אם ניתן ללמוד משהו על עליית המדרגה בתחום התקפות הכופר בשנת 2022, זה שצוותי אבטחה נדרשים להעלות הילוך. הנתונים מלמדים שרק במחצית הראשונה של 2022 מספר גרסאות הכופר החדשות גדל כמעט ב 100%. הגידול הנפיץ בתחום הגרסאות החדשות של תוכנות כופר נובע משלל סיבות, אם כי בעיקר כיוון שתוקפים רבים ניצלו את היתרון הגדול שמציעה תוכנת הכופר Ransomware-as-a-Service (RaaS) שנמצאת ברשת האפלה.
RaaS פוגעת בחסמי כניסה, ונכון להיום הפכה למוצר מדף שניתן לרכוש די בקלות בדארקנט. עם זאת, לצד הגידול בגרסאות שנוגעות לתוכנות כופר, טכניקות הפעולה בסה"כ נשארות זהות, ולכן חיזוי ממוקד הכרחי ומשמעותי. לרשותכם היכרות עם אסטרטגיות שמסייעות למזער תוכנות כופר, לצד כלים מסייעים.
מיישרים קו – מהי תוכנת כופר?
תוכנת כופר הינה תוכנה זדונית שמחזיקה נתונים כבני ערובה, תמורת כופר כמובן. אותם האקרים בעלי כוונות זדון מאיימים לפרסם, לחסום או להשחית נתונים, או לחלופין למנוע המשך עבודה על המחשב, אלא אם כן נענים לדרישות.
בדרך כלל תוכנות כופר נשלחות באמצעות דיוג מבוסס מייל. מצורפים למייל קבצים זדוניים, וברגע שהם נפתחים, המחשב נדבק. כמו כן, ניתן להפיץ תוכנות כופר גם ע"י הורדת Drive-by. מדובר בהתקנת תוכנות שמיועדות להטמיע נוזקה. בין היתר מצב שכזה מתאפשר כאשר נכנסים לאתר אינטרנט שנדבק במקרה. אותה תוכנה זדונית מותקנת במכשיר של הגולש מבלי שהוא שם לב.
עוד דרך שנוגעת להתקפת תוכנת כופר נוגעת להנדסה חברתית. מדובר בתרחיש שבו התוקף מתמרן אנשים מתוך מטרה לחשוף מידע סודי, וזאת ללא שימוש בטכניקות טכניות. במקרה זה התוקפים גורמים לאנשים רגילים לעקוף עבורם מנגנונים עסקיים/מנגנוני אבטחה, או אפילו לחשוף עבורם מידע רגיש.
ניתן לבצע זאת ע"י שליחת מיילים/הודעות טקסט, וזאת כדי לזרוע פחד שמוביל לשיתוף פעולה, או כדי לגרום פיתוי משמעותי. ניתן לזהות זאת ע"י שימוש בשפה גנרית (כולל טעויות היגוי וכתיב), תחושת דחיפות, כתובת שמעוררת חשד, או שימוש בהבטחה שנשמעת מאוד מפתה.
מזעור תוכנות כופר?
התקפות כופר בלתי נמנעות, ובמקביל אף ארגון לא רוצה להחליט האם הוא מעדיף לשלם כופר או לאבד נתונים חשובים. למרבה המזל אין אלו שתי האפשרויות היחידות. הדרך הטובה ביותר היא לנקוט בצעדים מתאימים כדי להגן על הרשתות, מהלך שעשוי להפחית בצורה ניכרת את הסיכוי שהארגון ייפגע מתוכנת כופר.
עם זאת, לשם כך נדרש מודל אבטחה בשיטת שכבות. במה מדובר? בהגנה שעשויה מכמה רכיבים נפרדים, אך שביחד מעניקה מעטה הגנה משמעותי, תוך הגנה על מגוון רבדים פגיעים. כל שכבה מגנה על אזור ספציפי, כך שסך ההגנה הקולקטיבית משתפרת בצורה ניכרת.
בנוסף להטמעת כלי אבטחה ופיתוח תהליכי הגנה ממוקדים, אין לשכוח את תפקידו וכוחו של חינוך אבטחת סייבר. כדי למזער את התופעה הכרחי ללמד את העובדים כיצד לזהות מתקפת כופר ובמקביל להטמיע נהלי "היגיינת אבטחת סייבר".
הבנת הסיכונים
סביר להניח שסביב כל ארגון נמצא "חורים באבטחה". מדובר בחורי אבטחה שמובילים עסקים להפוך לקורבנות בתחום. להלן מספר אתגרים נפוצים שמאתגרים צוותי אבטחה, אתגרים שמגדילים את הפגיעות אל מול אירועי סייבר:
- חוסר התמחות בהיגיינת סייבר בקרב העובדים: התנהגות אנושית ממשיכה להוות גורם משמעותי ברוב אירועי האבטחה. מעבר לזיהוי סימנים שמעידים על תוכנת כופר, גם מדובר בהיעדר חינוך נקודתי בקרב העובדים.
- מדיניות סיסמה חלשה: חוסר הקפדה על מדיניות שנוגעת לאישורי עובדים מגדילה את הסבירות שהארגון יחווה פגיעה באבטחה.
- ניטור ותהליכי אבטחה חלקיים: אין כלי אחד שמציע מענה מקיף לטובת ניטור והגנה מפני אירועי סייבר פוטנציאליים (כגון תוכנות כופר). מצב שכזה מוביל לכך שגישת אבטחה שכבתית חיונית. מסייעת לנהל בצורה נאותה את היקף סיכוני הסייבר.
- מחסור בכוח אדם בצוותי אבטחה ובצוותי IT: חשוב שצוות הגנת הסייבר יימנה אנשים בעלי מערך כישורים נרחבים ומתאימים. אם כדי לתמוך במאמצי ניטור ומזעור סיכונים, ואם כדי להילחם בפשעי סייבר ביעילות. נכון להיום הממצאים מצביעים על כך שקיים פער בעייתי במיומנויות אבטחת הסייבר.
התקפות כופר שראוי ללמוד מהן
תוכנת הכופר ממשיכה לאתגר ולהשפיע על חברות בכל הענפים. בעוד שרובנו זוכרים את התקפות משמעותיות, כגון המתקפה על חברת האנרגיה Colonial Pipeline האמריקאית (שהעיבה על הפצת הבנזין והנפט) והמתקפה על JBS Foods (שהובילה למחסור באספקת הבשר), אין ספק שעדיין מתרחשות אינספור תקריות כופר שאינן מגיעות לחדשות.
עם זאת, ראוי לדעת שבהחלט ניתן למנוע שלל התקפות מסוג תוכנות כופר, וזאת על ידי יישום בשטח של נהלי היגיינת סייבר, כולל הכשרת עובדים והגברת המודעות בתחום, תוך התמקדות בטכנולוגיה Zero Trust Network Access (ZTNA). הטכנולוגיה מעניקה זמינות גבוהה לצד הגנה משופרת מול "התקפת מניעת שירות" DDoS)). כמו כן, נדרש להשקיע באבטחת נקודות קצה, כלומר יש לוודא שאותם מכשירים שמתחברים לרשת וחולקים עמה מידע גם כן מאובטחים.
שיטות עבודה מומלצות לטובת התמודדות מול תוכנות כופר
זיהוי יעיל ומקדים הוא שם המשחק. זיהוי יעיל של תוכנות כופר דורש שילוב של חינוך העובדים וטכנולוגיה מתקדמת ומותאמת צורך. להלן מספר דרכים יעילות שמסייעות לזהות ובו זמנית למנוע התקפות כופר:
- חינוך עובדים: חשוב להסביר לעובדים מהם המאפיינים והסימנים של תוכנות כופר.
- שימוש בפיתוי: "מלכודת דבש" בנויה ממאגרים מזויפים של קבצים שמראש נועדו להיראות כמו מטרות אטרקטיביות מבחינת התוקפים. המלכודת מסייעת לזהות ובמקביל לנטרל פגיעה במערכת, וזאת ע"י שימוש בנתונים שמדמים נתוני בסיס שנמצאים כבעלי ערך בעיני תוקפי הסייבר, אך למעשה הם חוסמים את הפעולה הזדונית. במקביל, מלכודת דבש חושפת טקטיקות פעולה, עובדה שמסייעת לזהות ולסגור פערי אבטחה.
- מעקב אחר הרשת ונקודות קצה: ניטור קבוע מסייע לעקוב אחר תעבורה נכנסת ויוצאת, לסרוק קבצים ולחקור כל דבר שנראה חריג. בנוסף, הוספת זיהויים מבוססי התנהגות לארגז כלי האבטחה מסייעת לנתח תגובות אוטומטיות – מובילה לקטיעת הפעולה הזדונית, מבלי להשבית את התקני הקצה.
- לוקחים צעד אחורה: חשוב מדי פעם להביט על העסק מבחוץ, תוך התייחסות לסך סיכוני הסייבר הרלוונטיים. כך למשל מומלץ להיעזר ב DRP – תוכנית התאוששות מאסון. מדובר בכלי שמסייע לשחזר במהירות נתונים. כמו כן, חשוב לבחון מערכות ניטור קיימות ולהשקיע באופטימיזציה. הכוונה היא לשכלל חוקים קיימים ולהטמיע חדשים, לחבר בין של מערכות אבטחה קיימות ובאופן כללי למקסם את היכולות של סך הטכנולוגיות הקיימות.
- חיזוק מאמצי ZTNA: באמצעות הרחבת בקרות גישה היקפיות, כגון התקני פיירוול, מערכת הזדהות אחודה וכדומה, זוכים להרחיק תוקפים ערמומיים.
- שימוש בתוכנת SOC: בהתאם לנוף האיומים שרק הולך וצובר תאוצה, נדרש לעבוד קשה יותר וחכם יותר. בין היתר זה אומר להיעזר בשירותי מיקור חוץ עבור מגוון משימות ספציפיות. באופן הזה האנליסטים השכירי זוכים להתמקד במשימות החשובות, אך מבלי שמוזנחות נישות משלימות. אי לכך הסתמכות על מערכת זיהוי ותגובה מנוהלת (MDR – מסתמכת על טכנולוגיות אבטחה מתקדמות), והסתמכות על תוכנת SOC-as-a-Service (מרכז ניטור פעולות אבטחה – מסייע לזהות ולהגיב לאירועי סייבר) כה יעיל וחשוב.
