שחזור שרת אחרי מתקפת סייבר הוא תהליך קריטי שיכול להכריע את עתיד העסק. כשהשרת הראשי קורס – בין אם ממתקפת כופר, ניצול חולשה, או חדירה מכוונת – כל הפעילות העסקית נעצרת: אין גישה לקבצים, למערכת ה-ERP, לדואר, ולמסדי הנתונים. השאלה היא לא אם זה יקרה, אלא כמה מהר תוכלו לחזור לפעילות. במדריך הזה נסביר את תהליך השחזור צעד אחר צעד, את הכלים הנדרשים, ואיך R-Net כספק שירותי מחשוב לעסקים מבצע שחזור שרתים ללקוחות שנפגעו.
לפני השחזור – הערכת מצב
מה קרה? – לפני שמתחילים לשחזר, חייבים להבין מה קרה. האם זו מתקפת כופרה? חדירה לשרת? כשל חומרה? הסוג קובע את שיטת השחזור.
מה מצב הגיבוי? – בדקו שהגיבוי תקין, עדכני, ולא נפגע. גיבוי ענן מנותק הוא הפתרון הבטוח ביותר. בדקו את תאריך הגיבוי האחרון ואת שלמותו.
האם הפרצה נסגרה? – אין טעם לשחזר שרת לרשת שעדיין פרוצה. התוקף יחדור שוב תוך שעות. סגרו את וקטור הכניסה לפני השחזור.
תהליך שחזור שרת – 8 שלבים
שלב 1: בידוד – וודאו שהשרת הנגוע מנותק לחלוטין מהרשת. אם יש שרתים נוספים ברשת – בדקו גם אותם. ה-Firewall צריך להיות בתצורת חסימה מוגברת.
שלב 2: שימור ראיות (Forensics) – לפני פירמוט, שמרו עותק של הדיסק הנגוע למקרה שתצטרכו לחקירה פורנזית, ביטוח, או הליך משפטי. צלמו Image מלא.
שלב 3: הקמת שרת נקי – התקינו מערכת הפעלה נקייה (Windows Server 2022) על חומרה נקייה או שרת וירטואלי חדש בענן. התקינו את כל העדכונים האחרונים לפני שממשיכים.
שלב 4: הקשחה לפני שחזור – לפני שמחזירים נתונים, הקשיחו את השרת: סיסמאות Admin חדשות וחזקות, 2FA מופעל, רק הפורטים הנדרשים פתוחים, Windows Firewall מוגדר, עדכונים אוטומטיים פעילים.
שלב 5: שחזור נתונים – שחזרו את הנתונים מהגיבוי הנקי: מסד נתונים (SQL), קבצי משתמשים, הגדרות אפליקציות (ERP, דואר), והגדרות Active Directory. בדקו כל קובץ לפני שמעלים אותו לשרת הנקי.
שלב 6: התקנת אבטחה – לפני חיבור לרשת: SentinelOne EDR, עדכוני אבטחה מלאים, הגדרות Firewall מחמירות, ניטור מוגבר.
שלב 7: בדיקות – בדקו שכל המערכות עובדות: ERP, דואר, קבצים, מדפסות, גישה מרחוק. בצעו בדיקת סמוק מקיפה לפני שמחזירים משתמשים.
שלב 8: ניטור מוגבר – בשבועות הראשונים אחרי השחזור, הגבירו ניטור. תוקפים לפעמים חוזרים. וודאו שאין תעבורה חריגה ושכל המערכות יציבות.
זמני שחזור – RTO ריאליסטי
| תרחיש | זמן שחזור עם גיבוי ענן | זמן שחזור ללא גיבוי |
|---|---|---|
| שרת קבצים (500GB) | 4-8 שעות | ימים-שבועות (אם בכלל) |
| שרת SQL (ERP / חשבשבת) | 6-12 שעות | ימים (אם יש גיבוי DB ישן) |
| שרת דואר (Exchange) | 8-16 שעות | אובדן מלא של היסטוריה |
| Active Directory | 2-4 שעות | בנייה מחדש: 1-3 ימים |
| שחזור מלא של סביבה | 12-48 שעות | שבוע עד חודש |
המספרים מדברים בעד עצמם. גיבוי ענן תקין הוא ההבדל בין שעות לשבועות של השבתה. ב-R-Net, כחלק משירותי מחשוב לעסקים, הגיבוי כלול ונבדק תקופתית.
טעויות נפוצות בשחזור שרת
שחזור לרשת פרוצה – הטעות הגדולה ביותר: שחזור השרת לפני שסוגרים את הפרצה. התוקף יחזור תוך שעות.
שימוש בגיבוי נגוע – אם הגיבוי מכיל את הנוזקה, אתם משחזרים את הבעיה. בדקו גיבויים לפני שחזור.
אי-שינוי סיסמאות – אם התוקף גנב סיסמאות, הן עדיין ברשותו. שנו את כל הסיסמאות לפני חיבור מחדש.
חזרה לעבודה ללא הקשחה – שרת שחוזר ללא EDR, ללא עדכונים, וללא 2FA – פתוח לפריצה חוזרת.
שאלות נפוצות
האם אפשר לשחזר שרת ללא גיבוי?
חלקית. אם מדובר בכופרה, יש מקרים בהם קיימים כלי פענוח חינמיים (nomoreransom.org). אם הדיסק פגום אך לא מוצפן, שירותי שחזור נתונים יכולים לעזור (בעלות גבוהה). אבל התשובה האמיתית: אל תגיעו למצב הזה – תגבו.
כמה עולה שחזור שרת אחרי מתקפה?
שחזור מגיבוי מנוהל: 5,000-15,000 ש"ח (כלול לרוב בחוזה שירות). שחזור ללא גיבוי עם שירותי חקירה: 30,000-100,000 ש"ח. שחזור נתונים ממעבדה: 10,000-50,000 ש"ח ללא ערובה להצלחה.
האם עדיף לשחזר על אותו שרת או להקים חדש?
תמיד עדיף להקים שרת נקי – פיזי או וירטואלי בענן. שרת שנפרץ עלול להכיל "דלתות אחוריות" שלא ניתן לגלות בקלות. פירמוט מלא הוא הדרך הבטוחה היחידה.
Disaster Recovery מול גיבוי רגיל – מה ההבדל וכמה זה עולה?
גיבוי רגיל שומר עותקים של נתונים (קבצים, מסדי נתונים) ומאפשר שחזור שלהם על שרת קיים או חדש. זמן שחזור: שעות עד יום עבודה, תלוי בגודל הנתונים.
Disaster Recovery (DR) הוא צעד מעבר: סביבה שלמה – שרת, מערכת הפעלה, אפליקציות, נתונים – שמוכנה לקפוץ לפעולה כשהסביבה הראשית נופלת. זמן שחזור: דקות עד שעה. מתאים לעסקים שכל שעת השבתה עולה עשרות אלפי שקלים.
| פרמטר | גיבוי רגיל | Disaster Recovery |
|---|---|---|
| RTO (זמן שחזור) | 4-24 שעות | 15 דקות – 2 שעות |
| RPO (אובדן נתונים) | 24 שעות (גיבוי יומי) | דקות (שכפול רציף) |
| עלות חודשית | 500-2,000 ש"ח | 2,000-8,000 ש"ח |
| מורכבות | נמוכה | בינונית-גבוהה |
| מתאים ל | רוב העסקים | עסקים עם דרישת זמינות גבוהה |
ב-R-Net אנחנו מציעים את שני הפתרונות, ומתאימים את הרמה לצרכים ולתקציב של כל לקוח. רוב העסקים הבינוניים מסתדרים מצוין עם גיבוי ענן מנוהל שנותן RTO של 6-12 שעות.
בנייה מחדש של Active Directory אחרי פריצה
Active Directory (AD) הוא "מוח" הרשת הארגונית – הוא מנהל את כל המשתמשים, ההרשאות, והמדיניות. כשתוקף פורץ ל-AD ומשיג הרשאות Domain Admin, הוא שולט בכל הרשת. שחזור AD אחרי פריצה הוא תהליך מורכב:
איפוס מלא של כל הסיסמאות – כל המשתמשים, כל השירותים, כל חשבונות ה-Admin. התוקף עלול להחזיק את כל הסיסמאות הישנות.
ביטול Kerberos Golden Tickets – התוקף יכול ליצור "כרטיסי זהב" שנותנים גישה בלתי מוגבלת. איפוס חשבון KRBTGT (פעמיים) פותר את הבעיה.
ניקוי Group Policy – בדקו שהתוקף לא שתל GPO זדוני שירוץ בכל אתחול מחשב.
סריקת שרתי DC – בדקו את כל שרתי ה-Domain Controller לנוכחות של Backdoors, כלי תקיפה, או משתמשים שהתוקף יצר.
זה תהליך שדורש מומחיות עמוקה. ב-R-Net, הצוות שלנו מוסמך ל-Windows Server ו-Active Directory ומבצע את השחזור בצורה מקצועית ומלאה.
רשימת כלים חיוניים לשחזור שרת
כלי גיבוי ושחזור: Veeam Backup & Replication (סטנדרט בתעשייה), Acronis Cyber Backup, או Datto SIRIS – לשחזור מלא של שרתים, VMs, ומסדי נתונים.
כלי פורנזיקה: Sysinternals Suite (Process Monitor, Autoruns) לזיהוי תהליכים חשודים, Wireshark לניתוח תעבורת רשת, ו-FTK Imager ליצירת Image של דיסק לחקירה.
כלי הקשחה: Microsoft Baseline Security Analyzer, CIS Benchmarks לבדיקת הגדרות אבטחה, ו-LAPS (Local Administrator Password Solution) לניהול סיסמאות Admin מקומיות.
קראו עוד: גיבוי בענן | שרת וירטואלי | אבטחת מידע | SentinelOne | שירותי מחשוב לעסקים | צרו קשר
