דמיינו שהנורא מכל קרה, לחצתם על כפתור וחזרתם לשגרת היום יום

אין ספק כי אחד האיומים המסוכנים ביותר שארגונים היום נערכים אליו הוא התקפות כופרה. התקפות מסוג זה הן אכזריות ואינן לוקחות שבויים. במקרה של התקפה כזו, הנזק הוא הרסני. מעבר לכך, משתמשים בארגון לא יוכלו לגשת לקבצים שלהם ומערכות שונות לא יעבדו. הארגון לא יוכל לספק שירותים ללקוחות שלו מה שמיד יגרור אתו הפסד כספי.

האקרים לא תוקפים רק בנקים או חברות ביטוח ופיננסים, רק לאחרונה פורסם כי מבשלת בירה בסקוטלנד הותקפה באמצעות קובץ PDF שנשלח כקורות חיים למשרת מנהל אשראי (שכבר אוישה).

הקובץ הכיל Payload שהצליח להצפין חלקים באחד משרתי הארגון. האקרים ביקשו בתמורה למידע כ 2 מטבעות ביטקויין שהם כ 10,000 פאונד. המבשלה החליטה שלא לשלם את דמי הכופר ובכך ויתרה על מידע הקשור למכירות שלה בשלושת החודשים האחרונים.

לארגון יהיה טווח זמן קצר מאוד (בדרך כלל לא יותר מ 48-72 שעות) שבמהלכו יצטרך להחליט האם הוא משלם את דמי הכופר או משחזר את המידע הארגוני. במידה ובחר הארגון לשחזר את המידע התהליך הראשון שיצטרך לעשות הוא בכלל להבין אילו מהקבצים נפגעו ומה מידת ההשפעה של הפגיעה בהם. רק תהליך זה כשלעצמו יכול לקחת מספר שעות לא מבוטל.

התקפות כופרה חוו גידול של כ 350% בשנה האחרונה

מחקרים הראו כי התקפות כופרה חוו גידול של כ 350% בשנה האחרונה, ואילו 71% מכלל מהארגונים אשר האקרים ניסו לתקוף אותם, אכן נפגעו מהתקפות כופרה.

מקור: Barkly

בסקר שנערך על ידי ברקלי בסוף שנת 2016 נמצא כי מרבית הארגונים שנפגעו במהלך אותה שנה דיווחו כי הם אינם מתכננים לבצע כל שינוי בתשתית הארגונית שלהם ו/או באמצעי אבטחת המידע שלהם לשנה הבאה אחריה.

מקור: ברקלי

אך מה אם היה ניתן להציע לאותם ארגונים שכבת הגנה נוספת כזו שתהיה פרואקטיבית ותדע לנתר בזמן אמת את שטף המידע בארגון, להתריע כאשר היא מזהה אנומליה ואף להציע דרך לשחזר את המידע באופן קל ומהיר?

גישה שונה בכל הנוגע לניהול המידע המגובה בארגון

Rubrik חשפה לאחרונה את הפיתוח האחרון שלה בנושא העונה לשם Radar.

Rubrik הינה חברת תוכנה אשר מפשטת באופן כמעט מוחלט את כל תהליך גיבוי ושחזור המידע באמצעות מערכת אחודה (converged), אשר יודעת לגדול באופן סקלבלי כך שאינה מוגבלת בכמות המידע או כמות היחידות אותם היא יכולה לנהל. מכאן שארגונים שבוחרים בפתרון משמרים את יחסי ה דחיסה והכיווץ של המידע המגובה תוך ניהול אחיד של כלל המערכת.

Rubrik מציעה גישה שונה בכל הנוגע לניהול המידע המגובה בארגון, באמצעות מנגנון גיבוי אשר יודע להבטיח את ה SLA הארגוני שבו הארגון רוצה לעמוד. בין היתר Rubrik מאפשרת לארגון להפוך את המידע המגובה לנגיש בשניות בודדות, ובכך לקצר את זמן ההתאוששות של הארגון במקרה של תקלה.

Radar הינו חלק ממערכת SaaS אשר קיימת בענן ומצטרפת אל Polaris שירות נוסף אותו חשפה Rubrik במהלך החלק הראשון של השנה הנוכחית.המערכות הנ"ל הן שירותים אותם יכול הארגון לצרוך מתוך ה ענן של Rubrik.

בכך בעצם מאפשרת Rubrik לארגונים לחבר את המערכות שלהם אל שירות ה SaaS של Rubrik ולקבל ערכים מוספים משירות שרץ כולו בענן ויודע לקרוא את ה מידע על המידע (Metadata) ולהתריע במקרה של אנומליה בגיבוי או אי עמידה ב SLA הארגוני שנקבע.

במקרה שבו זיהתה Radar כי אכן ישנה אנומליה שכזו, היא תתריע למנהל המערכת ותספק לו ממשק פשוט למעקב אחר שטף המידע בארגון, וכמו כן את היכולת להבין כיצד המידע השתנה לאורך זמן. במקרה של התקפה יכול מנהל המערכת לשחזר את הקבצים שנפגעו באופן פשוט כמו לחיצה על כפתור, וכדי להאיץ את תהליך השחזור Radar גם יספק למנהל המערכת תובנות אודות איזה מידע השתנה בזמן ההתקפה כלומר – אילו קבצים נפגעו.

Radar בעצם בנויה משלוש שכבות הגנה:
1. ניטור אנומליות – באמצעות לימוד מכונה (Machine Learning) Radar לומדת את התנהגות המשתמשים בארגון, מבינה את אופי השימוש בקבצים ובכך צופה איומים חדשים. על ידי ניטור אקטיבי של המידע, והמידע על המידע (Metadata), Radar תייצר התראות על חשד לאנומליה במידע הארגוני במקרה של התקפה.

2. אנליזה – Radar מבצעת אנליזה באופן קבוע לכלל הסביבה בארגון כדי להבין ולומדת מה השינויים שמתבצעים לאורך זמן. מנהלי המערכת יכולים להבין באופן מידי אילו קבצים ואפליקציות השתנו/נפגעו והיכן הם נמצאים באופן ויזואלי כך שיקל עליהם להבין את חומרת התקיפה.

3. שחזור – Radar מחליפה את הצורך בתהליך שחזור ידני ומציגה הליך שחזור אוטומטי למנהל המערכת. כל שנדרש הוא להגיד מה רוצים לשחזר ולאן והמערכת תדע לעשות את השאר באופן שקוף. Rubrik תדע להביא חזרה את הגרסאות העדכניות "הנקיות" ביותר, כך שהארגון יוכל לחזור לתפקוד מלא כאילו שום דבר לא קרה.

בעת התקפת כופרה החלק הקשה ביותר הוא להבין אילו קבצים נפגעו, השתנו או נמחקו. את הפער הזה בדיוק Radar פותרת באמצעות שלושת השכבות המוזכרות. מנהל המערכת יוכל לקבל בלחיצת כפתור את רשימת הקבצים שהשתנו ביחס לגיבוי האחרון, ובלחיצת כפתור נוספת לשחזר באופן מדויק את אותם הקבצים כדי להחזיר את המערכות לשירות.

אינוקום הינה נציגת RUBRIK בישראל.

דמו של המערכת יוצג בכנס אינוקום בתאריך 23.10 ב East בתל אביב.

הכותב הוא מומחה אבטחת מידע וסייבר באינוקום