"כדי להתמודד עם כופרות היטב צריך להגן גם בתוך ה-'טירה'"

"נכון להיום, רוב הארגונים בנויים בצורה של 'טירה' בהיבט של האבטחה. הם מוכנים להגנה על ההיקף של ה-'טירה' – חופרים תעלות, מרימים מגדלים ומכינים לה כניסה מאובטחת, והכול לאחר בדיקה. אבל, ההשקפה הזו אומרת שלא צריך להגן בתוך ה-'טירה' עצמה, כי היא יוצאת מנקודת הנחה שאף אחד לא יצליח לחדור פנימה. זו תפיסה שכיום אי אפשר לצדד בה ואסור לבחור בה, כי היא פשוט לא נכונה, בטח כששואלים מה זה להתמודד עם כופרה על הצד הטוב ביותר ב-2024", כך אמר עידו כהן, מהנדס טכנולוגיה בנט-אפ ישראל.

כהן דיבר בוועידת הפסגה Top Summit 2024 של אנשים ומחשבים, שנערכה בתחילת השבוע במרכז האירועים והכנסים לאגו שבראשון לציון. הוועידה, שהנחתה דפנה ליאל מחדשות 12, סימלה את היציאה לדרך של השנה חדשה ועסקה בהתמודדות עם סביבת אי הוודאות שקיימת בימים אלה של מלחמה.

לפני אולם מלא, כהן התייחס לכך שצריך להיות מוכנים למתקפות כופרה, וכמו כמעט בכל היבט של שוק הטכנולוגיה – איך להתמודד עם מתקפות כאלה על ידי שימוש בבינה המלאכותית וביכולות החדשות שהיא מאפשרת.

ארגון דימיוני, שבו מבצעים גיבוי פעם בשעה

כדי להסביר מדוע ארגון לא יכול להרשות לעצמו התייחסות שאומרת "ליתר ביטחון, במידה שיפרצו – והרי אין סיכוי שזה יקרה, אבל אם כבר – ניקח איזשהו גיבוי ונהיה מוכנים לכל תרחיש שיהיה, ובמידת הצורך נשחזר", הוא הציג ארגון שבו מבצעים גיבוי פעם בשעה.

"זה מאוד ורוד, כי מי עושה דבר כזה בכלל?", שאל שאלה רטורית. "אבל נגיד שיש ארגון כזה, ואז יום אחד הדברים לא הולכים כתיקונם והארגון 'חוטף' כופרה שיכולה להגיע במכוון, באמצעות משתמש פנימי או בקובץ נגוע שחדר את המערכת. ונניח שזה קרה, איך לא, בדיוק שנייה לפי הגיבוי הבא". "במתקפת כופרה", ציין, "נכנסים לציר זמן שמוגדר כזמן התאוששות, שמורכב ממשך ההדממה, כשהמערכת למטה ויודעים שיש בעיה, כי מתחילות להגיע תלונות של משתמשים. השלב השני הוא זמן התגובה, שלאחריו השירות חוזר. ניתן לכנות את הכול ביחד RTO – יעד זמן השחזור. זאת, עוד לפני שמשחזרים את המידע אודות החומרים שאבדו במתקפה – RPO. רק אחרי כל זה אפשר לחזור לשגרה, לחזור לעבוד באמת. זה לא נחמד".

איך מבדילים בין קובץ תקין למוצפן?

המצב המתואר לעיל כולל כמה הנחות סמויות: מעבר לגיבוי מהיר יחסית, ההנחות הן שהגיבויים אכן מצליחים, שהשחזור לוקח כמה שניות ולא שעות וימים, ושהמצב אחרי מתקפת הכופרה הוא שהארגון מושבת ולא יכול לטפל בנתונים שלו – מה שאומר שהוא מפסיד כסף. במקרים גרועים יותר זו יכולה להיות מתקפת כופרה שעלולה להוביל אפילו לפגיעה בחיי אדם.

לדברי כהן, "המצב הזה מכיל בתוכו כמה אתגרים: הראשון הוא איך מבדילים בין קובץ תקין למוצפן. הפתרון הוא חסימת סיומות קבצים. רוב הכופרות בנויות כקבצים במכנה הפשוט ביותר, והן משתמשות בסיומות קבצים שמוכרות בשוק ובתעשייה. במערכת של נט-אפ יש יכולת לחסום את כל הסיומות הללו, ברשימה שמתעדכנת פעם בכמה זמן, ובקליק אחד מאפשרת לחסום מתקפות כופרה רבות. זה מוביל לכך שהמנהלים והמשתמשים הארגוניים כלל לא יודעים שהייתה מתקפה על הארגון שלהם".

"במקרה הזה מדובר בכופרות פשוטות, אבל יש בשוק מגוון רחב של כופרות שהן הרבה יותר מורכבות, ולעתים פושעי הרשת מפתחים כופרה ייעודית לארגון שהם תוקפים – ואז רמת האתגר עולה", המשיך. "מנהלי אבטחה חכמים רוצים ללמוד אנומליות באופן חכם. המערכת שנט-אפ מציעה כוללת יכולת שלומדת את דפוס העבודה היומיומי של הארגון, וברגע שהיא מזהה משהו חריג, היא מיד עושה גיבוי מהיר ושולחת הודעות לכל בעלי התפקידים הנבחרים. אלא שלפעמים, כמה שניות מספיקות כדי שכופרות ישפיעו על קבצים מסוימים בארגון, ומטבע הדברים, מנהל האבטחה או המנמ"ר רוצה לזהות מה נפגע במתקפה. באמצעות שימוש בבינה מלאכותית, המערכת של נט-אפ יכולה להציג במסך אחד את פרטי המתקפה, איזה משתמש ביצע אותה, האם הוא עשה זאת במכוון או בטעות, או שהשתלטו לו על השם והסיסמה, ועל אילו קבצים הכופרה השפיעה. הפתרון מאפשר, בלחיצה אחת, להיכנס לנקודה המדויקת שעליה השפיעה המתקפה".

"האתגר השלישי, מעבר למניעה ולהתרעה, הוא שכופרות חכמות לא משפיעות באופן מיידי, אלא דוגרות במערכת ומחפשות את בעלי ההרשאות הגבוהים כדי לתקוף", הוסיף כהן. "הפתרון לכך הוא הפרד ומשול. השיטה של נט-אפ היא שלא משנה באיזה משתמש מדובר, גם אם הוא ברמה גבוהה – הוא לא מקבל אישור לפעולות מסוימות ומוגדרות, אלא אם יש לכך אישור של משתמש מורשה נוסף. המערכת גם מאפשרת לנעול כל גיבוי שיש במערכת עד 30 שנה, וכל מנהלן שינסה למחוק אותו – לא יצליח. הוא אף תומך בכל סוגי האוטומציה הקיימים, כדי לספק תוכנית להתאוששות אוטומטית, שבקליק אחד יכולה להחזיר את הארגון למצבו לפני המתקפה".