"כמעט בלתי אפשרי היום למנוע נזק של תוכנות כופר. אפשר לזהות מהר - ולמנוע התפשטות"
הדור החדש של תוכנות הכופר מכוון לארגונים גדולים עם אלפי עמדות קצה. הוא מתוכנן בצורה שתאפשר לו התפשטות ברשת הפנימית, גם כאשר לעמדות הארגון אין גישה לרשת האינטרנט.
"בגרסאות שראינו, תוכנת הכופר מתקינה את עצמה על מחשב או שרת אחד בארגון שגלש לאתר נגוע. לאחר מכן, היא מתקינה את עצמה כשרת ברשת הארגונית, וממנו מפיצה את עצמה לשאר העמדות ברשת", מסביר יניב מירון, מייסד שותף ומנכ"ל חברת fenror7. "זו תוכנת כופר שיכולה לזוז רוחבית גם דרך המייל הפנימי או האינטראנט. בשונה מתוכנות כופר מהדור הראשון, אלו מהדור החדש לא צריכות שהעמדה בארגון תהיה מחוברת לרשת האינטרנט".
למה פתרונות זיהוי רשתיים מתקשים לתפוס תוכנות כופר?
"מרבית פתרונות הזיהוי ברשת עובדים על רעיון של בניית פרופיל לכל יישות ברשת (עמדה, שרת, משתמש) וניטור התנהגות. אם יש חריגה מפרופיל ההתנהגות, המערכת אמורה להתריע", מסביר מירון.
"אם מדובר בהאקר מתחיל, זה עובד. אבל האקר טוב מניח שלארגון יש מערכות כאלו אז הוא פועל בהתאם. יש לו זמן והוא לומד איך הרשת מתנהגת. הוא בודק מה קורה עם כלים פאסיביים ורק אז הוא מתחיל לבצע עבודה. תוקף שרוצה לזוז רוחבית מאזין לתקשורת, רואה איך העמדה עובדת, איזה שירותים עוברים, איזה וילנים יש. אם הוא אוסף מודיעין, ההסתברות שלו לעקוף מערכות זיהוי ומלכודות עולה."
בכמה צעדים מזהים התקפה?
בתעשיית ההגנה בסייבר התגבש קונצנזוס שכל התקפה כוללת בין 15-60 צעדים והשאלה מתי הארגון מבין שהוא תחת התקפה. "הפתרון שלנו יודע להתריע על התקפה של תוכנת כופר ב-3-5 צעדים הראשונים", אומר מירון.
"נכון להיום, אין פתרון בשוק שמגן הרמטית על העמדה או השרת בפני התקפת כופר. אפשר להתקין אנטי וירוס וקליינט עם יכולות זיהוי התנהגות על מנת לצמצם את החשיפה בכמה עשרות אחוזים. גם בקליינטים יש מלחמת גרסאות מול כותבי תוכנות הכופר. יתרה מכך, עד שארגון מעדכן אלפי קליינטים לוקח הרבה זמן וזה תהליך שבארגון גדול לא תמיד מנגן. חלק מהקליינטים גם לא עובדים על כל מערכות ההפעלה. אם יש לך קליינט לחלונות בעמדות, אבל השרתים שלך עובדים על לינוקס, מה תעשה? ובדרך כלל השרתים מחזיקים במידע הרגיש, לא העמדות.
"זו הסיבה שלצד ההגנה על העמדה צריך גם מערכת זיהוי רשתיות כמו שלנו, כדי לצמצם את ההתפשטות של תוכנת הכופר ברשת הארגונית. אם כבר נדבקת, שזה לא יתפשט. אבל חשוב לומר שאי אפשר להבטיח הגנה מוחלטת. זה הכל משחק של צמצום נזקים.
"אנחנו יודעים גם להתחבר למערכות אכיפה קיימות בארגון כמו NAC ו-SIEM. זה מאפשר לארגון ליישם פאץ' וירטואלי או שינוי הגדרות במערכת מניעה כמו FW, IDS או אחרות מיד עם הגילוי. שם המשחק היום הוא מהירות זיהוי. מהרגע שזיהית שאתה תחת מתקפה, אפשר לצמצם את הנזק."
לכתבות נוספות באתר ISRAEL DEFENSE היכנסו לעמוד הפייסבוק החדש של nrg
אקו"ם