כך ניתן לחסן את מערכת ההגנה של הארגון בשלושה צעדים

כתב: עדי פרץ, מנהל הטכנולוגיות הישראלי של טרנד מיקרו.

לקראת כנס Ransomware, שייערך ביום ב' הקרוב, ה-22 בפברואר, בהפקת אנשים ומחשבים, ויעניק את הכלים המעשיים ביותר להתמודדות עם נוזקות הכופרה, אני מציע כאן כיצד ניתן להתכונן, להתגונן ו-"להתחסן" מפני מתקפות אלה.

מספר מתקפות הכופר עלה ב-2020 ב-57% לעומת 2019. כש-93% מהלקוחות שלנו מאמצים את העבודה בענן ומיישמים תהליכי טרנספורמציה דיגיטלית ועבודה מהבית, אין זה פלא שמשטחי התקיפה גדלו בצורה משמעותית. אבל, אם שואלים אותי, בדומה למלחמה בקורונה, גם כאן ניתן להקדים תרופה למכה, או "להתחסן". יש שלושה צעדים פשוטים, שכל ארגון מכל גודל ותעשייה צריך ויכול ליישם בעצמו כבר עכשיו.

קודם כל: הפרד ומשול

אחד מהצעדים הפשוטים והראשונים, שאנחנו תמיד ממליצים ללקוחות שלנו ליישם, הוא הפרדת רשתות. הרציונל הוא מניעת גישה של משתמשים ואפליקציות לאזורים שונים ברשת שלא לצרכי הארגון. לדוגמה, אין כל סיבה שמחשב ששייך לעובד ממחלקת כוח האדם יוכל לגשת לשרת הפיתוח הארגוני. יישום הפרדת רשתות ימנע יכולת מהתוקף לנצל גישה זו ויצמצם את משטח התקיפה שלו. יתרון נוסף בכך הוא הקושי המשמעותי על יכולת ההתפשטות של התוקף או נוזקת הכופר, שעה שהן כבר פעילות בסביבה הארגונית.

את הפרדת הרשתות ניתן ליישום על ידי הקשחה של חוקי FW – בין אם ברשת או בתחנות הקצה. מדובר ביכולות שכבר קיימות במרבית הארגונים ומומלץ להכניס זאת לתוכניות העבודה בהקדם האפשרי.

בנוסף, ניתן ליצור הפרדת רשתות גם בסביבות הענן המורכבות יותר ולהרוויח ניהול נכון של גישה למשאבי הענן שלא לצרכים עסקיים. טרנד מיקרו מציעה פתרון בשם CloudOne, שמאפשר לארגונים להתמודד עם אתגרים אלה.

נהלו את המנהלים

נתחיל מהסוף: ריבוי משתמשים פריווילגיים הוא כשל מערכתי לארגון. לא רק שריבוי המשתמשים מגביר את הסיכון למתקפת סייבר, אלא שהוא גם מעלה את החשיפה של עובדים לביצוע נזקים בקונפיגורציה של אפליקציות ארגוניות.

עבודה עם הרשאות משתמשים מצומצמות או Least Privileges הינה חלק מאסטרטגיה רחבה יותר שנקראת ASR (ר"ת Attack Surface Reduction), שמצמצמת את משטח התקיפה הזמין לתוקף. כמו כן, Least Privileges מאפשרים לצוות ההגנה הארגוני לזהות ולטפל באירועים אלה כבר בשלב הראשוני שלהם, על ידי מערכות הניטור הארגוניות. אנחנו ממליצים בחום לכל ארגון לבחון להשקיע חצי שעה בחודש על מנת לחשוב ולנהל טוב יותר את המנהלים שלו.

הגדירו מה נכון ומה נורמלי לארגון שלכם

אם כולנו מבינים שמתקפת כופר אינה שאלה של "האם" אלא של "מתי", כדאי לכל ארגון כבר מחר בבוקר להתחיל למפות את האפליקציות, הפרוטוקולים וכל השירותים הארגוניים הנדרשים לפעילות העסקית שלו. זאת, על מנת ליצור תמונת מצב עדכנית ודינמית, שתהווה בסיס ליצירת "נורמה ארגונית" או "תרחיש צפוי". על בסיס שיעורי הבית שתכינו בשילוב ניטור תעבורת הארגון (תעבורת רשת, פעולות משתמשים או פעולות בתחנות הקצה) ניתן לזהות בשלב מוקדם מאוד סימנים ראשוניים ליציאה מהנורמה הארגונית. אלה יכולים להיות סימנים למתקפה, וכך ניתן לזהות אותה מבעוד מועד ולמנוע נזקים פוטנציאליים.

התמודדות עם כמויות אדירות של מידע, הכנסת טכנולוגיות חדשות כחלק מהמעבר לענן ומידת התחכום המתגברת של הפורצים מערימים קשיים לא פשוטים על הארגון לזהות מראש את הפריצה, אבל בתכנון נכון ניתן להתמודד איתם.

יש לנו כיום את היכולת לחבור לצוותי ההגנה, להגיב לאירוע בזמן הקצר ביותר וביעילות רבה יותר, לחבר את כל מקורות המידע בארגון לרבות מתחנות הקצה, תעבורת הרשת, המייל וסביבות הענן, ולקבל ניראות מלאה מכל הנקודות לסיפור התקפה ברור.

פלטפורמת ה-VisionOne XDR שלנו, שהושקה באחרונה, מספקת יכולות ניהול, מניעה, זיהוי ותחקור בממשק אחד. הפלטפורמה כוללת את מגוון הפתרונות של טרנד מיקרו, לרבות הקשחה של סביבות ייצור ופתרונות לכל סביבות הענן ולעולמות ה-DevOps.

צוות טרנד מיקרו בישראל ישמח לעמוד לרשותכם על מנת לתכלל את סביבות הארגון שלכם עם Best Practices נוספים מעולמות הסייבר וההגנה על המידע.

להרשמה לאירוע לחצו כאן.