אתר מאמרים
מעגל הכותבים אתר מאמרים קהילתי
שלום אורח!
מאמרים » אבטחת מידע » טיפול באירועי כופרה

טיפול באירועי כופרה

מחבר המאמר:
פורסם בקטגוריה: אבטחת מידע
המאמר נקרא 13133 פעמים
תאריך פרסום:
גרסת הדפסה | 0 תגובות
פורסם באתר Circle: אתר מאמרים קהילתי



בעבר הרחוק אירועי כופרה היו ממוקדים בחטיפות פיזיות בעיקר במדינות עולם שלישי ודרישות כופר תמורת שחרור החטוף. אירועי כופרה התרחשו גם בעולם המחשבים והתקשורת התרחשו אולם במנות מצומצמות. רוב האירועים הידועים נפתרו מתחת לשולחן על מנת לא לפגוע באמינות ובתדמית של הקורבנות.

תקופת הקורונה נתנה דחיפה רצינית לאירועי הכופרה בעולמות תקיפת מערכות המחשוב, דלף מידע ודרישת כופר. הקורונה הגבילה את חופש התנועה בשטחים ציבוריים וכנופיות הפשע אימצו במהירות את ערוץ הפרנסה החדש: תקיפת מערכות מיחשוב, גניבת המידע מהארגונים, (דלף מידע), שימוש במידע שנצבר לאירועי תקיפה נוספים, והשלב האחרון - דרישה כופר תמורת שיחרור המידע שגנבו.

בשלבים הראשונים התקיפות היו בעיקר בעלות אופי של ניסוי ותעייה. כאשר הבינו את הקלות הבלתי נסבלת לבצע אירועים והפוטנציאל הפיננסי העצום, הקימו קבוצות הפשיעה "יחידות תקיפת סייבר" מקצועיות שלא היו מביישות גופי ביון/ מודיעין ויחידות צבאיות.

הכוכבים העולים של עולם הסייבר הם סוחרי הגישה הראשונית IAB's. 

סוחרי גישה ראשונית (Initial Access Brokers - IABs) הם פושעי סייבר הפועלים להשגת גישה ראשונית לרשת או למערכת של ארגון בדרכים הכוללות גניבת פרטי התחברות, מתקפה מרובת נסיונות (Brute Force) או באמצעות ניצול חולשות  (Exploit).

בתקופת הקורונה, שבה עבודה מהבית הפכה הכרח, הארגונים נאלצו ליישם מדיניות עבודה מרחוק ללא זמן היערכות.  התחברות מרחוק נוצרה לעתים ללא הקפדה על נהלי אבטחת מידע, דבר שהיווה פוטנציאל עצום עבור IABs  שחיכו בדיוק להזדמנות כזו.  השינוי שהתרחש בעולם יצר “מקום של כבוד” עבור IABs בקרב פושעי הסייבר, וכיום הם נושאים בתפקיד מכריע בתעשיית ה-RaaS - Ransomware as a Service,  משום שהם מסייעים בפלישה לרשתות של ארגונים ובכך מקדמים את פעילותם של תוקפי סייבר ממוקדים - לרוב תוקפי כופר (Ransomware).

הטרנד: המחיר נקבע על פי גודל החברה ורמת ההרשאות

מודל התמחור תלוי בעיקר ברווחים ובגודל החברה הנפגעת. נראה שהגישות לחברות אמריקאיות הן הפופולריות ביותר - החברות בארה”ב רווחיות יותר ולכן רלוונטיות עבור התוקפים. אולם הסוחרים אינם מגבילים את עצמם למכירת גישות לחברות גדולות בלבד

איך ה- IBA's פועלים להשגת גישה: 

• הם בוחרים קורבן שלפי כל המדדים שלהם יניב להם הכי הרבה פרנסה מהירה. • הם מבצעים עבודת מחקר רצינית של תבייש יחידות מבצעיות של גופי ביון (חלק בלתי מבוטל מהם יוצאי יחידות טכנולוגיות מוכשרים ביותר אשר במודע או שלא במודע, מוצעות להן משרות בחברות "מחקר סייבר" כשרות עם שכר מאוד גבוה). • אותם מומחי וחוקרי סייבר שבעבר קיבלו שכר טרחה מחברות גלובליות אצלן מצאו פרצות. התעוררו בוקר אחד וגילו שתמריץ הריטיינר הפסיק ויתירה מכך הם נחשפו לתביעות משפטיות.

בתהליך המחקר הם מבצעים שני תהליכים מקבילים:

• עבודת מחקר טכנולוגית בשיטות של מבחני חוסן וחדירות, לאיתור מרחוק של מערכות המיחשוב והטכנולוגיה של הארגון. • עבודה מחקר בשיטה של "מענה להצעות מחיר" דרכם מבינים אילו מערכות יש לארגון ולאן פניו. • חקירת המערכות לאיתור נקודות תורפה, אשר יובילו להמשך תהליך התקיפה וקבלת אחיזה ממשית בתשתית הטכנולוגית של הקורבן.  • אם נתקלו במערכת או ציוד קצה בעייתיים הם מגייסים את המומחים הטכנולוגיים של היצרנים בשלב הזה הם מבצעים תהליכי חדירה לארגון וטשטוש עקבות עד לאחיזה בתשתיות הארגון ברמה מעל הסופר אדמיניסטרטור של הארגון.

הם מתפשטים בארגון, קונים אחיזה שקטה על כל המערכות שלו ומתחילים להעביר באופן סמוי את המידע של הארגון לשרתים נסתרים אותם הכינו מראש.

אם המטרה היא גניבת המידע הרגיש בארגון, הההאקרים ישהו בארגון חודשים רבים באופן נסתר.

במקרה של אירועי כופרה, הם יצפינו את המידע הארגוני וידרשו כופר לשחרור המערכות והשבת המידע.

כל התהליך הזה מתרחש חודשים רבים לפני שמגיע שלב דרישת הכופרה

באירוע שחקרנו ולא ויתרנו בתהליך החקירה מצאנו שלתוקפים הייתה אחיזה בארגון הקורבן לפחות 9 חודשים לפני דרישת הכופר.

אני בוחר לא לשתף את כלי התקיפה, ההתפשטות בארגון וטשטוש העקבות בהם השתמשו התוקפים.

אוסיף שארגוני בטחון חושבים שהם מוגנים. אבל המציאות היא שהם יותר מוגנים אבל בהחלט לא מוגנים באופן מספק.

ארגונים רבים מעדיפים שלא לחשוב על האיום הפנימי - כלומר עובד האירגון המאפשר גישה של תוקף לאירגון (במזיד או בתמימות), כדי לא לרמוז שרמת האמינות של העובדים שלהם נמוכה. אך עצם התנהלות זו מתעלמת מבעית אמיתיות אחרות



דירוג המאמר: לא דורג עדיין

תגובות למאמר טיפול באירועי כופרה תגובות למאמר טיפול באירועי כופרה

עד כה לא נרשמו כל תגובות למאמר טיפול באירועי כופרה. רוצה להיות הראשון?

הוספת תגובה חדשה


שם מלא:


כתובת דוא"ל:


תוכן התגובה

הקלידו את הקוד שבתמונה

Visual CAPTCHA


מאמרים נוספים בנושא אבטחת מידע

מהי תקשורת מאובטחת
טיפול באירועי כופרה
התראות תקופתיות ומידע לתועלת הציבור ועדכונים בעקבות שימוש בפגסוס
עבודה מאובטחת מהבית
מהו מעמד החתימה הדיגיטלית (אלקטרונית) דרך האינטרנט במדינת ישראל
קורס אבטחת מידע - מהו? למי הוא מיועד?
מערכות ניהול ואבטחה למכשירים ניידים
עשה ואל תעשה - אבטחת מידע לגולש המתחיל
בקרת כניסה: לדעת מי נכנס לאן
מצלמות אבטחה – הרתעה מפני גנבים
CCNA - Cisco Certified Network Associate
סליקה באינטרנט אבטחת מידע ומהו דף תשלום
אינטרנט רימון
סליקה באינטרנט ותקן PCI DSS
סליקת כרטיסי אשראי - יישום תקן PCI

הנך נמצא כאן: טיפול באירועי כופרה.

פרסם את מאמריך באתר! פרסם את מאמריך באתר!
תהנה מחשיפה מקצועית בחינם ואפשר לאלפי גולשים פוטנציאליים להיחשף לדעותיך.
פרסם מאמר.
דרושים בתחום הכתיבה | תנאי שימוש ומדיניות פרטיות | תוכן המפרסמים באתר מופץ ברשיון ייחוס-איסור יצירות נגזרות של Creative Common License.
כל הזכויות שמורות © Circle.co.il 2009-2012 - מאמרים להפצה חופשית מאת מעגל הכותבים.