצרות יותר ובתעלות רחבות יותר, מודל 'אפס אמון' נוקט גישה מגוונת יותר לניהול הגישה לזהויות, לנתונים ולמכשירים בתוך המצודה המפורסמת. לכן, בין שגורם פנימי הפועל בצורה זדונית או רשלנית, או גורם חיצוני סמוי מצליחים לחדור דרך חומות המצודה, הם לא מקבלים גישה אוטומטית לנתונים.
המגבלות של גישת 'המצודה והתעלה'
בכל הנוגע לנכס הדיגיטלי הארגוני של ימינו, גישת "המצודה והתעלה" כוללת מגבלות קריטיות משום שהתקדמות איומי הסייבר שינתה את המשמעות של "להדוף ולהגן". ארגונים גדולים, כולל בנקים, מתמודדים עם רשתות מבוזרות ויישומים שניגשים אליהם עובדים, לקוחות ושותפים באתר עצמו או באופן מקוון. עובדה זו מקשה את משימת ההגנה על המערכות ההיקפיות של המצודה. ואפילו אם התעלה יעילה בהדיפת האויבים, היא אינה מועילה מאוד למשתמשים שהזהות שלהם נחשפה לסכנה או מגנה מפני איומים פנימיים אחרים שאורבים בתוך חומות המצודה.
שיטות העבודה הבאות הן כולן מקורות לחשיפה והן נפוצות בבנקים שמסתמכים על גישת "המצודה והתעלה" לאבטחה:
- ביקורת שנתית יחידה של זכויות הגישה של הצוות ליישומים.
- מדיניות מעורפלת ולא עקבית בנושא זכויות גישה, התלויה בשיקול דעתו של המנהל ופיקוח מועט מדי על הפעולות של הצוות.
- שימוש מרובה מדי של חשבונות ניהוליים מורשים על-ידי מחלקת ה- IT.
- נתונים של לקוחות המאוחסנים בשיתופי קבצים מרובים ואי-ידיעה לגבי המשתמשים הניגשים אליהם.
- הסתמכות יתר על סיסמאות לאימות של משתמשים.
- העדר סיווג ודיווח נתונים המאפשרים לדעת באילו נתונים מדובר והיכן הם נמצאים.
- שימוש תכוף בכונני הבזק מסוג USB להעברת קבצים הכוללים נתונים רגישים במיוחד.
כיצד מודל 'אפס אמון' מעצים בנקאים ולקוחות
היתרונות של גישת 'אפס אמון' תועדו היטב ומספר הולך וגדל של דוגמאות בעולם האמיתי מגלות שגישה זו היתה יכולה למנוע מתקפות סייבר מתוחכמות. עם זאת, בנקים רבים כיום עדיין מאמצים שיטות עבודה שאינן מצייתות לעקרונות של 'אפס אמון'.
אימוץ של מודל 'אפס אמון' יכול לעזור לבנקים לחזק את מצב האבטחה שלהם, כדי שהם יוכלו לתמוך בבטחה ביוזמות שמעניקות לעובדים וללקוחות גמישות רבה יותר. לדוגמה, מנהלי בנקים היו רוצים לשחרר את עובדי הבנק שעובדים ישירות עם לקוחות – למשל מנהלים של קשרי גומלין ויועצים פיננסיים – משולחנות העבודה שלהם ולאפשר להם לפגוש לקוחות מחוץ לבנק. כיום, מוסדות פיננסיים רבים תומכים בגמישות גיאוגרפית זו בעזרת כלים אנלוגיים, כגון תדפיסי נייר או תצוגות סטטיות של פגישת הייעוץ שלהם. עם זאת, גם עובדי הבנק וגם הלקוחות התחילו לצפות לחוויה דינאמית יותר שעושה שימוש בנתונים בזמן אמת.
בנקים שמסתמכים על גישת "המצודה והתעלה" לאבטחה חוששים לפזר נתונים מחוץ לרשת הפיזית. לכן, הבנקאים והיועצים הפיננסיים שלהם יכולים להיעזר במודלים דינאמיים של אסטרטגיות השקעה מוכחות ומבוססות היטב רק אם הם מקיימים פגישות עם לקוחות בבנק עצמו.
היסטורית, בזמן נסיעות – בנקאים ויועצים פיננסיים התקשו לשתף עדכוני מודל בזמן אמת, או לשתף פעולה באופן פעיל עם בנקאים או סוחרים אחרים, לפחות לא בלי רשתות VPN. אולם הגמישות הזו הנה הכרחית כדי לקבל החלטות השקעה מבוססות ולהשיג שביעות רצון מצד הלקוחות. מודל 'אפס אמון' מאפשר למנהל קשרי גומלין או לאנליסט להיעזר בתובנות המגיעות מספקי נתונים בשוק, לשלב אותן עם המודלים שלהם ולעבוד בצורה דינאמית על תרחישי לקוח שונים בכל מקום ובכל זמן.
החדשות הטובות הן שזהו עידן חדש של אבטחה חכמה – המופעל באמצעות הענן וארכיטקטורת 'אפס אמון' – שיכול לייעל את האבטחה ואת התאימות של הבנקים ולהפוך אותן למודרניות.
Microsoft 365 עוזר לחולל שינוי יסוד באבטחה של בנקים
בעזרת Microsoft 365, בנקים יכולים לנקוט צעדים מיידיים לקראת אבטחה של 'אפס אמון' על-ידי פיתוח שלוש אסטרטגיות עיקריות:
- זיהוי ואימות—בראש ובראשונה, בנקים צריכים לוודא שהמשתמשים הם אכן מי שהם אומרים שהם ולהעניק להם גישה בהתאם לתפקידים שלהם. בעזרת Azure Active Directory (Azure AD), בנקים יכולים להשתמש בכניסה יחידה (SSO) כדי לאפשר למשתמשים מאומתים להתחבר ליישומים מכל מקום ולאפשר לעובדים ניידים לגשת למשאבים בצורה מאובטחת מבלי להתפשר על הפרודוקטיביות שלהם.
בנקים יכולים גם לפרוס שיטת אימות חזקות, כגון אימות דו-גורמי, או אימות רב-גורמי (MFA) נטול סיסמה, שיכולים להקטין את הסיכון להפרה בשיעור של 99.9%. Microsoft Authenticator תומך בהודעות דחיפה, בקודי סיסמה חד-פעמיים ובביומטריה עבור כל אפליקציה המחוברת ל- Azure AD.
בכל הנוגע למכשירים של Windows, עובדי בנק יכולים להשתמש ב- Windows Hello, תכונה מאובטחת ונוחה של זיהוי באמצעות פנים לצורך כניסה למכשירים. לבסוף, בנקים יכולים להשתמש בגישה מותנית ב- Azure AD כדי להגן על משאבים מפני בקשות חשודות על-ידי החלת מדיניות הגישה המתאימה. Microsoft Intune ו- Azure AD עובדים יחדיו כדי לעזור להבטיח שרק מכשירים מנוהלים ותואמים יוכלו לגשת לשירותים של Office 365, כולל דואר אלקטרוני ואפליקציות מקומיות. באמצעות Intune, תוכל גם להעריך את מצב התאימות של המכשירים. מדיניות הגישה המותנית נאכפת בהתאם למצב התאימות של המכשיר בזמן שהמשתמש מנסה לגשת לנתונים.
איור של גישה מותנית.
- הגנה מפני איומים—בעזרת Microsoft 365, בנקים יכולים גם לשפר את היכולת שלהם להגן ולזהות מתקפות ולהגיב אליהן בעזרת האבטחה המשולבת והאוטומטית של Microsoft Threat Protection. הוא ממנף אחד מהכלים הגדולים ביותר בעולם לציון איומים הזמין ב- Microsoft Intelligent Security Graph ואוטומציה מתקדמת המופעלים באמצעות בינה מלאכותית (AI) כדי לשפר את זיהוי האירועים והתגובה אליהם ולאפשר לצוותי אבטחה לפתור איומים בצורה מדויקת, יעילה ומהירה. מרכז האבטחה של Microsoft 365 מהווה מקום מרכזי אחד וסביבת עבודה מתמחה לניהול ולניצול היתרונות המלאים של פתרונות האבטחה החכמים של Microsoft 365 לצורך ניהול זהויות וגישה, הגנה מפני איומים, הגנה על מידע וניהול אבטחה.
מרכז האבטחה של Microsoft 365.
- הגנה על מידע—על אף שזהויות ומכשירים הם הווקטורים העיקריים לפגיעויות מבחינת מתקפות סייבר, בסופו של דבר מה שפושעי הסייבר מעוניינים בו הוא נתונים. בעזרת Microsoft Information Protection, בנקים יכולים לשפר את ההגנה שלהם על מידע רגיש – לא משנה היכן הוא מאוחסן או להיכן הוא נודד. Microsoft 365 מאפשר ללקוחות 1) לזהות ולסווג את הנתונים הרגישים שלהם; 2) להחיל מדיניות הגנה גמישה וכן 3) לפקח על נתונים רגישים הנמצאים בסכנה ולפתור את הבעיה.
דוגמה לתרחיש סיווג והגנה.
ניהול אבטחה פשוט יותר הודות ל'אפס אמון'
Microsoft 365 עוזר להפוך את ניהול האבטחה בארכיטקטורת 'אפס אמון' מודרנית לפשוט יותר, וממנף את הניראות, קנה המידה והבינה הדרושים כדי להיאבק בפשעי סייבר.
אם אתה בוחן אפשרות להגן על "המצודה" המודרנית שלך, קח בחשבון שסביבת 'אפס אמון' היא הסביבה האופטימלית לאיומים מודרניים בתחום אבטחת הסייבר. סביבת 'אפס אמון' דורשת פיקוח עדכני של מי ניגש למה, היכן ומתי – ואם בכלל הוא אמור לקבל גישה.
יכולות האבטחה והתאימות של Microsoft 365 עוזרות לארגונים לאמת פרטים לפני שהם נותנים אמון במשתמש או במכשיר מסוימים. Microsoft 365 גם מציע פתרון מלא לעבודת צוות ולפרודוקטיביות. לסיכום, Microsoft 365 מספק פתרון מקיף שעוזר למנהלי בנקים להתמקד בלקוחות ובחדשנות.