"לא מספיק לנטר את החדירות מהאינטרנט – צריך להגן על אפליקציות הרשת"

"נתוני הארגון חשופים לפריצה בכל רגע דרך אותן אפליקציות - וההגנה עליהן קריטית", אמר ג'ון מק'אדם, מנכ"ל ויו"ר F5, בראיון לאנשים ומחשבים ● "לכן, לא מספיק לנטר את הפיירוול הקלאסי", ציין

"על המנמ"רים ומנהלי האבטחה בארגונים לחשוב על האמת הידועה, אך לעתים 'שוכחים' אותה, והיא שנתוני הארגון חשופים לפריצה בכל רגע, דרך היישומים של המשתמשים. ההגנה עליהם קריטית וחייבים לנהל כהלכה את הזהויות והגישה של כל המשתמשים לרשת. לא מספיק לנטר את החדירות שמגיעות מהאינטרנט – הפיירוול הקלאסי, שמעט חדירות מתבצעות ממנו אולם מושקע בו רוב התקציב. יש להבין בדיוק מה משמעות הנתונים המגיעים לאפליקציות ומהן לנתונים החשובים – עולם ה-WAF (ר"ת Web Application Firewall)", כך אמר ג'ון מק'אדם, מנכ"ל ויו"ר F5, בראיון לאנשים ומחשבים.

לדבריו, "המודעות הגדולה ביותר כיום להגנת WAF היא אצל מנמ"רי הארגונים במגזרי הפיננסים והטלקום. עדיף שכלל המגזרים יעברו להגנה בדרך זו".

הראיון עם מק'אדם נערך במסגרת F5 Agility 2016, הכנס השנתי של החברה, שנערך לא מכבר בווינה. החברה חגגה במהלכו 20 שנים, מאז נוסדה ב-1996 בסיאטל שבמדינת וושינגטון, ארצות הברית. סיאטל והאזור המטרופוליני שלה הם הבית גם של ענקיות טכנולוגיה נוספות – מיקרוסופט (Microsoft) ואמזון (Amazon).

F5 עוסקת בתעבורת יישומים מאובטחת ומיטבית ברשת, בין היתר במניעת מתקפות DDoS. מק'אדם עומד בראשה ב-15 השנים האחרונות, לאחר שהגיע אליה בתקופה הקשה בתולדותיה – בשפל של ראשית שנות ה-2000, לאחר התפוצצות בועת הדוט.קום, שבמסגרתה התרסקו חברות אינטרנט צעירות בעלות ערכים בורסאיים דמיוניים. אלה היו חייבות מאזני עומסים (Load Balancing) כדי לעמוד בשטפי התעבורה שלהן, וזה היה תחום העיסוק הראשון של F5. רוב לקוחותיה היו בין החברות שקרסו.

מק'אדם הצליח לייצב את החברה ולהצמיח אותה ממחזור שנתי של עשרות מיליונים בודדים עד לשני מיליארד דולר בשנה הכספית 2015. מדובר בקצב גידול הכנסות שנתי של כ-35%. הוא אף הביא אותה לערך שוק של כ-7.1 מיליארד דולר.

אלא שההישג העיקרי שלו הוא הרחבת הפתרונות ש-F5 מציעה מ-ADC (ר"ת Application Delivery Controller), המטפל בהאצה באיזון עומסים, ל-ADN (ר"ת Application Delivery Networking). הפתרון הזה משמש גם כמיישם WAF, שמאפשר הורדת עומסים בכל הנוגע לאבטחת הנתונים, הצפנתם ופענוחם SSL)) משרתי היישומים עצמם.

פתרון נוסף שמציעה F5 הוא BIG-IP, פלטפורמה עליה יושבים 15 מוצרים שונים – מניהול פיירוול ועד ניהול ואכיפת הגנה לפי חוקי התנהגות המשתמש, הגנה נגד התקפות על דטה סנטרים ומעבר מאובטח לפרוטוקול IPv6, תוך תמיכה ב-IPv4, לספקי שירותי תקשורת. ב-2002 היא החליטה לפתח את מערכת ההפעלה לניתוב התעבורה TMOS (ר"ת Traffic Management Operating System), שסייעה מאוד בצמיחתה ובהבאתה למה שהיא כיום.

הישג חשוב נוסף של מק'אדם גלום במיצובה של F5 מול המתחרות בתחום, ובראשן סיסקו (Cisco). אם בתחילת דרכה של F5, נתח השוק שלה עמד על 10% בלבד אל מול 55% של סיסקו, המתחרה הגדולה הפכה במרוצת הזמן לשותפה מרכזית של F5, שעלתה לנתח של 45%. המתחרה המרכזית שלה כיום בשוק היא סיטריקס (Citrix), שמצויה הרחק מאחוריה.

באשר למתחרים כיום אמר מק'אדם כי "למעשה, אין לנו מתחרים ישירים, שמציעים את הפתרון המלא שלנו, אלא בתחומים שונים יש לנו מתחרים שונים, שחלק השוק שלהם קטן ביותר. כך הצלחנו להתמקם היטב בשוק שלנו, שוק ההגנה על האפליקציות ברשת WAF".

איך אתה רואה את הסניף הישראלי של החברה?
"זהו סניף חשוב ביותר שעוסק בליבת הפיתוח שלנו. ארבע החברות שרכשנו במהלך העשור שבו אנחנו פעילים בישראל – מגניפייר, קרשנדו, טראפיקס ו-וורהסייפ – מהוות את בסיסה של מצבת העובדים שלנו שם, שכוללת כ-300 אנשי פיתוח מהטובים מסוגם בעולם. מרכז הפיתוח השני והגדול שלנו הוא בסיאטל ומנהל הפיתוח העולמי, שפועל ממנו הוא הישראלי רון טלמור, סגן נשיא בכיר לפיתוח מוצרים".

כיצד אתם יודעים מה קורה בישראל ואיזה חברה מקומית לרכוש?
"יש לנו במטה העולמי סקאוטר שעוקב אחרי הנעשה בטכנולוגיה בתחום שלנו, בין היתר מה עושות חברות בישראל ואילו פתרונות חדשניים הן מפתחות. אלא שאנחנו מסתמכים בעיקר על הצוות וההנהלה שלנו בישראל. יצוין שאנחנו ממשיכים לחפש חברות ראויות להירכש, ומעדיפים אותן קטנות וחכמות".

מאיפה אתם צופים שתבוא הצמיחה העתידית העיקרית שלכם?
"היא תבוא מהגידול בתעבורה ברשת העולמית ובצורך להגן על היישומים מפני מתקפות, שמתעצמות עם התפתחות האינטרנט. הביזור של הפעלת היישומים מהארגון עצמו לענן לתצורות היברידיות שונות מעלה את הצורך בהגנה עליהם בכל מקום שהם עוברים ברשת העולמית – וזה השוק שלנו.

האינטרנט של הדברים הוא התחום השני שיביא להמשך הצמיחה שלנו. כבר כיום, מתקפת DDoS על רכיבי אינטרנט של הדברים המתקשרים לשרתים ארגוניים יכולה להפיל אותם. הפתרון שלנו יזהה את המתקפות ויחסום את מניעת השירות של הארגון ללקוחותיו, שותפיו ועובדיו.

התחום השלישי שיסייע לנו לצמוח הוא הפתרונות הווירטואליים שלנו, כמו פתרון BIG-IP בתוכנה בלבד, במקביל לפתרון החומרה.

כך שהשוק של F5 גדל לכל מתקן וענן, ובסביבה ההיברידית של ארגוני אנטרפרייז שמריצים את האפליקציות שלהם היכן שיותר יעיל עבורם ומאובטח".

מק'אדם על הבמה בכנס F5 Agility 2016. צילום: פלי הנמר

מק'אדם על הבמה בכנס F5 Agility 2016. צילום: פלי הנמר


זה היה השקף הראשון שהציג מק'אדם – של מגרש גולף. "לא הייתי אמור להיות היום על הבמה הזאת, אלא במגרש הגולף הזה שבשקף, או אחד טוב אחר", אמר מק'אדם, כרמז לפרישתו הקצרה ממנכ"לות F5 בדצמבר האחרון והישארותו כיו"ר בלבד. אך כארבעה חודשים בלבד אחר כך, בחודש שעבר, הוא נקרא בחזרה לדגל. מק'אדם הבטיח שהוא מתכנן להישאר תקופה ארוכה, כמה שיידרש. בכל מקרה, הוא ממשיך גם כיו"ר החברה.

john4600
10 מ-10: החזון של מק'אדם הוא ש-F5 תהיה בין עשרת המותגים המובילים בעולם הגנת היישומים, בקרב 10 חברות התקשורת ועשרת הבנקים וחברות השירותים הפיננסיים המובילים בעולם.


זהו מודל ההגנה של F5: הגנה על היישומים, דרכם חודרים גונבי הנתונים, על ידי הגנת זהויות וגישה, ומניעת התקפות DDoS.

הכותב הינו שליח אנשים ומחשבים לכנס.

צרכנים ב-EMEA עדיין מבולבלים: שמירה על פרטיות או אבטחת מידע?

מחקר גילה גישות שונות באזור לגבי שימוש במידע אישי והגנה מפני טרור סייבר ● כך התגלה כי ל-75% מהצרכנים אין אמון במותגי המדיה החברתית - אך למרות זאת, יותר ויותר צרכנים משתפים מידע ברשתות אלו

F5 שנוסדה לפני 20 שנה, החלה לפני כעשור להתמקד יותר ויותר בפתרונות ארגוניים לאבטחת מידע על ידי ההגנה על היישומים. היא החדירה לאותם יישומים בהם משתמשים עובדי הארגון, הגנה שאינה מאפשרת להגיע לנתונים עצמם, שהם למעשה המטרה של כל התקפות הנוזקות למיניהן.

מתחילת דרכה, F5 הצטיינה והובילה את נושא בקרת העברת היישומים, ADC, והפתרון שלה ידע "לקרוא" כל מה שעובר בתקשורת הנתונים, וכך יכולה הייתה להוביל את הגנת המידע בתנועה מהארגון לרשת האינטרנט וחזרה.

כיום הרוב הגדול של שני מיליארד דולר ההכנסות, מגיע מפתרונות אבטחת המידע והענן שלה. לכן הסקר החשוב מאשש את תפיסתה, שעליה לספק יותר פתרונות חכמים, כי המשתמשים מחפשים אצל שותפים אסטרטגיים כמוה פתרונות שיפתרו את גניבות הנתונים העומדות בשער הארגונים.

כנס F5. צילום: פלי הנמר

כנס F5. צילום: פלי הנמר

את המחקר המקיף באזור EMEA, אשר בוצע עבור F5 Networks, הציגה החברה בכנס המשתמשים שלה בהשתתפות כ-800 לקוחות, שותפים ועובדים, ביניהם מעל ל-20 איש במשלחת מישראל, בראשותה של שושי לייבוביץ, מנהלת המכירות של החברה.

המחקר חשף כי בעוד שיש לצרכנים אירופאים ומזרח-תיכוניים אמון במספר ארגונים בהגנה על המידע שלהם, רבים מוכנים לשתף במידע הפרטי שלהם בתמורה לשימוש בשירותים ללא תשלום. המחקר, אשר בוצע על ידי Opinion Research, סקר יותר מ- 7,000 צרכנים באזור וחקר את גישתם לגבי הגנה על מידע פרטי והשימוש בו.

פחד מהלא נודע

שיתוף מידע עם חברות פרטיות הוביל לכך שקרוב ל-70% מהצרכנים מודאגים שהמידע שלהם יגיע לידיים הלא נכונות, וכן שהפרטיות שלהם תעמוד בסיכון (64%).

המשתמשים בעולם משתפים מידע עם אתרים ורשתות, ובו זמנית לא סומכים עליהם. צילום: פלי הנמר

המשתמשים בעולם משתפים מידע עם אתרים ורשתות, ובו זמנית לא סומכים עליהם. צילום: פלי הנמר

מותגי מדיה חברתית וחברות שיווק קיבלו את ההתייחסות הגרועה ביותר – 75% מהצרכנים ציינו כי הם אינם סומכים עליהם עם המידע הפרטי שלהם בכלל, כאשר רק 21% היו בטוחים כי הם יגנו על המידע שלהם בצורה אפקטיבית מפני האקרים.

מרכזי הידע העולמיים להגנת מידע ולמתקפות סייבר באחד - תלוי בשליטה במדינה ובעוינותה לאחרות. צילום: פלי הנמר

מרכזי הידע העולמיים להגנת מידע ולמתקפות סייבר באחד – תלוי בשליטה במדינה ובעוינותה לאחרות. צילום: פלי הנמר

אבל ישנם צרכנים שמתעלמים מהפחדים הללו, אם משמעות הדבר היא שהם יכולים להשתמש בשירותי חברות בחינם.

למעלה ממחציתם היו מוכנים לשתף בתאריך הלידה שלהם (53%), מצב משפחתי (51%) ותחומי עניין אישיים (50%); בפולין, 58% ישתפו את הרגלי הקניה שלהם, ומחצית מהצרכנים בערב הסעודית יהיו מוכנים לשתף את מספר הסלולארי שלהם.

יחד עם זאת, כמעט חמישית (18%) ציינו כי לא יספקו את המידע שלהם בכלל. צרכנים בריטיים באופן עקבי היו פחות מוכנים לספק את המידע שלהם לעומת מדינות אחרות ב-EMEA.

עם מתן אמון מגיעות הציפיות

בעוד שצרכנים התייחסו לבנקים כגורמים האמינים ביותר (76%), והיה להם אמון רב יותר בהם בכל הנוגע לשמירה על המידע (73%) יחסית לסקטורים אחרים, ישנו עדיין חוסר שביעות רצון בכל הקשור לשיטות בהן משתמשים הארגונים הללו על מנת להגן על המידע.

צרכנים מאמינים כי בנקים (77%), ולאחריהם מוסדות בריאות (71%) ומוסדות ציבוריים וממשלתיים (74%), צריכים להטמיע יכולות אימות טובות יותר על מנת להשיג אבטחה טובה יותר. 88% מהצרכנים משוכנעים כי ארגונים צריכים לשפר את מדיניות האימות שלהם לאבטחה טובה יותר.

מייק קונברטינו, סגן נשיא לאבטחת מידע ו-CISO ב-F5 Networks. צילום: פלי הנמר

מייק קונברטינו, סגן נשיא לאבטחת מידע ו-CISO ב-F5 Networks. צילום: פלי הנמר

"ישנם הבדלים ברורים בסוג החברות שצרכנים סומכים עליהן עם המידע שלהם", אמר מייק קונברטינו, סגן נשיא לאבטחת מידע ו-CISO ב-F5 Networks.

לדבריו, "חברות עם מיקוד מסורתי באבטחת מידע, דוגמת בנקים, נחשבות האמינות ביותר, אבל מעניין לגלות כי אנו משתפים את רוב המידע שלנו ברשתות החברתיות למרות שאנחנו הכי פחות סומכים על החברות הללו שישמרו על המידע שלנו".

קונברטינו הסביר כי "ללא קשר לתעשייה, כל ארגון שעובד ישירות עם צרכנים, צריך לוודא כי ההגנה שלו עומדת בקנה אחד עם הדרישות הגוברות של הצרכנים. ככל שאנחנו הופכים מודעים יותר לסיכונים, חשוב אפילו יותר להשיג תשתית הגנה ואבטחת מידע – טכנולוגיה, חינוך ותהליכים, אשר הינם מחמירים מספיק על מנת להגן מפני איומים, אבל אינם פוגעים בחוויית המשתמש".

הוויכוח: פרטיות או הגנה?

הרגולציות האירופאיות הכלליות להגנה על מידע, GDPR (ר"ת EU General Data Protection Regulation), אשר אושרו לאחרונה על ידי הפרלמנט האירופי, מספקות לאזרחים את הזכות להתלונן ולקבל פיצוי אם נעשה שימוש לרעה במידע שלהם בתוך האיחוד האירופי.

כאשר נשאלו מהו לדעתם שימוש לרעה, התברר כי 67% מאמינים כי מדובר בשיתוף של המידע שלהם עם צד שלישי ללא הסכמה; 71% בפולין ו-75% בבריטניה.

עם התעוררות הדיון הציבורי של אפל (Apple) וה-FBI בנוגע לפריצת סמארטפונים, 43% מהצרכנים הסכימו עם הקביעה כי ארגוני טכנולוגיה צריכים להעמיד את הביטחון הלאומי בעדיפות עליונה מעל פרטיות המשתמש, ולתת לסוכנויות ממשלתיות גישה למכשירים נעולים (31%). השיעורים היו גבוהים אפילו יותר בבריטניה (50%), אך נמוכים יותר בגרמניה (38%) וערב הסעודית (37%).

האחריות להגנה על צרכנים מפני טרור הסייבר עומדת גם היא לדיון. יותר מחמישית (21%) מהצרכנים מאמינים כי עלינו להיות אחראיים להגנה על עצמנו, בעוד ששיעור כפול מזה (43%) מרגישים כי זהו תפקידה של הממשלה במדינתם להגן על האזרחים.

התגובה הראשונה מעוררת את השאלה האם יותר צרכנים מכירים בכך שהם משחקים תפקיד חשוב בהגנה מפני איומים חיצוניים, אבל יש עדיין דרך לעבור בכל הקשור להשתתפות באחריות.

צרו קשר

הנמר תמיד עונה (גם אם לפעמים זה לוקח יום-יומיים)