״לך תדע אם משה מאגף ג' שלא בדק את השרת כבר חודש, הפעיל את עידכון האבטחה האוטומטי״
מתקפת הכופרה של REvil, שהיכתה בסוף השבוע האחרון ברחבי העולם, הדליקה נורות אדומות, שוב, בקרב הנהלות של ארגונים מסביב לעולם. שאלת המפתח: איך מקטינים את הסיכון לפול קורבן. דעה של אלרואי מרום, מנכ"ל Linnovate
ישראל דיפנס
| 07/07/2021
אלרואי מרום. צילום: Linnovate
מתקפת הכופרה של REvil, שהיכתה בסוף השבוע האחרון ברחבי העולם, הצליחה להעיר בסופ"ש אפילו את הנשיא ביידן. האחרון התייחס אליה, והבהיר, לכל מי שעדיין מתעלם, שמתקפות כופרה הן ה-מחלה, בהא הידיעה של האינטרנט ב- 2021. אבל מכיוון שרוב העסקים אינם ממשלת ארה"ב, ולא לכולנו יש את הטלפון הישיר של ה- FBI, הגיע הזמן להבין איך מתאוששים ממתקפות כופרה - לא ברמה הלאומית, אלא ברמה האירגונית.
לי זה כן יקרה
ראשית, חשוב להבין שזה עומד לקרות. לא משנה מה נעשה, כמה נסתתר, נתקין אנטי וירוסים, נפריד רשתות ומה לא, סביר להניח שמישהו, מתישהו ינסה לפרוץ ולהצפין את הקבצים. לכן, חייבים להתארגן. תחילת ההתארגנות היא בגיבויים. אבל לא מדובר על הגיבויים הרגילים של המערכת.
המשמעות של תוכנית התאוששות מאסון היא שהיא מופעלת לאחר שמערכות המחשוב הוצפנו, ושאין דרך לגשת למידע, או לגיבויים. על כן, אנחנו צריך ליצור גיבויים מנותקים, רצוי ברשת מיחשוב אלטרנטיבית, שאין אליה גישה מהחוץ.
תפעיל לי את מכונת הזמן
את הגיבויים שלנו אנחנו צריכים לשמור, גם ברשת האלטרנטיבית, בתוצרה בה המערכת מגבה אותם בעותקי נפרדים על פי ימי ושעות הגיבוי. כלומר, עותקים של המידע- הדטבייס, הקוד, על פי שעות וימי השמירה- סוג של תמונת מצב (Snapshot) של אותו רגע בזמן.
בצורה הזו נוכל לשחזר גרסה שלא נפגעה מהמתקפה, ולחזור אחורה בזמן. זה חשוב במיוחד, מכיוון שהניסיון מלמד כי חברות רבות מנסות לחזור מגיבוי, מריצות את התוכנות ואז ננעלות שוב, מכיוון שהדטבייס והקוד זוהמו בתוכנה הזדונית, ואז הן מאבדות את היכולת לשחזר את עצמן ולחזור לעבודה.
זה לא פיקוד הסייבר של רוסיה
הרוב המכריע של מתקפות מתבצעות על ידי פושעי סייבר פשוטים למדי, שמשתמשים בתוכנות כופר העושות שימוש בפרצות ידועות ופשוטות, שיצאו להם תיקונים וטלאי אבטחה. ברוב המכריע של המקרים לא מדובר בפיקוד הסייבר של רוסיה, ולפעמים אפילו מדובר בפושעים ששוכרים תוכנה ורק מפעילים אותה להנאתם, ללא כל ידע הפריצות מחשבים.
הבעיה היא שמערכות המיחשוב נעשות כל כך מסובכות, שלך תדע אם משה מאגף ג' שלא בדק את השרת כבר חודש, הפעיל את עידכון האבטחה האוטומטי. אז האמת היא שצריך ללכת ולדעת. אירגונים חייבים להפעיל מערכות ניטור שיבדקו באופן עקבי, קפדני ומשעמם להחריד - האם הותקנו תוספים אבטחה, מי לא עידכן, מי החליף סיסמה ולמי אין עדיין 2fa.
בפועל, זה מעניין כמו לכסח את הדשא בחצר האחורית. אבל כמו בגינון, העשבים השוטים של אתמול עלולים להפוך בקיץ לקוצים, ואלה, אם לא יטפלו בהם כיאות, עלולים להבעיר את הבית על יושביו. אז עדיף לפעול לפני, מאשר לשלם אחר כך, וביוקר.
הכותב הוא מנכ"ל Linnovate המתמחה בבנייה ותחזוקה של סביבות ענן לאירגונים.
מתקפת הכופרה של REvil, שהיכתה בסוף השבוע האחרון ברחבי העולם, הדליקה נורות אדומות, שוב, בקרב הנהלות של ארגונים מסביב לעולם. שאלת המפתח: איך מקטינים את הסיכון לפול קורבן. דעה של אלרואי מרום, מנכ"ל Linnovate
אלרואי מרום. צילום: Linnovate
מתקפת הכופרה של REvil, שהיכתה בסוף השבוע האחרון ברחבי העולם, הצליחה להעיר בסופ"ש אפילו את הנשיא ביידן. האחרון התייחס אליה, והבהיר, לכל מי שעדיין מתעלם, שמתקפות כופרה הן ה-מחלה, בהא הידיעה של האינטרנט ב- 2021. אבל מכיוון שרוב העסקים אינם ממשלת ארה"ב, ולא לכולנו יש את הטלפון הישיר של ה- FBI, הגיע הזמן להבין איך מתאוששים ממתקפות כופרה - לא ברמה הלאומית, אלא ברמה האירגונית.
לי זה כן יקרה
ראשית, חשוב להבין שזה עומד לקרות. לא משנה מה נעשה, כמה נסתתר, נתקין אנטי וירוסים, נפריד רשתות ומה לא, סביר להניח שמישהו, מתישהו ינסה לפרוץ ולהצפין את הקבצים. לכן, חייבים להתארגן. תחילת ההתארגנות היא בגיבויים. אבל לא מדובר על הגיבויים הרגילים של המערכת.
המשמעות של תוכנית התאוששות מאסון היא שהיא מופעלת לאחר שמערכות המחשוב הוצפנו, ושאין דרך לגשת למידע, או לגיבויים. על כן, אנחנו צריך ליצור גיבויים מנותקים, רצוי ברשת מיחשוב אלטרנטיבית, שאין אליה גישה מהחוץ.
תפעיל לי את מכונת הזמן
את הגיבויים שלנו אנחנו צריכים לשמור, גם ברשת האלטרנטיבית, בתוצרה בה המערכת מגבה אותם בעותקי נפרדים על פי ימי ושעות הגיבוי. כלומר, עותקים של המידע- הדטבייס, הקוד, על פי שעות וימי השמירה- סוג של תמונת מצב (Snapshot) של אותו רגע בזמן.
בצורה הזו נוכל לשחזר גרסה שלא נפגעה מהמתקפה, ולחזור אחורה בזמן. זה חשוב במיוחד, מכיוון שהניסיון מלמד כי חברות רבות מנסות לחזור מגיבוי, מריצות את התוכנות ואז ננעלות שוב, מכיוון שהדטבייס והקוד זוהמו בתוכנה הזדונית, ואז הן מאבדות את היכולת לשחזר את עצמן ולחזור לעבודה.
זה לא פיקוד הסייבר של רוסיה
הרוב המכריע של מתקפות מתבצעות על ידי פושעי סייבר פשוטים למדי, שמשתמשים בתוכנות כופר העושות שימוש בפרצות ידועות ופשוטות, שיצאו להם תיקונים וטלאי אבטחה. ברוב המכריע של המקרים לא מדובר בפיקוד הסייבר של רוסיה, ולפעמים אפילו מדובר בפושעים ששוכרים תוכנה ורק מפעילים אותה להנאתם, ללא כל ידע הפריצות מחשבים.
הבעיה היא שמערכות המיחשוב נעשות כל כך מסובכות, שלך תדע אם משה מאגף ג' שלא בדק את השרת כבר חודש, הפעיל את עידכון האבטחה האוטומטי. אז האמת היא שצריך ללכת ולדעת. אירגונים חייבים להפעיל מערכות ניטור שיבדקו באופן עקבי, קפדני ומשעמם להחריד - האם הותקנו תוספים אבטחה, מי לא עידכן, מי החליף סיסמה ולמי אין עדיין 2fa.
בפועל, זה מעניין כמו לכסח את הדשא בחצר האחורית. אבל כמו בגינון, העשבים השוטים של אתמול עלולים להפוך בקיץ לקוצים, ואלה, אם לא יטפלו בהם כיאות, עלולים להבעיר את הבית על יושביו. אז עדיף לפעול לפני, מאשר לשלם אחר כך, וביוקר.
הכותב הוא מנכ"ל Linnovate המתמחה בבנייה ותחזוקה של סביבות ענן לאירגונים.
