הגנה התקפית: שימוש בטכניקות הטעיה כנגד מתקפות כופר
מגמת מתקפות הכופר שהתגברה מאוד במהלך שנת הקורונה ממשיכה להתעצם. משה בן סימון מחברת פורטינט סוקר את הסכנות ואת הדרכים לרתום הטעיית סייבר למאבק
ישראל דיפנס
| 28/05/2021
משה בן סימון. צילום: יח״ת, באדיבות פורטינט
פושעי הסייבר פעלו במהלך השנה האחרונה כדי למקסם את היכולת שלהם לנצל את מגפת הקורונה בדרכים ובסדר גודל חסרי תקדים. המעבר המהיר לעבודה מרחוק שימשה כהזדמנות מיידית עבור הפושעים להתמקד בעובדים המתחברים למשאבים תאגידיים תוך שימוש ברשתות והתקנים ביתיים לא מאובטחים ולהשיק מתקפות כופר. גם השנה, מגמה זו ממשיכה להתפשט, כאשר מתקפות הכופר האחרונות התמקדו בסחיטה או בהפסקת פעולות קריטיות.
מתקפות הכופר השכיחות ביותר שנראו עד כה במהלך המגפה התחילו משימוש בהנדסה חברתית. טכניקות הנדסה חברתית אשר בוצעו כהלכה, לרוב בצורות של אסטרטגיות של phishing או spear phishing, יכולות לרמות משתמשים לחשוף מידע קריטי, החל מסיסמאות, חשבונות פיננסיים ועד למידע אישי רגיש. כיום, ההנדסה החברתית משולבת עם טכניקות פריצה והפצת תוכנות זדוניות כדי להניע מתקפות מתוחכמות יותר ויותר.
תוצאה אחת של שימוש בטכניקות הנדסה חברתית כנגד העובדים המרוחקים הייתה העלייה במתקפות כופר – פי 7 במחצית השנייה של 2020. רצף התקיפה מתחיל על ידי ניצול דאגות הקשורות למגפה, יחד עם אירועים חברתיים אחרים כמו בחירות ועוד. ארגונים ברחבי העולם מדווחים על מתקפות סייבר המערבות תוכנות כופר, כאשר מדובר במגמה אשר צפויה להמשיך להשפיע על כל סוגי הארגונים.
במתקפת כופר טיפוסית, ההאקרים משתמשים בפישינג או באמצעים אחרים כדי להכניס את התוכנה הזדונית אל מערכת המחשב של הקורבן, אשר לאחר מכן מופצת על פני הרשת. ברגע שמספיק מערכות נפרצו, ההאקר מפעיל את התוכנה הזדונית כדי להצפין את כל המערכות הנגועות ולהפוך את הקבצים והנתונים על ההתקנים הללו לבלתי נגישים עבור הארגון. אז, התוקף מנסה לחלץ תשלום כספי בתמורה למפתח הדרוש כדי לפענח את הקבצים שנפגעו.
כאשר גורם עוין משתמש בתוכנת כופר כדי למנוע את הגישה לנתונים שלכם, ההנחה היא כי תשלמו כל מחיר כדי להחזיר אותם לרשותכם. אם לא תשלמו, התוקף יציע אותם למכירה ב-DarkNet. יחד עם זאת, אנו רואים גם מספר הולך וגובר של מקרים בהם הקורבן משלם את הכופר, אך לעולם לא מקבל את מפתחות הפענוח הדרושים לו כדי לשחזר את הרשת שלו. או במקרים קשים יותר, תוכנת הכופר כבר הספיקה להשמיד את הרשת על ידי מחיקת הדיסקים של שולחנות העבודה והשרתים למרות שהכופר שולם.
מתמודדים עם מתקפות כופר באמצעות הטעיה
הגנה על הארגון מפני מתקפות כופר צריכה לכלול פעולות כמו שמירת גיבויים מעודכנים של הקבצים הקריטיים מחוץ לרשת וסריקת ההתקנים השונים המחפשים גישה לרשת כדי לזהם אותה בתוכנות זדוניות. אך זוהי רק ההתחלה. צריך להבין גם כיצד תוכנות הכופר פועלות, היות וזה יעזור לנו להשתמש בטכניקות של תוכנות הכופר נגד עצמן.
תוכנות כופר משתמשות לרוב בטכניקות מתוחכמות כדי לחדור לארגון ולפגוע בנקודות הקצה, אך המטרה העיקרית שלהן היא להצפין את הקבצים שלהם. במקום להיאבק בתהליך, אתם יכולים להפנות באופן חשאי את תוכנות הכופר רק לקבצים מוצפנים מזויפים – קבצים אותם יצרתם בכוונה ומיקמתם ברשת כדי לפתות תוקפים עתידיים.
כאשר התוקפים ינסו להצפין את הקבצים המזויפים הללו, הם יחשפו את עצמם ואת כוונותיהם ויחשפו את הקיום של התוכנה הזדונית שלהם לפני שיוכלו לעשות נזק כלשהו. במילים אחרות, אסטרטגיה של מתקפת נגד עוצמתית במיוחד היא להונות את תוכנת הכופר כדי לפעול נגד יעד בלתי מזיק שאנחנו בחרנו, מה שיפעיל התרעה ויחשוף אותה. הדבר אפשרי באמצעות שימוש בטכנולוגית הטעיית סייבר (Cyber Deception).
הטעיית סייבר מאפשרת לארגונים ליצור במהירות רשת מזויפת אשר פורסת אוטומטית מלכודות שלא ניתן להבדיל בינן לבין התעבורה והמשאבים הנמצאים בשימוש הרשת האמיתית. רשת מדומה זו משולבת באופן רציף עם תשתית ה-IT/OT כדי לפתות את התוקפים לחשוף את עצמם.
טכנולוגית ההטעיה לא מתקינה סוכן על נקודת הקצה, לא דורשת כל שינוי של הרשת ולא מסתמכת על חתימה או מנוע חריג. אם כך, כיצד טכנולוגיה הטעית הסייבר מוצאת ומונעת את מתקפות הכופר? התשובה היא השימוש בפעילות ההצפנה של תוכנת הכופר נגד עצמה.
שימוש בהטעיית סייבר נגד מתקפות כופר
- פתרונות הטעיה מתחילים באמצעות הגדרה ופריסה של כונן רשת מזויף על פני כל נקודת קצה/שרת ברשת שלכם. רשת מדומה זו מוחבאת ממשתמשים רגילים כדי למנוע מהם ללחוץ על המערכות שנועדו למשוך את התוקפים וליצור התראות שווא.
- כונן הרשת המזויף מכיל קבצים ותהליכי עבודה מזויפים אשר קיימים כדי לחשוף את התוקף ו/או את תוכנת הכופר הזדונית.
- כונן הרשת המזויף ממופה באמצעות שימוש בפיתיון הרשת אשר פועל כמו שרת קבצים מזויף, המלא בתעבורה וקבצים מזויפים.
- כל כלי הטעיית סייבר יעיל צריך להשתלב במלואו עם כלי אבטחה של צד שלישי, כמו בקרת רשת (NGFW), בקרת גישה לרשת (NAC) ואנטי-וירוס של הדור הבא, כך שניתן יהיה לטפל בכל זיהוי של פעילות זדונית במהירות.
- ברגע שתוכנת כופר משפיעה על נקודת קצה ומתחילה להצפין כוננים מקומיים וכונני רשת, הפיתיון (שרת קבצי רשת מזויף) יכול לאתר מיידית את הפעילות הזדונית שלה ולהאט את תהליך ההצפנה, תוך מינוף של אחד מכלי האבטחה הקיימים כדי להגביל או למנוע נזק באופן אוטומטי ובמקביל, לבודד את נקודת הקצה שנפגעה כדי להגן מיד על שאר הרשת.
טכנולוגית הטעית הסייבר לא רק משתמשת בטכניקות של תוכנת הכופר נגד עצמה כדי להפעיל את איתורה, אלא חשוב יותר, היא חושפת את הטכניקות, הכלים והתהליכים של התוקף אשר הובילו לכניסתו המוצלחת לרשת, כך שניתן יהיה לטפל בנקודות התורפה הללו ברמת ארכיטקטורת האבטחה. הטעיה יעילה צריכה לספק מודיעין איומים קונטקסטואלי הניתן לשימוש כדי לאתר כיצד התוקף פרץ לארגון – למשל, באמצעות פרטים אישיים חלשים או גנובים או נקודת קצה או שרת פגיעים אשר אפשרו את התפשטות תוכנת הכופר – כך שניתן יהיה לסגור את פערי ההגנה הללו.
הטעיה כחלק ממארג אבטחה מקיף כדי לעצור את מתקפות הכופר
יש לשלב את טכנולוגית ההטעיה במלואה עם פתרונות פיירוול של הדור הבא, בקרת גישה לרשת, ניהול אבטחת מידע ואירועים, Sandbox, SOAR – אורקסטרציה, אוטומציה ותגובה אוטומטית ו-EDR – איתור ותגובה לנקודות קצה, לצורך תגובה ומניעה אוטומטיות בהתבסס על איתור תוכנת הכופר. שילוב של טכנולוגית הטעיה עם פלטפורמת אבטחה מקיפה יאפשר לארגונים לאתר ולהגיב למתקפות, כמו מתקפות כופר, הרבה לפני שהן ישיגו את מטרותיהן הזדוניות.
מאת משה בן סימון, סגן נשיא לתחום ניהול מוצר, פורטינט
מגמת מתקפות הכופר שהתגברה מאוד במהלך שנת הקורונה ממשיכה להתעצם. משה בן סימון מחברת פורטינט סוקר את הסכנות ואת הדרכים לרתום הטעיית סייבר למאבק
משה בן סימון. צילום: יח״ת, באדיבות פורטינט
פושעי הסייבר פעלו במהלך השנה האחרונה כדי למקסם את היכולת שלהם לנצל את מגפת הקורונה בדרכים ובסדר גודל חסרי תקדים. המעבר המהיר לעבודה מרחוק שימשה כהזדמנות מיידית עבור הפושעים להתמקד בעובדים המתחברים למשאבים תאגידיים תוך שימוש ברשתות והתקנים ביתיים לא מאובטחים ולהשיק מתקפות כופר. גם השנה, מגמה זו ממשיכה להתפשט, כאשר מתקפות הכופר האחרונות התמקדו בסחיטה או בהפסקת פעולות קריטיות.
מתקפות הכופר השכיחות ביותר שנראו עד כה במהלך המגפה התחילו משימוש בהנדסה חברתית. טכניקות הנדסה חברתית אשר בוצעו כהלכה, לרוב בצורות של אסטרטגיות של phishing או spear phishing, יכולות לרמות משתמשים לחשוף מידע קריטי, החל מסיסמאות, חשבונות פיננסיים ועד למידע אישי רגיש. כיום, ההנדסה החברתית משולבת עם טכניקות פריצה והפצת תוכנות זדוניות כדי להניע מתקפות מתוחכמות יותר ויותר.
תוצאה אחת של שימוש בטכניקות הנדסה חברתית כנגד העובדים המרוחקים הייתה העלייה במתקפות כופר – פי 7 במחצית השנייה של 2020. רצף התקיפה מתחיל על ידי ניצול דאגות הקשורות למגפה, יחד עם אירועים חברתיים אחרים כמו בחירות ועוד. ארגונים ברחבי העולם מדווחים על מתקפות סייבר המערבות תוכנות כופר, כאשר מדובר במגמה אשר צפויה להמשיך להשפיע על כל סוגי הארגונים.
במתקפת כופר טיפוסית, ההאקרים משתמשים בפישינג או באמצעים אחרים כדי להכניס את התוכנה הזדונית אל מערכת המחשב של הקורבן, אשר לאחר מכן מופצת על פני הרשת. ברגע שמספיק מערכות נפרצו, ההאקר מפעיל את התוכנה הזדונית כדי להצפין את כל המערכות הנגועות ולהפוך את הקבצים והנתונים על ההתקנים הללו לבלתי נגישים עבור הארגון. אז, התוקף מנסה לחלץ תשלום כספי בתמורה למפתח הדרוש כדי לפענח את הקבצים שנפגעו.
כאשר גורם עוין משתמש בתוכנת כופר כדי למנוע את הגישה לנתונים שלכם, ההנחה היא כי תשלמו כל מחיר כדי להחזיר אותם לרשותכם. אם לא תשלמו, התוקף יציע אותם למכירה ב-DarkNet. יחד עם זאת, אנו רואים גם מספר הולך וגובר של מקרים בהם הקורבן משלם את הכופר, אך לעולם לא מקבל את מפתחות הפענוח הדרושים לו כדי לשחזר את הרשת שלו. או במקרים קשים יותר, תוכנת הכופר כבר הספיקה להשמיד את הרשת על ידי מחיקת הדיסקים של שולחנות העבודה והשרתים למרות שהכופר שולם.
מתמודדים עם מתקפות כופר באמצעות הטעיה
הגנה על הארגון מפני מתקפות כופר צריכה לכלול פעולות כמו שמירת גיבויים מעודכנים של הקבצים הקריטיים מחוץ לרשת וסריקת ההתקנים השונים המחפשים גישה לרשת כדי לזהם אותה בתוכנות זדוניות. אך זוהי רק ההתחלה. צריך להבין גם כיצד תוכנות הכופר פועלות, היות וזה יעזור לנו להשתמש בטכניקות של תוכנות הכופר נגד עצמן.
תוכנות כופר משתמשות לרוב בטכניקות מתוחכמות כדי לחדור לארגון ולפגוע בנקודות הקצה, אך המטרה העיקרית שלהן היא להצפין את הקבצים שלהם. במקום להיאבק בתהליך, אתם יכולים להפנות באופן חשאי את תוכנות הכופר רק לקבצים מוצפנים מזויפים – קבצים אותם יצרתם בכוונה ומיקמתם ברשת כדי לפתות תוקפים עתידיים.
כאשר התוקפים ינסו להצפין את הקבצים המזויפים הללו, הם יחשפו את עצמם ואת כוונותיהם ויחשפו את הקיום של התוכנה הזדונית שלהם לפני שיוכלו לעשות נזק כלשהו. במילים אחרות, אסטרטגיה של מתקפת נגד עוצמתית במיוחד היא להונות את תוכנת הכופר כדי לפעול נגד יעד בלתי מזיק שאנחנו בחרנו, מה שיפעיל התרעה ויחשוף אותה. הדבר אפשרי באמצעות שימוש בטכנולוגית הטעיית סייבר (Cyber Deception).
הטעיית סייבר מאפשרת לארגונים ליצור במהירות רשת מזויפת אשר פורסת אוטומטית מלכודות שלא ניתן להבדיל בינן לבין התעבורה והמשאבים הנמצאים בשימוש הרשת האמיתית. רשת מדומה זו משולבת באופן רציף עם תשתית ה-IT/OT כדי לפתות את התוקפים לחשוף את עצמם.
טכנולוגית ההטעיה לא מתקינה סוכן על נקודת הקצה, לא דורשת כל שינוי של הרשת ולא מסתמכת על חתימה או מנוע חריג. אם כך, כיצד טכנולוגיה הטעית הסייבר מוצאת ומונעת את מתקפות הכופר? התשובה היא השימוש בפעילות ההצפנה של תוכנת הכופר נגד עצמה.
שימוש בהטעיית סייבר נגד מתקפות כופר
- פתרונות הטעיה מתחילים באמצעות הגדרה ופריסה של כונן רשת מזויף על פני כל נקודת קצה/שרת ברשת שלכם. רשת מדומה זו מוחבאת ממשתמשים רגילים כדי למנוע מהם ללחוץ על המערכות שנועדו למשוך את התוקפים וליצור התראות שווא.
- כונן הרשת המזויף מכיל קבצים ותהליכי עבודה מזויפים אשר קיימים כדי לחשוף את התוקף ו/או את תוכנת הכופר הזדונית.
- כונן הרשת המזויף ממופה באמצעות שימוש בפיתיון הרשת אשר פועל כמו שרת קבצים מזויף, המלא בתעבורה וקבצים מזויפים.
- כל כלי הטעיית סייבר יעיל צריך להשתלב במלואו עם כלי אבטחה של צד שלישי, כמו בקרת רשת (NGFW), בקרת גישה לרשת (NAC) ואנטי-וירוס של הדור הבא, כך שניתן יהיה לטפל בכל זיהוי של פעילות זדונית במהירות.
- ברגע שתוכנת כופר משפיעה על נקודת קצה ומתחילה להצפין כוננים מקומיים וכונני רשת, הפיתיון (שרת קבצי רשת מזויף) יכול לאתר מיידית את הפעילות הזדונית שלה ולהאט את תהליך ההצפנה, תוך מינוף של אחד מכלי האבטחה הקיימים כדי להגביל או למנוע נזק באופן אוטומטי ובמקביל, לבודד את נקודת הקצה שנפגעה כדי להגן מיד על שאר הרשת.
טכנולוגית הטעית הסייבר לא רק משתמשת בטכניקות של תוכנת הכופר נגד עצמה כדי להפעיל את איתורה, אלא חשוב יותר, היא חושפת את הטכניקות, הכלים והתהליכים של התוקף אשר הובילו לכניסתו המוצלחת לרשת, כך שניתן יהיה לטפל בנקודות התורפה הללו ברמת ארכיטקטורת האבטחה. הטעיה יעילה צריכה לספק מודיעין איומים קונטקסטואלי הניתן לשימוש כדי לאתר כיצד התוקף פרץ לארגון – למשל, באמצעות פרטים אישיים חלשים או גנובים או נקודת קצה או שרת פגיעים אשר אפשרו את התפשטות תוכנת הכופר – כך שניתן יהיה לסגור את פערי ההגנה הללו.
הטעיה כחלק ממארג אבטחה מקיף כדי לעצור את מתקפות הכופר
יש לשלב את טכנולוגית ההטעיה במלואה עם פתרונות פיירוול של הדור הבא, בקרת גישה לרשת, ניהול אבטחת מידע ואירועים, Sandbox, SOAR – אורקסטרציה, אוטומציה ותגובה אוטומטית ו-EDR – איתור ותגובה לנקודות קצה, לצורך תגובה ומניעה אוטומטיות בהתבסס על איתור תוכנת הכופר. שילוב של טכנולוגית הטעיה עם פלטפורמת אבטחה מקיפה יאפשר לארגונים לאתר ולהגיב למתקפות, כמו מתקפות כופר, הרבה לפני שהן ישיגו את מטרותיהן הזדוניות.
מאת משה בן סימון, סגן נשיא לתחום ניהול מוצר, פורטינט
