איך מתמודדים עם מתקפות כופר?
תוכנות הכופר הן האיום הגדול ביותר בעולם אבטחת המידע העכשווי ● כמה שאלות על מתקפות אלה, שכבר פגעו בארגונים רבים - והתשובות עליהן
תוכנות הכופר נוגעות לכולם וארגונים רבים, מכל התחומים והגדלים ומכל רחבי העולם, נפגעים מהן. לצערי, מרבית הארגונים לא יודעים כיצד להתמודד עם התופעה ומה לעשות על מנת למנוע אותה. יחד עם זאת, המודעות לנושא עלתה, בגלל התגברות התופעה וגם כי הנושא נמצא בכותרות. אם עד היום, רק חברות גדולות הוציאו סכומים גדולים על אבטחת מידע, בימינו הנושא עולה על סדר היום גם של חברות קטנות יותר, מתחומי פעילות שלא היו חשופים למתקפות, כיוון שמערכות המידע שלהן לא עניינו האקרים.
מה קורה כיום בתחום?
ארגוני פשע הולכים ומשתלטים על נושא מתקפות הכופר באמצעות רובוטים, שתוקפים את כל טווחי ה-IT הקיימים. העובדה הזאת הגדילה את השוק ואת העניין הציבורי, וחברות אבטחת המידע מפתחות פתרונות בהתאם. ברור שהפתרונות החדשים לא מספקים 100% הגנה, אבל יש פתרונות שבהחלט מצמצמים את האפשרות לפגיעה וב-99% מהפעמים מאתרים את האיום כבר בשלב הגעת המייל הבעייתי או כשמשתמש לא מודע לוחץ על כתובת URL זדונית.
בעבר, מערכות ההגנה הקלאסיות היו מבוססות על חתימות של קבצים. ברגע שהקובץ היה מגיע, הוא היה מזוהה ומיד נחסם, במידה שהיה ברשימה של המערכת. אלא שהאיומים הנוכחיים מתוחכמים ומבוססים לא על חתימות, כי אם על התנהגות חשודה. לדוגמה, כשמחשב פונה למחשב אחר שאף פעם לא פנה אליו בשעות מוזרות, למשל בלילה.
התנהגות חשודה לא בהכרח מאיימת אבל מצריכה בדיקה. כתוצאה מכך, אנחנו צריכים לשנות את תפיסת האבטחה שלנו למערכות הגנה שידעו לדבר אחת עם השנייה ולהחליף מידע ביניהן. למשל, אם התגלתה בעיה באזור אחד במערכת המחשוב, המידע חייב לעבור גם לשאר המערכות, שידעו על האיום שהתגלה. התפיסה הזאת נקראת תפיסת הגנה הוליסטית, במסגרתה כל שכבות המידע יודעות לדבר אחת עם השנייה ולהגן אחת על השנייה.
מה יקרה בשלב הבא?
מומחי אבטחת מידע צופים התפתחות של איומים מבוססי בינה מלאכותית. המערכות הללו לומדות את ההתנהגות של נקודות הקצה וברגע שיש סטייה מההתנהגות הזאת, נשלחת התראה. בעתיד, האיומים יתפתחו בעצמם, בדומה לווירוסים ומחלות.
לסיום, השאלה המתבקשת בנוגע למתקפות כופר היא: מה לעשות כשנפגעים ממתקפה כזאת?
לא מומלץ לשלם את הכופר, כיוון שהסיכוי לקבל את החומר בחזרה קלוש. צריך להשקיע בהגנה הרבה לפני. ההגנה כוללת מרכיב חשוב של מודעות, שכולל הדרכות של עובדים לגבי מה לפתוח ומה לא, לוודא שהמייל הגיע ממקור שהעובד מכיר ועוד. זהו רובד חשוב לא פחות מההגנה הטכנולוגית. חשוב לעדכן את העובדים כל הזמן, ולהכניס מערכות הגנה ממוחשבות וגיבויים מסודרים במקומות מופרדים פיזית ולוגית גם בענן. זאת, על מנת שאם הארגון הותקף, אפשר יהיה לשחזר את המידע החשוב שלו.
הכותב הוא מנהל פתרונות אבטחת מידע בקבוצת יעל, נציגת טרנד מיקרו בישראל.
להערכתי ארגונים יכולים להתמודד עם זה בצורה מאוד מאוד פשוטה צריך ליצור שתי רשתות כמו בצבא , רשת אדומה ללא גישה לאינטרנט ורשת לבנה שפתוחה לאינטרנט הרי לא כל עובד זקוק במסגרת עבודתו ברשת לבנה ועובד שנדרש לרשת לבנה שיקבל עוד מחשב