איך אפשר להימנע מנזקי מתקפות הכופר?

כתב: דודי שוחט.

אנחנו שומעים כמעט מדי יום על מתקפות כופר שבהן הוצפנו נתונים של חברות גדולות במשק – שכולן משתמשות בתוכנות הגנה כאלה ואחרות, אבל עדיין נופלות ו-"זוכות" לנתונים מוצפנים כמעט מקצה לקצה. זאת, על אף שאנשיהן הרגישו בטוחים עם ההגנה שיש להם.

אלא שיש מה להיות מודאגים. לפניכם כמה עובדות שממחישות עד כמה הנושא מורכב: לכ-75% מהחברות שהותקפו בשנה וחצי האחרונות היו תוכנות אנטי וירוס מעודכנות, כ-35% מהחברות שבהן ההאקרים הצפינו את הנתונים ודרשו כופר נשארו עם מידע מוצפן ולא נגיש, על אף ששילמו את דמי הכופר, וחברות הנפגעות מהצפנה סובלות מבעיות חוסר זמינות ופגיעה בשירות במשך 21 יום בממוצע.

בחינה של הנתונים הללו מביאה למסקנה שעל אף שארגונים מוגנים באמצעות עשרות תוכנות הגנה, אנטי וירוס, EDR, כלי מוניטורינג ומה לא, עדיין קיים סיכוי די גבוה שפושעי הסייבר ימצאו את הפרצה לתקוף את הארגון ולגרום לכשל טוטאלי, שייאלץ אותם לסבול מחוסר זמינות או להיכנע ולשלם (וגם אז, כפי שנכתב כאן קודם לכן, לא מובטח להן שההאקרים יחזירו את המצב לקדמותו).

הפתרון האולטימטיבי להצפנה

ארגונים מחפשים את "תעודת הביטוח" החזקה ביותר, או, אם תרצו, הפתרון האולטימטיבי למצב שבו התוקפים חדרו את כל ההגנות והצפינו את המידע. מכיוון שיש להניח שתוקפים יצליחו לחדור ולהצפין נתונים, הפתרון אמור להיות גיבוי של המידע – להעתק אחד או אפילו לכמה העתקים, כך שגם אם הוצפנו נתונים באתר הראשי, הם לא ייפגעו באתר הגיבוי. אבל, לצערנו, גם את זה ההאקרים למדו והבינו. הם מנסים להצפין גם את מערך הגיבוי, על מנת שהארגון שהם מתקיפים יהיה נטול יכולת תגובה כלל. תתארו לעצמכם מצב שבו גם הארגון וגם מערך הגיבוי שלו מוצפנים. הפתרון הוא לשלם את דמי הכופר או להשלים עם הרעיון שכל המידע אבד ולהתחיל את הכול מההתחלה. שתי האופציות עולות לארגון הון תועפות.

הפתרון לסיכונים הללו הוא שמירת גיבוי בהעתק שמוגדר כ-Immutable (בלתי ניתן לשינוי). העתק Immutable, בהגדרתו, הוא כזה שניתן לרשום אליו מידע חדש, אך לא ניתן לערוך מידע קיים או למחוק אותו. עד השנים האחרונות, העתק Immutable היה בר ביצוע למדיה מסוג קלטת בלבד, אולם הורדה לקלטות מביאה איתה חסרונות רבים, כמו: זמני הורדה ארוכים, פעולות ידניות, לא ניתן לבצע דה-דופליקציה, מה שאומר שמספר הקלטות הנדרשות לפתרון רק עולה עם הזמן, והכי חשוב – זמני שחזור ארוכים בעת אירוע כופרה.

קומוולט וה-Appliance המתקדם HyperScale-X מביאים בשורה חדשה לשוק. מדובר על אחסון מוגדר תוכנה -Software Defined Storage – עם יתרונות ברורים, כמו יכולת גידול בתצורת Scale-Out, רמה גבוהה של ביצועים בכל הנוגע לכתיבת גיבוי או שחזור המידע ועוד. אך היתרון הרלוונטי ביותר הוא בנושא אבטחת המידע. קומוולט הוסיפה את יכולת ה-Immutable על ה-Appliance, כך שארגון יכול להיות בטוח שיש לו העתק מוגן לחלוטין, ללא המגבלות של קלטות שיורדות מהשולח ועם היתרונות של מערכת גיבוי מודרני. כמו כן, אין צורך בתפעול ידני, זמני הכתיבה הם בקצב גבוה והארגון משיג חיסכון רב, כיוון שהפתרון תומך בדה-דופליקציה גם בהעתק ה-Immutable. ועוד יתרון מאוד חשוב (ואולי הכי חשוב) הוא בהמשכיות העסקית: במידה שהארגון מותקף ומוצפן, ניתן לשחזר את המידע מה-HyperScale-X במינימום זמן (ביצועים גבוהים כבר אמרנו?).

אם כבר דיברנו על המשכיות העסקית, להלן עוד יכולת חזקה שקומוולט שחררה באחרונה: זיהוי אנומליה בשרתי הארגון – וירטואליים או פיזיים. יכולת זאת מאפשרת חזרה מהירה לשגרה, כיוון שהטכנולוגיה של קומוולט מזהה אילו שרתים הותקפו ומאפשרת לשחזר רק אותם בקליק.

אנחנו, בקומוולט, רוצים ומחיובים להיות שם בזמן שהלקוחות שלנו הכי צריכים אותנו, עם מידע זמין לשחזור ויכולות שחזור מהירות. באמצעות הפתרונות המתוארים, הלקוחות שלנו יכולים להרגיש בטוחים שיש להם תוכנה והעתק בהיכון, למקרה הנורא ביותר, שבו האתר מוצפן.

הכותב הוא מהנדס מערכות בכיר בקומוולט ישראל.

להרשמה לאירוע לחצו כאן.