The headlines that made most buzz on this page
21/04/21 01:32
7.84% of the views
מאת אנשים ומחשבים
מסתבר ששטף השמועות וההדלפות על ההכרזות של אפל (Apple) היה מדויק למדי, ובאירוע האביב שלה, הראשון לשנת 2021, השיקה החברה שלל שירותים ומוצרים, כמעט בדיוק כמו שהיה צפוי.
כשהוא לוקח אותנו איתו לטיול בשבילי הפארק הענק של החברה בקופרטינו, בין העצים הירוקים והפרחים, החל טים קוק, מנכ"ל אפל, את האירוע בהתייחסות ליום כדור הארץ שיצוין ביום ה' הקרוב, והכריז על השאיפות של אפל להפוך עד שנת 2030 לחברה שלא תפלוט פחמן כלל ולחסוך יותר ממיליון טון של פחמן מדי שנה.
מן הקל אל הכבד
קוק פתח את שטף ההכרזות בהודעה על שינוי ב-Apple Card, שמעתה יציע תוכנית משפחתית, ובני זוב ובני משפחה יוכלו לחלוק באשראי שלו, והמשיך לעדכון בפודקאסט של החברה, שיושק ב-170 מדינות במהלך החודש הבא, הכולל כבר מיליוני פודקאסטים, ויציע מנוי חודשי.
מכאן עבר קוק לספר על ה-iPhone 12, שהחברה הוסיפה לצבעים הקיימים שלו צבע חדש לכבוד האביב – סגול, שיהיה זמין בדגמי הפרו והמיני. נודה – ה"סוד" הזה לא הודלף ולא הוזכר במילה בשום מקום…
חדש: iPhone 12 סגול אביבי. צילום מסך
סוף סוף: Air Tag
חודשים ארוכים מדווחים האתרים הטכנולוגיים על התקן האיתור של אפל, והנה סוף סוף הוא הגיע: מכשיר שנראה כמו מטבע גדול, המוחזק בתוך מעין מחזיק מפתחות, המאפשר לאתר חפצים "אבודים" – מפתחות, ארנק, מכונית וכו' בעזרת ה-iPhone או מכשיר אפל אחר. ה-Air Tag מאפשר איתור מהיר ומדויק, והוא כולל ממשק קולי וגרפי. כשמחפשים משהו, מלבד הצפצוף שהוא משדר, על מסך ה-iPhone מופיעים חיצים, המובילים אל המיקום המדויק של ה"אבידה". מחירו יעמוד על 29 דולר ליחידה, או 99 דולר לארבעה תגים, והוא יהיה זמין בחנויות החל מה-30 באפריל.
ה-Air Tag החדש של אפל. כמו מטבע. צילום מסך
Apple TV 4K הוא הדגם החדש של הממיר ושירות הטלוויזיה של החברה, שכולל מעבד A 12 ותומך בקצב רענון גבוה יותר והצגת תמונות משופרת מן ה-IPhone למסך הגדול. והפטנט המיוחד שלו: כוונון ושיפור צבעי הטלוויזיה בעזרת מצלמת ה-iPhone.
הממיר החדש מגיע גם עם שלט חדש ומשופר, הכולל כפתור צידי להפעלת Siri ומשטח מגע משולב בכפתורים, בתוספת כפתורים מיוחדים לכיבוי הטלוויזיה והממיר, שמקילים על השליטה בממיר ובלטוויזיה, שרבים חיכו לו בשל אי הנוחות של השלט הקודם. מחיר הממיר החדש יהיה 179 דולר לנפח 32 גיגה-בייט, ו-199 דולר לנפח 64 גיגה-בייט.
iMac – עיצוב מרהיב וצבעוני הבא בתור בהצגה: iMac, שזה לעיצוב מרהיב וחדש לחלוטין, במגוון צבעים, הכולל, כמובן, את מעבד M1 של אפל. המחשב החדש כולל מסך גדול יותר של 24 אינץ', מצלמה ברזולוציית Full HD, מערך מיקרופונים ומערך של שישה רמקולים. כצפוי, המחשב כולל שני חיבורי Tunderbolt לצד ארבעה חיבורי Type-C. מלבד העיצוב המרהיב החדש, הכוכבת של ה-iMac היא המקלדת שלו: יש בה מקשים חדשים, כמו אימוג'ים, הכתבה קולית ועוד, וגם חיישן מגע, שיאפשר פתיחה מהירה ומאובטחת של המחשב. מחירם של דגמי ה-iMac יעמוד על 1,299 דולר ועד 1,499 דולר, והוא יהיה זמין בחנויות החל מאמצע חודש מאי.
iMac בעיצוב חדש וצבעוני. צילום מסך
iPad Pro עוצמתי, עם מעבד M1
ה"דובדבן" האחרון בסידרת ההכרזות היה ה-iPad Pro החדש, שכולל כעת גם הוא את מעבד M1 הקנייני של אפל, מה שהופך אותו לעוצמתי במיוחד. השיפורים בו כוללים תמיכה ב-Apple Pencil, מסך Mini LED – מערך של 10,000 נורות LED בגב המכשיר, המשפר את תצוגת המסך; חיבור USB4 לצד חיבור Type-C; קישוריות דור 5 ותמיכה ב-mmWave – למהירויות העלאה והורדה אולטרה-מהירות; מסך התומך בתקנים חדשים, המשפרים את חוויית הצפייה; ותכונה חדשה – מצלמה עם חיישן 12 מגה-פיקסל בחלקו העליון שתפעיל תכונה בשם Center Stage – המזהה את ]מחן של המשתמש וממקמת אותו במרכז המסך. מחירו של הפרו בגודל 11 אינץ' יעמוד על החל מ-799 דולר, ודגם ה-12.9 אינץ', הכולל את מסך ה-Mini LED יעלה 1,099 דולר. הטאבלטים החדשים יהיו זמינים בחנויות החל מאמצע חודש מאי.
דגמי iPad Pro החדשים – עם מעבד M1. צילום מסך
21/04/21 16:24
7.84% of the views
מאת אנשים ומחשבים
הנחה סבירה היא שבחברה שקורה בה אירוע שמניב לה נזק עצום – למשל מתקפת סייבר בממדים עצומים, משכורות ותנאי הבכירים ייפגעו, אם הם בכלל יישארו בעבודתם. לא כך בסולארווינדס: החברה שילמה לבכיריה ב-2020 יותר מ-65 מיליון דולר, למרות מתקפת הענק בסייבר, שחשפה 18 אלף לקוחות שלה לפגיעה פוטנציאלית על ידי האקרים שלוחי שירות המודיעין הרוסי.
ספקית ניהול תשתיות ה-IT לא ביצעה לאחר הפריצה התאמות לתגמול המנהלים (כלומר, קיצוץ במשכורת ובשאר התנאים שהם מקבלים ממנה), המבוסס על ביצועים לשנת 2020. בסך הכול, ששת המנהלים הבכירים ביותר בסולארווינדס הרוויחו אשתקד 65.03 מיליון דולר, כאשר 59.66 מיליון – כמעט 92% מהסכום – הגיעו בצורת פיצוי מבוסס מניות.
הנתונים נכללים במסמכים שהחברה הגישה לרשות ניירות הערך האמריקנית, שמהם עולה בנוסף שהיא הוציאה לפחות 21.5 מיליון דולר על ניקוי מערכות המחשוב שלה מהנוזקה שפשטה ועל התאוששות ממתקפת הסייבר. יצוין שאם וכאשר יהיו קיצוצים בעתיד, כמה ממנהלי סולארווינדס שעבדו עת בעת הפריצה לא יושפעו מהם, כי הם עזבו אותה.
בתגובה לדיווח מסרה החברה כי "הרוב הניכר של פיצוי המנהלים מתייחס למענקי הון שהונפקו ברבעון הראשון של 2020 או למענקים ששונו במהלך השנה עקב משבר הקורונה. הערך המלא של המענקים לא יכול להתממש, אלא אם כן הם יישארו מועסקים לאורך כל התקופה הרלוונטית, שיכולה להימשך עד ארבע שנים". אנליסטים ציינו ש-"כך נוצר מצב אבסורדי במעט שבמסגרתו ששת הבכירים קיבלו מניות בשווי של מיליוני דולרים – על אף שמחיר המניות של החברה צנח בכמעט 20% בשנה שעברה".
כמה קיבל המנכ"ל?
לפי הנתונים, חבילת השכר הכוללת ב-2020 של מנכ"ל סולארווינדס היוצא, קווין תומפסון, עמדה על 25.5 מיליון דולר, וכללה תשלום בונוס בסך 875 אלף דולר. הנתון משקף יחס של פי 344 על הפיצוי החציוני, של 74,180 דולר, שקיבלו 3,339 עובדי החברה. לאחר שפרש מתפקידו כמנכ"ל, בסוף השנה, סולארווינדס הסכימה לשלם לתומפסון 312,500 דולר נוספים, עד סוף מאי הבא, כדי לסייע לחברה להתגונן מהחקירות שנבעו בשל מתקפת הסייבר הענקית. בעבר פורסם בניו-יורק טיימס כי "בחברה מנעו מלממש ולאכוף נהלי אבטחה נפוצים בתקופת כהונתו של תומפסון – בגלל העלות שלהם. כמה מהצעדים שנמנעו הביאו לכך שהחברה העמידה את עצמה ואת לקוחותיה בסיכון גדול יותר למתקפה".
יצוין שכמעט 78% ממניות סולארווינדס נמצאים בבעלות הקרנות סילבר לייק ותומא בראבו. הן רכשו את החברה תמורת 4.5 מיליארד דולר בפברואר 2016 ואז הנפיקו אותה שוב בסוף 2018. לפני כחודשיים הודיעה החברה כי תוציא השנה בין 20 ל-25 מיליון דולר על יוזמות אבטחה, כשחלק מהכסף ינוצל לכיסוי עלויות גבוהות יותר סביב דמי הביטוח.
סולארווינדס עומדת בפני תביעות רבות וחקירות הקשורות לפריצה. החברה כבר הודיעה כי "זה אפשרי באופן סביר" שהיא עלולה לסבול הפסדים מהתהליך. תביעות ייצוגיות מרובות מאשימות את החברה והקרנות האוחזות בבעלות עליה ב-"הצהרות שקריות ומטעות באופן מהותי בנוגע למצב האבטחה של החברה".
"המתקפה הגדולה והמתוחכמת ביותר שהעולם ראה אי פעם"
מי שחשפו בדצמבר האחרון את המתקפה על סולארווינדס ותוכנת אוריון שלה הן ענקית האבטחה פייראיי וכן מיקרוסופט. היא החלה בספטמבר-אוקטובר 2019 והואצה במרץ 2020. היקף הארגונים, הסוכנויות הממשלתיות והפרטים שנפגעו ממנה טרם הוברר עד הסוף, אולם מדובר במאות, לכל הפחות. היא נוצרה בשל נוזקה בשם ש-"הולבשה" על אוריון, שמשמשת לניהול וניטור הרשת. כ-18 אלף ארגונים, לקוחות סולארווינדס, הורידו את עדכון הגרסה המזוהם. מיקרוסופט הודיעה כי בין הלקוחות שנפגעו יש גם ארגונים מישראל.
הענקית מרדמונד הייתה הקורבן השני מהמגזר הפרטי שנחשף לאחר פייראיי. חברות גדולות נוספות שנפלו קורבן למתקפת הענק הן VMware, סיסקו, אינטל, אנבידיה, בלקין – יצרנית נתבי Wi-Fi וציוד רשת ביתי, וחברת הייעוץ דלויט. במגזר הציבורי, רבים מהקורבנות למתקפה הגיעו מהממשל האמריקני, בהם משרדי החוץ, האוצר, האנרגיה והגנת המולדת, מינהל הטלקום והמידע הלאומי במשרד המסחר, סוכנויות מודיעין דוגמת CISA – הסוכנות לאבטחת סייבר ותשתיות – ומינהל ביטחון הגרעין הלאומי, NNSA, שמטפל במאגר אמצעי הלחימה הגרעיניים של ארצות הברית.
בפברואר השנה אמר בראד סמית', נשיא מיקרוסופט, כי "הייתה זו המתקפה הגדולה והמתוחכמת ביותר שהעולם ראה אי פעם. במתקפת הענק, שערכה קבוצה של האקרים רוסים, המקורבת לקרמלין, השתתפו מספר עצום של מפתחים".
21/04/21 10:00
6.86% of the views
מאת אנשים ומחשבים
גיא מולכו (38, נשוי + 3) מונה לסמנכ"ל מוצר בחברת אפסטרים סקיוריטי (Upstream Security), המספקת פלטפורמת ענן המשמשת לאבטחת סייבר ולניתוח נתונים עבור תחבורה חכמה, כלי רכב מקושרים, מכוניות אוטונומיות ומוצרי ביטוח.
בתפקידו יהיה מולכו אחראי על גיבוש אסטרטגיית מוצרי אבטחת הסייבר של החברה המשרתים כיום את יצרני הרכב הגדולים בעולם. נוסף לכך, יהיה אחראי על תחום שירותי הדטה, תובנות וניבויים עבור עולם התחבורה החכמה, כולל ערים חכמות, תחזוקת ציי רכב, מוסכים, דילרים, חברות ביטוח ועוד.
מולכו, בעל תואר B.Sc בהנדסת תעשייה וניהול מאוניברסיטת תל אביב, צבר ניסיון עשיר כמנהל מוצרים בשורה של חברות מובילות, בהן קבוצת NSO, נייס (NICE) ו-EY.
21/04/21 12:35
6.86% of the views
מאת אנשים ומחשבים
הימים האחרונים, כפי שיודע כל משקיע בביטקוין (Bitcoin), היו קשים בעבור מטבע הקריפטו הפופולרי והמדובר – ערכו ירד בכ-15% וככל הנראה גרם לרבים לאבד נתח מהונם המושקע בו. בכלל, המטבע הדיגיטלי המפורסם מכולם בתחום זה מספק למי שרכש ממנו התרוממויות רוח כשהוא נוסק אל על מדי זמן מה, לצד הרבה כאבי לב וחששות בימים שבהם הוא צולל בשוויו, וזאת על אף השווי האדיר אליו הגיע ברבות השנים.
במקביל לטלטלות דרמטיות אלו, מי שהביע בעבר סקפטיות גדולה עקב התלהבות המשקיעים מהמטבעות הווירטואליים בכלל ומהביטקוין בפרט, מייסד מיקרוסופט (Microsoft) ומנכ"לה לשעבר, היזם הטכנולוגי המפורסם ביל גייטס, מאמין ככל הנראה שמצב הביטקוין יחמיר עם השנים, ואפשר שעד לקריסה מוחלטת.
טלטלות דרמטיות בשווי הביטקוין. צילום מסך מאתר CoinDesk
רכבת ההרים של הביטקוין – האם היא תתרסק?
ביטקוין. צילום: BigStock
ביום א' האחרון הביטקוין ירד בכ-15% והגיע לרמה של 51,541 דולר ליחידה. נכון למועד כתיבת שורות אלו, ועל פי נתוני CoinDesk, עומד ערכו של הביטקוין על 56,564 דולר לאסימון אחד. האירוע הזה הגיע אחרי שהמטבע הווירטואלי הגיע לשיא השיאים שלו – 64,000 דולר רק בשבוע שעבר (ד'), לאחר שערך את הופעת הבכורה שלו בשוק המניות של בורסת הקריפטו הגדולה בארה"ב, Coinbase Global שמה.
לפי דיווח של האתר הבריטי Express, אנליסט שוק המניות המפעיל את ערוץ היוטיוב MHFIN העלה באחרונה סרטון שבו הסביר כי "גייטס מדבר על מטבעות קריפטוגרפיים כבר תקופה ארוכה. ברור שהוא לא אוהד", אך תהא "מדוע הוא עדיין פסימי בנוגע לקריפטוגרפיה ומדוע הוא מהמר על הרס מוחלט?"
ממשיך גם כיום לערער על סיכויי הביטקוין לנצח
בסרטון, שכותרתו "ביל גייטס: פאניקת הביטקוין של שנת 2021" משחזר האנליסט את התבטאות המוקדמת ביותר של גייטס בנוגע למטבעות הקריפטו, שנאמרה כבר במאי 2013 בראיון בטלוויזיה.
גייטס אמר אז, "אני חושב שזה 'מסע של כוח'. זהו תחום שבו הממשלה תשמור על תפקידה הדומיננטי". בהמשך מציג יוצר הקליפ ראיון בו השתתף גייטס ונערך השנה. כידוע ערך הביטקוין רק הלך והאמיר לאורך השנים מאז ההתנבאות הראשונה של גייטס, והאנליסט מנסה לברר כיצד והאם שינה את דעתו בנוגע לנושא.
היואן הדיגיטלי של סין. אילוסטרציה: BigStock
בשיחה מ-2021 אמר גייטס – כיום נדבן ידוע שעוסק רבות גם בעניינים חברתיים-לאומיים, למשל בחיסוני הקורונה, עיסוק שהביא אותו להיות מואשם בשלל קונספירציות – כי: "אין לי ביטקוין, אני לא עושה בזה שורט (shortening), אז אני נוקט בהשקפה נטרלית". הוא הוסיף וסיפר: "העברת כסף לצורה דיגיטלית והוזלת עלויות העסקה זה דבר שקרן גייטס (Gates Foundation) עושה במדינות מתפתחות. אבל שם אנחנו עושים את זה כדי שאפשר יהיה לשנות את העסקה, כך שתהיה נראוּת מוחלטת של מי עשה מה".
גם כיום – כשבנקים מסורתיים כמו ג'יי.פי מורגן צ'ייס (JPMorgan Chase) כבר מקרבים את הקריפטוגרפיה לחיקם, ומדינות כמו סין השיקו מטבע וירטואלי משלהן, מה שמכונה CBDC (ר"ת Central Bank Digital Currency) שהוא מטבע דיגיטלי של בנק מרכזי – ממשיך גייטס לטעון ש-"ביטקוין יכול לעלות ולרדת על סמך מגמות בלבד. אין לך שום דרך לחזות כיצד הוא יתקדם".
בסרטון אומר האנליסט כי להבנתו, מהתגובות של המיליארדר המפורסם לאורך השנים וכיום, עולה כי לגייטס "ברור במוחו" כי הביטקוין הוא "בועה שעומדת להתפוצץ".
21/04/21 10:30
5.88% of the views
מאת אנשים ומחשבים
מלבד ההתמודדות עם ההשלכות הבריאותיות והחברתיות של הקורונה, רבות דובר גם על ההשלכות הכלכליות שהיא הביאה איתה. בין סגרים ממושכים והגבלות משתנות, המשבר פגע בענפים שונים והוביל מאות אלפי עובדים לאבד את מקום עבודתם או לצאת לחופשה ללא תשלום למשך תקופה לא ידועה בתחומים רבים, כולל ממשרות טכנולוגיות. לצד אין ספור דיווחים על מקומות שנסגרו ואנשים שאיבדו את מקור פרנסתם, אנחנו נחשפים גם לסיפורי הצלחה רבים, של אנשים שהצליחו סוף סוף למצוא ולהגשים את עצמם דווקא בתקופה קשה זו. אם אתם מאלה שנמצאים על הגדר – נפלטתם ממעגל העבודה ואתם בעלי רקע טכנולוגי, אבל עוד לא הצלחתם למצוא את המשרה הבאה, ייתכן שהמדריך הבא עשוי לעזור לכם לנווט את המשך דרככם המקצועית בצורה מוצלחת. אז איך מחליטים ממה להתחיל?
בשלב הראשון, איסוף מידע – אנשים שנפלטו מתפקידים טכנולוגיים בשוק העבודה, העומדים לקראת תהליך חיפוש עבודה ניצבים בפני דילמות רבות ומורכבות. אם אתם בתחילתו של תהליך כזה, מומלץ בתור התחלה לחקור ולאסוף מידע על תחום העיסוק שלכם ודרישות השוק המשתנות. לאיזה מידע כדאי לשים לב? חידושים מרכזיים, תחזיות צפויות, האם יש ציפייה לגידול בביקושים או שהתחום עומד לקראת ירידה, ובאילו חברות ותפקידים ניתן להשתלב במסגרתו.
מקום נוסף שתוכלו לאסוף בו מידע ויכול לרמז לכם על מידת ההתאמה לתפקיד נמצא באתרי דרושים ותיאורי המשרות המופיעות בהם. משרות הדרושים מתארות את התפקיד ואת תחומי האחריות הנכללים בו, לצד הדרישות, הכישורים וההשכלה הנדרשת, ושם תוכלו להיחשף גם לחברות המגייסות. עוד לפני שאתם מגישים את מועמדותכם לתפקידים השונים, ודאו כי תחומי האחריות מוכרים לכם, שאתם עומדים בדרישות ושיש לכם את ההכשרה המתאימה.
בדקו – האם התרחשו שינויים משמעותיים בתחום? – בעת איסוף המידע מהמקורות השונים, נסו לבדוק ולהבין אילו שינויים משמעותיים התרחשו בשנים האחרונות בתחום. האם דרישות התפקיד השתנו עם השנים? האם יש טכנולוגיות חדשות שעוד לא יצא לכם להכיר? מהן המערכות והפלטפורמות המרכזיות שמשתמשים בהן? שאלו את עצמכם האם אתם שולטים בהן או אולי אתם זקוקים לחידודים בתחומים מסוימים, להכשרה מקצועית מעמיקה או לרענון ידע.
רענון הידע או הכשרה מקצועית – במשך תהליך חיפוש העבודה מסקנה שעולה בקרב רבים היא ההחלטה לעבור לספסל הלימודים, גם אם לתקופה קצרה. לעיתים התהליך מעלה וממחיש עבור המחפשים פער בין הידע וההכשרה המקצועית שלהם לבין התפקיד הרצוי ודרישותיו בפועל. זו יכולה להיות הכשרה מקצועית קצרה וממוקדתף או תהליך הסבה מעמיק ומקיף. הפגיעה הקשה במשק הובילה את המדינה וגופים רבים לממן מגוון תוכניות לימוד וקורסים מקצועיים, אשר נפתחו לקהל הרחב ללא עלות או בעלות מינימלית, במטרה להחזיר למערך העבודה אנשים שנפלטו ממנו בשל המשבר. בהיבט הטכנולוגי, אחת מבין אותן תוכניות היא תוכנית שהשיקה רשות החדשנות לאחרונה למימון תוכניות הסבה והכשרה מקצועיות לענף ההיי-טק בכמה מוסדות לימוד מובילים.
מיומנויות חיפוש עבודה – מלבד בחינת התחום, התפקידים המוצעים וההכשרה המקצועית שלכם, מיומנות חשובה שעליכם לפתח בתקופה זו היא מיומנות חיפוש העבודה. אם בעבר חיפוש עבודה נעשה דרך חברים, מודעות או אתרים לאיתור דרושים, היום אפשרויות הגיוס ברשתות החברתיות צוברות תאוצה והפכו למקור גיוס מרכזי עבור חברות. ודאו שיש לכם פרופיל לינקדאין מקצועי ומעודכן ושאתם חברים בקבוצות הרלוונטיות עבור מחפשי עבודה בתחום שלכם ברשתות החברתיות.
תהליך חיפוש עבודה עשוי להיות תהליך מאתגר בכל שלב בחיים, והקורונה הכלכלית לא הופכת אותו לקל יותר. עם זאת, תפקידים טכנולוגיים בעולמות ההיי-טק ממשיכים ליהנות מביקושים גבוהים וניכר בהם מחסור בכוח עבודה איכותי ומיומן גם בתקופת המשבר הנוכחית. ייתכן שחיפוש במקומות הרלוונטיים או הכשרה מקצועית קצרה וממוקדת ייתנו לכם את הדחיפה שאתם צריכים לעבר התפקיד הבא.
הכותבת היא סמנכ"לית משאבי אנוש בג'ון ברייס הדרכה, זרוע ההדרכה של מטריקס
21/04/21 10:58
5.88% of the views
מאת אנשים ומחשבים
מאת: ואדים לנדר
בסימנטק, שמהווה היום חטיבה של ברודקום, אנו מבינים כי העולם נעשה מורכב יותר מרגע לרגע. הדבר נכון שבעתיים לגבי אבטחת רשת, שכן אפליקציות נמצאות בעננים ובמחשוב הקצה, גבולות הארגון (perimeters) הולכים ונעלמים, והמשתמשים עובדים ברחבי העולם.
לשם הפשטה ניתן ללמוד ממה שבוני ספינות עושים: בכלי שייט קיימות מחיצות, אשר מבודדות ומונעות מעבר מים מתא שנפגע לתאים אחרים, וכך נמנעת טביעה של האוניה כולה. כך גם עם ארכיטקטורת רשת מודרנית ומאובטחת, שזקוקה להפרדה כדי שגם אם "תא" אחד נפגע – הארגון כולו יוכל להמשיך ולתפקד.
עד כה, בהתאם לפרוטוקולי אבטחה, נבדקת הזהות של המשתמשים ולאחר אימות רב-גורמי (Multi Factor Authentication – MFA) נרחב הם הורשו להיכנס למערכות. מדובר בבדיקה חד-פעמית, ולאחר מכן, משתמש יכול בדרך כלל לנוע בחופשיות בסביבת הרשת. החשיבה החדשה מחייבת אותנו להתבונן, לבדוק ולבקר ללא הרף את התנהגות המשתמשים בזמן אמת – ולשאול שאלות נוספות.
אל תסמוך על אף אחד
הדברים אמנם נשמעים חמורים, אך הכל נסמך על הגדרה מדויקת של הפרדה ובקרת גישה לפי צורך או שימוש. לכולנו יש משאבים מוגבלים וצריך לקבוע למי הזכות לקבל גישה? ומתי אני מנתק או מצמצם את הגישה?
הגנה על משאבים אינה דבר חדש. כדוגמה מעשית ניתן לקחת את המגבלה היומית על כמות המזומנים המירבית שניתן למשוך מחשבון עובר ושב באמצעות כספומט. זוהי דוגמה טובה לאיזון שבין האבטחה והנוחות. האבטחה קודמת לכל.
אימוץ Zero Trust, או ליתר דיוק יישום בקרת סיכונים, מאפשר איזון בין אבטחה ושימושיות. אמנם אנו מניחים כי יכולה להתרחש פריצה, אך ניתן להכיל את הנזק שנגרם בפרמטרים שניתן להבינם ובמדיניות תיקון. הדבר מאפשר לעסקים לסווג את הסיכון לפי מימדים שונים כגון עלות, מוניטין, שביעות רצון משתמשים, ופרודוקטיביות, וליצור בהתאם לכך מדיניות של ניהול זהויות וגישה.
לא לבטוח באיש. ליישם את עקרונות Zero Trust. אילוסטרציה: BigStock
מעקב אחר זהויות
היכולת לעקוב אחרי יישות ("זהות") בזמן שהיא עוברת מערוץ אחד למשנהו מאפשרת לארגון להשיג שתי מטרות חשובות ביותר.
ראשית, לאמת או לתקף באופן שוטף sessions קיימים של ה"זהות", כדי להבטיח שהיא עדיין תקפה, לא בוטלה, ועדיין יש לה את ההרשאות הנדרשות כדי לגשת למשאבים הרצויים. בנוסף, היכולת לבנות מעקב ביקורת למטרות משפטיות או מניעת הכחשה.
שנית, עסק ממקסם את חוויית המשתמש על ידי כך שהוא מבטיח את ה-interoperability הרציפה ביותר האפשרית, מניעת כניסות (sign-ins) רבות ו-session timeouts חופפים/יתירים.
יישום עקרונות Zero Trust הופך את ההרשאה לאדפטיבית וחכמה יותר – על ידי מינוף מידע כגון User Context, Application Context ו-Device Context. האם המשתמש מנסה להיכנס מאפליקציה נדירה ממכשיר חדש בשעה מוזרה? משתלם להיות חשדן.
החלטות הרשאה אופייניות אינן מבצעות הערכה לגבי תקפוּת שוטפת של המשתמש. הדבר בעייתי מאחר שזהות זו יכולה לחוות ניסיונות חטיפה או "הילוך חוזר" (replay). החלטות אופייניות גם לא לוקחות בחשבון את רמת הביטחון שבה אומתה הזהות. דבר זה פותח פתח לפריצות המתבססות על אישורי זהות גנובים.
גורם הביטחון
כשמגיעים ל-Zero Trust, חשוב לשים לב גם לגורם הביטחון (Confidence Factor) או, בהרחבה, לגורם הסיכון (Risk Factor). מדד זה קובע מה מידת האמון הנדרשת על מנת ליישם פרוטוקולי ניהול זהויות וגישה, תוך מינוף מדיניות IAM מבוססת סיכונים, על מנת להגדיר התנהגות צפויה.
התוצאה הסופית היא אימות ברור שמבוסס על הבנת הסיכון לכל עסקה נתונה או תהליך. כאשר הסיכון נמוך, ההשפעה של פריצה מופחתת ואימותים מסוימים עשויים להיות אופציונליים. מצד שני, כאשר הסיכון גבוה, פריצה יכולה להיות בעייתית ביותר, ויש לצמצם אותה באמצעות שלבי אימות נוספים.
גישה זו מאזנת בין הצורך בביטחון לבין הצורך בנוחות ובזריזות וגמישות (agility). לדוגמה, חשבון השייך למנהל מערכת (administrator) עם מכלול של זכאויות רגישות, חייב להיות שמור על ידי מדיניות אימות חזקה עם MFA הכרחי. מצד שני, בקשה בשירות עצמי לקבלת זכאות ברמת אפליקציה עשויה להיות מאושרת אוטומטית במידה ול'קבוצת השווים' (Peer Group) של המשתמש יש אותה רמת גישה.
החדשות הטובות הן שתוכלו למנף את פתרונות ה-Zero Trust ולא משנה איך נראית תשתית ה-IT שלכם: כל מה שנדרש הוא יישום התהליך הנכון בתוך פתרונות האבטחה הללו. כדי לקבוע טוב יותר היכן אתה נמצא במסע ה-Zero Trust שלך, תוכלו לבצע כאן הערכה עם סימנטר על סביבת האימות הנוכחית שלכם.
הכותב הוא Identity Security CTO & Distinguished Engineer בחטיבת סימנטק בברודקום (מוצרי חטיבת סימנטק בברודקום משווקים בישראל ע"י NessPRO, קבוצת מוצרי התוכנה של נס)
לפרטים והרשמה ל-INFOSEC של אנשים ומחשבים – הכנס הוותיק והגדול ביותר בתעשייה בתחום האבטחה – היכנסו לדף האירוע
21/04/21 11:00
5.88% of the views
מאת אנשים ומחשבים
שם ותפקיד: ויקי פורניס, מנהלת תפעול עסקי באפירו (Apiiro), סטארט-אפ בתחום אבטחת סייבר בתל אביב.
ותק בתפקיד: כעשור בתפקידים דומים.
תפקידים קודמים: בעבר ניהלתי עבור משקיעים חברת הפצת ציוד אלקטרוני על כל רבדיה: ממכירות ותפעול ועד לכספים ומשאבי אנוש. בשלבים מוקדמים יותר בחיי העבודה שלי כיהנתי כמנהלת מכירות, וכעוזרת לחשב במחלקת כספים של חברה המונפקת בנסדא"ק. מנעד התפקידים הזה תרם רבות ליכולות האינטגרציה שלי ולאתגר בתפקיד הנוכחי, הדורש לחלוש על כמה דיסציפלינות, שאינן בהכרח קשורות זו לזו בארגון. בניהול התפעול העסקי של סטארט-אפ דינאמי יש צורך ללהטט בין הרבה כדורים באוויר בו זמנית ובמגוון תחומים, ואני מרגישה שהרקע המגוון שלי תרם לכך לא מעט.
השכלה: תואר ראשון במדעי החברה, תואר שני במינהל עסקים.
מה הביא אותך לתחום הטכנולוגיה?
אני לא עוסקת בטכנולוגיה ישירות, אולם מגיל מאוד צעיר ידעתי שאני רוצה להשתייך לעולם ההיי-טק, ולכן כל המשרות שבהן כיהנתי היו בחברות מהתחום. זה היה עד כדי כך חשוב לי, שלפני גיוסי לצה״ל הסתפקתי בעבודה כמחסנאית בחברת ציוד אלקטרוני מהמובילות בישראל בזמנו, ובלבד שאהיה קרובה לתחום. זה השתלם – שם נקלטתי שוב לאחר שירותי בצה״ל, ואט אט שובצתי במחלקות אחרות, למדתי וקודמתי. לאחר מכן דרכי הייתה נוחה ופתוחה לעוד חברות בתחום. הניסיון שצברתי לאורך השנים והרצון העז ללמוד ולהפנים את מה שאני סופגת מסביבתי סייעו לי להגשים את הרצון שלי לעבוד בחברות טכנולוגיות מובילות.
האם את חושבת שיש אפליה נגד נשים בתעשייה?
באופן אישי פגשתי את זה בחברה גדולה – אפליה בשכר על רקע מגדרי. היום אני עושה מאמצים לעבוד במקום עבודה שמודד אותי על תרומתי בתום לב. זיהיתי אפליה על בסיס מגדרי גם אצל קולגות וחברות, מלווה בתסכול עמוק, שלרוב אין לו מענה או קשב, שלא לומר לעיתים אף נקמנות מצד הארגון או הגורם המפלה.
האם נתקלת אישית באפליה נגדך בתעשייה על רקע היותך אישה?
לצערי כן, עבדתי לצד קולגה שתפקידו היה זהה לשלי. לכולם היה ברור שתרומתי היתה גדולה משמעותית משלו, הוא עצמו לא טרח להסתיר זאת, גם לא הממונים עלינו. אף על פי כן, לימים גיליתי שהשכר שלו גבוה משלי בכ-25%. היה לי מאוד קשה להכיל את תחושת הפגיעה, לאחר כמה פניות שלי לבירור הנושא שלא נענו – עזבתי את אותה החברה.
21/04/21 13:19
5.88% of the views
מאת אנשים ומחשבים
כמחצית (48%) מכלל הנתונים הארגוניים מאוחסנים בענן, על פי מחקר שערכה תאלס (Thales) בשיתוף מכון המחקר פונימון. ארגונים שיתפו בו כי בממוצע, רק כמחצית מהנתונים בענן מאובטחים באמצעות פתרונות הצפנה ורק שליש סבורים כי הגנת הנתונים בענן נמצאת במסגרת אחריותם.
הענן יצר אתגרים, בהם היכן מאוחסנים נתונים, למי יש גישה אליהם וכיצד ניתן לאבטח אותם בצורה הטובה ביותר. זרז מרכזי להתמודדות עם אתגרי אבטחת הענן הוא תקנות ממשלתיות חדשות ודרישות תאימות שהופכות אסטרטגיות לאבטחת מולטי קלאוד למורכבת יותר.
השאלה היא: מי אחראי על אבטחת הענן – הספק או הארגונים שצורכים את שירותיו? על פי מודל האבטחה המשותף, התשובה היא גם וגם – הן ספקי הענן והן הארגונים אחראים על האבטחה.
הצפנת נתונים בענן
עבור ארגונים שבוחרים להשתמש בהצפנה על מנת להגן על הנתונים שלהם יש חשיבות עליונה לאבטחת מפתחות ההצפנה שבהם הם משתמשים. חברות רוצות למנף את כל היתרונות שיש לענן להציע, אך לחלק מהיתרונות האלה יש מחיר. בתמורה לגמישות, מדרגיות ואוטומציה, הבעלות על מפתח ההצפנה ניתנת לעתים קרובות לספק שירותי הענן, מה שמגדיל אף יותר את מורכבות התאימות.
כשמדובר במפתחות הצפנה, הכול קם ונופל על שליטה. כברירת מחדל, ספק הענן מייצר מפתחות הצפנה בשם הלקוחות ומנהל את מחזור החיים של אותם מפתחות. עבור ארגונים רבים המארחים נתונים רגישים וקריטיים בענן, העדר השליטה והבעלות על מפתחות ההצפנה יוצר בעיה של אי עמידה בדרישות התאימות או דרישות האבטחה הפנימיות. זאת, בעוד שארגונים רוצים שליטה מלאה על כיצד ומתי משתמשים במפתחות ההצפנה על מנת להגן ולגשת לנתונים מוצפנים.
המפתחות בפנים – BYOK vs HYOK
ה-BYOK (ר"ת Bring Your Own Key – הבא.הביאי את המפתח שלך) מאפשר לארגונים להצפין את הנתונים ולשמור על שליטה וניהול מפתחות ההצפנה שלהם. עם זאת, כמה מתוכניות ה-BYOK מאפשרות להעלות את מפתחות ההצפנה לתשתית ספקי הענן. במקרים אלה, הארגון שוב מפסיד את השליטה במפתחות ההצפנה שלו.
בעוד שה-BYOK מאפשר לארח את המפתח בספק הענן, ה-HYOK מאפשר לארגון לשמור על הבעלות הפיזית והשליטה במפתחות ההצפנה.
כניסה למנהל המפתחות החיצוני של גוגל קלאוד
בשנה שעברה, גוגל חשפה את מנהל המפתחות החיצוני שלה – Cloud EKM, המאפשר לארגונים למנף את שירותי הענן של החברה, ולעמוד בתקנות ובדרישות מדיניות מורכבות – מבלי לוותר על הבעלות בשליטה על מפתחות ההצפנה שלהם. הפתרון מאפשר לארגונים לחבר מערכת לניהול מפתחות הצפנה משלהם, למערכת ניהול מפתחות של גוגל – ה-KMS – ולאבטח כראוי את עומסי העבודה.
תאלס
תאלס פועלת בשיתוף גוגל במטרה לספק את היכולת הזו. השילוב בין KMS לתאלס מאפשר לארגונים לאחסן מפתחות הצפנה און-פרמיס – ב-Colo או ב-FIPS 140-2 level 3 HSMs מבוסס הענן, בניגוד לאחסון מפתחות בפלטפורמה של גוגל קלאוד (Google Cloud) או ב-KMS. כתוצאה מכך, הגישה לנתונים פנימיים ורגישים ביותר השייכים לשירותים שמציעה גוגל קלאוד, כמו Google Compute Engine או BigQuery, נמצאת בשליטה מלאה של הארגונים.
יתר על כן, כאשר שירות כמו BigQuery מעוניין לפענח נתונים ל-Query job, הוא יבקש שה-DEK המשמש להגנת הנתונים בתשתית גוגל יפתח את ההצפנה באמצעות שירות המפתח שינהל את ה-KEK.
הגישה ל-KEK מתאפשרת באמצעות כתובת URL גלובלית ונתיב המפתח שלה. ה-key URL מאפשר לשירותי הענן לבצע בקשה ל-"Wrapping" ול-"Unwrapping" של Payload, שביישומי ענן נייטיב הם בדרך כלל סודיים או מפתח Payload.
באמצעות הארכיטקטורה והיכולות של ה-HYOK, הארגון יכול בכל עת לבטל את הגישה לכתובת ה-URL ובאופן מיידי לבטל את הגישה ל-KEK המגן על ה-DEK בענן, ובכך להפוך את הנתונים במנוחה (Data at rest) בענן ל-Crypto shredded או לבלתי נגישים, עד שהארגון יהיה מעוניין להחזיר את זמינות המפתח הזה.
רוצים לדעת איך גם אתם תוכלו לנהל באופן פשוט, יעיל וחלק את מחזור חיי מפתחות ההצפנה הארגוניים? מעוניינים בשליטה ושקיפות? רוצים להכיר את הסיכונים? ללמוד כיצד לחזק את אבטחת הענן? הצטרפו אלינו לוובינר מומחים מקצועי, שייערך ביום ד', ה-5 במאי, בשעה 10:30. הוובינר חינמי, אך ההשתתפות מותנית בהרשמה מראש. לפרטים נוספים ולהרשמה לוובינר לחצו כאן.