האם עלי לשלם כופר אם אני נפגע מתוכנת כופר?

כמעט אף פעם לא הבחירה הראשונה. שחזר מגיבויים לא מקוונים, התייעץ עם מומחים, בדוק אם יש מפענחים זמינים. התשלום מממן את התוקפים ומסמן אותך כיעד משלם; חלק מתחומי השיפוט גם מגבילים תשלומים לקבוצות שסנקציות. עיין במאמר ransomware שלנו לפרטים.

כמה זמן לוקח לארגונים בדרך כלל לזהות הפרה?

הזמן החציוני בין חדירה לגילוי הוא בסביבות 80 יום נכון ל-2024-2025, ירידה מ-200+ ימים לפני עשור - שיפור משמעותי אך עדיין ארוך מאוד. אירועים רבים מזוהים על ידי צדדים שלישיים (רשויות אכיפת חוק, חוקרי אבטחה, דיווחי לקוחות) במקום ניטור פנימי.

האם אני צריך תוכנית תגובה כתובה לאירוע?

עבור כל ארגון עם עובדים, לקוחות או נתונים רגישים, כן. אפילו מסמך בן עמוד אחד עם אנשי קשר לצוות, מספרי ספקים וסמכות החלטה לא מנצח שום תוכנית. פעולת הכתיבה מעלה פערים שאחרת היית מגלה במהלך תקרית ממשית.

מהו תרגיל שולחן?

הדרכה מונעת תרחיש של תגובה לתקרית - בדרך כלל 1-2 שעות, עם הצוות בפועל. מישהו קורא תרחיש; המשתתפים מתארים מה הם היו עושים; צצים פערים ואי בהירות. הדרך הזולה ביותר למצוא חולשות IR לפני שהן נבדקות במציאות.

האם עסק קטן יכול להרשות לעצמו תגובה לאירועים?

כן באמצעות הסדרים בסגנון ריטיינר עם חברות IR (תשלום שנתי צנוע יחסית עבור הזכות להתקשר כשמשהו קורה). ביטוח סייבר כולל לרוב שירותי IR. העלות של תקרית לא מתוכננת ללא תמיכת IR היא בדרך כלל גדולה יותר מה-Retainer.

הסבר לתגובת האירוע: מה לעשות כשפורצים לך

כמעט כל ארגון נפגע בסופו של דבר. ההבדל בין אירוע מוכל לבין פרצה קטסטרופלית הוא בעיקר על מה שקורה בשעות הראשונות לאחר הגילוי. המסגרת המובנית לטיפול בה - תגובה לאירועים - שוכללה במשך עשרות שנים, והיסודות משתנים מארגון לפרט.

גוף המאמר המלא מסופק באנגלית להלן.

Incident response (IR) הוא התהליך המובנה לטיפול באירוע אבטחה מגילוי ועד התאוששות. המשמעת נוצרה מדפוסי תגובה לשעת חירום וקודמה בתקנים כמו NIST SP 800-61 ו-SANS PICERL. השלבים ניתנים לחיזוי; הקושי הוא ביצוע תחת לחץ.

ששת השלבים

Preparation. בנה את הצוות, הכלים וספרי הריצה לפני שמשהו יקרה. רוב הארגונים הלא מוכנים לא מבינים שהם לא מוכנים עד שהם נמצאים באמצע תקרית.
Identification. זהה שמשהו לא בסדר. לעתים קרובות השלב הקשה ביותר - רוב הפרצות אינן מזוהות במשך חודשים.
Containment. הגבל את הנזק. לעצור את התוקף מלהתפשט עוד יותר. בלימה לטווח קצר (בודד מערכות מושפעות) והכלה לטווח ארוך (בנייה מחדש לפני חיבור מחדש).
Eradication. הסר את נוכחות התוקף - תוכנות זדוניות, מנגנוני התמדה, אישורים שנפגעו. זה המקום שבו בנייה מחדש במקום ניקוי הופכת לפתרון.
Recovery. שחזר מערכות לפעולה רגילה. עקוב מקרוב אחר הופעתו מחדש של האיום.
Lלמדנו. תיעד מה קרה, מה עבד, מה לא, ומה לשנות. שלב זה מדלגים תחת לחץ דד-ליין; לעשות את זה הוא מה שהופך את התקריות העתידיות פחות גרועות.

השעה הראשונה

כאשר אתה חושד באירוע, השעה הראשונה חשובה באופן לא פרופורציונלי:

וודא שההתראה אמיתית. היה משאבים כוזבים; קפיצה לפעולה בהתראה שגויה עלולה להחמיר את המצב האמיתי.
הפעל את צוות ה-IR. אם אין לך אחד, מוביל ה-IT שלך, חברת IR חיצונית וייעוץ, כולם צריכים להיות בשיחה במהירות. צילומי מצב. דיסק תמונת מצב, זיכרון, מצבי יומן.
תקשור עם משמעת. אל תדבר באימייל או בצ'אט שאולי התוקף קורא. השתמש בערוצים מחוץ לפס עד שתאשר מה נקי.
אל תשבור דברים מהר יותר ממה שאתה מבין אותם. משיכת כבלי רשת עוצרת את התוקף אך גם מפסיקה את החקירה שלך אם לא תופס את המצב קודם.

Containment דפוסים

בידוד רשת של מארחים שנפגעו - השבת את יציאת המתג שלהם, העבר אותם ל-VLAN בהסגר, הרג את הפעלת ה-VPN שלהם. חשבונות שירות במיוחד.
השבת וקטורי התמדה - משימות מתוזמנות, שירותים, ריצות אוטומטיות, חשבונות בדלת אחורית - אך רק לאחר שתיעדת אותם, מכיוון שהם לרוב התיעוד היחיד של מה שהתוקף עשה.
XPLZ74-XPLZ73.XXPLZ layer.
לאלץ אימות מחדש בכל החשבונות; בטל הפעלות ואסימונים פעילים.

עזרה חיצונית

תקריות מעל רמת תוכנה זדונית של סחורות דורשות בדרך כלל עזרה של מומחה:

IR firms (MandiCCStrike,Volexition,CrowdStrike, Incident, תגובה) - מחזיקים בתשלום או התקשרות לפי שעה. כלים מיוחדים וזיהוי דפוסים מאירועים קודמים רבים.
Counsel - עבור חובות הודעה על הפרה, התקשרות רגולטורית, שיקולי תשלום כופר.
ספק ביטוח - אם אין לך ביטוח מיידי; לעתים קרובות יש להם רשימות ספקים ונהלי מדיניות מאושרים.
L אכיפת החוק — FBI עבור תוכנות כופר בארה"ב (במיוחד עם שיקולי תשלום), משטרה מקומית, CERTs לאומיים. אולי הם לא יפתרו את התקרית שלך, אבל הם כן אוספים מודיעין איומים.
ISACs ו-CERTs - קהילות שיתוף מידע ספציפיות למגזר. דרך מהירה ללמוד אם ארגונים אחרים רואים את אותו מסע פרסום.

תקשורת במהלך תקרית

חלק מההחלטות החשובות ביותר הן לגבי תקשורת:

תקשורת פנימית. בסיס צריך לדעת עד בלימה, ואז רחב יותר. הימנע מערוצים ציבוריים שבהם התוקף עשוי להאזין.
הודעת לקוח. נדרש לעתים קרובות על פי חוק בתוך חלונות ספציפיים (72 שעות תחת GDPR). נוסח בקפידה - מעורפל מספיק כדי להיות מדויק בזמן שהחקירה נמשכת, ספציפי מספיק כדי להיות שימושי.
הודעת רגולטור. ספציפית למגזר (SEC עבור הפרות מהותיות, HIPAA עבור שירותי בריאות, מדינות AGs ברוב מדינות ארה"ב). עניין. אל תגיד יותר ממה שאתה יודע; אל תגיד פחות ממה שהוא כנה.

שחזור ובנייה מחדש

עבור תקריות חמורות, הכלל הוא בנייה מחדש ולא נקייה. תוקפים משאירים מנגנוני התמדה במקומות שקשה למצוא אותם - מפתחות רישום, משימות מתוזמנות בחשבונות חריגים, קובצי DLL שהשתנו, קבצים בינאריים בדלת אחורית עם חותמות זמן המותאמות לקבצים לגיטימיים. ניסיון לנקות מארח שנפגע עמוקות מצליח רק לעתים רחוקות. בנה מחדש ממדיה ידועה ושחזור נתונים לאחר סריקה.

גם סדר הבנייה מחדש חשוב: תחילה תשתית זהות (כך שהאישורים מהימנים), אחר כך מערכות ייצור, ולאחר מכן מכשירי משתמש. הפעלה מחדש של מחשב נייד משתמש ל-Active Directory שעדיין עלול להיפגע מעניקה לתוקף דריסת רגל רעננה.

ליחידים: IR

מוקטן אם החשבונות האישיים שלכם נפגעים:

השתמשו במכשיר חדש ונקי, רצוי להשתמש במכשיר חדש ונקי. אל תתקן שום דבר ממחשב נייד שעלול להיפגע.
אפס את סיסמת הדוא"ל הראשית שלך ואת 2FA מהמכשיר הנקי. דוא"ל שולט בכל השאר.
אפס את הבנק והתיווך משם.
Lהסתכל על כללי העברת דוא"ל - תוקפים מוסיפים לעתים קרובות העברה כדי ללכוד איפוסי סיסמאות לאחר ששינית את הסיסמה.
סקור אפליקציות מחוברות והענקות OAuth; בטל לא מוכרים.
הפעל סריקה מלאה של תוכנות זדוניות במכשיר המקורי; אם משהו נראה שגוי, נגב והתקן מחדש.
עקוב אחר דוחות כספיים למספר החודשים הקרובים - הונאה לאחר גניבת אישורים מתרחשת לעתים קרובות שבועות לאחר מכן.

Lלמדו

השלב שמדלגים עליו. סקירה שלאחר התקרית צריכה לענות:

איך התוקף נכנס?
איזה בקרות בילוש נכשלו?
איזה בקרות בילוש תפסו את זה (בסופו של דבר)?
מה היה מונע בקרות בילוש it?
מהו הצעד הבא להצבת אלה?

הסקירה הכנה חשובה יותר מהתגובה עצמה. תקריות חוזרות באותו ארגון בדרך כלל משקפות לקחים שלא נלמדו.

שאלות נפוצות

האם עלי לשלם כופר אם אני נפגע מתוכנת כופר?: כמעט אף פעם לא הבחירה הראשונה. שחזר מגיבויים לא מקוונים, התייעץ עם מומחים, בדוק אם יש מפענחים זמינים. התשלום מממן את התוקפים ומסמן אותך כיעד משלם; חלק מתחומי השיפוט גם מגבילים תשלומים לקבוצות שסנקציות. עיין במאמר <a href="/learning/ransomware">ransomware שלנו</a> לפרטים.
כמה זמן לוקח לארגונים בדרך כלל לזהות הפרה?: הזמן החציוני בין חדירה לגילוי הוא בסביבות 80 יום נכון ל-2024-2025, ירידה מ-200+ ימים לפני עשור - שיפור משמעותי אך עדיין ארוך מאוד. אירועים רבים מזוהים על ידי צדדים שלישיים (רשויות אכיפת חוק, חוקרי אבטחה, דיווחי לקוחות) במקום ניטור פנימי.
האם אני צריך תוכנית תגובה כתובה לאירוע?: עבור כל ארגון עם עובדים, לקוחות או נתונים רגישים, כן. אפילו מסמך בן עמוד אחד עם אנשי קשר לצוות, מספרי ספקים וסמכות החלטה לא מנצח שום תוכנית. פעולת הכתיבה מעלה פערים שאחרת היית מגלה במהלך תקרית ממשית.
מהו תרגיל שולחן?: הדרכה מונעת תרחיש של תגובה לתקרית - בדרך כלל 1-2 שעות, עם הצוות בפועל. מישהו קורא תרחיש; המשתתפים מתארים מה הם היו עושים; צצים פערים ואי בהירות. הדרך הזולה ביותר למצוא חולשות IR לפני שהן נבדקות במציאות.
האם עסק קטן יכול להרשות לעצמו תגובה לאירועים?: כן באמצעות הסדרים בסגנון ריטיינר עם חברות IR (תשלום שנתי צנוע יחסית עבור הזכות להתקשר כשמשהו קורה). ביטוח סייבר כולל לרוב שירותי IR. העלות של תקרית לא מתוכננת ללא תמיכת IR היא בדרך כלל גדולה יותר מה-Retainer.