איך הייתה עיריית אטלנטה יכולה להימנע ממתקפת כופרה ענקית?
עדי פרץ, מנהל טכני בטרנד מיקרו, מנתח את אחת ממתקפות הכופר הבולטות בשנים האחרונות ומסביר מה היה על עיריית אטלנטה לעשות כדי להימנע ממנה ● אירוע שנושא עמו לקחים לכלל הארגונים
"אירוע מתקפת הכופרה על עיריית אטלנטה במרץ 2018, שבמסגרתו הושבתו שירותים עירוניים רבים, היה אחד מאירועי הסייבר הגדולים של אותה השנה. החזרה לשגרה לאחר אובדן מערכות מידע רבות ארכה שבועיים. המגמה הרווחת עד אז הייתה של מתקפות כופרה מאוד רחבות ולא ממוקדות. אירוע זה היה שונה באופיו, כי, בין השאר, התוקפים הציגו יכולות התחמקות ממערכות בקרת האבטחה העירוניות", כך אמר עדי פרץ, המנהל הטכני של טרנד מיקרו ישראל.
פרץ דיבר במפגש מיוחד בנושא כופרות, שהתקיים במסגרת הפורומים C3 ו-CSC מבית אנשים ומחשבים. המפגש נערך היום (ב') והנחה אותו יהודה קונפורטס, העורך הראשי של הקבוצה.
לדברי פרץ, "הכופרה, מסוג SamSam, ייצגה תחילת מגמה של תקיפה ממוקדת, תוך ידיעה מוקדמת שהקורבן ישלם את דמי הכופר. החדירה הראשונית התבססה על ניצול חולשה ברשת הארגון, ולאחריה, בעזרת כמה כלי תקיפה, ההאקרים אספו סיסמאות והרשאות. אחרי התבססותם ברשת הארגון, תוך התבססות על הרשאות של משתשים פריבילגיים, הם הפעילו את הכופרה. העירייה שכרה את שירותי כמה חברות אבטחה וייעוץ, ביניהם של דל סקיור וורקס, להשבת השליטה".
הוא ציין את מאפייני המתקפה: "ביצוע פעולות אוטומטיות, שינוי טקטיקות בזמן אמת, מציאת נקודות חשופות בתשתית ויכולת הארגון לעמוד בתשלום כופר של עשרות אלפי דולרים. ברור שלו עיריית אטלנטה הייתה מיישמת פתרון אנטי נוזקה, ניתן היה למנוע את המתקפה".
הנזק הכולל – יותר מפי 50 מדמי הכופר
"ארגונים", אמר פרץ, "נדרשים לפתרון אנטי נוזקה מתקדם, המספק הגנה על הקצה, השרתים ותחנות העבודה, עם סוכן שמנתח את הפעולות בקצה, מזהה ומונע את מימוש המתקפה. היכולות הנדרשות הן: זיהוי קבצים זדוניים על ידי חתימות וחסימתם, זיהוי קבצים זדוניים נטולי חתימה על ידי מודל לימוד מכונה, זיהוי התנהגות אנומלית בתחנת הקצה, מנגנון שלומד פעילות נורמלית של תחנות הקצה ומתריע בהתאם, יכולת ביצוע תחקור אחורנית כדי לספק הקשר ונרטיב סביב ההתרעות".
הוא הוסיף כי "אף שדמי הכופר עמדו על 50 אלף דולר, העלות הכוללת של האירוע הסבה נזק של יותר מ-2.6 מיליון. אלא שהנזק היה לא רק כלכלי, כי אם גם תדמיתי ושירותי. התובנות ממנו הן שכדי לנהל בעתיד כזה אירוע, ואף למנוע אותו, יש לדאוג לגיבוי מסודר של המידע העסקי, להפריד רשתות בתשתית הארגונית, לנהל נכון את המשתמשים הפריבילגיים, להגדיר מדיניות, לבחון מה ההשלכות לתשלום הכופר ולהטמיע באופן הנכון פתרון אנטי נוזקה מתקדם".
רואי לקנר, מהנדס טכני בכיר בטרנד מיקרו, אמר כי "אחת הבעיות בארגונים היא ריבוי ממשקים, המספקים נראות – אבל חלקית ולא מוכללת. אם יש אירוע רוחבי, זה מקשה על קבלת תמונת מצב רוחבית. אם אירוע כופרה מתחיל ברשת, רואים את תחנת הקצה, אבל חשוב שהאנליסט, או מנהל האבטחה, יקבל את כלל פיסות המידע לטובת יצירת תמונה גדולה".
לדבריו, "בסוף, רואים את הכול ב-'עמודים' שונים, כאשר מה שרצוי הוא ממשק אחוד ומערכת שמתכללת את כלל האירועים, וכך היא מבטלת את כל הרעש. נדרש לספק תמונת מצב מהיכן הגיעה הכופרה, לאן היא התפשטה ומה השפעתה, תוך שיקוף האנומליות וניתוח ההתנהגויות. כך, המערכת תכלול את כלל ממדי האירוע ותביא להנגשה שלו, עם נראות וגם אכיפה בסוכן אחד – לכל הרמות".
וואו - כמה שטויות בכתבה אחת! מדהים שיצרן שבכלל לא היה שם מרשה לעצמו לדבר על התקפה כזאת. כמישהו שהיה שם, ההתקפה בכלל התחילה מוקטור אחר. והתשלום היה 2.6 מיליון דולר בעיקר לצוותי IT ו IR שעזרו לבצע שינויים במנה הרשת כך שהתקפות דומות לא יצאו משליטה. ועוד נקודה, כדי להוכיח שאין לכם (טרנד מיקרו) על מה אתם מדברים, מספר חודשים אחרי התקיפה על אטלנטה, עיירת בולטימור הותקפה ע״י בדיוק אותו SamSam, ועלות הנזק שם הייתה 18.2. מליון דולר... איך זה ייתכן?!? איך תסבירו את זה? חאלס לפרסם דברים ללא בסיס והוכחות חותכות. כל המערכות שאתה מציע להתמיע ולנהל הן בכלל לא רלוונטיות. בעריית אטלנטה יש צוות אבטחת מידע פיצפון והם מרויחים 70 אלף דולר בשנה כג׳יוניורים ו100-110 אלף דולר כשהם צוברים קצת ניסיון. אתה לא יכול להביא כ״א איכותי בתצקיבים כאלה... אז אתה מציע להטמיע מערכת שתייסר מיליוני לוגים..... ומה הם יעשו עם זה?
שִטחִי