"עוד לא נולדה ההטלאה לשגיאות של הגורם האנושי"

"מתקפות הכופרה חוו גידול של מאות אחוזים בתקופה האחרונה והפכו לסוג של מיינסטרים. רובן של המתקפות מתאפשר בגלל הגורם האנושי, כאשר בטרם המתקפה, ההאקרים אוספים מידע הזמין ברשתות חברתיות, ועל בסיסו עורכים קמפיינים אגרסיביים של מתקפות פישינג והנדסה חברתית. עוד לא נולדה ההטלאה שתטפל בשגיאות של הגורם האנושי", כך אמר ניר כמון, מוביל הפעילות הטכנולוגית בחברת קווסט ישראל.

כמון דיבר במפגש מיוחד בנושא כופרות, שהתקיים במסגרת פורום C3 ופורום CSC מבית אנשים ומחשבים. המפגש נערך היום (ב') והנחה אותו יהודה קונפורטס, עורך ראשי של הקבוצה.

לדברי כמון, "השנה האחרונה התאפיינה בהאצה מטורפת של הטרנספורמציה הדיגיטלית, וזה, יחד עם הקורונה גרם לארגונים להפוך למקוונים. מי שלא עשה כך, נשאר מאחור. על מנת לאפשר המשכיות עסקית, אנו רואים ארגונים משקיעים באבטחה היקפית, ומנגד, התוקפים יצירתיים ונחושים לעקוף את ההגנות".

כופרה. צילום אילוסטרציה: BigStock

"בכל מתקפה מתוקשרת – האקטיב דירקטורי מעורב"

"שלבי בניית מתקפת כופרה", אמר, "הם פיתוח הכופרה, הפצה שלה ואיסוף דמי הכופר. בדרך, ההאקרים מזליגים מידע חסוי ארגוני החוצה, להמחשת רצינות הכוונות שלהם. הם פועלים בתנועה רוחבית, על בסיס כלים והרשאות לגיטימיים, ולאחר זמן, ידביקו את כלל התחנות והשרתים ויוציאו לפועל מתקפה אפקטיבית במינימום זמן ובמקסימום תוצאות. במתקפה שכזו לאקטיב דירקטורי (Active Directory) יהיה חלק בהצלחה שלה".

לדברי כמון, "האקטיב דירקטורי יפיץ את הנוזקה במלוא הקצב, ואז יביא להצפנת מערכות הארגון. מדובר בכלי שפותח בשנות ה-90', הוצג ב-1999, ושוחרר ב-2000. כשהוא תוכנן, התפישה הייתה קלות התפעול שלו ואיש לא התייחס להיבטי אבטחה. כך, קיבלנו מערכת יעילה, אבל חשופה בעשרות מבואות ותריסר פרוטוקולים. יותר מ-90% מהארגונים עושים בה שימוש, וההאקרים מבינים שזה לב ליבו של הארגון. בכל מתקפה מתוקשרת – האקטיב דירקטורי מעורב".

לדבריו, "תמיד יש לזכור כי מתקפה טובה היא שקטה, ברקע – ולא גלויה ורועשת. לכן, הצורך בנראות הוא נושא חשוב. חסרה נראות: מודל ההרשאות הוא מורכב. קשה לנתח לכמה משתמשים יש יותר הרשאות ממה שהם נדרשים, היכן ישנן הרשאות פרטניות".

"עם Change Auditor, קווסט מעניקה ללקוחות שלה נראות מלאה, פורנזיקה מעמיקה, ניטור והתראה בזמן אמת, בכל הקשור לפעולות חשודות, ואף הגנה על אובייקטים רגישים מפני טעויות אנוש או פעולות זדוניות", סיכם כמון. "הפתרון מעניק כיסוי הן בסביבה המקומית והן בסביבת הענן, לרבות שינויים של משתמשים ומנהלי מערכת עבור Microsoft Active Directory, Azure AD, Exchange, Office 365, שרתי קבצים ועוד. יתרון הפתרון הוא בהיות המערכת בלתי תלויה, אשר בונה את האירועים באופן עצמאי ולא תוך התבססות על מערכות ההפעלה, ובנוסף, היא מפרידה בין ניהול ותוכן, מגנה על תיבות הדואר מקריאתן על ידי בלתי מורשים, מעבירה נתונים למערכות ה-SIEM. כך, האנליסטים מקבלים את המידע על מגש כסף".