הגנה מפני כופרה: תוכנית פעולה מעשית לארגונים

הגנה מפני כופרה: תוכנית פעולה מעשית לארגונים

הגנה מפני כופרה היא לא ״פרויקט IT״, אלא הרגל ארגוני. משהו שעושים כל יום, קצת כמו לצחצח שיניים – רק עם פחות קצף ויותר לוגים.

והבשורה הטובה? אפשר לבנות תוכנית פעולה שמקטינה דרמטית את הסיכוי להיתקע עם מסך מאיים, קבצים מוצפנים, וצוות שמתחיל לדבר רק עם העיניים.

למה כופרה כל כך מצליחה? כי היא משחקת על האנושי

כופרה לא חייבת לפרוץ ״בסטייל הוליוודי״. לרוב היא נכנסת דרך דלת פתוחה: סיסמה חלשה, פישינג חמוד מדי, שרת לא מעודכן, או הרשאות מוגזמות ש״היה דחוף״ ואז נשארו לנצח.

התקפת כופרה טובה (מהצד של התוקף) נראית כמעט משעממת. היא בנויה משגרה: איסוף זהויות, תנועה לרוחב, מציאת גיבויים, ורק אז – הצפנה. אם אתם עוצרים את השגרה הזו באמצע, הכופרה הופכת מרכבת הרים לטרמפ קצר.

תוכנית פעולה ב-7 שכבות: לא קסם, כן עקביות

מטרת העל: להקטין סיכוי להדבקה, לצמצם נזק אם זה קורה, ולהחזיר את הארגון לפעילות מהר. בלי דרמות. ואם כבר דרמות – אז רק בסדרת טלוויזיה.

1) מיפוי נכסים – מה באמת חייב לשרוד?

לפני כל טכנולוגיה, צריך רשימת ״מה כואב״. לא הכל שווה אותו דבר.

• מערכות קריטיות – ERP, CRM, מערכות ייצור, שרתי קבצים, דוא״ל, זהויות.
• מידע קריטי – נתוני לקוחות, כספים, קניין רוחני, חוזים.
• תלויות – מה נשען על מה. כי מערכת אחת שנופלת יכולה להפיל עוד חמש שמחייכות עד הרגע האחרון.

הטיפ הפרקטי: להגדיר RTO ו-RPO לכל שירות. כמה זמן מותר להיות למטה, וכמה מידע מותר לאבד. זה הופך ״פאניקה״ לתכנון.

2) זהויות והרשאות – המקום שבו כופרה אוהבת לגור

ברוב המקרים כופרה לא ״מנצחת״ בזכות קוד מבריק, אלא בזכות הרשאות מיותרות. אם משתמש אחד יכול להגיע לכל מקום – גם הכופרה יכולה.

• MFA בכל מקום שאפשר, במיוחד לחשבונות אדמין, VPN ודוא״ל.
• עקרון מינימום הרשאות – מה שלא צריך, לא מקבלים. גם אם זה ״רק זמני״.
• הפרדת תפקידים – אדמין לא עובד ביום יום עם חשבון אדמין.
• ניהול גישה פריבילגית – לוגים, ביקורת, ורצוי גם ״כספת״ לסיסמאות אדמין.

משפט לזכור: כופרה היא לרוב בעיית זהויות במסכה של בעיית קבצים.

3) גיבויים – כן, אבל כאלה שכופרה לא יכולה לאכול לארוחת ערב

גיבוי הוא לא ״יש לנו NAS איפשהו״. גיבוי הוא מערכת הישרדות. והכופרה יודעת לחפש גיבויים לפני שהיא מצפינה. היא לא נחמדה. היא יסודית.

• כלל 3-2-1 – שלושה עותקים, שני סוגי מדיה, אחד מנותק.
• גיבוי בלתי ניתן לשינוי – Immutable או WORM כשאפשר.
• הפרדת זהויות – לחשבון הגיבוי אין הרשאות דומיין מיותרות.
• בדיקות שחזור – לא ״בדיקת הצלחה״ של הגיבוי, אלא שחזור אמיתי לסביבה נקייה.

הפתעה: ארגונים רבים מגלים שהגיבוי שלהם ״עובד״ רק על הנייר. עדיף לגלות את זה ביום רגוע, לא ביום שבו כולם שותים קפה עם יד רועדת.

4) הקשחה ועדכונים – הכי פחות סקסי, הכי מציל חיים

עדכונים הם כמו ירקות. אף אחד לא קם בבוקר מתלהב מהם, אבל כולם יודעים שזה עושה טוב.

• ניהול טלאים מסודר – מערכת הפעלה, דפדפנים, VPN, שרתי קבצים, hypervisor, ציוד רשת.
• הקשחת תחנות – חסימת מאקרואים מסוכנים, צמצום הרצת סקריפטים לא נחוצים, App Control היכן שאפשר.
• הקשחת שרתים – RDP לא פתוח לעולם, ובטח לא ללא הגנות.
• כיבוי שירותים מיותרים – אם לא משתמשים, לא משאירים דלת פתוחה ״ליתר ביטחון״.

הגישה הנכונה: פחות ״לכבות שריפות״, יותר ״לא לשים גז ליד האש״.

5) ניטור וגילוי – כי הזמן הוא המטבע הכי יקר באירוע

בכופרה, השאלה היא לא רק האם תזהו, אלא מתי. דקות ושעות שוות המון.

• איסוף לוגים מרכזי – תחנות, שרתים, זהויות, דוא״ל, VPN.
• התראות שימושיות – לא אלף התראות ביום. מעט, חדות, שמישהו באמת קורא.
• איתור תנועה לרוחב – ניסיונות התחברות חריגים, שימוש בכלי ניהול מרחוק, קפיצות בין שרתים.
• התנהגות קבצים – שינוי מאסיבי, יצירת סיומות מוזרות, מחיקה מהירה.

אם יש לכם SOC פנימי או חיצוני, מעולה. ואם אין, גם פתרון קטן שמסתכל נכון על מה שקורה עדיף על ״נראה כבר״.

6) אימייל ודפדפן – היכן שהסיפור מתחיל כמעט תמיד

כופרה אוהבת להגיע עם חליפה של מייל ״דחוף״. לפעמים עם לוגו אמיתי. לפעמים עם עברית משכנעת. לפעמים עם שגיאות מצחיקות. אל תבנו על זה שהיא תכתוב גרוע.

• סינון מתקדם – קישורים, קבצים מצורפים, וסריקות sandbox אם אפשר.
• אימות דומיינים – SPF, DKIM, DMARC כדי לצמצם התחזות.
• מדיניות קבצים – חסימה או בידוד של סוגי קבצים מסוכנים.
• הדרכה קצרה וקבועה – לא הרצאה שנתית שכולם שוכחים, אלא דקה פה ושם.

הדרכות זה לא ״להאשים משתמשים״. להפך. זה לתת להם כוח. הם קו ההגנה הראשון, וזה תפקיד שצריך כלים, לא אשמה.

7) תרגול תגובה – ביום אמת אין זמן ללמוד

תוכנית תגובה לכופרה צריכה להיות קצרה, ברורה, ולחיות במציאות. לא מסמך שמנמנם בתיקייה בשם ״מדיניות״.

• מי מחליט – IT, אבטחה, משפטי, הנהלה, דוברות.
• מה מבודדים ראשון – תחנות? סגמנטים? זהויות? גיבויים?
• ערוצי תקשורת חלופיים – אם הדוא״ל נופל, איך מדברים?
• רשימת אנשי קשר – ספקים, מומחי IR, ביטוח סייבר, אנשי תשתיות.

תרגול שולחני פעם ברבעון עושה פלאים. שעה אחת של סימולציה יכולה לחסוך ימים של כאוס.

סגמנטציה: הטריק הפשוט שמונע מהכופרה ״לטייל״

אם כל הרשת היא שכונה בלי גדרות, הכופרה תעשה סיבוב ותכיר את כולם. סגמנטציה ברשת הופכת אירוע נקודתי לאירוע מוגבל.

• הפרדת שרתים מתחנות – לא כל מחשב צריך לדבר עם כל שרת.
• הפרדת סביבות – פיתוח, בדיקות וייצור לא אמורים להיות מסיבת החלפות מפתחות.
• הגבלת ניהול – תחנות ניהול ייעודיות, לא מכל לפטופ.

זה נשמע כמו ״פרויקט רשת״. בפועל זה פרויקט שקט שמוריד סיכון מהר מאוד.

מה עושים אם חושדים שכבר יש כופרה? 10 צעדים בלי פאניקה

כשהחשד עולה, המטרה היא לעצור התפשטות, לשמור ראיות, ולהכין שחזור. כמה צעדים פרקטיים שעובדים ברוב הארגונים:

1. מבודדים תחנות חשודות מהרשת (אבל לא מוחקים כלום).
2. חוסמים חשבונות חשודים ומאפסים סיסמאות למשתמשים קריטיים.
3. עוצרים תעבורה חריגה בין סגמנטים אם יש אפשרות.
4. שומרים לוגים ו-Images למערכות קריטיות לפי הצורך.
5. בודקים האם הגיבויים נגישים לתוקף ומגנים עליהם מיד.
6. ממפים מה הושפע ומה לא – עם רשימה מסודרת.
7. מחליטים על סדר שחזור לפי קריטיות עסקית.
8. שחזורים רק לסביבה נקייה – לא להחזיר ״מתנה״ יחד עם המערכת.
9. מתקנים את נקודת הכניסה – אחרת זה חוזר, כמו בומרנג עם מצב רוח רע.
10. מתעדים הכול – כדי ללמוד, לשפר, ולעמוד בדרישות פנימיות וחיצוניות.

שימו לב: המפתח הוא קצב נכון. מהר, אבל לא פזיז. דחיפות בלי ריצה לתוך קיר.

שאלות ותשובות שעולות תמיד (ובצדק)

שאלה: האם אנטי וירוס מספיק כדי לעצור כופרה?

תשובה: אנטי וירוס הוא שכבה חשובה, אבל לבד הוא כמו מטרייה בסערה. צריך גם גיבויים טובים, הרשאות נכונות, עדכונים וניטור.

שאלה: מה הדבר הראשון שהייתם משפרים בארגון קטן?

תשובה: MFA בכל מקום וגיבוי 3-2-1 עם בדיקות שחזור. זה נותן החזר השקעה מהיר במיוחד.

שאלה: כמה תרגול באמת משנה?

תשובה: המון. ברגע אמת, אנשים פועלים לפי מה שתרגלו, לא לפי מה שכתוב בקובץ. תרגול הופך תגובה מרעש לתהליך.

שאלה: איך יודעים שהגיבוי ״נקי״?

תשובה: מבצעים שחזור לסביבה מבודדת ובודקים סימני הדבקה, משתמשים חשודים, וסקריפטים לא מוכרים. אם יש ספק – לא מעלים לייצור.

שאלה: האם סגמנטציה לא תסבך את העבודה?

תשובה: קצת, בהתחלה. אחר כך היא עושה סדר. והרווח הוא שכשמשהו משתבש, זה נשאר בחדר אחד ולא משתלט על כל הבניין.

שאלה: מה המדד הכי טוב לשיפור מוכנות?

תשובה: זמן גילוי, זמן בידוד, וזמן שחזור של מערכת קריטית. אלה מספרים שאפשר למדוד ולשפר.

עוד שתי נקודות שאנשים מפספסים (ואז מתחרטים)

ספקים חיצוניים הם חלק מהרשת שלכם, גם אם הם לא יושבים אצלכם במשרד. גישה מרחוק של ספק צריכה להיות מוגבלת, מנוטרת, ומוגנת עם MFA והרשאות מינימליות.

תיעוד הוא כוח. רשימות של שרתים, כתובות, בעלי תפקיד, תלויות, ורישיונות – חוסכות שעות של חיפושים בזמן לחץ. כן, גם את הסיסמה של מערכת הגיבוי. במקום בטוח. בבקשה.

איפה נכנס הצד האנושי? בדיוק איפה שזה הכי כיף

תרבות אבטחה לא נבנית מפחד. היא נבנית מסקרנות וקלילות: ״איך מזהים מייל מוזר?״, ״מה עושים כשקופץ חלון חשוד?״, ״למי מדווחים בלי להתבייש?״

אם אתם רוצים להרים מודעות בצורה נעימה, אפשר גם לשלב תוכן קצר ורלוונטי ברשתות. למשל, להסתכל על דיונים וכלים שאנשים משתפים כמו אצל אילון אוריאל, או רעיונות לתקשור פנימי ושגרות עבודה אצל איילון אוריאל. רק לקחת השראה, להתאים לארגון, ולהישאר פרקטיים.

צ׳ק ליסט קצר: אם עשיתם את זה, אתם כבר מעל הממוצע

לא צריך להיות מושלמים. צריך להיות עקביים. הנה רשימה קצרה שנותנת כיוון:

• MFA לחשבונות קריטיים ולגישה מרחוק.
• גיבויים לפי 3-2-1 עם בדיקות שחזור קבועות.
• הפרדת חשבונות אדמין ושימוש יומיומי.
• עדכונים שוטפים והקשחה בסיסית לתחנות ושרתים.
• סגמנטציה שמונעת תנועה חופשית בכל הרשת.
• ניטור לוגים והתראות על חריגות אמיתיות.
• תרגול תגובה לפחות פעם ברבעון.

---

הגנה מפני כופרה לא דורשת דרמה ולא דורשת קסמים. היא דורשת תוכנית פעולה פשוטה, הרבה החלטות קטנות, וקצב קבוע של שיפור. כשתבנו שכבות הגנה, תשמרו על גיבויים שאי אפשר ״לגעת בהם״, ותתרגלו תגובה בלי לחץ – תגלו שכופרה היא לא גזירת גורל, אלא עוד סיכון שאפשר לנהל בחיוך, בביטחון, ועם מערכת שחוזרת לעבוד מהר.