סייבר

הכן ארגונך לכופר

הנהלת האתר לא תישא באחריות לכל נזק שייגרם מעבודה לפי מדריך זה. המשתמש נושא באחריות הבלעדית לכל שינוי ועבודה שבוצעה. אין לראות בדברים משום המלצה.

לאחרונה מתפרסמות כתבות רבות על חברות המקבלות דרישות כופר. מטרתן של דרישות הכופר היא להפוך את הארגון ל-“בן ערובה” עם דרישה לתשלום דמי כופר במטבע וירטואלי. התקיפות הללו משתמשות בהנדסה חברתית ועוברות דרך שימוש בחור אבטחה או פישינג.

בשורות הבאות נציג כיצד למנוע ולטפל באירועי סייבר מבעוד מועד.

היסטוריה:

בשנת 2013 באה לאוויר העולם Cryptolocker

סוג כופר חדש ומהפכני שניצל את הביטקוין בשילוב שיטות הצפנה מתקדמות. cryptolocker השתמש בזוגות מפתח RSA2048 להצפנת מידע של משתמשים, אשר תמורת כ-300 דולר חזר לבעלותם.

וירא כי טוב, ומפה לשם השיטה שודרגה להונאות מוסדות פיננסיים בהיקף נרחב.

They all LOVE Bitcoin

במבצע ענק של ה-FBI וחוקרי אבטחה נוספים Cryptolocker הושבת וקבצי המשתמשים חזרו לבעליהם ללא תשלום, ושימש תמרור אזהרה ברור עבור קהילת המצפינים.

אך תוך מספר חודשים גילו חוקרי אבטחה מספר רב של שיבוטי Cryptolocker בשליטתם של פושעים מכל רחבי העולם.
מאז, כנופיות פשע מאורגנות משקיעות משאבים נכבדים ליצירת טכנולוגיות חדשות של סוגי כופר מתקדמים וחזקים יותר כמו cryptowall ו-WannaCry הידועה לשמצה.

דרכי מניעה- כיצד להתמגן?

  1. ראשית מתחילים עם הגורם האנושי- הדרכת עובדים וקיום סדנאות. ניתן ליצור חשבון בשירותים כגון Activetrail ודומיהם, ולהוציא קמפיינים עם עדכוני ריענון יומיים של ניסיונות או התקפות פישינג בארגון. מודעות היא דבר חשוב.
  2. במקביל לארגן הדרכות תקופתיות לעובדים להכרת איומי סייבר מדוא”ל, רשתות חברתיות, אתרים מפוקפקים ועוד.
  3. עדכוני אבטחה לכלל המערכות- בדיקה של כלל התחנות והשרתים אם הן מעודכנות בעדכוני מערכת הפעלה + אנטיוירוס מעודכן + דפדפנים + אופיס. ניתן באמצעות SCCM או תוכנות צד שלישי דוגמת Itarian.
  4. לוודא שתוכנת ה-AV רצה בכל התחנות והשרתים- עם שירות דוגמת ESMC
  5. שימוש ב-EDR- הגנה מקומית על תחנות ושרתים.
  6. חסימת אתרים בפיירוול לפי קטגוריות או לפי מיקום גאוגראפי, יכולים למנוע הרבה נזק בשעת אמת.
  7. הפרדת רשתות- כל רשת תשב בסיגמנט נפרד- רשת המחשבים (עמדות), שרתים, טלפוניה, ועוד..
  8. הגדרת מערכת קבצים של ReFS עבור פתרונות גיבוי חיצוניים

מה קורה באירוע כופר בזמן אמת?

להלן השלבים:

  1. עובד לוחץ על לינק או מוריד קובץ מדוא”ל, רשת חברתית, או אתר זדוני אחר.
  2. הלינק מפנה לכניסה דרך פירצה בדפדפן או אופיס או במערכת ההפעלה
  3. מופעל קוד זדוני או יורד קובץ מסוכן
  4. תוכנת הכופר מופעלת, קבצי המשתמש מוצפנים, ומתקבלת (בשלל וריאציות) ההודעה הבאה:
המדריך הבא מתאר בפרוטרוט מקרה אירוע כופר בזמן אמת

פירוט מוצרים נפוצים שנפרצו לאחרונה:

רכיב טיפול באמצעות
OWA – Exchange Microsoft Patch – CVE-2020-0688
Palo Alto – VPN
  • Upgrade Version to 10
    Mitigate CVE’S:
    CVE-2020-2037
    CVE-2020-2038
    CVE-2020-2039
    CVE-2020-40
    CVE-2020-41
    CVE-2020-2042
  • הגדרת 2FA
  • ניתוק פיזי של ממשק ניהול מרשת האינטרנט
  • F5-BIGIP
  • Upgrade Version / Patch CVE2020-5902
  • ניתוק פיזי של ממשק ניהול מרשת האינטרנט
  • Pulse Secure
  • Upgrade Version CVE2020-8218
  • הגדרת 2FA
  • ניתוק פיזי של ממשק ניהול מרשת האינטרנט
  • Cisco Switch
  • כלל המתגים מתחת לגרסה:
    Patch CVE2018-0171
    Smart Install Remote Code Excution Switch IOS version 15.2(4a)EA5
  • Windows
  • ביצוע עדכוני מערכת שוטפים + Antivirus
  • התקנת CVE2020-1472 (Zerologon)
  • ביצוע הקשחה על בסיס Best Practices
    ניתן להשתמש בכלי Microsoft mbsa או CIS Benchmark
  • Wordpress Plugins הקשחת HTTAccess– ניהול הרשאות בקובץ, הקשחה על פי Best Practices

    טיפול מונע עבור שיטות שונות:

    שיטה טיפול באמצעות
    קבצים מצורפים
  • הקשחה ועדכוני אבטחה לשירותי Office
  • הפעלת מודול Content Filtering ברכיב ה-FW
  • הפעלת מודול Application Control ב-FW
  • הפעלת מודול AV ב-FW
  • הפעלת מודול ATP בשירות Office 365
    השירות המלא בתשלום ומשלב Sandbox, Reputation,Threat Emulation
  • הטמעת EDR-מניעת הרצת קוד זדוני
  • במידה ועבר את כל הסינונים, כאן הוא ייעצר
  • קישורים
  • הקשחה ועדכוני אבטחה לשירותי לדפדפנים
  • הטמעת Whitelist ב-Proxy
  • סינון DNS על בסיס מוניטין Reputation
  • הקשחה ועדכוני אבטחה לשירותי Office
  • הפעלת מודול Content Filtering ברכיב ה-FW
  • הפעלת מודול Application Control ב-FW
  • הפעלת מודול AV ב-FW
  • הפעלת מודול ATP בשירות Office 365
  • הטמעת EDR
  • DNS
  • הקשחות לדוא”ל
  • הפעלת STS-SMTP, נועד לוודא כי החיבור מבוצע ב-TLS
  • הפעלת שירות DMARC ו-DKIM, להגנה מפני Spoofing
  • הפעלת SPD- הגדרת “Sender Policy”
    נועד לוודא שהמייל הגיע משולח מאומת ואמיתי
  • הפעלת מודול ATP בשירות Office 365
  • Wipers
  • הטמעת EDR
  • גיבויים באחסון מחוץ לרשת
    לאחר הגיבוי נרש לבצע ניתוק פיזי מהרשת
    בנוסף, אחסון המידע מחוץ לרשת הארגון.
  • צמצום השימוש בתיקיות משותפות-
    מניעת דילוג בין שרתים/תחנות
  • Crypto
  • הטמעת EDR
  • גיבויים באחסון מחוץ לרשת
    לאחר הגיבוי נרש לבצע ניתוק פיזי מהרשת
    בנוסף, אחסון המידע מחוץ לרשת הארגון.
  • צמצום השימוש בתיקיות משותפות-
    מניעת דילוג בין שרתים/תחנות
  • מאמרים מעניינים:

    מהי תוכנת כופר? איך מונעים מתקפות בשנת 2020

    מאמר מצוין באנגלית המסביר עוד על כופר והיסטוריית כופר

    Admin

    איש סיסטם ואבטחת מידע. אוהב בירה מסוג Corona, וויסקי Crown Royal, גיימר בדם, ובעל חוש הומור.

    מאמרים קשורים

    Leave a Reply

    Your email address will not be published. Required fields are marked *

    אתה תאהב גם את זה
    Close
    Back to top button