בלוג

דרכי התגוננות מפני וירוס כופר

ע”פ המרכז הלאומי לאבטחת מידע וסייבר בארה”ב, בשנת 2021 היתה עלייה נרחבת בכמות התקפות הכופר המדווחות ברחבי העולם.  אירועי סייבר רבים התרחשו בעקבות חולשות בשרשרת אספקה (ספקים) והאקרים חזרו ופגעו במערכות קריטיות שלא עברו תיקונים.  למרבה הצער בשנת 2022 אירועי כופרה אינם מראים סימנים של האטה. אנו עדים להתקפות חוזרות ונישנות במגזרים שונים כאשר חלה עלייה מדאיגה בהתקפות על מוסדות בריאות, חינוך ומשרדי ממשלה. זנים חדשים של וירוס כופרה מציפים את האינטרנט מדי יום ואנו רוצים לנצל את הפוסט הזה כדי לתת דגשים להגנה היקפית על מערכות המידע. 

מהו וירוס כופר - Ransomware?

וירוס כופר הוא סוג תוכנה זדונית שמדביקה את המחשב ממנו היא מופעלת, את רשת התקשרות והנתונים האגורים בתוכנה. הנתונים מוצפנים על ידי אותו וירוס כופר כאשר הגישה חסומה עד אשר “כופר” משולם.  בחלק מהפעמים, לאחר תשלום ה “כופר” אפשר לקבל את מפתח ההצפנה ולקבל גישה לנתונים אך היו מקרים רבים שבהם תשלום ה”כופר” לא החזיר את מפתח ההצפנה או לחילופין הנתונים הושחתו ומפתח ההצפנה לא עזר לקבל גישה חוזרת לנתונים. ההמלצה שלנו ב DeserveIT היא לא לשלם כופר.

קיימות הרבה וריאציות ודרכים להפצה של וירוס כופר, אך אפשר להגיד שוירוס כופר מפוץ באמצעות התקפות Phishing ברוב המקרים. וריאציות נוספות הינן לחיצה על קישור חשוד, פתיחת אימייל ממשתמש לא ידוע או הורדת קבצים זדוניים מרשת האינטרנט. 

לאחר הרצה של קובץ הוירוס, התוכנה הזדונית תתחיל להצפין נתונים. בדרך כלל חלון קופץ יכסה את המסך וידרוש תשלום במטבע וירטואלי (ברוב המקרים bitcoin). מדי פעם קבוצות התקיפה האחראיות על אותו וירוס כופר מאיימות לפרסם נתונים שלמעשה הוצפנו במידה ותשלום לא יועבר תוך X שעות. 

דרכי ההתגוננות של DeserveIT מפני וירוס כופר

1. מניעת הרצה כברירת מחדל – רוב העובדים משתמשים ב 5 עד 10 אפליקציות כדי לבצע את העבודה שלהם. מדוע יש צורך לתת למערכת ההפעלה להשאר פתוחה ולאפשר הרצה של אפליקציות חדשות? מערכת הפעלה פתוחה משמעותה היא אפשרות הרצה של חולשות zero day והפעלה של וירוס כופר.  אנטי וירוס הינו אומנם חובה ואמור למנוע השחתת נתונים הנגרמים ע”י הרצה של תוכנה זדונית אך ברוב המקרים אנטי וירוס לא יודע להתמודד עם איומים חדשים. מניעת הרצה כברירת מחדל פשוט תאפשר למערכת להריץ רק את מה שמותר במדיניות הארגון. לא רק לתוכנות זדוניות לא תתאפשר הרצה אלא גם לתוכנות אחרות שלא עברו אישור מנהל. תהליך זה ממזער כמעט לחלוטין אירועי אבט”מ!

2. יש להוסיף MFA לכלי הניהול וגישה לשרתים – יש להשתמש באימות כפול בכל כלי הניהול בארגון (גישה מרחוק, כלי ניהול , ניטור ובקרה, גישה לממשק הניהול באנטי וירוס וכו’. יש לוודא שספק המחשוב/ענן מפעיל בקרות מתאימות.  גישה למערכות ניהול אלו ע”י תוקף תאפשר פריסה קלה של תוכנות זדוניות בארגון. 

3. הגנה על חומת האש – יש לוודא שאין גישה בלתי מורשית/פתוחה לתוך הארגון ב RDP. יש צורך לוודא כי אין חיבור ישיר מהאינטרנט אל תוך הארגון לשולחן העבודה. רוב אירועי האבטחה נובעים מגישה בלתי מורשית בפרוטוקול RDP אל רשת הארגון. יש לצמצם ככל האפשר את כמות החוקים ולאפשר רק תעבורה בפרוטוקולים הנדרשים ולפי עקרון least privilege (רק מה שנדרש ולא מעבר).

4. הגבלה של גישת משתמש/אפליקציה – רוב אירועי אבט”מ נובעים מטעויות אנוש. עובדים רבים אינם מסוגלים להבדיל בין דוא”ל פישינג לדוא”ל לגיטימי. לפי דו”ח של חברת Verizon, מעל 85% מאירועי אבט”מ התרחשו עקב טעויות אנוש. כדי לצמצם את האפשרות לאירועי אבט”מ יש לבצע הדרכות קבועות לעובדים הכוללים קמפיינים של התקפות פישינג שונות ומעבר לכך להשתמש בטכנולוגיה אשר מגבילה את האפשרות של אותה תוכנה מופעלת לבצע שינויים במחשב. למעשה אנחנו רוצים להגביל את כמות הנזק שאותה אפליקציה יכולה לבצע גם אם היא אפליקציה לגיטימית. לדוגמא, אין סיבה שמייקרוסופט וורד יעתיק קבצים משולחן העבודה וישלח אותם החוצה לאינטרנט, נכון? יש לוודא מניעת גישה לאיזורים שונים במערכת הפעלה וע”י כך לצמצם את משטח התקיפה.

5. אל תתמקד בחיפוש אחר תוכנות זדוניות- חפש אחר תהליכים רדומים – רוב תוכנות האנטי וירוס מתמקדות בחיפוש אחר תוכנות זדוניות פעילות אך שוכחות לחפש שירותים (services) או משימות מתופעלות חדשות/רדומות אשר אמורות להתעורר בתאריך/שעה מסוימת. מערכות EDR/MDR יודעות לחפש אחר התהליכים והמשימות המתוזמנות ויודעות להתריע על אנומליה בכתיבה לאזורים שונים בתוך מ.ההפעלה.

6. מדיניות נעילת חשבון –  מדיניות נעילת חשבון מאפשרת למנהלי המערכת לקבוע כמה זמן משתמש צריך להיות נעול מחוץ לחשבון שלהם לאחר טעויות בהקלדת הסיסמא. מדיניות נעילת חשבון מבטיחה שתוקף לא יצליח לגלות סיסמא תוך שימוש במתקפות brute force / dictionary attacks מכיוון שלאחר מס’ ניסיונות חשבון המשתמש ינעל. יש להגדיר מדיניות נעילת חשבון ונעילת מסך לאחר אי שימוש של X דקות במערכת.  ההגדרה היא פשוטה וקלה והיא מאופשרת ללא עלות כחלק ממערכת ההפעלה.

7. עדכוני מערכת כולל 3PP- יש לוודא כי מ.ההפעלה, אופיס וכלל האפליקציות כולל אפליקציות צד שלישי המותקנות במחשב מעודכנות בעדכוני האבטחה האחרונים ויש לוודא כי קיימת מדיניות עדכון אוטו’. כיום, כמעט ברמה יומית מתגלות חולשות zero day ועדכונים יוצאים באופן שוטף למערכות. במידה והמערכות השונות לא יהיו מעודכנות, לא נוכל להבטיח רשת נקייה ממזיקים. 

8. ביטול/צמצום שימוש במאקרו-  מאקרו הם תהליכים אוטו’ אשר מבצעים רצף פעולות שמטרתן להפחית את הזמן הנדרש להשלים משימות בתוכניות כגון Excel/Word.  האקרים ושאר פושעי רשת, מנצלים פקודות מאקרו כדי להפוך אותן לוירוס זדוני אשר מאפשר גישה למחשב. התקפות מאקרו נפוצות מאוד והפכו שכיחות בשנים האחרונות. אנו ממליצים לבטל את השימוש במאקרו או לחילופין לחסום קבלת קבצי מאקרו מרשת האינטרנט.

9. שימוש בסיסמאות חזקות-  יש לוודא שימוש בסיסמא חזקה ומאובטחת. האקרים משתמשים בתוכנות כדי לפצח סיסמאות ולמעשה ככל שהסיסמא ארוכה ומסובכת יותר כך יהיה קשה יותר לפצח אותה. הסיסמא אמורה לכלול מספרים, אותיות גדולות, קטנות ותווים מיוחדים ובעלת אורך מינימלי של 7 תווים. יש מגוון רחב של מחוללי סיסמות (password generators) לשימוש ואין סיבה לא להשתמש בסיסמא מורכבת. 

10. ניטור של משתמשי אדמין- יש לנטר את קבוצות האדמין ברשת ובמחשב עצמו ולוודא שאין משתמשים בלתי מוכרים ו/או שאינם צריכים הרשאות בקבוצות אלו. גישה עם משתמש מנהל למחשב/לרשת התקשורת מגדילה מאוד את האפשרות להשחתת נתונים. חשוב לנטר אחר החברות בקבוצות הללו באופן תדיר. 

11. הפעלה של Windows Firewall במ.ההפעלה- שימוש בחומת אש רק בשער הארגון אינה מספקת. את ההגנה לא מבצעים מקו השער אלא הרבה לפני. יש לוודא כי בכל מערכת הפעלה מופעלת חומת האש של מ.ההפעלה או מוצר אחר אשר מספק יכולת דומה. בדיוק כמו בחומת האש הארגונית יש להשתמש בעקרון least privilege (רק מה שנדרש ולא מעבר). אפשר ורצוי לקבוע את הפעלת Windows firewall במדיניות הקבוצתית בשרת (group policy). 

12. שימוש בסנן דוא”ל חכם-  מערכת אנטי ספאם צריכה להיות חלק אינטגרלי ממעגלי האבטחה בארגון. המערכת כ”כ חשובה כי היא מונעת מ-דוא”ל זבל ומיילים זדוניים להכנס אל תיבת הדואר הנכנס של המשתמש ולכן היא מספקת יעילות רבה לאבט”מ הארגונית.  מערכת חכמה מונעת קבלה של וירוסים, קבצי אופיס עם מאקרו ומאפשרת שליטה ברמה מסוימת בדלף מידע ע”י מניעה של שליחת דוא”ל הכולל מידע חסוי. 

לסיכום, אלו הם 12 הדגשים שלנו להגנה מפני וירוס כופר. כמובן שקיימות המלצות ומערכות נוספות אך אנו מוצאים את 12 הדגשים האלו כדגשים החשובים ביותר להגנה על הארגון.

ransomware

שתפו את המאמר:

Facebook
Twitter
Email
WhatsApp
Print

צור קשר

    דילוג לתוכן