077-5509948 יצירת קשר שאלון אבטחת מידע תחת מתקפת סייבר?

תשלום כופר – לשלם או לא לשלם?

תשלום תוכנות כופר הוא נושא שיש עליו חילוקי דעות. ההיגיון הקר עשוי להכתיב שכל דרישה תידחה. אבל מה אם זה עניין של חיים או מוות?

האם לשלם כופר במקרה של תקיפה?

יש שאומרים 'כן', ויש אחרים שאומרים 'לא' – האם לשלם את הכופר? רשויות אכיפת החוק אינן מעודדות, תומכות ואינן מתנגדות לתשלום דרישות כופר. למה? כי אומרים שאם תשלם את הכופר עלולים להיווצר כמה תרחישים:

  • אין ערובה שתקבל גישה לנתונים או למחשב שלך.
  • המחשב שלך עדיין יהיה נגוע.
  • אתה תשלם כספים לקבוצות שמבצעות מעשים פליליים.
  • סביר יותר שיכוונו אותך בעתיד.

עד כמה זה נכון? האם התשלום והחזרת הגישה לנתונים שלך לא נותנים להאקרים תדמית טובה יותר? או שיש שם כל כך הרבה תוצאות, שלא ממש אכפת להם כך או כך?

שרתי C&C

מה קורה סביב תוכנת הכופר?

יש את כל הבעיות האחרות סביב מה שהיה למיזם מאסיבי בפני עצמו. זאת מכיוון שאין דרך להגן לחלוטין על הארגון שלך מפני הדבקה בתוכנה זדונית, מה עליך לעשות כדי למנוע את כניסתן של תוכנות כופר? האם גישת 'הגנה לעומק' היא הנכונה, תוך שימוש בשכבות הגנה, עם מספר הקלות בכל שכבה? יהיו לך יותר הזדמנויות לזהות תוכנות זדוניות על ידי אימוץ גישה זו ולאחר מכן לעצור אותה לפני שהיא תגרום נזק אמיתי לארגון שלך.

עם זאת, האם בכל מקרה אתה צריך להניח שתוכנה זדונית כלשהי תחדור לארגון שלך, בשלב מסוים, לא משנה מה האסטרטגיות שתקבע, נראה שלכל נקודת פלוס אפשרית יש גם נקודת מינוס, אז מהי הדרך הטובה ביותר להגביל את ההשפעה שתגרום מתקפת כופר ולהאיץ את התגובה שלך?

מתקפות כופר

נראה שיש דיונים הולכים וגוברים בין חברי הדירקטוריון על מה לעשות במקרה של מתקפת כופר, כיצד להתגבר עליה במקרה שתתרחש והאם פוליסות הביטוח שלהם יעזרו. הניסיון לקבל החלטות במהלך הפיגוע עצמו רק מוסיף ללחץ ועלול להחמיר את המשבר ולכן עדיף לקבל את ההחלטות הללו מראש ולתכנן את אופן ההתנהלות במקרה של תקיפה. זה צריך לכלול את ההחלטה האם לשלם על התקיפה או לֹא.

פעולות מניעה למתקפת כופר

קיום הנחיות ושיטות עבודה מומלצות והרציונל מאחורי אלו, יהיו בעלי ערך רב יותר. צריך להיות כוח עידוד חזק כדי לא לשלם כופר, אבל, במקביל, צריך להשקיע מלכתחילה בעצירת המתקפה. מניעה היא אופציה טובה בהרבה מאשר ריפוי.

ראו עוד: טיפול בוירוס כופר

גישה ראשונה למניעת מתקפת כופר

מה שעובד טוב יותר הוא גישת 'מניעה תחילה' הכוללת מערכת הגנה רב-שכבתית. כל ארגון צריך להשקיע יותר זמן בעצירת ההתקפות האלה לפני ביצוע הנזק. טכנולוגיות רבות זקוקות להתקפה כדי לבצע ולהפעיל לפני שהן נאספות ונבדקות כדי לראות אם הן זדוניות, לפעמים לוקח אפילו שישים שניות או יותר. כאשר מתמודדים עם איום לא ידוע, שישים שניות הן יותר מדי זמן לחכות לניתוח.

אבטחת מידע ססמאות

הבטחה של המשכיות עסקית

כדי להבטיח המשכיות עסקית, ארגונים צריכים להשקיע בפתרונות המשתמשים בטכנולוגיה כגון למידה עמוקה, היכולה לספק זמן תגובה של פחות מ-20 מילישניות בעצירת התקפת כופר, ביצוע מוקדם, לפני שהיא יכולה לתפוס אחיזה, למעשה זהו חיזוי של מתקפת תוכנת הכופר ולכן הגנה על הארגון. שימוש בטכנולוגיה מסוג זה אומר למעשה שארגונים אינם צריכים לדאוג יותר אם לשלם כופר או לא, שכן יש פתרון שמונע את התקיפה לחלוטין.

תחומים נוספים קשורים למתקפות כופר

אחריות על תוכנת כופר

יתרה מכך, השקעה בפתרון המציע 'אחריות על תוכנת כופר', לפיה הארגון מקבל סכום מסוים, אם הם חווים מתקפת כופר, תוך שימוש בטכנולוגיה של אותו ספק מועיל. אחריות מבטיחות רמת הגנה נוספת, במקרה של מתקפת כופר והיא מאפשרת הקלה מסוימת, מבחינת התחשיב של כמה יעלה לארגון להתאושש לאחר הפיגוע.

להיות עם הגב לקיר כדי לשלם

תשלום כופר לפושעי סייבר הוא לא תוצאה אופטימלית מבחינה חברתית, אבל ברגע זה, מול אובדן הכנסה, נתונים ומוניטין, ארגונים רבים ירגישו שהם עם "הגב לקיר" ואז הם 'יצטרכו' לשלם.

מודלים של סחיטה מתפתחים וההתקדמות טכנולוגית מבטיחים שארגונים צריכים להשקיע ללא הרף כדי לעמוד בקצב האיומים העדכניים ביותר הנשקפים מהמערכת האקולוגית של תוכנות הכופר. במונחים פיננסיים גרידא, פסק הדין נעשה לעתים קרובות שקבלת הסיכון של תוכנת כופר היא טובה יותר מאשר השקעה רבה באבטחת סייבר וזאת כדי להפחית את הסיכון.

תשלום הכופר

שיתוף פעולה בין ספקי פתרונות אבטחת מידע גדולים וסוכנויות אכיפת החוק וזאת כדי לאפשר לנו להילחם בהשפעות ההרסניות של תוכנות כופר. המשך תשלום הכופר דורש מממן התקדמות נוספות, המשך תפעול והוא תמריץ למשיכת שחקנים חדשים לבצע התקפות של תוכנות כופר. כדי לשבור את המעגל הזה, יש משהו שממשלות ותעשיית אבטחת הסייבר צריכות לתקן, להעביר את מאזן התמריצים לאי תשלום כופר ולהפוך את אבטחת הארגון שלך מפני איומים אלה ליותר יקר ויעיל יותר.

איפה הכול השתבש?

לעתים קרובות מדי, ארגונים מתמקדים יותר מדי באיתור ובתגובה של מתקפת כופר, במקום להסתכל על השלבים שאפשרו לתוקף להגיע לנקודה של דרישה לכופר. הכופר של התקפה הוא כל כך רחוק בשרשרת ההתקפה, עד שעד שמתקפה 'תוכנת הכופר' כבר נפרסה, זה מעט מדי ומאוחר מדי.

התקפות תוכנת כופר מתחלקות לשתי קטגוריות: 'מתקפה של Drive-by', שגורמים העוסקים בפעולות מרמה משתמשים בה כדי להתקין תוכנות זדוניות על המכשירים שלהם, בין שזה מחשב אישי בבית או עמדת מחשב רפואי בחדר מיון.

בעוד ההתקפות האלו משפיעות ישירות על אותם משתמשים, הן אקראיות לגבי על מי הן משפיעות. ההתקפות החמורות יותר הן אלו שמכוונות לארגון ספציפי. התוקפים מחפשים את הדרך המשפיעה ביותר להדביק ארגון דרך נקודות התורפה שהם מוצאים ואז מפעילים מתקפת כופר. כדי להגיע לנקודה הזו, התוקפים היו צריכים לזהות את הארגון, למצוא את נקודות התורפה בתוך אותו ארגון, להשיק את התוכנה הזדונית ולאחר מכן לפרוס את מתקפת הכופר.

חשיבה משותפת על תשלום הכופר

הוויכוח הקיים במקרי התקפת כופר הוא האם ארגון צריך לשלם כופר או לא, ויכול הגורם לדילמה לא קטנה בחדר הישיבות הארגוני.

לעתים קרובות הסיבה להתקפת תוכנת כופר ונקודת הגישה של התוקף לארגון היא באמצעות דואר אלקטרוני דיוג שבו משתמש שלא חושד בתוכנו של המייל, לחץ על קישור אשר לאחר מכן פותח דלת אחורית במכשיר ומאפשר לתוקף לקבל גישה לתוך רשת הארגון. זאת כדי למצוא את נקודות התורפה שלו. ארגונים צריכים לבחון את ההקדמות להתקפות כופר ואת השלבים שמביאים את התוקף למקום שבו הם צריכים להיות לפני שהם משיקים את התוכנה הזדונית עצמה.

התקפות פישינג

התקפות פישינג תמיד ייכנסו לרשת שלך ויפרו את ההתנהלות של הארגון שלך. לכן, הפוקוס צריך להיות בתקדימים למתקפה ובהבנה מה הם, כדי שהארגון יתמודד טוב יותר עם התקיפה. רק כך ארגונים יוכלו לתקן כראוי, במקום להתמקד באיתור, ותגובה לשלב האחרון בתוכנית של התוקף.

נכון לעכשיו, אבטחת דואר אלקטרוני מתמקדת יתר על המידה במניעה, מה שמדגים תשואה פוחתת עבור כל שכבת זיהוי חדשה. על ידי הוספת זיהוי בזמן אמת ויכולת תיקון אוטומטית לזיהוי וביטול איומי פישינג במהירות, אנחנו יכולים למזער את ההשפעה של אימייל דיוג עובר דרך ההגנות שלנו.

מודלים של סחיטה

מודלים של סחיטה מתפתחים וההתקדמות הטכנולוגית מבטיחים שארגונים צריכים להשקיע כל הזמן כדי להתעדכן באיומים האחרונים.

התקפות כופר הופכות הרסניות יותר ויותר לחברות. לא רק שהן גורמות להפרעות מאסיביות לפעילות, אלא שהפושעים גם מבקשים כופר גבוה יותר ויותר, כדי לפתוח את הקבצים ואת התוכנות המוצפנים שנפגעו מהתקיפות. במהלך החודשים האחרונים, בחסות המדינה התקפות תוכנות כופר שגרמו נזק לתשתיות קריטיות שלטו בכותרות. JBS שילמה לאחרונה 11 מיליון דולר בעקבות מתקפה שהשביתה את כל מפעלי הבשר בארה"ב של החברות. רגע לפני כן, מתקפה שיתקה את שירותי הבריאות של אירלנד במשך שבועות בעיצומה של המגיפה, התקיפה אירעה בעקבות מתקפת הצינור הקולוניאלי שגרמה לחשש למחסור בגז.

תשלומי כופר שבוצעו בפועל

על פי הדיווחים, CNA Financial, אחת מחברות הביטוח הגדולות בארה"ב, שילמה 40 מיליון דולר כדי לקבל גישה לתיקים שלה ולשקם את פעילותה, מה שהופך אותה לתשלום הכופר המדווח הגבוה ביותר ששולם עד כה. לשם השוואה, 40 מיליון דולר הם יותר מהסכום שרוב החברות מוציאות על תקציב אבטחת הסייבר שלהן – זה אפילו יותר ממה שחברות רבות מוציאות על כל תקציב ה-IT שלהן.

בשל העליות במתקפות כופר בארה"ב ובאירופה, מוסדות ממשלתיים רבים, כולל הבית הלבן, קראו לחברות לחזק את מערכי ההגנה שלהן כדי לעזור לעצור את קבוצות תוכנות הכופר.

קבוצת G7 קראה לרוסיה במיוחד, לזהות, לשבש ולהביא בחשבון את המדינות שבגבולותיה מבצעים מתקפות כופר ופשעי סייבר אחרים. אחת התוצאות הבודדות של פסגת ביידן-פוטין היא הסכם להתייעץ בנושא אבטחת סייבר. עם זאת, ההסכם אינו חד משמעי ללא פעולות ספציפיות.

תשלום כופר לקבוצות הפשיעה

כופר אינו תמיד המטרה הסופית, עצירת קבוצות של תוכנות כופר היא משימה לא קטנה. היקף הכלכלה מאחורי הקבוצות הללו הוא משמעותי. לקבוצות הללו יש פעילויות רבות, יש מבנים ארגוניים, עם בעלי תפקידים ונושאי אחריות המשקפים ארגוני פיתוח תוכנה רגילים. ארגוני הפשיעה הללו ממומנים היטב והם בעלי מוטיבציה גבוהה לפתח את ההתקפות שלהם, אך זרמי ההכנסות שלהם אינם מתחילים ואינם מסתיימים בכך שהקורבנות משלמים כופר.

מערכת אקולוגית של תוכנות כופר

ישנה מערכת אקולוגית שלמה של תוכנת כופר, המנצלת ביצוע מוצלח של התקפות.

זה כולל:

  • קבוצות שמוכרות גישה לפלטפורמות המספקות תוכנות כופר מקצה לקצה וזאת כשירות לשימוש קבוצות אחרות.
  • ברוקרים שמספקים צוותים של מפתחים מיוחדים שיכולים לבנות ולפרוס תוכנות זדוניות. תחשוב על זה כעל גיוס תוכנות זדוניות.
  • קבוצות מסוימות זוכות רק לגישה לרשתות ארגוניות. הן לא תשבשנה באופן אקטיבי את הפעולות או תדרושנה כופר; במקום זאת הם מוכרים גישה לקורבנות, כדי שקבוצות אחרות יוכלו לנצל אותם.
  • התחכום ההולך וגובר של קבוצות תוכנות כופר הוביל ארגונים רבים ליישם שפע של כלים שיסייעו באיתור ומניעת התקפות. אבל מה באמת עובד?

תוכנת כופר

אבטחה בסיסית חיונית למניעת התקפות

במשך 15 השנים האחרונות, CISOs, צוותי תפעול אבטחה וספקי אבטחה (ראו עוד: ניהול אבטחת מידע Ciso as a service) שמו דגש משמעותי על התקפות מורכבות והישארות בחזית של מה היריבים יכולים לעשות. לדוגמה, תולעת המחשבים הזדונית Stuxnet משיקה קמפיינים מתקדמים ביותר.

התוצאה היא שלהרבה ארגונים יש פורטפוליו נרחב יחסית של טכנולוגיות מתקדמות. הטכנולוגיות הללו יקרות, מורכבות לשימוש ואפילו מורכבות יותר לשילוב אחד עם השנייה והן. המערכת האקולוגית הביטחונית שמסביב. הפרת ה-Colonial Pipeline קרתה כי פלטפורמת גישה מרחוק לא הצליחה לאכוף, או דורשת אימות רב-גורמי. בשילוב עם סיסמה משותפת המשמשת בין מספר משתמשים, התוקפים מצאו דרך להיכנס לתוך התשתית. כלי זיהוי מתקדמים לא נועדו לזהות טעויות בסיסיות כאלה.

ההתנהלות של החברות

אז למה חברות לא סתם מתקנות הכל, מיישמות את מודל האפס אמון וכופה אימות רב-גורמי בכל מקום? במיוחד כאשר הסיכון המהותי הניכר ביותר לפעילות ולקיומו של הארגון הוא מתקפת כופר? התושבה הרווחת היא ש "תפעול IT זה קשה". לצוות תפעול האבטחה, צוות תפעול ה-IT וצוות ניהול הסיכונים הארגוני יש לרוב חשיבה לא נכונה, עם יעדים ותמריצים שונים. יישור פעילויות ויעדים בין מחלקות שונות הוא ללא ספק חלק מהבעיה.

היבטי הסיכון הטכניים

אחד הדברים שאנו שומעים מהלקוחות שלנו הוא שהם צריכים סקירה אחידה של היבטי הסיכון הטכניים. הטמעת פתרון מאוחד כמו תזמורת Zero Trust או XDR היא מורכבת ובמקרים רבים גם יקרה. חלק מהלקוחות שלנו פונים לפחות ספקים והסתמכות על סטנדרטים פתוחים – למשל, MITER לטקסונומיה של התקפות, MISP לשיתוף תצפיות איומים ו-YARA לזיהוי אינדיקטורים של תוכנות זדוניות, כדי להוריד חלק מכאבי הראש של יישור דרכי העבודה של מחלקות שונות.

הדרך קדימה

כאשר תשתית קריטית מותקפת באמצעות חברות גדולות וקטנות, ברור שתוספת של טכנולוגיה לא תפתור את הבעיה לבדה. גם מיקור חוץ של תפעול IT או תפעול אבטחה לבדו לא פותר את הבעיה. יש צורך לקחת בחשבון 3 נתיבים קדימה.

  • רשויות אכיפת החוק חייבות לשתף פעולה חוצה גבולות כדי למקד קבוצות של תוכנות כופר, לעקוב אחר תשלומים ובסופו של דבר לשנות את הסיכון התפעולי עבור קבוצות אלו, וכך יהיה יקר יותר לעשות עסקים אסורים.
  • פירוק ממגורות בתוך ארגונים, לגרום לצוותי אבטחת הסייבר, תפעול ה-IT וניהול הסיכונים לדבר באותה שפה ולהתאים ציפיות. מי הבעלים של הגיבוי – IT? מי אחראי להתאוששות מאסון – אבטחה? מי הבעלים של תכנון המשכיות עסקית – ניהול סיכונים ארגוני?
  • עוד חוקים ותקנות בנושא. GDPR עשה הרבה כדי להביא מיקוד ומודעות לגבי דיווח על הפרות לתשתית – אבל צריך יותר מזה. GPDR פועל למען נתונים אישיים, אבל שיבושים בתשתית קריטית בעקבות מתקפת תוכנת כופר אינם בהכרח תחת המטרייה של GDPR, וככאלה, הן עלולות לעבור מתחת לרדאר. עם יותר שיתוף, מיקוד מוגבר וקנסות פוטנציאליים שיוטלו על ארגונים שלא מצליחים לעשות זאת. למנוע או להגן על התשתית שלהם בצורה נאותה, הנוכחים בחדרי ישיבות יתחילו להתייחס לאיום ברצינות.

תפריט נגישות

על שירות CISO שמעת?

אל תחכה שתתרחש פריצה, הגן על הנכסים הדיגיטליים
של העסק שלך עם שירותי ה- CISO as a Service שלנו!