האם ניתן להתגונן מפני אירוע כופרה?

אירועי כופרה (אירוע שבו תוקף משתלט על נכסים ומצפין אותם, כך שלא ניתן לגשת אליהם, וכתנאי להסרת מגבלת הגישה התוקף עשוי להציג תנאים לגורם המותקף) נמצאים בעלייה מטאורית. אירועים כמו אלו שהתרחשו בבית חולים הלל יפה, בחברת שירביט ובאתרי אינטרנט של חברות מסחריות קיבלו תהודה רבה בתקשורת, אך אינם היחידים – חברות רבות במשק ואף אנשים פרטיים נכוו ונכווים מאירועים דומים.

מנהלי אבטחה בארגונים רבים מחפשים מענה לשאלות איך והאם ניתן להתגונן ולמנוע אירוע כופרה או לפחות למזער נזקים למינימום, כך שהפעילות לא תיפגע?

אם נצמצם את הפעולות שמבצע התוקף לאחר שחדר לארגון נראה, שעבור פעולות ההצפנה התוקף יצטרך להשתלט על נכסים מאוד מסוימים. אם לתרגם זאת לשפה פשוטה, הדרך של התוקף לפעול היא באמצעות חשבונות או שירותים מיוחסים (כאלה היכולים לפעול עם הרשאות גבוהות או שהחשבון/שירות המדובר יכול להשפיע על נכסים אחרים), ולכן התוקף ינסה להשתלט על חשבונות אלו – החשבונות המיוחסים.

מכיוון שלא רק הסיכונים מתפתחים, אלא גם הזהויות, סוגיות הגישה המיוחסת בארגונים החמירו עם השנים ונעשו מורכבות יותר הודות לטכנולוגיה הדיגיטלית המחלחלת לכל היבט של חיינו (למיקרו-שירותים, רובוטי תוכנה ושירותים וירטואליים), המעבר לענן, שיטות עבודה חדשות וחדשנות מתמשכת של התוקפים.

מתקפות אקראיות וממוקדות הוכיחו שוב ושוב שגניבת זהות מיוחסת ו/או מניפולציה שלה הפכו למרכיבים מרכזיים במתקפות הסייבר המודרניות.

לפיכך, כדי למנוע או למזער אירועי כופרה עלינו לטפל ראשית בבעיית החשבונות המיוחסים בצורה אפקטיבית, תוך התאמה בין צורכי האבטחה לבין הצרכים העסקיים. במקביל יש ליישם כלים בארגון, שיבצעו אנליטיקה של התנהגות אותם חשבונות (בדרך כלל הצפנת נכסים אינה פעולה המתבצעת על ידי משתמשים, בטח לא בהיקף רחב כפי שמתרחש בעת אירוע כופרה).

מזה מספר שנים ישנם מגוון פתרונות on-premise ו-SaaS, המטפלים באבטחה ושימוש חשבונות מיוחסים, בין אם אנושיים, או ברמת מכונה (ברמת הארגון או ברמת נקודת הקצה). פתרונות אלו מאפשרים פעולה דינמית לאירוע ולזמן שבו נדרש שימוש בחשבון מיוחס (יישום פרקטיקה של הרשאה מינימלית באמצעות מדיניות אבטחה דינמית). בנוסף, פתרונות אלו דואגים לביצוע הצפנה ואחסון הסיסמה של חשבונות מיוחסים בכספת, כמו גם לביצוע רוטציה של הסיסמה לאחר כל שימוש (כך שגם אם התוקף השיג את הסיסמה היא לא תהיה רלוונטית לשימוש).

שימוש בפתרונות אלו מאפשר למנוע מתוקף שחדר לרשת הארגון ביצוע של lateral movement (תנועה צדדית), ובכך למנוע מהתוקף להשתלט על חשבונות רגישים שיכולים לשמש את התוקף להצפנת הנכסים הדיגיטליים של הארגון.

בנוסף לכך, שימוש בפתרונות אבטחה מבוססי AI עם מנגנון UEBA אוספים ומנתחים התנהגות משתמשים ושירותים בארגון באופן אוטומטי ומאפשרים להתריע ולחסום בזמן אמת פעולות חריגות של חשבונות משתמשים (לדוגמה: תוקף ינסה למפות משאבים מקומיים ומשאבי רשת ולהצפין אותם. מדובר בפעולה חריגה, שפתרונות סייבר מבוססי UEBA יכולים לחסום ולעצור באופן מיידי טרם התרחש אירוע כופרה). התראות על התנהגות אנומאלית של משתמשים יכולה להצביע על תוקף שנמצא ברשת ומבצע את ההתקפה לאורך זמן.

מאחר שזהות והתנהגות שאינן נורמליות מהוות את החוט המקשר בין ההיבטים השונים, טיפול נכון בזהויות מיוחסות, למידת פעולתן ומעקב מתמיד אחרי חריגה התנהגותית יצמצמו או ימנעו את האפשרות ליפול קורבן לאירוע סייבר ו/או אירוע כופרה.

חשוב להדגיש, כי הדברים האמורים אינם תחליף לדברים המפורסמים על ידי מערך הסייבר (מתודולוגיה רב שכבתית של המלצות ודרכי פעולה לפני ובעת אירוע סייבר). אלה מהווים מידע לפתרונות סייבר שניתן ליישמם היום במטרה למנוע אירוע כופרה.

הכותב הוא מהנדס פרה-סייל בחברת בינת תקשורת מחשבים.