רגע לפני ששולפים את הארנק – איך ניתן להתגונן בפני מתקפות כופר?

מאת שלומי פרייס, מנכ"ל נטאפ ישראל

‍

מתקפות הכופר נגד חברות עסקיות בארץ ובעולם שעלו לכותרות לאחרונה, הן תזכורת כואבת לתופעה המתרחבת של מתקפות מסוג זה. מסתבר שגם חברות גלובליות עתירות מערכי אבטחה אינן חסינות מפני מתקפות כופר – והן נאלצות לשלם לעתים מיליוני דולרים כדי שההאקרים ישחררו את השרתים שנלכדו על ידם ויאפשרו חידוש הפעילות העסקית. 

בשנת 2017 נרשמה צמיחה של 32% במספר משפחות הכופרה. נוסף לכך, על אף שמספר הפריצות ירד בשנת 2017 בהשוואה ל-2016, הרי שמספר הרשומות שנפגעו צמח בשיעור של 49% על פי נתוני ה-FBI. הדבר מעיד על היעילות המשופרת של מתקפות הכופר שהצליחו. כופרה היא תוכנה זדונית שמגבילה או משביתה את השימוש במערכות או במשאבים עד שהארגון המותקף משלם את הכופר הנדרש. אף כי מתקפות כופר תוקפות עסקים וארגונים, הרי שמתקפות עלולות לפגוע גם במשתמשים פרטיים.

‍

המתקפות נחלקות לשני סוגים מרכזיים:

כופרה מוצפנת – משתמשת באלגוריתמים כדי להצפין קבצים וגישה למשאבים. התוכנה תובעת כופר בתמורה למפתחות ההצפנה. זו היא השיטה הנפוצה ביותר שעמה מתמודדים כיום הארגונים.

תוכנה נועלת – נפוצה במתקפות נגד משתמשים פרטיים אם כי היא משמשת למתקפות גם נגד עסקים וארגונים. שיטה זו נועלת את הגישה לשרת המארח או למערכת ההפעלה. כיוון שהיא תוקפת בדרך כלל משתמשים פרטיים, הרי שסכומי הכופר שנדרשים נמוכים יותר ונעים בין 100 דולרים למאות דולרים. בתרחיש אופייני משתמש עלול לקבל הודעה שהגישה למחשב הביתי ולתמונות ננעלה ויש לשלם כופר כדי לפתוח מחדש את הגישה.

נתיבי התקיפה של תוכנות כופר משתנים ומשתכללים כל העת וכוללים כיום בין היתר: דואר אלקטרוני, כתובות להורדת קבצים, ערכות פריצה, קבצי כופרה ישירים כונני USB וכונני זיכרון פלש ועוד. בנוסף לנתיבים הללו המתודולוגיות שבהן נעשה שימוש כדי לשכנע את המשתמשים לשלם את דמי הכופר משתנות גם הן וכוללות בין היתר: מסורית (Jigsaw) – איום להשמיד קבצים מידי שעה עד שדמי הכופר ישולמו ונתיב ההפתעה – הגדלת דמי הכופר עם הארגון שנפגע אינו עומד במועד התשלום הנדרש. התפתחות נוספת נוגעת לתוכנות זדוניות שמנצלות חולשה התנהגותית, לדוגמה CRYPSAM שתוקפת שרתים שלא הותקנו בהם הגנות. תוכנות כופרה אחרות תוקפות סגמנטים של הרשת, קבצים הקשורים לבסיסי הנתונים, דו"חות מס ואפילו קבצים הקשורים לשרתים מארחים.

חברת NetApp מספקת כיום מגוון טכנולוגיות ייעודיות להתראה על התקפות שכאלה והגנה על המידע בשל מתקפות כופר, וכמובן טכנולוגיות לתיקון המערכות שהותקפו. הן מתווספות לשכבות האבטחה הקיימות המגינות על הארגון בפני כל סוגי המתקפות. ההתראה היא מרכיב חיוני בהתגוננות בפני תוכנות זדוניות שכן בעת שהן מצפינות קבצים נוצרת האצה בקצב השינוי של הקבצים ויעילות האחסון פוחתת – ואלה הם סימנים מזהים לחדירת תוכנות זדוניות. הפתרונות של NetApp מספקים כלי ניטור שמסייעים לזהות תוכנות כופר באמצעות השוואת השינויים בחתימות הנתונים  שאינם מאופיינים בדפוסים הרגילים.

בין הטכנולוגיות המרכזיות:

· FPolicy לחסימה או לסינון תעבורה – הפתרון מספק מתודולוגיה המאפשרת לארגון לסנן או לחסום תעבורה על בסיס סיומות של קבצים או נתוני MetaData של קבצים שאופייניים לקבצי כופרה (לדוגמה .XRNT, .RDM, .locky). יכולת זו מסוגלת לסכל מתקפות כופר רבות.

· פתרון הערכת סיכונים למתקפה (Assessment) - הפתרון מבצע הערכה של מידת הסיכון של מתקפת כופר על בסיס מספר עותקי ה-Snapshot. בעוד שרמת הסיכון תלויה בסופו של דבר בקצב השינוי של הנתונים, הרי ש-Volume ללא עותקי Snapshot מוערכים ברמת סיכון גבוהה מאוד, לאור ההשפעה הפוטנציאלית של מתקפת כופר עליהם. בנוסף להערכת סיכונים ברמת ה-Volume, הפתרון מנתח כל בקר שמותקן במערכת של NetApp. יכולת זו מאפשרת לארגון להחליט החלטות מושכלות בתחומי הגיבוי והשימוש בטכנולוגיית Snapshot של NetApp.

· שחזור קבצים – פתרון ה-Snapshot של NetApp המוטמע בכל רקמת הנתונים של הארגון מאפשר שחזור קבצים על בסיס תמונות (Images) שלא נפגעו. עותקי Snapshot הם עותקים ליום ושעה ספציפיים שמאבטחים קבצים ללא השפעה על הביצועים ועם נפח אחסון מינימלי. ניתן ליצור "תמונות" של קובץ אחד או פתרון שלם להתאוששות מאסון. באמצעות טכנולוגיית Snapshot ניתן לבצע את הפעולות הללו ביעילות בעת שהאפליקציות ממשיכות לרוץ. העותקים נוצרים תוך פחות משנייה בממוצע ללא תלות בהיקף ה volumes, תעבורת הנתונים או הפונקציה. פתרון SnapRestore לשיקום נתונים – הפתרון מספק רכיב אקטיבי לשיקום נתונים החל מקובץ בודד ועד קבצים בהיקף של טרה בתים, כולל יכולת לשיקום אוטומטי. התהליך מהיר ביותר ואינו תלוי בנפח האחסון או במספר הקבצים שיש לשקם.         

מתקפות הכופר נגד ארגונים מתייעלות והופכות למסוכנות יותר. ההאקרים מחדשים ומגוונים כל העת את טכנולוגיות ושיטות התקיפה אך במקביל, ספקי הפתרונות אינם שוקטים על השמרים ומפתחים טכנולוגיות חדשות שמצמצמות את מרחבי התקיפות ואת נזקיהן. רגע לפני ששולפים את הארנק כדי לשלם כדאי להצטייד בהן – ויפה שעה אחת קודם.