המטרה: להחזיר את הארגון לפעילות אחרי מתקפת כופר

ראם חזן מחברת INFINIDAT מסביר כיצד להתמודד עם איום הכופרה באמצעות גיבוי נתונים 'לקריאה בלבד' ובדיקת שחזורים תקופתית

ראם חזן, Tech Sales Director בחברת INFINIDAT. קרדיט צילום: INFINIDAT

ביום שישי ה- 13 לחודש דצמבר (באופן אירוני, או אולי מכוון), עיריית ניו-אורלינס חוותה התקפת משמעותית שהובילה את ראש העיר להכריז על מצב חירום. על פי הפרסומים, לאחר שזיהתה את הפעילות החשודה, העיר כיבתה את כל המחשבים והשרתים שלה והחלה לעבוד במתכונת של עט ונייר במשך ימים ארוכים. האקרים הדביקו כ- 4,000 מחשבים בעירייה בתוכנה זדונית. נכון שנציגים רשמיים טענו תחילה כי העיר תוכל לאושש את המידע שאבד, אך נכון לעת זו, בחלוף מספר שבועות מההתקפה, עדיין לא ברור מתי מידע זה יוכל להיות משוחזר.

ההתקפה על ניו-אורלינס היא רק אחת מתוך רשימה ארוכה של התקפות כופרה על מוסדות ציבוריים ופרטיים שהתרחשו בשנה החולפת. ארגונים רבים הפכו לאטרקטיביים לתקיפות כופרה בשל מערכות הגנה חשופות, באופן יחסי, בשל מגבלות משאבים ובשל חוסר יכולת התאוששות מהירה למידע קריטי, דבר שמוביל פעמים רבות ארגונים בלית ברירה להיענות לדרישות תשלום הכופר.

ומכאן, שמעבר ליכולות הגנה מפני החדרת תוכנה זדונית, אשר הינן תמיד מוגבלות לרמה מסוימת, גבוהה ככל שתהיה, המקרה של ניו-אורלינס ושל ארגונים רבים אחרים מלמד על חשיבות היכולת לשחזר מידע במהירות על מנת לאפשר לארגון לעמוד בחזרה על הרגליים ומצביע על היקף הנזק האדיר שיכולה לעשות התקפה מסוג זה, הן למוניטין של ארגון, הן ליכולת התפעולית שלו והן לפעילות העסקית שלו.

עוברים לשימוש בעט ונייר?

ניו-אורלינס אינה בודדה במערכה. לאור הצלחתן, נמצאות התקפות כופרה בעליה מתמדת, והופכות מתוחכמות וחכמות יותר ויותר. דוח שפורסם לאחרונה על ידי Verizon מדרג את התקפות הכופרה כאחד מהאיומים השכיחים ביותר בשנה החולפת. דווחו כ- 53,308 מקרים של אירועי פריצות אבטחה בארגונים, ו-39% מהם היו התקפות כופרה. תחזיות שפורסמו לאחרונה מעידות כי בשנת 2020 הן ימשיכו להתחזק ויהיו ממוקדות יותר. המאבק של הארגונים באיום הכופרה ימשיך להתקיים ביתר שאת בשנים הקרובות, כאשר מנהלי מערכות מידע ואבטחת מידע יגבירו את האמצעים להגנה ולצמצום האיום, לזיהוי מהיר שלו ולהתאוששות מהירה ממנו. 

יחד עם זאת, אף ארגון אינו חסין בפני התקפות אלו. הדעה הרווחת בקרב מומחי אבטחת מידע היא שלא ניתן לייצר סביבה מאובטחת באופן הרמטי, ולכן נדרשים, נוסף על אמצעי ההגנה, גם אמצעים להתאוששות מהירה לצורך השבת המידע התקין במקום זה שנפגע וחזרה מהירה וחלקה ככל היותר לעסקים כרגיל. הרי ללא ספק, אף ארגון לא רוצה למצוא את עצמו חוזר לעבודה עם עט ונייר, כפי שעיריית ניו-אורלינס נאלצה לעשות, ובהחלט לא רוצה לאבד את נכסי המידע החשובים שלו לזמן בלתי ידוע. כשמדובר בארגונים עסקיים, תוצאה כזאת יכולה להיות הרסנית ואף להוביל להתמוטטות כלכלית של החברה. עפ"י הדו"ח של Verizon נזקי כופרה לארגונים בשנה החולפת עברו את ה- 8 מיליארד דולר.

כפי שציינתי, ארגונים רבים מודעים לעובדה כי בשלב זה או אחר הם עלולים למצוא את עצמם מותקפים ונפגעים על ידי תוכנות זדוניות אלו. השאלה המתבקשת שנשאלת כיום בארגונים רבים הינה: תוך כמה זמן ניתן להחזיר את הארגון לפעילות תקינה וכיצד ניתן לצמצם את הנזק באופן היעיל והמהיר ביותר?

המטרה – שחזור מידע מהיר ואמין

מזה שנים ארוכות, מיישמים ארגונים פתרונות גיבוי על מנת להגן על עצמם במצבי חירום ואסון ולאפשר שחזור של מידע. יחד עם זאת, גישת הגיבוי המסורתית, בעידן הדיגיטלי בו אנו חיים, כבר אינה מספיקה ואינה עונה באופן איכותי על הצורך המדובר. ראשית, הגיבויים בדרך כלל מציעים תמונת מצב של המידע שהיה קיים כיממה לפני האסון (ולעיתים אף יותר), כך שמידע שנאגר במהלך היום עד רגע האסון אובד. יתרה מכך, תהליך שחזור המידע מגיבוי הוא ארוך ובדרך כלל יקר, בעיקר מאחר שזמינות המידע עדיין לא קיימת בזמן תהליך השחזור, המערכות אינן פועלות באופן תקין, העסקים אינם מתנהלים כרגיל ומכירות, טרנזקציות כלכליות רבות אובדות. חמור אף יותר, כונני הגיבוי במקרים רבים חשופים להצפנה גם הם, כך שלמעשה, המידע אינו נגיש ואינו ניתן לשחזור כלל.

המפתח לפתרון הינו האפשרות לשחזור מידע באופן מידי לכל נקודה בזמן. יכולות אלו נמצאות כיום באופן מובנה במערכות אחסון מידע מתקדמות. הללו מאפשרות ביצוע snapshots, כלומר תמונת מצב של המידע במערכת, כל מספר שניות עד דקות, ללא השפעה על ביצועי המערכת ועל השירותים אותם היא מספקת. עם בניה של מדיניות חכמה להגנה על המידע, תמונת המצב יכולה להישמר בצורה הדרגתית (גרנולרית) לאורך זמן רב, דבר שמאפשר לחזור כמעט לכל נקודה בזמן באופן מידי ולהנגיש את המידע שהיה קיים בה. יתרה מכך, מערכות אחסון חכמות מאפשרות נעילה של ה- snapshot, באופן שלא ניתן לשנות אותו או להצפין אותו בשום צורה, גם לא על ידי מנהל המערכת. המידע הנעול הינו לקריאה בלבד ולכן לא נתון להתקפות כופרה למשך כל זמן הנעילה. השילוב של מנגנון snapshots יעיל וגרנולרי ונעילת המידע, מאפשר בכל רגע נתון לשחזר את המידע או להנגיש אותו באופן מידי לאחר גילוי ההתקפה וההצפנה, עד למספר רגעים לפני ההצפנה.

המטרה של כל ארגון היא שתהיה בידו היכולת לשחזר את המידע או להנגישו מיד לאחר התקפת הכופרה כדי למנוע אסקלציה של ההתקפה. חשוב לזכור שהנזק של ההתקפה הולך וגדל ככל שעובר הזמן ומתרחקים ממועד ההתקפה. גם אם ארגון הצליח להעלות בחזרה את כל המערכות שלו אחרי התקפה, אך המהלך לקח לו זמן רב, הוא כבר איבד מכירות, מוניטין, לקוחות ונכסים חשובים נוספים. לעיתים היקף הנזק מתגלה חודשים לאחר ההתקפה. ארגונים חייבים לעשות שינוי בתפיסה ולעבור למערכות אחסון חכמות מהדור החדש אשר יכולות להבטיח להם גמישות וזמינות כפי שמצפים מהם לקוחותיהם.

המאמר נכתב על ידי ראם חזן, Tech Sales Director בחברת INFINIDAT