Ransomware ודרכי התמודדות בשירות Office 365 (היום שלפני)
בתקופה האחרונה אנו עדים לחדשות ומידע אודות ארגונים שחוו מתקפות Ransomware שונות וכתוצאה מכך חוו נזק תדמיתי וכלכלי.
בשיח היומי של אנשי אבטחת מידע וסייבר ישנם מספר סוגיות שאין עליהם מענה במאת האחוזים ואחד מהם הוא הוירוסים החדשים שמגיע בכמה סוגים.
לפני שאנו מתחילים להגן על הארגון ולתכנן איזה משאבים נקצה ואיזה פלטפורמות נשים ישנם כמה שאלות שדורשות מענה:
- האם ניתן להגן על המשתמשים מפני Ransomware?
- האם אתה בטוח שהארגון שלך לא יחווה תקיפות מסוג Ransomware?
- האם המערכות הקיימות בארגון מאפשרות הגנה מפני תקיפות Ransomware ?
בקיצור מי חותם שזה לא יקרה בארגון שלו ומוכן להתחייב שמתקפות Ransomware לא יהיו מנת חלקם של המשתמשים? כנראה שאף אחד בגלל סיבה מאד פשוטה שארגונים יכולים לחוות מתקפות ransomware השאלה מתי ובאיזה מינון זה יהיה.
רקע כללי על Ransomware
Ransomware הוא סוג של וירוס או Malware אשר מונע גישה אל התוכן האישי של המשתמש כדוגמת קבצים או אפליקציות אישיות.
תופעת Ransomware אינה חדשה כלל וקיימת מספר שנים אך בתקופה האחרונה אנו עדים למתקפות שהולכות וגוברות בארגונים ובמחשבים אישיים והבשורה החדשה של התוקפים היא בסוג וחומרת המתקפות אשר נעשות עם הסוגים השונים של הוירוסים.
במידה ופורץ הצליח להדביק (לפרוץ ולהתקין) Ransomware בתחנת קצה הדרך היחידה לשחרר את התוכן האישי הוא ע”י תשלום כלשהוא אך ישנם מקרים בהם גם לאחר תשלום התוכן האישי אינו משוחרר ע”י הפורץ.
מתקפת Ransomware יכולה להיעשות ע”י שליחת מייל עם קישור חיצוני, מייל עם קובץ נגוע או לעיתים רחוקות קובץ שמועבר ע”י התקן חיצוני, האופן שבו מתבצעת התקיפה באמצעות מייל ודואר יכול להיות ספאם רגיל או ספאם ממוקד (spear phishing).
וירוס Ransomware עובד בדרך כלל עם סןגי הקבצים הבאים:
ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif, doc, xls, docm, xlsm, pptm
ישנם מספר סוגים של Ransomware (נכון למאמר הנוכחי) וניתן למצוא ברשימה בין היתר את:
- Crowti
- Tescrypt
- Locky
- Cryptolocker
- CTB-Locker
- PrisonLocker
- Cryptowall
- CoinVault
המכנה המשותף של Ransomware מתמקד בדבר אחד בלבד והוא הגורם האנושי.
Ransomware על כל סוגיו מנצל את התכונות הפסיכולוגיות של המשתמש ומביא את המשתמש לבצע פעולות בהתאם לבקשותיו של הפורץ, פעולות אלה יכולות להיות לחיצה על קישור כלשהוא או הורדת קובץ נגוע.
בכל אותם סוגי Ransomware מתבצע אותו תהליך שמונע גישה אל התוכן האישי, התהליך מתבצע לפי השלבים הבאים:
- משתמש מקבל מייל עם קובץ מצורף או קישור מסוים אשר נגוע בסוג מסוים של Ransomware
- כאשר המשתמש משתכנע להוריד את הקובץ המצורף הוא למעשה מוריד Malware כלשהוא
- אותו Malware מבצע חיבור מול שרת או קישור מסוים של הפורץ שמכיל Crypto Ransomware
- החל מאותו רגע Crypto Ransomware יורד אל תחנת הקצה של המשתמש
- לאחר מכן תוכן אישי מוצפן אוטומטית ע”י הפורץ
- לאחר הצפנת התוכן האישי מוצגת הודעה בדבר הצפנת הקבצים
- משתמש צריך לשלם עבור התוכן האישי שלו
לאחר שתחנת קצה מוצפנת אין לנו שום יכולת לגשת לקבצים ושום אפשרות לבצע Decrypt כלשהוא להצפנה שנעשתה על התוכן, הגורם היחיד שמחזיק במפתחות ההצפנה הוא הפורץ בלבד.
ברוב הסוגים של Ransomware מפתחות ההצפנה שנעשות בשלב Decrypt וכן בשלב Encrypt שונות.
חשוב להדגיש כי בעבר היו סוגי Ransomware כדוגמת:
ScareWare – מופיע כאפליקציה/תוכנה כלשהיא שדורשת לבצע פעולה כלשהיא ולא ייגרם נזק למחשב, למשל חלון אנטי-וירוס שקופץ ומבקש לבצע סריקה מיידית ולא יימחק המחשב או לחלופין אתר אשר מקפיץ חלון שמתריע מפני מחיקת קבצים. במקרים אלה בסופו של דבר יופיע חלון אשר ידרוש מאותו משתמש לשלם עבור אותה תופעה.
דרכי התמודדות
ישנם דרכים רבים להתמודד ולהתגונןן מפני תקיפות Ransomware החל ברמת אנשי סיסטם ואבטחת מידע וברמת משתמשי קצה.
בשירות Office 365 ישנם מספר דרכים המאפשרים הגנה על המשתמשים בארגון, חלקן אפשרויות מובנות, חלקן אפשרויות שמצריכות הגדרות וחלקן אפשרויות שמצריכות חיבור מול שירותי ענן אחרים.
המשתמש
בכוונה תחילה התחלתי בצד המשתמש כי אחרי הכל לא משנה כמה מערכות יהיו לנו, כמה משאבים נשקיע בציודי תקשורת ואבטחת מידע עדיין המשתמש הוא החלק החלש בתהליך.
המימד האנושי (מודעות וחינוך)
משתמשי קצה חייבים לקבל הדרכה חודשית ורבעונית לגבי איומים של אבטחת מידע ותקיפות נפוצות בכדי שיוכלו לדעת מהו סיכון ואיום ומה לא ובהתאם לכך להתמודד עם הדואר ובמקרה של בעיה לעדכן את הגורמים בארגון. במידה ומשתמש יהיה מודע ויבחין בפריט דואר שאינו מוכר המשתמש יהיה חשוף במידה מועטה לאיומים.
במקרים בהם המשתמש בכל זאת לחץ על קישור שאינו צריך או פתח קובץ נגוע עדיין יכול המשתמש להודיע על כך בהקדם האפשרי ולצמצם את הנזק הארגוני והחשיפה מול משתמשי קצה נוספים.
דגשים במודעות וחינוך משתמשים:
- לא לפתוח מיילים של משתמשים לא מוכרים
- לא לגשת לאתרים שאינם מוכרים מתוך Outlook
- לא להוריד קבצים מתוך מקורות לא ידועים. למשל: אתרים שמבטיחים ביצועים טובים יותר ע”י הורדת קובץ
בנוסף צריך לשים דגש על מודעות העובדים לגבי זליגת מידע, הונאות פישינג, מתקפות ושימוש בלתי מורשה בנתונים של הארגון.
יתרה מכך, כיום אחוז העובדים שמתעלמים ממדיניות אבטחת מידע היא גבוהה מאד ברוב הארגונים ולכן מודעות היא דגש חשוב בעבודה מול משתמשים.
ישנם מקרים רבים שעובד ידלג ויתעלם ממדיניות של אבטחת מידע בכדי להספיק משימות ובכדי להגיע אל היעדים האישיים שלו.
ישנם שיטות ישנות שלא בהכרח עובדות בארגונים, כגון: דיוור מיילים לעובדים, תרגול באמצעות לומדות (משעממות) הדרכות רגילות.
ישנם שיטות חדשות ויעילות יותר כגון: פעולות אינטראקטיביות מול המשתמש, התמקדות בפלח מסוים של משתמשים בארגון, סשנים ממוקדים וקצרים מול משתמשים, יצירת מוטיבציה בקרב העובדים להגן על המידע בחברה, תגמול עובדים שמתנהלים באופן תקין. ישנם שיטות חדשות נוספות שניתן ליישם מול העובדים בכדי להעלות את המודעות ולא בדרך הנוקשה והישנה.
חשוב להדגיש כי הלעאת המודעות וחינוך המשתמשים בארגון חייבת להיות יישום דינמי שמותאם לארגון ושאין נוסחת פלא ושזהו משאב שצריך להשקיע בו.
צוות אבטחת מידע וסייבר
גיבוי
גיבוי הוא הפעולה הראשונית שצריך לבצע בכדי להתמודד מתקפות סייבר ובינהם Ransomware, במידה ומשתמש הותקף והמידע אשר ברשותו הוצפן אנו יכולים לשחזר את המידע. (חלק מתהליך Remediation שנשעה לאחר מתקפה)
גיבוי מידע ארגוני של משתמש צריכים להיעשות על בסיס יומי בכדי להגן על המידע ולא לאפשר לתוקף לנצל את הארגון.
במידה ומשתמש עובד עם מידע אשר מסונכרן מול OneDrive רק המידע המקומי נפגע והמידע בענן אינו נפגע כלל, OneDrive כולל מנגנון הגנה מובנה מול Ransomware.
Penetration
ביצוע בדיקת חדירות ותרחישי תקיפה (Ethical Hacking & Penetration Test) ברמה של Ransomware מול משתמשים בלבד, בבדיקות של המימד האנושי ניתן לגלות עד כמה הארגון יכול להיות חשוף למתקפות סייבר מסוג Ransomware ומהי מידת המודעות של המשתמשים והנזק שעלול להיגרם.
ישנם סוגים שונים של בדיקת חדירות (מימד אנושי, פישינג, קופסה לבנה, קופסה שחורה וכו’) אשר נעשות לפי שכבות שונות, במקרה של מתקפות מסוג Ransomware ישנם דרכים מסוימות לבצע תרחישי תקיפה וע”י כלים שונים אשר חייבים להיות מאושרים בארגון טרם הבדיקה.
בדוח של בדיקות חדישרות ניתן לתכנן את של שמתמקד במימד האנושי ולפי חתך ארגוני של משתמשים.
פתרונות Zero Day
במתקפות סייבר ישנם מספר שלבים: Vulnerability, Exploit, Shellcode, Malware ובכל שלב מתבצעת פעולה מסוימת שעלולה לגנוב סיסמאות, להוריד Malware, לבצע הפניה של קישורים למקום אחר ועוד.
כיום מערכות של אנטי וירוס שמתבססות על חתימות אינן מספיק טובות בגלל ש Malware נוצרים מידי יום ואינן ידועות לספקים השונים, ולכן אנטי וירוס אינו יכול להתמודד עם תופעה זאת.
מכיוון שוירוסים משתנים מידי יום וסוג המתקפות משתכלל בצורה דינמית אנו חייבים לעבוד עם מערכות Zero Day המסוגלות לזהות בדיקה של המרות קבצים, ביצוע Sandbox על מידע חיצוני שמגיע אל הארגון, זיהוי Hash במידע, זיהוי מבנה חשוד של קבצים, זיהוי וירוסים מקודדים ועוד.
עדכונים
המלצה ישנה אך בימינו עדכונים חייבים להיעשות על בסיס שבועיו כאשר מבצעים עדכונים העדכונים חייבים להיעשות על כלל המערכות החל מתחנות קצה ועד אפליקציות ויישומים כולל יישומי אנטי וירוס.
מערכת או יישום לא מעודכן של משתמשי קצה חשופים לפגיעויות ומתקפות סייבר יותר מאשר מערכות מעודכנות.
שירות MAPS
שירות Microsoft Active Protection Service הינו שירות ענן אשר מכיל מידע רב אודות Malware ומספק הגנה מפני Malware לארגונים. השירות עובד בתצורה המאפשרת לארגון לקבל מידע אודות Malware חדשים וע”י כך להתעדכן מול התחנות ובאותה עת השירות מקבל מתוך תחנת הקצה מדע אודות מידע חשוד.
MAPS עובד רק עם האנטי וירוס הבאים:
- Microsoft Forefront Endpoint Protection
- Microsoft Security Essentials
- System Center Endpoint Protection
- Windows Defender on Windows 8 and later versions
ETR
מכיוון Ransomware עובד עם סוגי קבצים שונים ועם Macros בכדי לפוע במשתמש אנו יכולים להפעיל בשירות Exchange Online מספר חסימות ואזהרות ע”י Exchange Transport Rule.
ETR יכול לבצע מספר פעולות, כגון:
- אזהרה של משתמשים אודות קבצים שמכילים Macros
- מעקב אחר משתמשים שמקבלים פריטי דואר המכילים Macros
- חסימה של פריטי דאר המאפשרים למשתמש להריץ Macros
היכן שירות Office 365 מסייע בהתגוננות (המלצות בודדות)
Advanced Threat Protection בשירות Exchange Online
בשירות Exchange Online ישנה טכנולוגיה שנקראת Advanced Threat Protection שעובדת על גבי Exchange Online Protection ומאפשרת לבצע הגנה מתקדמת והתמודדות עם התקפות בזמן אפס Zero Day Attack.
היתרונות של ATP מאפשרים לנו יכולות נוספות להגנה על הארגון, כגון:
- התמודדות עם התקפות בזמן אפס
- סינון מתקדם שאינו מבוסס על חתימות
- טכנולוגיה מתקדמת לבדיקה בזמן אמת
- בדיקת קבצים וקישורים על גבי מערכת Sandbox
- שירות מובנה בשירות Office 365
סנכרון המידע הארגוני מול OneDrive
המידע שנמצא על גבי OneDrive ועל גבי SharePoint מוצפן ע”י מנגוננים שונים המאפשרים לכל קובץ לקבל חתימה ומפתחות שונים, האופן שבו עובדים המנגנונים הם:
- data in transit – המידע שמסונכרן בין התחנה לענן מוצפן ע”י הצפנה מבוססת SSL/TLS באמצעות מפתחות של 2048. בנוסף לכך נתונים מבצעים רפליקציה בין Datacenter שונים בעולם ולכ המידע שעובר מוגן ע”י הצפנה נוספת.
- data at rest – המידע שנמצא בענן מוגן ומוצפן לפי הטכנולוגיות הבאות:
- Bitlocker המצפין את כל המידע על גבי הדיסק
- file – כל קובץ מוצפן עם מפתח משלו ובכל עדכון של גרסת קובץ נוצר מפתח אישי משלו
ניהול זהויות וגישה
מסגנון הסיסמאות הישן שרוב הארגונים מבוססים עליו בעייתי מאוד וחשוף לפגיעויות רבות, במתקפות סייבר ניתן להתחקות אחר סיסמת המשתמש ולנצל את העובדה שמשתמש נכנס לקישור לא מהימן.
בשירות Office 365 ישנם אפשרויות שונות לניהול זהויות וגישה מכל מכשיר ומכל מקום ויחד עם Windows 10 ניתן להוריד את התלות של משתמשי קצה במנגנון הסיסמאות הישן.
ברמת Office 365 ניתן לעבוד עם אפשרויות כגון MFA לביצוע לוגין או לעבוד עם אפליקציות מבוססות SSO ועוד.
ברמת Windows 10 ניתן לעבוד עם המנגנון החדש של Microsoft Passport המאפשר ל identity provider לעבוד עם התקן לביצוע הזדהות.
לסיכום
האם עתה אפשר לענות על השאלות בארגון שלך?
- האם ניתן להגן על המשתמשים מפני Ransomware?
- האם אתה בטוח שהארגון שלך לא יחווה תקיפות מסוג Ransomware?
- האם המערכות הקיימות בארגון מאפשרות הגנה מפני תקיפות Ransomware ?
בכדי להימנע ככל האפשר ממתקפת Ransomware מומלץ לבצע את כל אותם המלצות ולשים דגש על צד המשתמשים.
