כך אפשר לנצח את מתקפות הכופרה

כתב: אריאל צייטלין, ממייסדי וה-CTO של גארדיקור (Guardicore).

בזמן שהמגמה במשק העולמי מציין השנה היא של סטטיות, בעקבות משבר הקורונה, מסתמנת באופן ברור התפשטות התופעה של מתקפות הכופרה. מטרתם של ההאקרים היא להגביל את גישת הארגונים לרשת המחשוב באמצעות הצפנת קבצים ולדרוש בתמורה דמי כופר.

חדירת תוכנת כופר טיפוסית מתבצעת בארבעה שלבים מרכזיים, שמתקדמים באופן הבא:

• החדרת סוס הטרויאני, שנעשית באמצעות מייל או הודעה על צורך בתיקון שרת.
• קבלת הרשאות כמנהל תחום.
• הצפנת שרתי הגיבוי של הארגון – שלב זה מבוצע על מנת למנוע התאוששות עתידית של הארגון מהמתקפה.
• שימוש באקספלויטים המנצלים את פרצת האבטחה לצורך הפעלת הקוד הזדוני, דוגמת ה־EternalBlue.

מהלכי ההשתלטות נעשים באופן פשוט, אולם מרגע שיש לתוקף דריסת רגל ראשונה ברשת הארגון, עלול להיגרם נזק עצום. על כן, חשוב לציין שניתן להימנע מרוב רובן של המתקפות האלה, או לגבור עליהן לאחר שהן כבר קרו.

גארדיקור

מה כדאי לעשות?

להיערך מבעוד מועד – הכנת קו הגנה חזק
בשלב הכנת קו ההגנה מבוצע מיפוי של רשת המחשוב, והוא כולל זיהוי נקודות של התורפה ברשת הארגונית ונקודות אופציונליות לפרצה, שעלולות לחשוף אותה למעשי זדון.

כמו כן, בשלב זה נבחנים שרתי הנתונים, הגיבויים המהותיים וחבילת ה-Active Directory, כמו גם הגבלת ה־RDP, התקשורת בין המחשבים (ה-SSH) ושרתים נוספים, שחושפים את רשת הארגון למתקפה.

הגנה במצב של התקפה
הדבר מתקיים לאחר שמתגלה שתוכנת הכופרה הצליחה לחדור לרשת המחשבים של הארגון, ונועד להגביל את התפשטות התוכנה בצורה רוחבית.

תהליך זה נעשה באמצעות חסימה מהירה של תעבורת הנתונים בין המשתמשים השונים בארגון, סימון היישומים הקריטיים ביותר להגנה והגבלת הגישה אליהם, תוך שמירה על תשתית הרשת הארגונית ועל יישומי היצור.

בשלב זה מומלץ לבצע צעדים מהירים, ובהם: חסימת פרוטוקול SMB, FTP וכל תהליכי תקשורת המתבססים על הרשאות משתמשים. כמו כן, עצירת פרוצדורת RPC ו־WinRM.

זיהוי של תנועת תוכנת הכופרה בשלבי התהוותה
ניתן לבלום את המתקפה עוד בטרם היא הופכת לאסון נרחב באמצעות מספר כלים אפקטיביים לאבטחה. במערכות האבטחה רצוי שיינתן דגש על מנגנוני סריקה יעילים לאיתור תנועת תוכנות זדון שפועלות בטכניקות התפשטות רוחבית מתוחכמות.

כמו כן, כלי אבטחת הסייבר ייזום מעת לעת הפעלה של טכניקת ציד איומים ויתריע מפני התנהגויות חשודות.

תיקון במקרה של מתקפה
כאן, בעת שאותרה תוכנת כופר ברשת הארגון, הפעולה הנדרשת היא פריסה מהירה של מרב אמצעי ההגנה הקיימים, ובמרכזם הגנה על שרתי הקבצים והגבלת נתיבי ההתפשטות של הכופרה באופן רוחבי לאזורים נוספים ברשת.

התאוששות וחזרה לשגרה
לאחר עצירת פעילות הזדון מתקיים תהליך של חזרה בטוחה לשגרה. בשלב זה חשוב לבחון שהגיבויים או היישומים המשוחזרים אינם פגיעים להדבקה חוזרת. אמצעי הגנה שמקל על קיום שלב ההתאוששות בצורה בטוחה ונקייה יוצר טבעת וירטואלית סביב היישומים המשוחזרים.

גארדיקור חרטה על דגלה להוביל את מהפכת הסגמנטציה באמצעות פתרון תוכנה יעיל, גמיש ופשוט ליישום.

במסגרת כנס IT & Security של אנשים ומחשבים, שיתקיים מחר (ג'), אסביר כיצד אפשר למנוע מבעוד מועד מתקפות מהסוג של בקשת כופר, להילחם ולמזער את נזק התקיפה, במידה שכבר חדרה לארגון.

להרשמה לאירוע לחצו כאן.