יועץ אבטחת מידע   |   אוגוסט 12, 2024

מקרה לקוח: כיצד להיערך לאירוע סייבר?

סיכום אירוע כופרה ותובנות חשובות למניעה

מתקפת כופרה שהתרחשה לאחרונה באחת החברות שסייענו לה מדגישה בצורה חדה את החשיבות של היערכות טכנולוגית למקרי חירום. לצערנו חוסר בהיערכות מסודרת גרם לנזקים חמורים, כולל הצפנה של 60 שרתים ו-284 נקודות קצה. הניסיון הכואב הזה מצביע על הצורך הקריטי בהטמעת תהליכים, ובקיום ותרגול נהלים ברורים לטיפול באירועים.

האירוע

צוות התגובה שלנו נקרא לסייע לחברה שחוותה שיבושים… מספר שרתים היו בלתי נגישים ופקודות הוקלדו באופן מסתורי בחלון CMD באחת השרתים. בהערכות ראשוניות שנעשתה בטלפון חשדנו כי מדובר במתקפת כופרה. עם זאת, היקף הפגיעה ורמת האחיזה של התוקף היו בלתי ברורות.

כסיוע ראשוני עד שנוכל להגיע לשטח (שארך שעתיים) הומלץ למנהל תשתיות ה-IT לנתק את מקטע השרתים מהרשת כדי להכיל את ההתקפה. מכיוון שהוא לא תרגל זאת מראש,  לא ידעו מנהל התשתיות או מי מצוות ה- IT המצומצם כיצד לבצע זאת. במקום זאת הוא פנה לספק ה- ISP בבקשה לנתק את החיבור עם העולם החיצון. ה- ISP פעל בנמרצות לא אופיינית וניתק את התקשורת – לרוע המזל, הוא ניתק את הקו הלא נכון, וכך חלפו עוד שעתיים שהתוקף נשאר מחובר עד שהגיע צוות ה- IR שלנו וזיהה זאת.

הנזקים היו חמורים, 60 שרתים ו-284 נקודות קצה הוצפנו. בתחקור האירוע התברר כי התוקף הסתובב ברשת במשך שבוע, דבר שיצר לא מעט התראות, אלא מה, אף גורם בחברה לא התייחס להתראות וכנראה גם לא ראה אותם. גם מערכת הגיבוי הוצפנה, מה שאילץ את החברה לשחזר נתונים מגיבוי מלפני חודש.

לקח לחברה 20 ימים להתאושש ושלושה חודשים נוספים לייצב את הפעילות. האירוע הזה הדגיש בצורה חדה את הצורך בהיערכות מפורטת, תקשורת ברורה וניטור מתמשך.

בחקירת האירוע עלו לא מעט כשלים, החל מכשלים טכנולוגיים כגון חולשות מהותית ידועות שלא טופלו, רשת שטוחה, גיבויים לא מאובטחים, סיסמאות קלות לפיצוח, ועד כשלים תהליכים כגון חוסר בנהלים, אי קיום בקרות לתהליכי אבטחת מידע (בעצם לא היו תהליכים…) ועוד.

תובנות מומחי סייבר בכירים של IPV Security:

  1. אתם יכולים למנוע את רוב האירועים מלכתחילה.
  • עדכנו את השרתים שלכם
  • וודאו שכל השרתים מוגנים עם EDR
  • טפלו בחולשות, במיוחד כאלו שמנוצלות בפועל
  • קיימו בקרות, הטמיעו תהליכי סייבר בסיסיים
  • הסתכלו והתייחסו בכובד ראש להתראות, הן שם כדי להגיד משהו ולא למלא את ה- Inbox
  • הגנו על הגיבויים וודאו שהן בלתי ניתנים לשינוי ותבדקו מדי פעם שניתן לשחזר מהם…
  1. הכינו הנחיות ברורות ב Playbooks
  • הכינו Playbooks מפורטים לטיפול בסוגים שונים של אירועים. הם מבטיחים שכל חברי הצוות יודעים בדיוק מה לעשות במצבים שונים.
  1. תתרגלו אחת לרבעון
  • תרגילים מבטיחים שכל חברי הצוות יוכלו ליישם את ההנחיות גם תחת לחץ.
  1. תסתכלו על ההתראות
  • בין אם יש לכם מערכות ניטור שמרכזת את ההתראות, ובין אם ההתראות נשארות במערכות האבטחה השונות, תתייחסו אליהם – לשם כך הם נוצרו.

דוגמאות ל Playbooks שמומלץ שיהיו לכם

 

להלן דוגמה לשני שלבים מתוך חמש השלבים של Playbook מוכן להפעלה למתקפת כופרה מתוך מערכת CISOteria.

להלן דוגמא למייל עם משימות מפורטות בהתאם לתפקיד באירוע (מגיע גם ב SMS)

להלן דוגמה לשני שלבים מתוך חמש השלבים של Playbook מוכן להפעלה למתקפת כופרה מתוך מערכת

 

מעוניינים לבדוק את רמת מוכנותכם לאירוע כופרה? פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

לכל התייעצות בנוגע לאבטחת מידע ניתן לפנות לחברת IPV Security במייל info@ipvsecurity.com או במספר הטלפון 077-4447130. החברה מתמחה זה 19 שנה באבטחת מידע ועוסקת בסקרי סיכונים הנוגעים לביטחון מידע.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה