ستساعدك المقالة التالية: دافع عن البيانات ، هدم عائد الاستثمار
يمكن أن يتسبب هجوم رانسوم وير واحد في توابع ارتدادية وتكاليف باهظة على المدى البعيد.
بيل تولسون ، نائب الرئيس للامتثال العالمي والاكتشاف الإلكتروني ، Archive360
ربما لاحظت توقفًا طفيفًا في التغطية اللاذعة لهجمات برامج الفدية. هذه علامة سيئة: حقيقة أن أخبار الاختراقات البارزة والهجمات الأخرى لا تهيمن على العناوين الرئيسية – كما حدث في هذا الوقت من العام الماضي ، عندما كان الوباء العالمي يعيث بالفعل فسادًا في الممارسات التجارية – لا يعني ذلك أن هذه الممارسة البغيضة قد تلاشت. قد يعني ذلك فقط أن برامج الفدية شائعة جدًا لدرجة أنها لم تعد تستحق النشر.
بالطبع ، لا يزال هناك الكثير من الهجمات ، والأهداف تمثل مستوى محزنًا من التنوع. لنأخذ على سبيل المثال دولة بابوا غينيا الجديدة الجزرية ، حيث يعاني تسعة ملايين شخص من انتشار فيروس كورونا. تعتمد الدولة على المساعدات الخارجية. . . التي تم تجميدها بعد هجوم شرس على مكتبها المالي. كان هذا في أوائل شهر نوفمبر ، بعد أيام قليلة فقط من إصابة كيان مختلف تمامًا ، وهو الرابطة الوطنية للبنادق ، بغارة مماثلة.
يمكن أن يتسبب هجوم واحد أيضًا في حدوث توابع ارتدادية وتكاليف عالية بعيدًا عن الطريق. على سبيل المثال ، ظهر الآن فقط أن هجوم الفدية على مدارس مقاطعة بالتيمور ، التي أعاقت النظام قبل عام ، سيكلف ما يقرب من 10 ملايين دولار. (من المثير للاهتمام أن النظام يقال إنفاق مبالغ طائلة لنقل البيانات إلى السحابة). بالإضافة إلى ذلك ، هناك الكثير من الأحداث التي لم نسمع عنها. وجد استطلاع أجري في تشرين الثاني (نوفمبر) 2020 على أكثر من 1،000 من مزودي الخدمات المُدارة (MSP) من Datto أن 60٪ من المشاركين أفادوا بأن عملائهم قد تعرضوا لهجمات برامج الفدية. . . في الربع الثالث فقط.
لذلك هذا هو المكان الذي نحن فيه الآن. لقد تلاشت هذه الهجمات من العناوين الرئيسية ولكن ليس من الواقع ، والاقتصاد العالمي في وضع الانتعاش ، وعام جديد على الأبواب. أليس هذا هو الوقت المناسب للنظر إلى الصورة الكبيرة بدلاً من مجرد الرد على الغضب الأخير؟ ما الذي يمكننا فعله بشكل مختلف للتعامل مع هجمات برامج الفدية بشكل أفضل؟
أولاً ، دعنا نضع الجدول بشكل صحيح. تم تصميم بيئة تكنولوجيا المعلومات الحالية للوصول والمرونة ، حتى أثناء قيام المهاجمين بتخطيط وتنفيذ هجمات معقدة يمكن للأشرار من خلالها الوصول والتصفح في أوقات فراغهم. السلالات الجديدة متطورة للغاية بحيث لا تقوم فقط بتشفير ملفات معينة ولكنها تقوم أيضًا بحذف أو تشفير النسخ الاحتياطية للنظام ؛ تقوم بعض المتغيرات بنسخ بيانات المؤسسة الحساسة والبيانات المخزنة على السحابة إلى خوادم المتسللين حتى قبل تشفير البيانات وظهور ملاحظة برامج الفدية. كل هذا يجعل الاسترداد السريع مستحيلًا ، ويمكن أن يكون متوسط تكلفة تعطل المؤسسة أكبر 50 مرة من الفدية المطلوبة.
إنه أمر مروع ولكنه حقيقي: دفع الفدية يوفر أفضل عائد على الاستثمار.
إذن ما الذي يجعل دفاعًا معقولًا وقويًا؟ لا يكفي مجرد الانتقال إلى السحابة ، لكن بعض مزودي الخدمات السحابية (CSPs) يقولون إن تخزين بيانات الشركة في سحابة تابعة لجهة خارجية يمكن أن يحافظ عليها في مأمن من العثور عليها والإصابة بفيروس الفدية. ومع ذلك ، نظرًا لأنه يجب أن يكون الوصول إليه متاحًا ، فمن المحتمل أن يجد برنامج الفدية النسخ الاحتياطية ويتبعها ونسخها وتشفيرها في هذا الترتيب. يعد حفظ البيانات والنسخ الاحتياطية في سحابة طرف ثالث في طبقة تخزين WORM (اكتب مرة واحدة اقرأ العديد) أفضل – فهو يوقف الإصابة وتشفير النسخ الاحتياطية ، والتي يمكن استخدامها لاستعادة مؤسسة مصابة.
ومع ذلك ، فإن هذا يترك أيضًا إمكانية ابتزاز البيانات. تنسخ بعض المتغيرات جميع البيانات (في كل من المؤسسة والمستأجرين السحابيين المرتبطين بها) وتستخدم إصدار تلك البيانات ، التي تتميز عادةً بمعلومات تحديد الهوية الشخصية الحساسة ، لإجبار المؤسسة على الدفع. إذا لم يفعلوا ذلك ، فسيقوم المتسللون بالإبلاغ عن الإفراج عن معلومات تحديد الهوية الشخصية إلى سلطات الامتثال. نعم ، إنها جريمة قديمة الطراز في الصلة بين التكنولوجيا الجديدة والهيئات التنظيمية – مزيج قوي.
يمكننا المضي قدمًا في حل المشكلات ، ولكن من الممكن إيجاد حلول. قطعة واحدة من البرنامج لن تقطعها حقًا – فنحن بحاجة إلى المزيج الصحيح من تشفير البيانات مع مفاتيح التشفير المخزنة محليًا (بشكل منفصل عن البيانات المخزنة في السحابة) ، واستخدام التشفير متماثل الشكل لتمكين الوصول المستمر إلى البيانات أثناء ذلك مشفرة ومخزنة في السحابة ، والتخزين السحابي WORM.
عندما تكون بوابة أمان البيانات السحابية موجودة في أماكن العمل ، يمكنها تشفير البيانات والنسخ الاحتياطية التي يتم نقلها إلى مستأجر سحابي. هذه هي الإستراتيجية المثلى لحماية البيانات الحساسة والنسخ الاحتياطية للنظام بعد ترحيل السحابة مع الاستمرار في تمكين الوصول إلى البيانات في السحابة. من خلال تشفير البيانات في أماكن العمل والحفاظ على مفاتيح التشفير محلية ، فإن أي محاولة فدية من مرحلتين لاستهداف ونسخ مستودعات السحابة – خاصة للإصدار اللاحق عبر الإنترنت كوسيلة للحصول على دفع فدية – يتم التغلب عليها بشكل سليم.
ومع ذلك ، يمكن أيضًا إعادة تشفير الملف المشفر أو حذفه. يجب أن تتخذ المنظمات خطوة إضافية لكتابة النسخ الاحتياطية للمؤسسة (والملفات الأخرى) إلى التخزين الثابت (WORM) ، ويفضل أن يكون ذلك في السحابة. سيضمن تخزين هذه النسخ الاحتياطية المشفرة في السحابة على مستوى WORM عدم إمكانية حذف الملفات / النسخ الاحتياطية أو إعادة تشفيرها وفدية. سيضمن هذا أيضًا أن النسخ الاحتياطية “النظيفة” متاحة دائمًا لاستعادة الأنظمة المتأثرة بسرعة.
في الواقع ، بدأ محللو الصناعة في قبول إستراتيجية برامج الفدية الدفاعية هذه. كتبت لأول مرة عن تشفير النسخ الاحتياطية وتخزينها في طبقة تخزين سحابية WORM في عام 2020. في أكتوبر 2021 ، أبحاث جارتنر نشرت “كيفية حماية أنظمة النسخ الاحتياطي من هجمات برامج الفدية، والذي يسلط الضوء على استخدام التخزين السحابي WORM للنسخ الاحتياطية كأفضل ممارسة للدفاع ضد الإصدارات الأحدث من برامج الفدية التي تهاجم النسخ الاحتياطية.
يؤدي تشفير الملفات قبل الترحيل إلى السحابة إلى جعل الملفات غير قابلة للاستخدام لجميع تطبيقات الأرشفة وإدارة المعلومات و eDiscovery ، بالإضافة إلى تحليلات البيانات المتقدمة والأتمتة باستخدام تقنية AI / ML. بالإضافة إلى ذلك ، تؤدي أرشفة الملفات المشفرة في السحابة إلى تراكم تراكم البيانات المظلمة التي لا يمكن السيطرة عليها. لمعالجة هذا الأمر ، يجب تشفير جميع البيانات محليًا باستخدام تقنية التشفير متماثل الشكل (HE). يختلف HE عن تقنية التشفير القياسية من حيث أنه يسمح بإجراء الحساب مباشرة على البيانات المشفرة ، دون الحاجة إلى الوصول إلى مفتاح فك التشفير. إنه يتيح الإدارة المستمرة للبيانات المشفرة ، ويقلل بشكل كبير من المشاكل المرتبطة بمنهجيات التشفير القياسية ، حتى عندما يضمن فهرسة البيانات المستمرة ، والبحث ، وعمليات الإدارة والحوكمة الواسعة. يضمن التشفير المتماثل للنسخ الاحتياطية والملفات قبل نقلها إلى مستودع سحابي أمان البيانات أثناء النقل وفي حالة السكون و. (تذكر أن العديد من الأرشيفات السحابية تقوم فقط بتشفير البيانات أثناء الراحة في الأرشيف السحابي لجهة خارجية ، أثناء تخزين مفاتيح التشفير في نفس النظام السحابي.)
لن تختفي برامج الفدية ، من الأخبار أو شبكاتنا. أفضل دفاع هو الجمع بين التشفير المتماثل في مكان العمل وتخزين المفاتيح مع تخزين WORM المستند إلى السحابة. تتطلب حماية البيانات الحساسة والنسخ الاحتياطية إستراتيجية والتزامًا وتقنية تستخدم الأمان (سواء في مكان العمل أو في السحابة) ، وتحت تحكم مباشر ، وتتم إدارتها في تأجير السحابة. هذا يزيل عائد استثمار المتسللين.
