אבטחת ענן, Envato Elements

הסטארטאפ הישראלי PureSec מקבל חיזוק בינלאומי מסקרן

PureSec, המתמחה בתחום אבטחת מידע בסביבת Serverless, הודיע על הצטרפות לארגון העולמי לקידום תחום האבטחה בענן כחבר מן המניין, ובמקביל - מפרסם מסמך הנחיות הגנה

PureSec, סטאטאפ ישראלי המתמחה באבטחה בסביבת מיחשוב נטולת שרת (Serverless) הודיע על הצטרפותו לארגון העולמי CSA , ראשי תיבות של Cloud Security Alliance. הארגון, שהוקם לפני למעלה מעשור שם לעצמו כמטרה לקדם בעולם את תחום האבטחה בפלטפורמות הענן השונות. כחלק מהחיבור הזה, PureSec ו- CSA

מפרסמים יחד מסמך הנחיות להתמודדות עם "12 הסיכונים הקריטיים לסביבת Serverless, לפיתוח אפליקציות בטוחות.

PureSec נוסדה ב- 2016, ע"י שקד צין, אורי סגל ואבי שולמן. החברה מאפשרת ללקוחותיה לפתח ולתחזק אפליקציות Serverless אמינות ומאובטחות בסביבת מיחשוב בטוחה.  הפתרון  של החברה תומך בכל ספקי ה- Serverless, כולל AWS Lambda, Google Cloud Functions, Azure Functions ו- IBM Cloud Functions ומאפשר לארגונים לנטר, למנוע ולהגיב לפעילויות חשודות ולתקיפות. בין לקוחות החברה חברות מקרב ה- Fortune 1000, לצד סטארטאפים צומחים בארה"ב וברחבי העולם.  

 הצוות שמאחורי PureSec

הצוות שמאחורי PureSec ( יח"צ)

 

מיחשוב ללא שרת, מה שמכונה גם כ"Serverless" הוא בעצם מודל פיתוח ובו ספק הענק הוא זה שאחראי למשאבים הנחוצים לפיתוח - בין עם זה כח מיחשוב או מהירות עיבוד, כשמודל החיוב מבוסס על רמת ניצול המשאבים של המשתמש. הסביבה הזו חדשה יחסית כשאחת הטעויות השגורות בתחום היא הסתמכות מוחלטת על יכולות האבטחה של ספק שירותי הענן. 

בחברה מספרים כי מסמך ההנחיות הנוכחי נולד כתוצאה משיתוף פעולה פורה בין PureSec,  CSA וכמה עשרות מובילי דעה בתעשיית ה- Serverless העולמית, אשר שמחו לקחת חלק בפרויקט ולשתף ידע. זו השנה השנייה ברציפות בה החברה שוקדת על הכנת מסמך גלובלי, מקיף ומעודכן במטרה לסווג ולמיין סיכונים פוטנציאלים לאפליקציות Serverless. המסמך מיועד לאנשי פיתוח ואנשי אבטחת מידע וסייבר, גם יחד, המתמקדים בעולמות ה- Serverless, ומציע להם כלים ודרכי התמודדות עם האיומים, כולל השוואה בין אפליקציות מסורתית למקבילות שלהן בעולמות ה- Serverless. 

"כחברה המובילה את שוק האבטחה ל- Serverless, ארגונים רבים פונים ל- PureSec לקבל הנחיות ותמיכה בבניה ופיתוח של אפליקציות Serverless מאובטחות. ברגע שזיהינו את   PureSec כמי שיכולה לשתף עם התעשייה תובנות יוצאות מן הכלל בנושא, שמחנו להזמינה להצטרף לקהילה שלנו" אמר ג'יי. אר. סנטוס, סמנכ"ל בכיר למחקר, CSA.

מומחים בתעשייה מעריכים כי האימוץ של טכנולוגיות Serverless מכפיל את עצמו פי 7, מדי שנה. הערכה זו  תומכת בצורך של השוק במסמך הנחיות כמו זה ש- PureSec ו- CSA מפרסמות היום. "ארכיטקטורת ה- Serverless זכתה לצמיחה דרמטית ב- 2018 וארגונים רבים נמצאים כעת בשלבי אימוץ ראשונים שלה. על רקע זה, הבנו כי זו השעה הנכונה לחבור ל- CSA , לערוך ולהפיץ יחד את המסמך המקיף והמעודכן ביותר הקיים היום בשוק" אומר אורי סגל, סמנכ"ל טכנולוגיות ומייסד-שותף, PureSec. 

אחד הסיכונים הרווחים מפניהם מזהיר מסמך ההנחיות נובע מתהליך שגוי של הטמעת הרשאות. "מפתחים רבים לא מכירים את מודל ההרשאות של סביבות הענן לעומק, ולכן, נוטים להטמיע הרשאות-יתר בפונקציות Serverless" מסביר סגל. "במצב כזה, תוקף עלול לנצל את הרשאות-היתר שניתנו ולבצע פעולות זדוניות ובלתי חוקיות." איום נוסף, שנכנס לראשונה למסמך החדש,  נוגע לתרחישים בהם מפתחים מאחסנים מידע רגיש בסביבת הריצה המקומית של Serverless, הן כקבצים שמורים בדיסק זמני, והן בזיכרון. מאחר וספק הענן משמר את סביבת הריצה של הפונקציה לטובת ייעול ריצות עתידיות של אותה הפונקציה, מידע רגיש שנשאר מאחור עלול לזלוג ולהגיע לידיים הלא נכונות. "לכן, אנחנו ממליצים למפתחי Serverless לאחסן מידע רגיש מחוץ לסביבת הריצה, או לוודא כי השאירו סביבה נקייה לחלוטין בתום השימוש".

המסמך של החברה זמן בקישור הזה