חברת קונטרסט סקיוריטי (Contrast Security) , המספקת פתרונות חדשניים לאבטחת יישומים השיקה פתרון לבדיקת אבטחת יישומי Serverless בענן בארכיטקטורת Serverless (Serverless Application Security Testing) בדגש על Lambda Function של AWS.
הפתרון אשר פותח על ידי מרכז הפיתוח של קונטרסט סקיוריטי בישראל, מבוסס על רכישת חברת הסטארט אפ CloudEssence, מידי שלושת המייסדים הישראלים: טל מלמד, איתי רוזנמן ורם יוניש, בדצמבר 2020.
לחברה מספר מרכזי פיתוח בעולם, כאשר מרכז הפיתוח של החברה בישראל נמצא בשרונה בתל אביב, מעסיק כ- 15 עובדים ונמצא בתהליך גידול משמעותי.
פתרון אבטחת יישומי Serverless בענן של קונטרסט סקיוריטי הינו פתרון לבדיקות אבטחת מידע ייעודיות לאפליקציות סרברלס, הכולל הן בדיקות סטטיות והן בדיקות דינאמיות באופן אוטונומי ובשקיפות מלאה למפתחים. פתרון חדש זה משתלב בשוק הגלובאלי הצומח של פיתוח בארכיטקטורת סרברלס, שצפוי להגיע לשווי של כ-25.5 מיליארד דולר עד שנת 2026.
התקנת פתרון הבדיקות של קונטרסט סקיוריטי לסרברלס קלה פשוטה ומהירה מאוד. ההתקנה נעשית בשלושה קליקים, אורכת כ-5 דקות ואינה דורשת התמחות ייחודית באבטחת מידע, כאשר התוצאות מתקבלות מיידית ברגע סיום ההתקנה.
בהמשך, המערכת מזהה כל שינוי שהמפתחים מטמיעים בסביבת הפיתוח ובפונקציה עצמה (Lambda function) ומפעילה אוטומטית סדרת פעולות לבדיקת השלכות השינוי מהיבטי אבטחת מידע.
הבדיקות נבנות אוטונומית ובאופן ייחודי המותאם לשינוי שזוהה תוך שימוש במנוע הקשרים קונטקסטואלי להבנת התהליכים, המשאבים והשירותים הקשורים לאותו שינוי. במידה ומתגלה חולשת אבטחה בקוד או בפונקציה הנבדקת, המערכת מוודאת שזו חולשה אמיתית שניתן לנצל, מבינה את היקף ההשפעה של אותה חולשה ומגדירה את רמת הסיכון שנמצאה בהתאם.
בהמשך, המערכת מספקת המלצות ודוגמאות כיצד לתקן את התקלות שיצרו את החולשה ושולחת התראה אוטומטית מיידית למפתחים, ובכך חוסכת עד ל- 50% מהזמן והמשאבים המושקעים בבדיקות אבטחת מידע ומקצרת משמעותית את הזמן מפיתוח למעבר לסביבת ייצור (פרודקשן).
גידול מהיר של ארכיטקטורות Cloud Native וסרברלס בענן
על פי מחקר חדש שערכה קונטרסט בנושא אבטחת יישומי סרבלרס, מחשוב סרברלס הוא השלב הבא בתהליך שנמשך בשני העשורים האחרונים, שמטרתו האצת מחזור החיים של פיתוח תוכנה,שיפור וייעול תהליכי הפיתוח.
תוצאות המחקר מראות גם כי ארגונים מודאגים מאבטחת היישומים שלהם, ובמיוחד מאבטחת יישומי הסרברלס שלהם. זאת כאשר שני שלישים מהנשאלים אומרים שאבטחת סרברלס היא קריטית או חשובה מאוד עבור אסטרטגיית ה-Cloud Native שלהם. עם זאת, 54% מהנשאלים הודו כי כשלו בביקורת המצביעה על כך שאין להם את היכולת לשלוט בצורה מוחלטת באבטחת הסרברלס שלהם, ו-60% מהנשאלים הוסיפו כי היעדרם של כלי האבטחה ייעודיים לסרברלס מהווה בעיה גדולה.
לדברי טל מלמד, דירקטור בכיר למחקר בקונטרסט סקיורטי ואחד ממייסדי קלאודאסנס, ״הסיבה שבגינה בנינו את היכולת הזו מלכתחילה הייתה היעדרם של פתרונות ייעודים לבעיה. במקום זאת, כלים קיימים ניסו לתפוס נתח מהשוק על ידי הוספת פיצ'ר קטן אשר איננו נותן ערך אמתי. אפליקציות סרברלס צריכות פתרון ייעודי שכן הן בנויות בצורה שונה ממה שהכרנו. הן בנויות מהרבה מאוד רכיבים קטנים אשר קשורים זה לזה באמצעות הגדרות בענן ולכן מרחב ותחומי התקיפה שונים וצריכים מענה נקודתי. במקרים מסוימים הטכנולוגיות הקיימות כלל לא יכולות לראות את נקודות הכניסה הפוטנציאליות שעלולות לשמש גורמים זדוניים ולכן לא היה מנוס לפתח מערכת שנותנת מענה ייעודי גם בצד הטכנולוגי וגם בצד האופרטיבי״.
"ישנם מספר סטארטאפים המתמקדים בהגנה על סביבות סרברלס בענן בסביבת הייצור אך נראה כי קונטרסט היא החברה הראשונה המציעה אבטחת סרברלס כחלק מתהליך הפיתוח, ועונה בכך על צורך משמעותי ביותר שנותר עד כה ללא מענה", אמר ריק טרנר, אנליסט ראשי בתחום אבטחת סייבר ב-Omedia. "העובדה כי הפתרון גם מזהה בעיות אבטחה הקשורות להרשאות הגישה של הפונקציה מהווה תכונה מרכזית וחשובה נוספת".
"גישות אבטחת יישומים מסורתיות לא נבנו עבור יישומי סרברלס", אומר סטיב ווילסון, מנהל המוצר הראשי בחברת קונטרסט סקיוריטי. "יכולות אבטחת הסרברלס החדשות שלנו מעצימות את יכולות המפתחים לזהות ולתקן נקודות תורפה קריטיות בתחום האבטחה בקלות ובמהירות. באופן זה מתאפשר מלוא הפוטנציאל של השימוש בענן ובסרברלס, תוך הפחתה דרמטית של הסיכון לפגיעות בסביבות אלו".