איך אתם מתכוננים למתקפת כופר? רק אל תגידו פתרון אחסון וגיבוי

ארגונים משקיעים מאמצים ותקציבים בפתרונות אחסון וגיבוי, אך שוכחים שמדובר במוצר תוכנה שחשוף גם הוא לתקיפות. אז מה עושים?

כתב אורח
5.1.25

תמונה: dreamstime

מאת: פיני כהן

יש פיל ענק ומסוכן שמסתובב בינינו ואף אחד לא מדבר עליו. טוב, אולי הוא לא ממש פיל אבל הוא בהחלט מסוכן ולא מקבל התייחסות ראויה. אני מדבר על הגנה מאיומי הכופרה, שתופסים משקל רב יותר ככל שעובר הזמן. כמה בדיוק? על פי חברת אבטחת המידע Sophos, הנזק הממוצע של התקפת כופר בשנת 2024 הוא 2.73 מיליון דולר, מה שמשקף עלייה של כמיליון דולר משנת 2023. מהצד השני, גודל השוק של "הגנת כופרה" אמור להגיע ל-89.92 מיליארד דולר ב-2031, בקצב גדול מדהים של 17.1% לשנה.


כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime


בשנים האחרונות ארגונים בכל המגזרים ובכל הגדלים חווים ומתמודדים עם התקפות כופר. תוקפים משתלטים על מחשבי הארגון, חוסמים אותם ומבקשים עשרות, מאות ואף מיליוני דולרים כדי לשחרר אותם. קו ההגנה האחרון, במקרה שהתוקף כבר הצליח לחדור לארגון, הוא פתרון האחסון והגיבוי. פתרונות אלה מציעים למשל מנגנון של גילוי הצפנה או עצירת מחיקה של קבצים שאינם בתחום הנורמה; אחסון וגיבוי שהוא read only; עותקים של אחסון וגיבוי שמנותקים מהרשת; גישה לאחסון וגיבוי באמצעות משתמשים שאינם חלק ממערך ההזדהות הארגוני (כלומר לא נמצאים ב-AD), הגדרת פעולות כ-immutable (בלתי ניתן לשינוי) – לדוגמה לאחר שקובעים שיהיו 10 עותקים לקובץ שישמרו לשנתיים, לא ניתן להוריד מספר זה לעותק אחד.

מרגישים בטוחים אבל חשופים לאיום

ארגונים משקיעים בפתרונות אלה לא מעט מאמצים ותקציבים ומרגישים שהם בטוחים לגמרי. אך האמת היא שהם עדיין חשופים לאיום שנמצא "מתחת לשטיח" – פגיעה במוצר האחסון והגיבוי עצמו.

מוצרי האחסון-גיבוי הם מבוססי תוכנה ואינם חסינים לפגיעות. למשל ארגון יכול להיפגע ולהכניס תוקף דרך עדכון התוכנה האחרון של המוצר. העובדים יכולים לשבת מול המערכת, לעבוד כרגיל ולהרגיש בטוח, אך בפועל תוקף מצפין ברגע זה את כל הנתונים בכל העותקים שלהם. תקיפות כאלה מתבצעות כל הזמן, הידועה ביותר היא SolarWinds Supply Chain Attack משנת 2020, אז תוקפים החדירו קוד זדוני לעדכון תוכנה של פלטפורמת Orion של החברה, והצליחו לגשת למערכות של אלפי לקוחות, כולל סוכנויות ממשלתיות אמריקאיות, חברות טכנולוגיה וארגונים אחרים.

למרבה הפלא, גם כארבע שנים אחרי המתקפה הזו, ברוב הארגונים לא חושבים על מצב שבו מוצר התוכנה שאמור להגן עליהם יותקף בעצמו, ומן הסתם גם ההנהלה אינה מודעת לסיכון הזה. אז מה עושים? הדבר הראשון הוא לדבר על הפיל עם ההנהלה ולוודא שהם מודעים למצב. ולגבי הפתרון, ובכן אין פתרון ב-"ה" הידיעה. מה שאפשר לעשות זה להקטין את הסיכון, אך לא למנוע אותו לחלוטין. אפשר לבנות עותק נוסף בטכנולוגיית אחסון וגיבוי אחרת, בתקווה שתוקף לא יפגע בשני המוצרים באותו זמן.

אפשר גם לחזור לגיבוי בקלטות, שם קבועי הזמן להצפנה גדולים יותר, ולהכניס גם מנגנון שבודק שהקלטות לא מוצפנות ומאפשרות שחזור. גם יצירת עותק נוסף בענן הציבורי עשויה להקטין את הסיכוי, משום שההנחה היא שהעננים הציבוריים חשופים יותר ולכן בעלי ניסיון רב יותר בהגנה. נכון, כל הפתרונות משאירים את הארגון עם חשיפה מסוימת, אך הם עדיפים על הסתמכות על מוצר אחד בלבד.

הכותב הוא CTO, סמנכ"ל ואנליסט בכיר ב-STKI

 

משרות פתוחות

אולי פיספסת

קטגוריות

זה המקום להכיר את החברות, המשרדים וכל מי שעושה את ההייטק בישראל (ויש גם מלא משרות פתוחות!) #תוכן מקודם