חדר הפאניקה
על מתקפות הכופר והתוכנות הזדוניות התוקפות ארגונים: הבעיות והפתרונות
התקפת סייבר כבר הפכה לאיום השגור על דל שפתיו של כל עסק. לצערנו, האיום הזה אינו עתיד להיעלם בקרוב, ולמעשה הוא הולך ומתעצם. אחת מהמתקפות ההרסניות ביותר הינה ה"כופרה", או "נוזקת כופר" (Ransomware) -תהליך שבו המידע המצוי בארגון נופל קורבן לתוכנה זדונית המונעת גישה אליו, ורק תשלום כופר לתוקפים יכול לאפשר לקורבן לקבל בחזרה את הגישה למידע. האירוע שככל הנראה העלה את הכופרות על מפת התקשורת העולמית היה הפריצה לשרתי חברת הפקת הסרטים של סוני, ובו לא רק הופלה הרשת של החברה אלא גם הודלף מידע רגיש שגרם אי נעימות רבה לבכירי החברה. מקרים נוספים של כופרה התפרסמו בחודשים האחרונים, בהם "מככבים" גם ארגונים נוספים כדוגמת בתי חולים. כמות המקרים המדווחים הינו ככל הנראה רק קצה הקרחון, מכיוון שהנחת היסוד היא שארגונים רבים שנפגעו העדיפו לשלם את הכופר ולא לדווח על המקרה, על מנת למנוע פגיעה במוניטין שלהם.
אף ארגון לא רוצה להיות במצב שבו הוא פגיע בפני התקפה שכזו, ובקרוב יהיה תמריץ נוסף לנקיטת אמצעים להגנה על מידע מפני מתקפות שכאלו -האיחוד האירופי אימץ לאחרונה החלטה בשם Directive on Security of Network and Information Systems, המציגה תהליך שבמסגרתו ידרשו ספקי תשתית קריטית לדווח על אירועי כופרה והתקפות של "האקטיביסטים", ולתאר כיצד פעלו במקרים אלו. בהתחשב בנזק שגילויים שכאלה עלולים לגרום, סביר להניח שהארגונים יעדיפו למנוע התקפות שכאלה מלכתחילה, ולהגן באופן מהותי יותר על המידע שלהם.
אחד מהפתרונות הנשקלים הוא לשמור עותק בטוח של המידע "מחוץ לרשת", במקום שבו לא יוכלו התוקפים לגשת אליו גם אם חדרו לרשת של הארגון. פעילות שכזו מערבת הגנה מעידן מסורתי יותר, המסתמך על עקרונות של גיבוי ושחזור, כאשר מידע שנפגע נמחק ומעליו נכתב מידע תקין. בהתקפת כופרה, הן המידע ה"חי" והן הגיבוי עלולים ליפול קורבן להצפנה מצד התוקפים שתמנע גישה אליהם, ולכן אין למעשה העתק "נקי" של המידע שממנו ניתן לשחזר -וכך השיטה הזו הופכת ללא רלוונטית. השחזור של המידע ישים רק באמצעות תשלום לתוקף, המשחרר את אחיזתו בקבצים.
באמצעות העברת עותק הגיבוי אל מחוץ לרשת, הארגונים יכולים להיות בטוחים בכך שהוא לא יהיה נגיש לתוקפים שיחדרו לרשת במטרה להדביק את הקבצים בתוכנה שתצפין אותם וכך יוכלו לדרוש את הכופר עבור הסרת ההצפנה. פעילות שכזו מכונה Isolated Recovery Solution (IRS), והיא מספקת לארגון יכולת לזהות את המידע החשוב לו ביותר להמשך פעילותו, כאשר מידע זה יגובה על תשתית המתחברת לרשת הארגונית רק לתקופות מוגבלות -דהיינו רק לביצוע "גיבוי הזהב" של המידע. במהלך תקופות החיבור הזמניות הללו, מערכות אבטחה קפדניות ינטרו את הפעילות, והגישה תוגבל לקבוצה מצומצמת של טכנאים.
כך נבטיח כי עותק של כל המידע הקריטי לארגון נשמר מחוץ לרשת ה"רגילה" של פעילותו. קיומו של גיבוי חיצוני שכזה לא תיחשף באופן פומבי, אפילו בתוך הארגון. הגישה אליו תתבצע רק בידי צוות מצומצם מאוד של עובדי הארגון שבהם ניתן לבטוח, והם חשופים למשמעות הקריטית של סיכוני האבטחה הגלומים במתן גישה למידע שכזה לגורמים אחרים.
ניתן לדמות שיטה זו למעין "חדר פאניקה" -אם הרשת הארגונית נפרצת, ישנו מתחם פנימי סודי, ממודר, מאובטח ואמין שבו ניתן להתקיים. כאשר המידע המצוי ב-IRS נדרש לשחזור, הוא נסרק ומתקיים תהליך המוודא כי הוא אכן אמין ובטוח, ורק אז הוא משתחזר אל הארגון. בדרך זו למעשה מנטרלים לחלוטין את היכולת של התוקפים לפגוע בהתנהלות הארגון -המידע שנפגע או שאינו ניתן לגישה פשוט נמחק, ומעליו מוצב המידע התקין, מבלי צורך לשלם לתוקף.
הארגונים המבקשים לעמוד בדרישות של האיחוד האירופאי שהוזכרו לעיל, יוכלו להיעזר בעקרונות ה-IRS על מנת לצמצם את הסיכון לפגיעה במוניטין ובתפעול השוטף של הארגון לאחר שהותקפו. אם אכן נפרצה חומת האש שלהם, הם כמובן יצטרכו לדווח על כך, אך כעת הם יוכלו גם לדווח כיצד הצליחו להימנע מהשבתת הפעילות, וכמובן לא ידרשו לסבול מההשלכות הכספיות של דרישות הכופר עצמן.
הכותב דניאל כהן, הוא ראש קבוצת FraudAction ב- RSA, מקבוצת Dell Technologies
לכתבות נוספות באתר ISRAEL DEFENSE היכנסו לעמוד הפייסבוק החדש של nrg
אקו"ם