אירועי כופרה (אירוע בו תוקף משתלט על נכסים ומצפין אותם, כך שלא ניתן לגשת אליהם, כתנאי להסרת מגבלת הגישה, התוקף עשוי להציג תנאים לגורם המותקף) נמצאים בעלייה מטאורית. אירועי מתקפת כופרה כמו אלו שהתרחשו בבית חולים הלל יפה, בחברת שירביט ואתרי אינטרנט של חברות מסחריות קיבלו תהודה רבה בתקשורת אך אינם היחידים. חברות רבות במשק ואף אנשים פרטיים נכוו ונכווים מאירועים דומים.

מנהלי אבטחה בארגונים רבים מחפשים מענה לשאלות איך והאם ניתן להתגונן ולמנוע מתקפת כופרה או לפחות למזער נזקים למינימום כך שהפעילות לא תיפגע?

אם נצמצם את הפעולות אותם מבצע התוקף לאחר שחדר לארגון, נראה שעבור פעולות ההצפנה התוקף יצטרך להשתלט על נכסים מאוד מסוימים. אם לתרגם זאת לשפה פשוטה, הדרך של התוקף לפעול היא דרך חשבונות או שירותים מיוחסים (כאלה היכולים לפעול עם הרשאות גבוהות או שהחשבון/שירות המדובר יכולת להשפיע על נכסים אחרים) ולכן התוקף ינסה להשתלט על חשבונות אלו – החשבונות המיוחסים.

הדרכים להתמודדות עם מתקפות כופרה

מכיוון שלא רק הסיכונים מתפתחים אלא גם הזהויות. סוגיות הגישה המיוחסת בארגונים החמירו עם השנים ונעשו מורכבות יותר הודות לטכנולוגיה הדיגיטלית המחלחלת לכל היבט של חיינו (למיקרו-שירותים, רובוטי תוכנה ושירותים וירטואליים), המעבר לענן, שיטות עבודה חדשות וחדשנות מתמשכת של התוקפים.

מתקפות אקראיות וממוקדות הוכיחו שוב ושוב שגניבת זהות מיוחסת ו/או מניפולציה שלה הפכו למרכיבים מרכזיים במתקפות הסייבר המודרניות.

לפיכך, בכדי למנוע או למזער אירועי מתקפת כופרה עלינו לטפל ראשית בבעיית החשבונות המיוחסים בצורה אפקטיבית תוך התאמה בין צורכי האבטחה לבין הצרכים העסקיים, במקביל יש ליישם כלים בארגון שיבצעו אנליטיקה של התנהגות אותם חשבונות (בד"כ הצפנת נכסים אינה פעולה המתבצעת ע"י משתמשים, בטח לא בהיקף רחב כפי שמתרחש בעת אירוע מתקפת כופרה).

מזה מספר שנים ישנם מגוון פתרונות on-premise ו – SaaS המטפלים באבטחה ושימוש חשבונות מיוחסים בין אם אנושיים או ברמת מכונה (ברמת הארגון או ברמת נקודת הקצה).

פתרונות אלו מאפשרים פעולה דינמית לאירוע ולזמן בו נדרש שימוש בחשבון מיוחס (יישום פרקטיקה של הרשאה מינימלית באמצעות מדיניות אבטחה דינמית), בנוסף פתרונות אלו דואגים לביצוע הצפנה ואחסון הסיסמה של חשבונות מיוחסים בכספת כמו גם ביצוע רוטציה של הסיסמה לאחר כל שימוש (כך שגם אם התוקף השיג את הסיסמה היא לא תהיה רלוונטית לשימוש).

שימוש בפתרונות אלו מאפשר למנוע מתוקף שחדר לרשת הארגון ביצוע של lateral movement (תנועה צדדית) ובכך למנוע מהתוקף להשתלט על חשבונות רגישים שיכולים לשמש את התוקף להצפנת הנכסים הדיגיטליים של הארגון.

ניטור אנומליה התנהגותית ברשת

בנוסף לדברים, שימוש בפתרונות אבטחת מידע מבוססי AI עם מנגנון UEBA אוספים ומנתחים התנהגות משתמשים ושירותים בארגון באופן אוטומטי ומאפשרים להתריע ולחסום בזמן אמת פעולות חריגות של חשבונות משתמשים (לדוגמה: תוקף ינסה למפות משאבים מקומיים ומשאבי רשת ולהצפין אותם, מדובר בפעולה חריגה שפתרונות סייבר מבוססי UEBA יכולים לחסום ולעצור באופן מידי טרם התרחש אירוע מתקפת כופרה). התראות על התנהגות אנורמאלית של משתמשים יכולה להצביע על תוקף שנמצא ברשת ומבצע את ההתקפה לאורך זמן.

מאחר וזהות והתנהגות שאינה נורמלית מהווים את החוט המקשר בין ההיבטים השונים, טיפול נכון בזהויות מיוחסות, למידת פעולתם ומעקב מתמיד אחרי חריגה התנהגותית יצמצמו או ימנעו את האפשרות ליפול קורבן לאירוע מתקפת סייבר ו/או אירוע מתקפת כופרה.

חשוב להדגיש, הדברים האמורים אינם תחליף לדברים המפורסמים ע"י מערך הסייבר (מתודולוגיה רב שכבתית של המלצות ודרכי פעולה לפני ובעת אירוע סייבר) אלה מהווים מידע לפתרונות סייבר אותם ניתן ליישם היום במטרה למנוע אירוע מתקפת כופרה.