הגישה ההוליסטית למלחמה במתקפות הכופרה

מאת: שחר בר-אור, סמנכ"ל מוצרים עולמי ומנכ"ל פעילות מרכז הפיתוח בישראל ב- Infinidat

שנת 2020 היתה שנה טובה להתקפות כופרה. בעוד שמגפת הקורונה מחזיקה מיליוני אנשים ספונים בבתים, עובדים, קונים ומזמינים שירותים מרחוק, פושעי הסייבר מוצאים כר נוח לבצע בו את זממם. על פי תחזית של Cybersecurity Ventures שבוצעה עוד טרם המגפה, עד שנת 2021 כל 11 שניות יותקף עסק אחר בעולם, כאשר עלות ההתקפות הללו עשויה להגיע עד ל- 20 מיליארד דולר בשנה. מגמה זו תתחזק בסוף השנה בשל מעורבות הצרכנים הגבוהה בפעילות און-ליין – ולראיה, ממחקר של צ'קפויינט שפורסם לאחרונה עולה כי ברבעון השלישי של 2020 בלבד חלה עליה של 50% במספר התקפות הכופרה היומי הממוצע בהשוואה למחצית הראשונה של השנה.

כולנו קראנו על מתקפת הכופרה המתוקשרת בחברת הביטוח "שירביט" בישראל, אך היא לא לבד. חברות גדולות, מכובדות ומוכרות נוספות הותקפו במהלך השנה האחרונה על ידי מתקפת כופרה, בהן טסלה, Travelex, Finastra, ענקיות הרכב הונדה ומיצובישי, יצרנית הצעצועים מאטל וענקית המשקאות קמפארי. ואלו רק חלק קטן מהמותגים שפורסמו בכלי התקשורת.

מספר התקפות הכופרה הגבוה מביא את מומחי הסייבר למסקנה הברורה שלא ניתן לשמור על הפורצים מחוץ לארגון ושאין באמת הגנה הרמטית מפניהם. בסופו של דבר, הם יצליחו להיכנס אם ירצו בכך. לכן, היום, האתגר העיקרי הוא כיצד לדאוג שהתוקפים לא יגיעו למידע קריטי לאחר הפריצה. אם בעבר התמקדנו בחיזוק החומות, היום אנו מתמקדים בעיקר באימות משתמשים וביכולת לקבוע האם האדם שמקבל את המידע הוא אכן האדם הנכון שמורשה לכך.

מאחר שאימות בלבד הוכח כלא מספק, עסקים רבים מוסיפים הצפנה כשכבת אבטחה נוספת. למרות שקיימת מורכבות בהצפנה, ועל אף שגם הצפנה אינה תרופה לכל (כמו כל פתרונות האבטחה), היא עדיין האמצעי האפקטיבי ביותר להגן על מידע מפני חשיפה. יחד עם זאת, על מנת שהצפנה תהיה יעילה באמת, היא חייבת להתבצע מקצה לקצה. לא מספיקה הצפנה ברמת האחסון או ברמת הדטה בייס, ההצפנה צריכה להגיע על לרמת נקודות הקצה.

רק הצפנה מקצה לקצה יכולה להבטיח שכאשר המידע מועבר ממקור אחד לשני, רק השולח או המקבל יכולים לצפות בו, וזאת לאחר שההצפנה נפתחה עם מפתחות מותאמים. במצב האולטימטיבי, המידע נולד מוצפן ונשאר מוצפן כל חייו, מלבד אותם רגעים פגיעים ומועטים בהם הוא מוצג ומעובד. רק כך ניתן לצמצם את חשיפת המידע ואת השטח הפתוח להתקפה (Attack surface).

היתרון של הצפנה מקצה לקצה ברור – מדובר בכלי אבטחה שבנוי בתוך החומרה והתוכנה אך שקוף למשתמש. היא שומרת על המידע מוגן ואף אחד לא יכול לגשת למידע מלבד אלו שאמורים לקבל אותו. כאשר הצפנה משולבת עם אימות משתמשים, כך שהמשתמשים יוכלו לפענח רק את השדות אליהם יש להם גישה, גם אם תוקף מצליח לגנוב את בסיס הנתונים, אין חשיפה של מידע. אפילו במקרה בו הפורץ מצליח להשיג שם משתמש וסיסמא יש הקטנה משמעותית בכמות המידע שייחשף.

אבל להצפנה מקצה לקצה קיים גם חסרון במידה שאחסון המידע בארגון מבוסס על מערכי All Flash, מדיית האחסון היקרה ביותר בשוק, והוא נובע ממודל התמחור של מערכי אחסון אלה. על מנת שיצרני ה- All Flash יוכלו להציע ללקוחות מחיר הגיוני ליחידת אחסון, הם מציעים דחיסת מידע אגרסיבית. אולם, הצפנת המידע בכל מקום אחר מרמת האחסון, מבטלת את יכולת הדחיסה הזאת, וכך כל המודל הכלכלי של ספקי ה-All Flash הופך לחסר משמעות. מסיבה זאת, ארגונים רבים מתפשרים ומבצעים הצפנה רק בשכבת האחסון  מה שיוצר תחושת ביטחון שגויה.

דרך נוספת להילחם במתקפות הכופרה היא באמצעות שחזור מידע מתקדם. מתקפת הכופרה מחזיקה את המידע של הארגון כבן ערובה עד לתשלום הכופר. בין אם התוקף מצפין את המידע או גונב אותו ומאיים לפרסמו, הסיטואציה מכניסה את הארגון למצב של הדממה ומאלצת את הארגון לשחזר נפחי מידע גדולים משרתי הגיבוי, תהליך שאורך זמן רב ומעמיד את הארגון במצב פגיע וניתן לסחיטה, וכמובן עולה לעסק בהפסדים כספיים אדירים. יצרני מערכות גיבוי סיפקו בעבר את היכולת לגבות מידע מהר, אך לא תמיד הבטיחו זמן שחזור מידע מהיר דיו על מנת להתמודד עם התקפות כופרה בזמן אמת.

הצורך הגובר בהצפנה מקצה לקצה ובשחזור מידע מהיר, ממקד אפוא באופן מפתיע את המלחמה במתקפות הכופרה דווקא במערך אחסון הנתונים של הארגון. מערכי האחסון יכולים להציע שחזור מהיר מסנאפשוטים, אך שוב, גם כאן השיקול הכלכלי קריטי ושום ארגון לא מרשה לעצמו להשתמש בסנאפשוטים לאורך זמן במחירים של all flash – בטח לא כאשר ההצפנה מגדילה עוד את  נפח המידע. פתרונות אחסון, שמורידים את עלות האחסון של מידע מוצפן, מאפשרים גם את השימוש בסנאפשוטים כדי לשחזר מהר יותר את המידע ובכך מקטינים את החשיפה העסקית של הארגון ומאפשרים חזרה מהירה יותר למתן שירות ללקוחות.