תקרית ה-IT שארעה לפני כחודש היא אולי החמורה שידע עולם המחשוב. אנחנו מתייחסים לתקלה זו כאל אירוע IT (מערכות מידע) ולא אירוע סייבר מכיוון שאף על פי שהתוכנה שקרסה הייתה תוכנת הגנה לא היה שום מימד של פריצה או חולשת סייבר. לפי מה שידוע כעת, עדכון תוכנה אוטומטי של סוכן (Agent) בשם- Falcon מבית CrowdStrike גרם ללולאה אינסופית של אתחול ו"מסכים כחולים" (BSOD- Blue screen of death, הסיוט של כל איש סיסטם) במערכות מיקרוסופט. תקרית סוכנים זו השפיעה על עסקים ברחבי העולם, אשר חוו זמני השבתה חסרי תקדים של מערכות המחשוב שלהם, והשפיעו על מגזרים קריטיים כמו שדות תעופה ובתי חולים.

לזכות חברת Crowdstirke ייאמר שהם זיהו במהירות את התקלה ותוך מספר שעות הפיצו נוהל שעזר ללקוחותיהם להתגבר עליה. אבל למרות התגובה המהירה יחסית עדיין אלפי לקוחות ומאות אלפי אנשים ברחבי העולם חוו השלכות של הארוע, שכללו דחיית טיפולים רפואיים, דחיית וביטולי טיסות והפרעות רבות למערכות מסחר מקוונות ופיזיות. כך יצא שמערכת הגנת סייבר שנועדה להבטיח רציפות תפעולית אל מול איומים שונים גרמה בעצמה להשבתה מאסיבית. בעוד שברור שלחברה מבוססת כזו יש תהליכי בקרת איכות מהטובים שיש לחברות באופן בסיסי ארכיטקטורת התוכנה שעליה התבססה החברה מועדת לפורענות, בשל אותם "סוכנים" על גבי מערכת ההפעלה המקומית והביאו לקריסת המחשבים עליהם הותקנו.

חן בורשן מנכ"ל סקייהוק סקיוריטי (באדיבות סקייהוק סקיוריטי​)

סוכן או לא סוכן?
בעשור האחרון, הענן הפך למרכיב קריטי בתשתית המחשוב של כמעט כל ארגון בעולם. בעוד שפריסת מערכות סייבר על גבי מחשבים פיזיים הייתה תלויה במקרים רבים על טכנולוגיות מבוססות סוכנים, הענן אפשר פריסה שכזו ללא שימוש בסוכנים, המספקת זיהוי כמעט בזמן אמת על ידי ניתוח נתוני תקשורת (טלמטריה) ולוגים בענן. ועדיין, קיימים כאלו שמאמינים שיש להתקין סוכנים גם בסביבות ענן ושאין בכך סיכון או נטל תפעולי. או לפחות- זו הייתה האמונה שרווח עד התקרית של קראודסטרייק.

החיסרון של פתרונות אבטחה מבוססי סוכנים
לפתרונות אבטחה בענן שמבוססים על סוכנים יש מספר חסרונות, שחלקם הורגש בתקרית האחרונה:

מורכבות תפעולית: כמו כל חלק בתשתית, בין אם פיזי או וירטואלי, סוכנים דורשים עדכונים ותחזוקה כדי להבטיח שהם פועלים כראוי. זה דורש משאבים וזמן - דבר שחסר לצוותי אבטחה רבים. התקרית הזו מדגישה את הסיכון התפעולי של הסתמכות על מערכות מבוססות סוכנים שנזדקקות לעדכונים שיכולים לגרום בעצמם לשיבושים.

צריכת משאבים: סוכנים דורשים משאבי מערכת כדי לפעול בצורה תקינה. המשאבים שסוכנים צורכים משמעותם עלות גבוהה יותר בצד הלקוח (בחיובי עלות מחשוב ענן) בפרופילי זיכרון ו-CPU במכונות, עם פוטנציאל להאט יישומים, שירותים ופרויקטים עסקיים קריטיים.

נקודת כשל: החיסרון הוא מה שהעולם חווה בתקרית הזו - סוכנים מוסיפים נקודת כשל נוספת- מה שמכונה באנגלית point of failure. עדכונים ושינויים אחרים בנקודות אלו בתשתית הענן עלולים לגרום לבעיות חמורות.

שירותים שלא ניתן להגן עליהם באמצעות סוכנים: בענן, שירותים רבים מנוהלים על ידי ספק הענן, ולכן לא ניתן להתקין סוכן - מה שהופך את הגישה ללא סוכנים לדרך הרלוונטית היחידה להגן על שירותים אלו. סוכנים פשוט לא רלוונטיים במקרים אלה ופתרונות מבוססי סוכנים יהיו עיוורים לשירותים מנוהלים (Databases, FaaS Managed Kubernetes), כאשר זיהוי איומים מקורי בענן הוא האלטרנטיבה היחידה.

סיכונים הנובעים מיכולות אכיפה: אחד האתגרים המרכזיים בזיהוי ותגובה של איומי ענן הוא חלק התגובה. בעוד שסוכנים כוללים יכולות אכיפה, הם מציגים סיכון של אכיפה שלה השלכות בלתי צפויות ועשויים גם להכניס סיכון שרשרת אספקה אם ייפלו לידיים הלא נכונות.

היתרונות בפתרונות אבטחה שאינם מבוססים על סוכן
חברות סייבר שפיתחו פתרונות לענן לאחר שכבר הציעו פתרונות מבוססי סוכן למחשבים פיזים פשוט "העתיקו" את הקונפסט לעולמות הענן. לעומתן, חברות שהן Cloud-Native ביקשו לבטל את התלות בסוכנים וכך להמנע ממורכבות והפגיעויות הקשורות לסוכנים, תוך שמירה על יכולות אבטחה  פרואקטיבית לאבטחת ענן תוך פישוט הניהול והתפעול. 
יתרונות מערכות אבטחה שאינן זקוקות לסוכנים הן:

קלות פריסה וניהול: פתרונות ללא סוכנים קלים יותר לפריסה ולניהול. הם ממנפים תשתית קיימת ושימוש ב APIs ודורשים תפעול מינימלי, מה שמפחית את העומס התפעולי על צוותי IT. ללא צורך בעדכונים ותחזוקה מתמשכים, ארגונים יכולים להתמקד ביעדי אבטחה הליבה במקום בניהול בעיות הקשורות לסוכן.

צפייה ברמת אירוע הוליסטית בזמן ריצה בענן: פתרונות ללא סוכנים מציעים נראות מקיפה לתוך סביבות ענן מבלי לדרוש קלט הקשר ייחודי למערכות מבוססות סוכנים. על ידי שילוב עם שירותים מקוריים בענן וניצול ניטור מבוסס API, פתרונות אלו מספקים תובנות בזמן אמת לגבי איומים ותקריות פוטנציאליות.

אין השפעה על יכולות הזיהוי: בניגוד לאמונה שסוכנים חיוניים לזיהוי איומים יעיל, פתרונות ללא סוכנים יכולים להשיג יכולות זיהוי דומות, אם לא מעולות. על ידי ניתוח טלמטרי ענן ולוגים כגון תעבורת רשת, לוגים של בקרת גישה ופעולות (audit) , לוגים של DNS ועוד, CTDR  ללא סוכנים יכול לזהות ולהגיב לאיומים בדיוק ובמהירות.

זיהוי יזום, אכיפה מאומתת ומאובטחת: פתרונות אבטחה ללא סוכנים יכולים לבצע סימולציות אוטונומיות לזיהוי פרואקטיבי ותגובה מאומתת על ידי הדמיית תרחישי תקיפה מוכחים של תקיפות שהותאמו במיוחד לתשתית הענן של הלקוחות והרצתם מול מנגנון הזיהוי, כך שאמצעי אבטחה נבדקים, מוערכים ומטויבים ללא הרף. כך גם ניתן לבחון ולהכין מראש מדיניות אכיפה באמצעות תגובה אוטומטית וכל זאת ללא המגבלות והסיכונים של סוכנים. יתרה מזאת, זה מסייע לאיתור נכסים קריטיים לארגון ולמקד את ההגנה בהם, תוך שמירה על המשכיות עסקית.

פרשת מים בעולם הסייבר - הסוכן הוא מסוכן
התקרית האחרונה (שכנראה תיזכר לעולם כ"תקרית קראודסטרייק") הוכיחה את מה שחברות Cloud Native  מטיפות לו זה שנים. תצורת ההגנה המבוססת על סוכנים טומנת בחובה סיכונים ומורכבות מובנית, ולפחות בסביבת הענן ניתן כבר היום לאמץ גישה אחרת, שאינה מבוססת על סוכנים, ועל ידי כך לפשט את האופרציה, להסיר נקודות כשל ולחסוך כאב ראש תפעולי מבלי להתפשר על רמת האבטחה בענן. 

עוד ב-

ice בדק ומצא: סל הפירות והירקות המשתלם ביותר

לכתבה המלאה

הכותב הוא מנכ"ל חברת אבטחת הסייבר בענן סקייהוק סקיוריטי