Monday, October 25, 2021

אורקל מספקת הגנה מפני תוכנות כופרה

Guest post by Tali Poliak, about protecting the DB from Ransomware

היום מתארחת בבלוג טלי פוליאק, יועצת טכנולוגית בכירה בתחום ניהול וארכיטקטורת מידע ובתחום אבטחת מידע. טלי שייכת גם לקבוצת הSecurity Tiger, קבוצת אבטחת המידע הגלובלית של אורקל. 

בשנים האחרונות, אנו עדים למספר עולה וגדל של מתקפות של תוכנות כופרה. רק לאחרונה היינו עדים למתקפה על שירביט ועל בית החולים הלל יפה. על פי חברת אבטחת המידע סופוס, עלות ההתאוששות הממוצעת מפגיעת הכופרות הגיעה בישראל ללמעלה מחצי מיליון דולר. רק 8% מהארגונים ששילמו את דמי הכופר הצליחו לאחזר את הנתונים, ו-29% מהם לא קיבלו בחזרה יותר מחצי מהנתונים.

החדשות הטובות הן שלאורקל יש פתרון המזהה מיידית את המתקפה ומאפשר חסימה מיידית תוך שמירה על הנתונים ועל זמינות גבוהה. הפתרון מתמקד בבסיס הנתונים ונועד לכל הסביבות: ענן ובארגון (On Premise).

מהן תוכנות כופרה? תוכנות כופרה אלה תוכנות, שבאמצעים שונים, מתקיפות את המחשב\שרת ו\או את הנתונים על הדיסק כך שלא יהיו זמינים יותר. תוכנות אלה, מתוכנתות כך שתוכלנה לפעול בשקט לתקופה, בלי שתתגלנה, עד שהנזק יהיה רב ויכולת ההתאוששות תהיה כמעט בלתי אפשרית. אז הן מגלות את עצמן והתוקפים דורשים כסף, בהנחה שבשלב זה הנזק לא ישאיר ברירה למותקפים אלא להיענות לדרישתם.

אחת השיטות הכי נפוצות של תוכנת כופרה היא גישה למידע הרגיש שיושב על הדיסק והצפנתו. רוב המידע הרגיש יושב בבסיסי הנתונים. מכיון שהתוכנה עובדת בשקט, גם אם החברה מחזיקה גיבויים ובנוסף מחזיקה אתר מקביל להתאוששות מהירה (DR – Disaster Recovery), המידע המוצפן על ידי תוכנת הכופרה מגובה ללא הפרעה. הוא גם מועתק ומעדכן את אתר ההתאוששות. וכך גם הגיבויים וגם אתר השרידות ניזוקים.

בבואנו לדון במענה אבטחת מידע, נתיחס לשני היבטים: האחד – פתרון שידאג שלא נאבד נתונים. השני – פתרון שיתן מענה להתאוששות מהירה וזמינות גבוהה. כשמדובר במענה לתוכנת כופרה, מתבקשת יכולת לזהות מיידית התקפה ולתת לה מענה מיידי, לפני שהיא גורמת לנזקים ומשוכפלת לגיבויים ולאתרי השרידות.

חלק מהחברות מיישמות פתרונות מאולתרים הנותנים מענה חלקי, מתוך הנחה שיגלו את הפריצה אחרי שכבר נעשה נזק. למשל: לשמור גיבויים באינטרוולים קצרים יותר, כך שניתן יהיה לחזור לגיבוי האחרון התקין. בנוסף, להחזיק כמה גרסאות של אתרי התאוששות כשכל אחד מתאים לזמן אחר. בפתרונות אלה, מוותרים מראש על פתרון שנותן מענה מלא ומכוונים להקטנת הנזק.

לאורקל יש מענה מלא עבור בסיס הנתונים

מענה לחוסר אבדן נתונים  מתאפשר ע"י Zero Data Lose Recovery Appliance (ZDLRA). מדובר במכונת גיבויים, שילוב של פתרון חומרה ותוכנה. היא דואגת לבדיקת המידע, בזמן אמת, לפני גיבויו.

מענה לזמינות גבוהה מתאפשר ע"י Active Data Guard מוצר לDisaster Recovery (DR). פתרון תכנה להחזקת בסיס נתונים זהה לראשי באתר נוסף. דואג לזמינות גבוהה, כשבמקרה הצורך, יתבצע מיידית מעבר אליו והמערכות תמשכנה לעבוד מולו.

לפני שנצלול למענה הרלוונטי לתוכנות כופרה, חשוב לציין שלאורקל סט של פתרונות ומוצרים גם לזמינות גבוהה וגם לאבטחת מידע. אנו קוראים להם "ארכיטקטורת זמינות גבוהה" ו"ארכיטקטורה אבטחת מידע". אלה נקראים כך, משום שהם מאפשרים לבנות את הארכיטקטורה הנכונה והמתאימה לצרכי הארגון, מתוך סט רחב של מוצרים ויכולות, שמפותחים לעבוד יחד באינטגרציה מלאה.

 

ואיך בפועל זה עובד?

היכולות של ה ZDLRA שקשורות להגנה מפני כופרה:

תיקוף של המידע (Validation) לצורך זיהוי מיידי וחסימה במקרה של התקפה

תכנת הגיבוי בודקת את הבלוקים של הדאטה לפני שהיא שולחת אותם לגיבוי ובמקרה שזיהתה בלוקים במבנה לא תקין, בלוקים שבוצעה עליהם הצפנה ע"י תכנת כופרה, היא תוציא מיד התרעה.

מכיון שהמוצר הוא מבית אורקל, התוכנה יודעת לזהות בלוקים שאינם תקינים. היא תזהה לא רק בלוקים שתקולים פיסית או לוגית. היא תזהה גם בלוקים שבוצעה עליהם הצפנה ברמת הדיסק, הצפנה שאיננה ההצפנה של אורקל בבסיס הנתונים.

התכנה מיד תוציא התרעה, אשר תאפשר חסימה וטיפול מידי ותמנע נזקים ושכפולם.

התוכנה עובדת באופן רציף, כך שהבדיקה היא תמידית.

חוסר אובדן של נתונים

בנוסף לגיבוי המידע שעל הדיסקים, המידע החם עובר (מוצפן) ממש בזמן אמת מהזכרון של בסיס הנתונים התפעולי אל המכונה, כך שגם מידע שבוצע לו commit ועוד לא נכתב לדיסק, מגובה. טכנולוגיה זו מבטיחה גיבוי עד לנתון האחרון שבוצע לו commit.

אבטחת הגיבויים

למכונה יכולות נוספות שהופכות אותה לכספת גיבויים מאובטחת, כך שגם נסיון לגשת לגיבויים יכשל.

היכולות של ה Data Guard שמשלימות להגנה מפני כופרה:

זמינות גבוהה

התכנה מאפשרת החזקת עותק מעודכן של בסיס הנתונים באתר אחר. במקרה של זיהוי פריצה, יתבצע מעבר מאוד מהיר לאתר המשני, כך שנשמרת זמינות מאוד גבוהה של המערכות. גם הגיבויים יעברו לעבוד אל מול האתר המשני.

מכונת הגיבויים בנויה להתממשק ולעבוד עם המוצרים השונים.

בסיס הנתונים והמוצרים הנלווים זמינים גם בסביבות ענן וגם בארגון. אורקל אדישה להיכן המידע יושב והפתרונות תקפים לכל הסביבות.

לשני המוצרים קיימות עוד יכולות. התמקדתי ביכולות העיקריות בהתיחס למענה למתקפת כופרה.

מידע נוסף ניתן למצוא באתר אורקל או עדיף, נשמח למפגש. ניתן ליצור עימי קשר בערוצים השונים.

 

טלי פוליאק

 tali.poliak@oracle.com

 

מאמר המשך, כאן- האם אתם רוצים להיות החברה הבאה בכותרות? (פריצה, סייבר, כופר, גניבת מידע) – חלק ב  

 

 

 

 

 

 

 

No comments:

Post a Comment