בית / מאמרים / ניהול זהויות
23 יוני 2026 זמן קריאה: 12 דקות אבטחת מידע

ניהול זהויות - ה-Firewall החדש של אבטחת המידע

למה רוב אירועי הסייבר מתרחשים באמצעות גניבת זהויות וניצול הרשאות? גלו איך ניהול זהויות הפך להיות קו ההגנה הראשון בעידן העבודה המודרני

עובדה מדאיגה

למעלה מ-80% מאירועי הסייבר מתחילים בגניבת זהויות או ניצול לקוי של הרשאות. הפרמטר היקפי המסורתי (Firewall) כבר לא מספיק - הזהות היא הפרימטר החדש.

בעידן שבו העבודה המרוחקת והיברידית הפכו לנורמה, עובדים ניגשים למשאבי הארגון מכל מקום בעולם, ממכשירים שונים וברשתות שונות. ה-Firewall המסורתי שישב בקצה הרשת הארגונית כבר לא יכול להגן על סביבה מבוזרת כזו.

כיום, הזהות היא הפרימטר החדש. לא משנה מאיפה המשתמש מתחבר - אם הזהות שלו נפגעה או שההרשאות שלו מנוצלות לרעה, התוקף נמצא בפנים.

הבעיה: גניבת זהויות וניצול הרשאות

איך זה קורה?

1. Phishing וגניבת אישורים

התוקף שולח מייל מזויף, המשתמש מזין את הסיסמה שלו, והתוקף משיג גישה לגיטימית לחשבון. אין צורך לפרוץ Firewall - הכניסה היא חוקית לכאורה.

2. Credential Stuffing

שימוש חוזר בסיסמאות שדלפו מפריצות קודמות. תוקפים מנסים מיליוני שילובי שם משתמש/סיסמה עד שמוצאים חשבון פעיל.

3. Privilege Escalation - ניצול הרשאות

משתמש רגיל עם הרשאות יתר מנצל את ההרשאות הללו כדי לגשת למידע רגיש. לדוגמה: עובד שיווק שיש לו גישת קריאה למסד נתוני הלקוחות בגלל תצורה שגויה.

4. חשבונות נטושים (Orphaned Accounts)

עובד עזב, הזהות שלו לא הוסרה מהמערכת. התוקף משתמש בחשבון הנטוש לגישה ארוכת טווח ללא שיעורר חשד.

דוגמה מהשטח

מקרה אמיתי: תוקפים פרצו לספק ענן גדול באמצעות חשבון מנהל נטוש שלא הוסר אחרי שהעובד עזב לפני 8 חודשים. החשבון עדיין היה בעל הרשאות Super Admin ואפשר לתוקפים להוריד 100GB של נתוני לקוחות ללא שיעורר התראה.

הנזק: פיצויים של 50 מיליון דולר, אובדן אמון לקוחות, ופגיעה קשה במוניטין.

למה ניהול זהויות הוא ה-Firewall החדש?

הפרדיגמה הישנה

  • Perimeter Security - הגנה בקצה הרשת
  • "Trust but Verify" - אמון פנימי
  • Firewall כקו הגנה ראשון
  • VPN לגישה מרחוק
  • הרשאות רחבות ולא מנוהלות

❌ לא עובד בעידן ה-Cloud, Remote Work ו-BYOD

הפרדיגמה החדשה

  • Identity-Centric Security - הזהות במרכז
  • "Never Trust, Always Verify" - Zero Trust
  • Identity Management כקו הגנה ראשון
  • SASE & ZTNA לגישה מאובטחת
  • Least Privilege - מינימום הרשאות נדרש

✅ מתאים לארגון המודרני והמבוזר

המשמעות: ניהול זהויות לא נחשב יותר ל"נושא IT בסיסי" אלא לשכבת האבטחה הקריטית ביותר בארגון. כל גישה, מכל מקום, דורשת אימות מתמיד ואכיפת הרשאות מדויקת.

הקשר בין ניהול זהויות ל-SASE

מהו SASE?

SASE (Secure Access Service Edge) הוא מודל אבטחה ענן המשלב רכיבי רשת ורכיבי אבטחה בשירות אחד מאוחד. SASE כולל:

רכיבי רשת

  • • SD-WAN
  • • WAN Optimization
  • • Network as a Service

רכיבי אבטחה

  • ZTNA (Zero Trust Network Access)
  • • SWG (Secure Web Gateway)
  • • CASB (Cloud Access Security Broker)
  • • FWaaS (Firewall as a Service)

איפה ניהול הזהויות נכנס לתמונה?

Identity Management הוא הבסיס של SASE

בלי ניהול זהויות חזק, SASE לא יכול לפעול. ZTNA (הרכיב המרכזי ב-SASE) מבוסס כולו על זהויות - הוא מאמת את המשתמש, בודק את ההקשר (מכשיר, מיקום, זמן), ומעניק גישה רק למשאבים הספציפיים שהמשתמש צריך.

תהליך SASE מבוסס זהויות

1

אימות זהות (Authentication)

משתמש מתחבר ומאמת את זהותו (MFA, SSO, Biometric)

2

בדיקת הקשר (Context Analysis)

בדיקת מכשיר, מיקום גיאוגרפי, שעה, רמת אבטחת Endpoint

3

בדיקת הרשאות (Authorization)

האם למשתמש יש הרשאה לגשת למשאב המבוקש?

4

Micro-Segmentation

גישה רק למשאב הספציפי ולא לכל הרשת

5

ניטור מתמיד (Continuous Monitoring)

מעקב אחר פעילות המשתמש וזיהוי התנהגות חריגה

לסיכום: SASE ללא ניהול זהויות חזק הוא כמו מכונית ללא מנוע. ה-Identity Management הוא לב הפעילות של SASE ומאפשר את כל מודל ה-Zero Trust.

RBAC vs ABAC: הבדלים והשלכות

אחד ההיבטים הקריטיים בניהול זהויות הוא איך מנהלים הרשאות. ישנם שני מודלים עיקריים:

RBAC - Role-Based Access Control

בקרת גישה מבוססת תפקיד

איך זה עובד?

למשתמש מוקצה תפקיד (Role), ולתפקיד יש הרשאות מוגדרות מראש.

משתמש → תפקיד → הרשאות
דוגמה: יוסי ← "מנהל מכירות" ← [גישה ל-CRM, דוחות מכירות, לקוחות]

יתרונות
  • ✓ פשוט להבנה ויישום
  • ✓ קל לניהול בארגון קטן-בינוני
  • ✓ מתאים למבנה היררכי ברור
חסרונות
  • ✗ לא גמיש - תפקיד אחד = הרשאות קבועות
  • ✗ קשה לנהל בארגון גדול/מורכב
  • ✗ לא לוקח בחשבון הקשר (מיקום, זמן, מכשיר)

בעיה נפוצה: "Role Explosion" - צורך ביצירת עשרות/מאות תפקידים שונים כדי לכסות את כל השילובים של הרשאות.

ABAC - Attribute-Based Access Control

בקרת גישה מבוססת מאפיינים (תכונות)

איך זה עובד?

החלטת גישה מבוססת על מאפיינים דינמיים (Attributes) של המשתמש, המשאב, הסביבה והפעולה.

משתמש + הקשר (Context) → הערכת מדיניות → החלטת גישה
דוגמה: "אפשר גישה ל-CRM אם: משתמש=מנהל מכירות AND מיקום=משרד AND זמן=9:00-18:00 AND מכשיר=מנוהל"

סוגי מאפיינים (Attributes):

מאפייני משתמש
  • • תפקיד, מחלקה, בכירות
  • • ותק בארגון
  • • Clearance Level
מאפייני משאב
  • • רמת סודיות
  • • בעלים
  • • מיקום (Cloud/On-Prem)
מאפייני סביבה
  • • זמן וזיהוי
  • • מיקום גיאוגרפי
  • • רמת איום נוכחית
מאפייני מכשיר
  • • מנוהל/לא מנוהל
  • • רמת אבטחה (Patch level)
  • • סוג מכשיר (Mobile/Desktop)
יתרונות
  • ✓ גמישות מלאה - החלטות דינמיות
  • ✓ מתאים ל-Zero Trust ו-SASE
  • ✓ יכול לטפל בתרחישים מורכבים
  • ✓ Least Privilege אמיתי
חסרונות
  • ✗ מורכב יותר ליישום
  • ✗ דורש תשתית טכנולוגית מתאימה
  • ✗ קשה יותר לפתרון בעיות (Debug)

מומלץ: ABAC הוא המודל המועדף בארגונים מודרניים, במיוחד כאלה שמיישמים Zero Trust ו-SASE.

השוואה מהירה: RBAC vs ABAC

קריטריון RBAC ABAC
גמישות נמוכה - תפקיד אחד = הרשאות קבועות גבוהה - החלטות דינמיות לפי הקשר
מורכבות פשוט ליישום מורכב יותר
התאמה ל-Zero Trust חלקית מלאה
התאמה ל-SASE מוגבלת אידיאלית
מתאים לארגון קטן-בינוני, מבנה פשוט בינוני-גדול, מבנה מורכב

בקרה ואוטומציה - המפתח להצלחה

ניהול זהויות ידני הוא בלתי אפשרי בארגון מודרני עם מאות/אלפי משתמשים, עשרות מערכות ואלפי הרשאות. הפתרון: אוטומציה ובקרה מתמידה.

אוטומציה

  • Provisioning אוטומטי:
    עובד חדש → חשבון נוצר אוטומטית + הרשאות לפי תפקיד
  • De-provisioning אוטומטי:
    עובד עוזב → חשבון נחסם/נמחק אוטומטית בכל המערכות
  • תהליכי אישור (Workflows):
    בקשת גישה → אישור מנהל → העברה ל-IT → יישום אוטומטי

בקרה מתמידה

  • Access Reviews:
    סקירה תקופתית של הרשאות - האם עדיין רלוונטיות?
  • Anomaly Detection:
    זיהוי התנהגות חריגה - גישה במקום/זמן לא רגיל
  • Audit Logging:
    תיעוד מלא של כל פעולה - מי עשה מה, מתי ומאיפה

IGA - Identity Governance & Administration

IGA הוא המונח המקצועי לניהול מלא של זהויות והרשאות. IGA כולל את כל מה שדיברנו עליו עד כה:

🔐 Identity Lifecycle

ניהול מחזור החיים של הזהות: Onboarding, Changes, Offboarding

🛡️ Access Governance

בקרה על הרשאות, סקירות, אישורים, Segregation of Duties

📊 Analytics & Reporting

דוחות ציות (Compliance), ניתוח סיכונים, חקירה פורנזית

המסר המרכזי: ארגון שמנהל זהויות ידנית הוא ארגון בסיכון. אוטומציה ובקרה הן לא "נחמדות" - הן דרישת חובה לאבטחת מידע מודרנית.

פתרונות מובילים: Check Point ו-Symantec

בואו נסקור פתרונות מובילים מבית Check Point ו-Symantec (Broadcom) שמספקים יכולות ניהול זהויות מתקדמות.

Check Point Harmony SASE

פתרון SASE מוביל עולמי עם ניהול זהויות מתקדם

רכיבי ניהול זהויות ב-Harmony SASE:

ZTNA (Zero Trust Network Access)

גישה מאובטחת למשאבי הארגון מבוססת זהות. אין VPN מסורתי - כל גישה עוברת אימות ואישור דינמי לפי מאפייני המשתמש והמכשיר.

  • Context-Aware Access: בדיקת מיקום, מכשיר, זמן
  • Least Privilege: גישה רק למשאבים הנדרשים
  • Micro-Segmentation: הפרדה בין משאבים
MFA (Multi-Factor Authentication)

אימות רב-שלבי מובנה - סיסמה + SMS/App/Biometric. מונע גישה לא מורשית גם אם הסיסמה נגנבה.

  • • תמיכה ב-TOTP, Push Notifications, Biometric
  • • Adaptive MFA - MFA דינמי לפי רמת הסיכון
SSO (Single Sign-On)

כניסה אחת לכל המערכות. המשתמש מתחבר פעם אחת ומקבל גישה לכל האפליקציות המורשות - נוחות + אבטחה.

  • • תמיכה ב-SAML, OAuth, OpenID Connect
  • • אינטגרציה עם Azure AD, Okta, Google Workspace
ThreatCloud AI + Identity Analytics

מנוע AI מנתח התנהגות משתמשים וזיהוי חריגות. אם משתמש פתאום ניגש למערכות שהוא לא ניגש אליהן בדרך כלל - התראה מיידית.

  • • User Behavior Analytics (UBA)
  • • Threat Intelligence מתוך ThreatCloud
  • • Automated Response - חסימה אוטומטית

למה Check Point Harmony SASE?

  • פתרון מאוחד: SASE מלא + Identity Management במקום אחד
  • קל לפריסה: Cloud-native, ללא צורך בחומרה
  • ביצועים: 100+ נקודות נוכחות (PoPs) עולמיות
  • מנוע AI מוביל: 3+ מיליארד שאילתות איומים ביום
למידע נוסף על Check Point Harmony SASE

Symantec (Broadcom) - Identity & Access Management

פתרונות IAM ו-IGA ברמה ארגונית

פתרונות Symantec לניהול זהויות:

Symantec Identity Governance (IGA)

פתרון IGA מלא - ניהול מחזור החיים של זהויות, Access Reviews, Segregation of Duties, ודוחות Compliance.

  • Automated Provisioning: יצירה/מחיקה אוטומטית של חשבונות
  • Access Certification: סקירות תקופתיות של הרשאות
  • SoD Policies: מניעת הרשאות מנוגדות (למשל: מי שמאשר לא יכול לבצע תשלום)
  • Role Mining: זיהוי אוטומטי של תפקידים מתוך פעילות קיימת
Privileged Access Management (PAM)

הגנה על זהויות מיוחסות (Privileged Users) - מנהלי מערכת, DBA, משתמשי שירות. 80% מהפריצות מתחילות מחשבון מיוחס.

  • Password Vaulting: שמירה מוצפנת של סיסמאות מיוחסות
  • Session Recording: הקלטת פעילות משתמשי מיוחסים
  • Just-In-Time Access: הרשאות זמניות לפי צורך
Adaptive Authentication & MFA

אימות אדפטיבי - רמת האבטחה משתנה לפי רמת הסיכון. גישה מהמשרד? סיסמה בלבד. גישה ממדינה זרה? MFA + שאלת אבטחה.

  • Risk-Based Authentication: MFA דינמי לפי רמת סיכון
  • Device Fingerprinting: זיהוי מכשירים מוכרים
  • Behavioral Biometrics: זיהוי לפי דפוסי הקלדה ותנועה
Identity Analytics & AI

ניתוח מבוסס AI של פעילות זהויות. זיהוי חריגות, חשבונות נטושים, הרשאות יתר, והתנהגות חשודה.

  • Peer Group Analysis: השוואה לעמיתים בתפקיד דומה
  • Anomaly Detection: זיהוי התנהגות חריגה
  • Identity Risk Scoring: ניקוד סיכון לכל זהות

למה Symantec IAM & IGA?

  • IGA מלא: כל מחזור החיים של הזהות במקום אחד
  • Compliance: עמידה ב-SOX, GDPR, PCI-DSS וכו'
  • PAM מתקדם: הגנה מלאה על חשבונות מיוחסים
  • אינטגרציה רחבה: תמיכה במאות אפליקציות ומערכות
למידע נוסף על Symantec Identity Solutions

איזה פתרון מתאים לכם?

Check Point Harmony SASE

מתאים לארגונים שרוצים:

  • ✓ פתרון SASE מלא (רשת + אבטחה)
  • ✓ Cloud-first approach
  • ✓ Zero Trust מובנה
  • ✓ פריסה מהירה (ימים)
  • ✓ תמיכה בעובדים מרוחקים/היברידיים

Symantec IAM & IGA

מתאים לארגונים שרוצים:

  • ✓ IGA ברמה ארגונית מלאה
  • ✓ Compliance מחמיר (SOX, GDPR...)
  • ✓ PAM מתקדם לחשבונות מיוחסים
  • ✓ ניהול זהויות במערכות רבות
  • ✓ בקרה וגישה מדוקדקת

והאמת? הרבה ארגונים משלבים את שני הפתרונות - Harmony SASE לגישה מאובטחת + Symantec IGA לניהול מלא של הזהויות והרשאות.

Best Practices לניהול זהויות מאובטח

1

Least Privilege

כל משתמש מקבל רק את ההרשאות הדרושות לו לביצוע עבודתו. לא יותר, לא פחות.

2

MFA תמיד

אימות רב-שלבי לכל המשתמשים, במיוחד למנהלי מערכת וגישה למערכות רגישות.

3

Access Reviews קבועות

סקירה תקופתית (רבעונית/חצי שנתית) של הרשאות. הסרת הרשאות שאינן בשימוש.

4

Offboarding מהיר

עובד עזב? חסימת כל החשבונות באותו יום. אוטומציה היא המפתח.

5

ניטור התנהגות

שימוש ב-AI/ML לזיהוי התנהגות חריגה - גישה לא רגילה, הורדת כמויות גדולות של מידע.

6

Zero Trust Always

Never Trust, Always Verify - גם גישה ממשתמש פנימי דורשת אימות ואישור מתמיד.

סיכום: ניהול זהויות = ה-Firewall החדש

ראינו איך רוב אירועי הסייבר מתחילים בגניבת זהויות או ניצול הרשאות. ה-Firewall המסורתי כבר לא יכול להגן על הארגון המודרני המבוזר.

הזהות היא הפרימטר החדש - כל גישה, מכל מקום, דורשת אימות מתמיד ואכיפת הרשאות מדויקת. זה הבסיס של Zero Trust ו-SASE.

השוני בין RBAC ל-ABAC הוא משמעותי - ABAC מאפשר בקרה דינמית ומדויקת יותר, מה שחיוני בסביבה מודרנית.

אוטומציה ובקרה אינם אופציונליים - הם דרישת חובה. ארגון שמנהל זהויות ידנית הוא ארגון בסיכון גבוה.

💡 התחילו עוד היום: הטמיעו MFA, בצעו Access Review, והקימו מדיניות Least Privilege. הזהויות שלכם הן נכס האבטחה הכי חשוב שיש לכם.

רוצים לשדרג את ניהול הזהויות בארגון?

צרו קשר עוד היום לייעוץ חינם ולהצעת מחיר מותאמת אישית על Check Point Harmony SASE או Symantec IAM Solutions

צרו קשר עכשיו מבצע אביב - Check Point SASE

מאמרים נוספים שיעניינו אתכם

Zero Trust - הגישה החדשה לאבטחת מידע

Never Trust, Always Verify - המדריך המלא

מהו SASE ולמה זה משנה את כללי המשחק?

מדריך מקיף לארכיטקטורת SASE

אימות ללא סיסמה - עתיד ניהול הזהויות

Passwordless Authentication למפרגמטיים