כך ארגונים יגנו על המידע שלהם בזמן התקפת כופר
על הארגונים כיום חלה אחריות עצומה להטמיע פתרונות המאפשרים להתמודד בפני כשלים ונוזקות באמצעות הגנה על המידע, כך שמחד לא יהיה ניתן לשנותו מהרגע שנכתב אל תוך המערכת ומאידך להבטיח כי זמן ההתאוששות מפגיעה יהיה קצר ככל האפשר
זה כבר מזמן לא סתם טרנד, זו המציאות. חברות בתעשייה נפגעות על ידי וירוסים ונוזקות כל הזמן. בתעשייה שבה ארגונים מסתמכים על זמינות המידע 24 שעות ביממה 7 ימים בשבוע, כל רגע שבו המידע איננו זמין יכול להוביל לפגיעה אנושה בארגון ולהפסדים כספיים משמעותיים.
החדשות הטובות הן שבאמצעות מערכת חכמה לניהול המידע ניתן להתאושש מהתקפות שכאלו ללא פגיעה מהותית בארגון. רגע לפני שנצלול פנימה ננסה להבין כיצד נראה מעגל התקפה שכזה, ומה הבעיות שהוא מייצר לארגון.
התמודדות הארגון מהרגע שנפגע כתוצאה ממתקפה
כפי שניתן לראות, התקפה טיפוסית כוללת מספר שלבים: הארגון נפגע על ידי וירוס, המערכות נמצאות תחת מתקפה והמידע בארגון אינו זמין יותר. החל מאותו הרגע הארגון מבין כי הוא תחת התקפה וצוות ה-IT מתחיל ביישום המדיניות שהכין מראש למקרה זה על מנת למנוע מהווירוס להמשיך ולהתפשט ברחבי הארגון ולהדביק מערכות נוספות. בשלב זה יתכן כי חלק ממערכות הארגון ויחד איתם חלקים מהמידע אינם זמינים יותר.
לאחר שעצר הארגון את המתקפה, ייאלץ לבצע עדכון למערכת ההגנה שלו כדי למנוע ממתקפה דומה לקרות שוב. סביר להניח כי בעדכון המערכות אל מול הפרצה שאפשרה להתקפה להתרחש וגם לאחר שהצליח הארגון לאושש חזרה את המערכות, הווירוס אשר הדביק את המערכת עדיין "נמצא" בתוך הארגון – אפילו אם יש ברשותו את מערכות האנטי-וירוס המתוחכמות ביותר.
דוגמה לכך הוא וירוס ה-Stuxnet הידוע לשמצה שהתגלה בשנת 2010, אך יתכן והחל להדביק מחשבים בעולם כבר בשנת 2007.
מסיבה זו, ארגונים רבים מדגישים את הצורך במניעה של הווירוס מלכתחילה יותר מאשר הניסיון להתאושש ממנו.
למרבה הצער לא מעט ארגונים מתקשים עם התמודדות אל מול התקפות שכאלו.
במהלך חודש ינואר הותקף בית החולים הנקוק באינדיאנפוליס שבארצות הברית. האקרים הצליחו לחדור למערכת ביה"ח ככל הנראה באמצעות פרטי משתמש של ספק צד שלישי והדביקו את מערכות ביה"ח בנוזקה בשם SamSam. הנוזקה הצפינה כ-1,400 קבצים כשחלקם היו קבצים המכילים מידע רפואי הקשור לחולים. יחד עם זאת התוקפים גילו סימפטיה מסוימת היות והקבצים שונו לשם "I’m sorry".
בתחילה עוד ניסה בית החולים לעבור לעבוד עם דפי נייר וטיפול בחולים כפי שהיה נהוג לפני עשור. אך מהר מאוד הבין כי אין לו ברירה. "שחזור המידע מקלטות היה לוקח לנו ימים אם לא שבועות", אמר סטיב לונג, מנכ"ל ונשיא בית החולים. בלית ברירה שילם בית החולים כ-4 מטבעות ביטקויון שהם בערך 55 אלף דולר (נכון לאותה תקופת זמן) על מנת לשחרר את המידע שהוצפן.
בזמן כתיבת מאמר זה התגלה כי הנוזקה SamSam הצליחה לפגוע גם במשרד התחבורה בקולורדו שבארצות הברית ולהדביק כ-2,000 מחשבים ברחבי הארגון. יחד עם זאת בשלב זה טוענים במשרד התחבורה כי מידע קריטי אינו נפגע וכי הם אינם ישלמו את דמי הכופר.
אבל, מה היה קורה לו ארגונים היו יכולים לשנות את מעגל המתקפה?
כיצד נראה התמודדות עם התקפה באמצעות פתרונות אבטחה מתקדמים?
הנקוק יישם מדיניות גיבוי נִרְחָבָהּ הכוללת יצירת עותקים נוספים למידע המגובה באתרים מרוחקים.
כאשר הבין בית החולים כי המידע בארגון הוצפן, היה עליו לקבל החלטה האם לנסות לשחזר את המידע או לשלם את הכופר.
השיקול של בית החולים לא היה פשוט כלל. וכפי שאמר מנכ"ל ונשיא ביה"ח, שחזור המידע ככל הנראה היה לוקח יותר מדי זמן. בשלב זה החליט בית החולים לשלם את הכופר בתקווה שיקבל חזרה את המידע שהוצפן.
לאחר בדיקה מקיפה, התברר כי המידע שגיבה הארגון הוצפן גם הוא באמצעות הנוזקה כך שגם שחזור המידע לא היה מצליח לאושש את הארגון.
אך מה היה קורה לו בית החולים הנקוק היה יכול להחזיר את מערכות המידע בארגון לשמישות מלאה באמצעות מערכת הגיבוי שלו בטווח זמן קצר, תוך בטחון מלא שהמידע אכן שמיש?
המטריד בסיפור של בית החולים היה גיבוי למידע, אך הוא בחר במודע שלא לבצע תהליכי שחזור עקב זמן הרב שהדבר היה לוקח. חשוב להבין כי ארגונים משקיעים תקציבים נכבדים מאוד בפתרונות גיבוי לטובת מקרים כמו אלו. ואם לבסוף בוחר הארגון שלא להשתמש במערכת אז מדוע השקיע בה מלכתחילה?
בשוק הטכנולוגיה היום קיימים פתרונות מתקדמים המוציאים מהמשוואה את החלקים הכואבים. כאלו שיכולים להבטיח:
- גיבוי של המידע למדיה מגנטית ונעילה שלו לקריאה בלבד, מה שנקרא בעגה המקצועית -WORM (ר"ת Write Once Read Many)
- זמני ותהליכי שחזור מהירים. כאלו שיכולים להביא את המערכות לשמישות מלאה בטווח זמן קצר יחסית.
במצב כזה הארגון לא היה צריך לחשוש מאיבוד המידע, הצפנה שלו ותשלום הכופר.
הרעיון שמערכת הגיבוי תוכל להחזיר את הארגון לשמישות מהתקפה של נוזקת כופר בזמן קצר תוך בטחון מלא שהמידע ששוחזר לא עבר שיבוש כלשהו, אכן אפשרית. כיום ישנם פתרונות המספקים יכולות אלו. הפתרונות הנ"ל מספקים הנגשה של המידע באופן כמעט מיידי, כך שאין צורך לבצע תהליך שחזור מסורתי. פתרונות כאלו יכולים להיות ההבדל הקטן שבין תשלום הכופר לבין שמירה על נכסי הארגון.
מזעור הנזק
האיום הגדול ביותר בעת התקפה על הארגון, הוא השבתה כוללת של הארגון כולו. יחד עם זאת חשוב לזכור כי המידע בארגון מתחלק לרמות חשיבות שונות. כשהארגון נמצא תחת מתקפה אין לנו שליטה על אילו מערכות בארגון יפגעו.
בנוסף כפי שניתן לראות במקרה של הנקוק, גם אם קיים גיבוי למידע, לא בהכרח שיוכל הארגון לשחזר אותו ובהתחשב בכך שתהליכי השחזור לוקחים זמן רב – עלול הארגון לשלם את הכופר בלית ברירה.
אם היו יכולים הארגונים לצמצם את טווח הפגיעה באופן משמעותי, בהתבסס על יכולות שחזור בזמן קצר יחסית ובהסתמך על כך שהמידע המשוחזר אכן אמין ולא עבר שיבוש כל שהוא, ארגונים לא היו מעלים על דעתם את תשלום דמי הכופר.
תהליכי שחזור יכולים לקחת זמן רב, בייחוד כאשר מדובר בנפחי מידע גדולים. יחד עם זאת, הפתרונות הקיימים היום בשוק מיישמים מגוון רחב של אפשריות כדי להתגבר על מגבלה זו ומנסים לְהַנְגִישׁ את המידע במקום לשחזר אותו. בפתרונות כאלו חשוב להבין את המגבלות של הפתרונות הקיימים. ולוודא כי היכולת הזו אינה מוגבלת, ומאפשרת הנגשה של מספר מערכות בו זמנית בצורה יעילה ופשוטה.
לסיכום, על הארגונים כיום חלה אחריות עצומה להטמיע פתרונות המאפשרים להתמודד בפני כשלים ונוזקות באמצעות הגנה על המידע, כך שמחד לא יהיה ניתן לשנותו מהרגע שנכתב אל תוך המערכת ומאידך להבטיח כי זמן ההתאוששות מפגיעה יהיה קצר ככל האפשר.
הכותב הינו מנהל מוצר Rubrik מאינוקום, קבוצת אמן.
תגובות
(0)