برامج الفدية هي تهديد كبير إلى المنظمات من جميع الأحجام. وفقًا لأحد الأبحاث، فإن حوالي ثلثي حوادث التعافي من الكوارث تكون نتيجة لبرامج الفدية. وفي الوقت نفسه، تستغرق الشركات 21 يومًا في المتوسط للتعافي من عملياتها الطبيعية.
أدى نمو برامج الفدية إلى وضع تخزين البيانات والنسخ الاحتياطي في الخطوط الأمامية للدفاعات السيبرانية، ومع قيام الشركات بتعزيز تدابير مكافحة برامج الفدية، أصبح المهاجمون أكثر تطوراً وخطورة.
لقد انتقل المهاجمون من تشفير بيانات الإنتاج إلى استهداف النسخ الاحتياطية وأنظمة النسخ الاحتياطي. هدفهم هو جعل تعافي المنظمات أكثر صعوبة، وبالتالي من المرجح أن يدفعوا فدية. أيضًا، هجمات الابتزاز المزدوجة والثلاثية – حيث تهدد الجماعات الإجرامية بكشف البيانات الحساسة، أو حتى استخدامها لاستهداف الأفراد – مما يزيد من المخاطر.
ردًا على ذلك، سعى كبار مسؤولي أمن المعلومات (CISOs) وكبار مسؤولي المعلومات (CIOs) إلى تعزيز الأنظمة ضد هجمات برامج الفدية، باستخدام لقطات غير قابلة للتغيير، النسخ الاحتياطية ذات فجوة الهواء والكشف عن التهديدات القائمة على الذكاء الاصطناعي (AI). كما عزز الموردون أدوات مكافحة برامج الفدية. حتى أن البعض يقدم ضمانات استرداد برامج الفدية التي تقدم تعويضًا ماليًا في حالة حدوث هجوم.
تعمل هجمات برامج الفدية عن طريق نشر البرامج الضارة التي تعطل الوصول إلى البيانات. عادةً ما تدخل البرامج الضارة إلى المؤسسة من خلال التصيد الاحتيالي أو المستندات المصابة أو مواقع الويب المخترقة أو الضارة. فهو يعمل على تشفير البيانات، ثم يطلب المهاجمون فدية مقابل مفتاح فك التشفير.
يتمثل خط الدفاع الأول في اكتشاف هجمات التصيد الاحتيالي وحظرها، من خلال اكتشاف برامج مكافحة الفيروسات والبرامج الضارة على الأجهزة العميلة وعلى الشبكة، ومن خلال توعية المستخدم وتدريبه.
الكثير من هذا هو النظافة السيبرانية القياسية. معظم الأساليب التي تعمل ضد البرامج الضارة والتصيد الاحتيالي ستعمل بنفس القدر ضد برامج الفدية. يشير الباحثون الأمنيون إلى أن مكون البرامج الضارة في هجمات برامج الفدية غالبًا ما لا يكون معقدًا للغاية.
ومع ذلك، على الرغم من أن تدابير النظافة السيبرانية ستقلل من المخاطر، إلا أنها ليست محصنة ضد الخداع. ولذلك، تنظر الشركات أيضًا إلى مستويات أعمق لحماية البيانات من التشفير، بالإضافة إلى اكتشاف الأنشطة المشبوهة وحظرها على الشبكة.
تظل النسخ الاحتياطية الجيدة بمثابة دفاع مهم ضد برامج الفدية. إذا تمكنت إحدى الشركات من استعادة بياناتها من نسخة احتياطية نظيفة، فستكون لديها فرصة جيدة للعودة إلى العمليات العادية دون الحاجة إلى دفع فدية. وكمستشارين أمنيين مثل وأشار NCSC في المملكة المتحدة، فإن دفع الفدية لا يضمن القدرة على استعادة البيانات.
يوفر النسخ الاحتياطي خارج الموقع، أو البيانات التي “يتم فصلها ماديًا أو منطقيًا عن أنظمة الإنتاج”، مستوى جيدًا من الحماية، ولكن الاسترداد من النسخ الاحتياطية خارج الموقع قد يكون بطيئًا.
يتطلب الاسترداد النظيف أيضًا من المستخدمين اكتشاف الهجوم مبكرًا بدرجة كافية لمنع إصابة النسخ الاحتياطية بالبرامج الضارة. كما يستهدف المهاجمون الآن أنظمة النسخ الاحتياطي بشكل نشط، بهدف تعطيلها أو إتلاف ملفات النسخ الاحتياطي.
وقد أدى ذلك إلى قيام موردي وحدات التخزين ببناء مستويات إضافية من الحماية من برامج الفدية في تقنيات التخزين والنسخ الاحتياطي لتوفير طبقات إضافية من الدفاع.
البائعين لانقاذ؟
أحد الإجراءات الأكثر شيوعًا التي يستخدمها الموردون لمواجهة برامج الفدية هي النسخ الاحتياطية غير القابلة للتغيير. غالبًا ما تكون هذه لقطات، والتي عادة ما تكون غير قابلة للتغيير على أي حال. تتمتع اللقطات بميزة إضافية تتمثل في أوقات الاستعادة السريعة، ويمكن تخزينها محليًا أو خارج الموقع أو في السحابة العامة. عيبهم هو أن السعة التي يشغلونها يمكن أن تنمو بسرعة، لذلك غالبًا ما تكون فترات الاحتفاظ باللقطة منخفضة جدًا.
تقدم الآن مجموعة كبيرة من الموردين نسخًا غير قابلة للتغيير من البيانات، إما في شكل نسخة احتياطية أو مباشرة على مخزن الإنتاج.
تشمل الأمثلة ميزة ثبات قفل الكائنات من Wasabi، لتخزين الكائنات، ولقطات SafeMode من Pure على أنظمة FlashBlade وFlashArray، بالإضافة إلى قفل الكائنات في PortWorx.
يعد Vast Data موردًا آخر يوفر نسخًا احتياطية غير قابلة للتغيير، باستخدام ميزة يطلق عليها اسم Indestructibility. يمكن للشركات التي تستخدم Amazon S3 أيضًا تطبيق Object Lock على الحاويات. وهناك نهج آخر يتمثل في تقوية نظام التشغيل؛ هذا ما فعله سكاليتي مع Linux على أجهزتها Artesca. من خلال تقوية نظام التشغيل، يقوم المورد بتقييد أدوات الإدارة التي يمكن للمهاجم استخدامها لتدمير البيانات أو تشفيرها.
ومع ذلك، هناك مستويات مختلفة من الثبات. وكما يشير جيمس واتس، المدير الإداري في Databarracks، فإن فعالية الثبات تعتمد على كيفية تكوين الأنظمة. لن تمنع الأداة المعينة للثبات على مستوى النسخ الاحتياطي، على سبيل المثال، المهاجم من حذف وحدات التخزين الأساسية. للحصول على الحماية القصوى، يوصي حتى بالنسخ الاحتياطية ويجب إبقاء هدف التخزين “خارج النطاق”.
يدعم الآن غالبية موردي النسخ الاحتياطية نسخًا من البيانات، وسيعمل عدد متزايد منهم مباشرةً مع التخزين السحابي العام لتسهيل تخزين النسخ الاحتياطية غير القابلة للتغيير خارج الموقع وأقل تكلفة لرأس المال.
يجب على كبار مسؤولي المعلومات ومديري تخزين البيانات التحقق من قدرات أدوات النسخ الاحتياطي والاسترداد الخاصة بهم، مثل ما إذا كان بإمكانهم تحميل نسخ إلى السحابة أو استخدامها لإنشاء مجموعات بيانات غير محددة.
محققو برامج الفدية، والضمانات
ومع ذلك، فإن النسخ الاحتياطية غير القابلة للتغيير ليست مضمونة. ولن يقوموا بحماية المؤسسة إذا أصابت البرامج الضارة اللقطة.
وقد دفع هذا الموردين إلى إضافة ميزة الكشف عن الحالات الشاذة على مستوى جهاز التخزين والشبكة للمساعدة في اكتشاف إصابات برامج الفدية قبل أن يتم تشغيلها. لقد استخدم الموردون بشكل متزايد أدوات الذكاء الاصطناعي لاكتشاف الحالات الشاذة عبر كميات هائلة من البيانات، بسرعات – كما نأمل – سريعة بما يكفي لمنع البرامج الضارة من الانتشار، ومن تشفير البيانات أو حذفها.
قد تتضمن هذه الحالات الشاذة التعرف على أعداد كبيرة بشكل غير طبيعي من التغييرات على الملفات في مجموعة البيانات، أو زيادة مستويات العشوائية في أسماء الملفات أو المحتوى، وكلاهما يمكن أن يحدث عندما تبدأ برامج الفدية في تشفير البيانات.
يشمل الموردون الذين يقدمون هذا النوع من الكشف Cohesity وNetApp، في حين أن Pure لديها اكتشاف شذوذ قائم على AIOps في منصة الإدارة Pure1 الخاصة بها. تتمتع شركة Commvault أيضًا بميزات الإنذار المبكر في تقنيتها. بالإضافة إلى ذلك، قامت الشركات ببناء نظام الكشف عن برامج الفدية في تخزين بيانات الإنتاج، وليس فقط النسخ الاحتياطية، حيث تحاول البقاء في صدارة الهجمات.
وقد اتخذ بعض الموردين خطوة أخرى من خلال تقديم ضمانات مالية لدعم تدابير حماية البيانات الخاصة بهم.
Veeam وNetApp من بين الموردين الذين يقدمون ضمانات برامج الفدية؛ لدى Pure اتفاقية مستوى خدمة استرداد برامج الفدية والتي تتضمن توفير الأجهزة والفني لاستعادة البيانات.
يجب على الشركات اتخاذ خطواتها الخاصة للتأكد من أن إجراءات الحماية من برامج الفدية مناسبة لعملياتها. لن يتم تطبيق الضمانات، حتى تلك التي تقدم دفعات مكونة من سبعة أو ثمانية أرقام، إلا في ظروف محددة بإحكام، ولن يذهب النقد إلى أبعد من ذلك لمساعدة المؤسسة إلا إذا تم وضع البيانات بعيدًا عن متناول اليد. يقول واتس من Databarracks: “لا توجد سياسة شاملة أو إجابة بسيطة لكل مؤسسة، فكل هذه القرارات تحتاج إلى الموازنة بين التكلفة والمخاطر بما يناسبك”.
