אלי שלמה

עוד יום של סייבר בענן

תגובה ותהליך אירוע סייבר

by · 20/05/2019

מערכת SIEM ארגונית, צוות תגובה מיומן ומנגנון מענה מתורגל הינם שלושה דגשים הקשורים אחד בשני ומטרתם לתת מענה ולנהל אירוע סייבר.

מענה לאירוע סייבר אינו תהליך פשוט ומענה לא מסודר או שליפה מהמותן עלולה לגרום לבעיות חמורות יותר ולהביא את הארגון למצב של כאוס, ולכן תהליך ניהול אירוע סייבר כולל דגשים רבים ותהליך סדור מראש וזאת על מנת לוודא שבמקרים בהם ישנו אירוע אמיתי כל בעל תפקיד במנגנון יודע מהו תחום אחריותו, איך להגיב ואיך לשתף פעולה עם חברים נוספים בצוות התגובה.

על SIEM, SOC וכאלה

מערכות SIEM, תפיסת SOC ארגונית, צוות IR ומענה לאירועי אבטחה.

צוות SOC הינו צוות חשוב בארגון ובמערך אבטחת המידע הארגוני ולכן צוות SOC, מערכת SIEM ונהלים הם שלושה מאפיינים חשובים בתמצונה הכללית של מערל האבטחה בארגון.

לרוב צוות ה IR וצוות ה SOC מבצעים מעקב אחר מערכות האבטחה בארגון והרשת באמצעות המשאבים וכלים בינהם SIEM ארגוני.

תפקידו של צוות SOC היא לנטר את המערכות ולגלות חריגה, סיכונים וגרוע מכך התקפה על ארגון ולעדכן ישירות את צוות IR בכדי שיוכל לבצע ניתוח על המידע שהגיע במטרה לעצור את האירוע.

צוות SOC אמון על מספר משימות:

  • ביצוע בקרות באמצעות SIEM או מערכות אחרות
  • תחקור אירועים והעברת המידע במידת הצורך לצוות IR
  • הכנת תנאים וחוקים על גבי מערכת SIEM ומערכות אחרות
  • שליחת דוחות מוגדרים מראש

את המערכות אשר צוות SOC עובד עימו ביומיום הוא מערכת SIEM.

מערכות SIEM למינהם הם מערכות המאפשרות ניהול, בקרה ושליטה על אירועי אבטחה בארגון ע"י כך שהם מבצעות איסוף מידע והתראות מתוך מערכות ורכיבים שונים מחוברים למערכת SIEM וכתוצאה מכך מייצרת תמונת מצב מסוימת של מערך אבטחת מידע ארגונית.

הטרמינולוגיה משתנה בין מערכות SIEM שונות, אך העקרון זהה כמעט אצל רוב מערכות SIEM הקיימות כיום.

מערכות SIEM אוספות מידע מכל מערכת או רכיב נדרשים, וניתן למנות בין היתר:

  • תשתיות ענן כדוגמת iDP, Mobile Management
  • מערכות הגנה שונות, כגון מערכות CASB או EDR
  • שרתים Windows & Linux (ולעיתים תחנות קצה מסוימות)
  • רכיבי אבטחה קלאסיים, כדוגמת: Firewall, VPN, Proxy
  • אפליקציות ספציפיות (לרוב ייאסף מתוך השרת עצמו)

המידע שנאסף יכול להיות מידע המבוסס על לוגים שונים, התראות ספציפיות ופעולות מסוימות באותם מערכות נשלח אל מערכת SIEM ושם המידע נשמר באופן מסוים בכדי שניתן יהיה לבצע עם המידע פעולות שונות, כגון:

  • הצגת המידע באופן קריא לצוות SOC או צוות IR
  • ניתוח המידע וביצוע פורנזיקה על פעולות שונות
  • התראות לגבי אירועי אבטחה ספציפיים
  • אוטומציה על פעולות מוגדרת מראש
  • מענה אוטומטי על פעולות שאינן ידועות

מכיוון שמדובר על מערכות רבות (מערכות סיסטם וכן מערכות אבטחה) ומידע עצום עם כמויות לוגים והתראות, וכזה שגם צוות שלם אינו יכול להתמודד עימו

עובד אנושי אינו מסוגל לנתח כמות גדולה כל כך של לוגים כל יום. מעבר לכך, כמעט בלתי אפשרי ליצור קורולציה בין התראות (למשל, ניסיון Brute Force על האפליקציה וגישה לטבלאות רגישות בבסיס הנתונים) רק ע"י מעבר ידני על לוגים.

Azure Sentinel

ישנן סיבות שונות ליישום מערכת SIEM בארגון:

מעקב וניטור – כמות המערכות הן רבות וכך גם הלוגים אשר נצברים מאותה מערכת ולכן אין באפשרותינו לבצע מעקב אחר הלוגים ולבצע מעקב אחר איורעים אשר מתרחשים בעקבות אותם לוגים. ולכן מכאן עולה צורך מהותי של שיפור מערך אבטחת המידע בארגון וביצוע מעקב אחר וניטור לוגים ומענה לאירועי אבטחה. בנוסף לכך מערכות SIEM מאפשרות לבצע פורנזיקה על כל אותם אירועים ולכן מתוך אותו ממשק ניתן לבצע תחקור אירוע.

מענה ותגובה (MDR) – מערכות SIEM של ימינו (מרץ 2019) נדרשות לבצע פעולות נוספות ולא רק איסוף לוגים ומידע מכלל המערכות אבטחה בארגון, מערכת SIEM נדרשת לבצע אוטומציה על מידע אשר מגיע מתוך מערכות אבטחה שונות ולאפשר תהליך מובנה המבוסס על תנאים וחוקים ובמידת הצורך ביצוע תגובה אוטומטי כחלק מאירוע.

רגולציה – ישנם ארגונים המחויבים לרגולציה ולכן צריכים מערכת SIEM בכדי לשמור את כל המידע שנאסף במקום מרכזי אחד וכן לבצע על המידע ניטור, בקרה ולקבל תמונה כולל על מערך האבטחה בארגון. במצבים כאלה מערכת SIEM תשמש גם לשליחת דוחות מתוזמנים של אירועים שונים.

מענה לאירוע סייבר

במקרים בהם ישנם אירועי סייבר שונים (פישינג, כופר, פריצה למאגרי מידע וכן הלאה) אנו חייבים לנהל את אירוע הסייבר ע"י צוות תגובה (IRT) מאורגן שיודע לנהל ולטפל בצורה הנכונה במצבים של אירוע סייבר.

לצוות תגובה ישנה מטרה ברורה ומיידית והיא לצמצם למינימום את זמן ההשבתה של הארגון, להחזיר את המערכות והארגון לשגרה במהירות המקסמילית, ולוודא שישנה סגירה של בעיות האבטחה אשר נבעו מאותו אירוע ולמזער נזקים לפי שלושה קווים מנחים: צמצום עלויות, מוניטין ונזק תדמיתי.

ניהול אירוע סייבר, צמצום הנזק וכן בנוי על מספר דגשים מרכזיים:

  • ניהולית – להשבת הארגון לשגרת עבודה, מלאה או חלקית, מנקודת מבט ניהולית ותפעולית.
  • משפטית – ניהול אירוע עם מחלקת משפטית בכדי לנהל לפי עקרונות ורגולציות נדרשות.
  • ניסיון ותרגול – ידע של ניהול וטיפול באירוע סייבר עם צוות תגובה בעל נסיון ומתורגל.
  • רגולציה – שליטה וידע במערכות הארגוניות והכרות של הדרישות הרגולטוריות ורגישויות משפטיות – מקצרת משמעותית את זמן הטיפול באירועי אבטחת מידע.

פעילות של צוות תגובה (IRT) מתסמך על מספר דגשים:

שיתוף פעולה עם צוות תגובה (IRT)  – חיבור צוות התגובה לאירוע סייבר אל אנשי אמון המחזיקים בעמדות המפתח הרלוונטיות, אשר תודרכו לשקיפות ושיתוף פעולה מול הצוות מהותי לניתוח תמונת המצב וצמצום זמן ההשבתה והנזקים הנלווים.
עמדות המפתח הרלוונטיות בדרך כלל יהיו: מנכ"ל, מנהל הטכנולוגיות, משרד יחסי הציבור של החברה (אם קיים), יועצים משפטיים, אנשי כספים ועוד.

רגולציה חובת דיווח במקרה של אירוע סייבר מוכח ובחינת הרגולציה לה כפופה החברה המותקפת והדרישות העולות מתוך רגולציה זו:

  • חברה פרטית / חברה ציבורית.
  • חברה שמרכזת פעילותה בישראל וכפופה לתקנות אבטחת מידע של רשות הגנת הפרטיות במשרד המשפטים.
  • חברה אשר כפופה לתקני אבטחת מידע והגנת פרטיות בעולם, דוגמת GDPR של פרלמנט האיחוד האירופי, תקנות אמריקאיות המחייבות דיווח על אירועי סייבר ומקרים של דליפת מידע, תקנות HIPAA, תקני אבטחת מידע לגוף המחזיק במידע רפואי וכדומה.

מענה לאירוע סייבר – מענה ע"י זיהוי, בידוד, נטרול, שימור ראיות וחזרה לשגרה. לאחר תהליך מהיר של הבנת מבנה הארגון, מערכות המידע, רגישות המידע, ומהות המתקפה, תוך יצירת ממשקים עם הגורמים הרלוונטיים בארגון וספקיו הרלוונטיים לאירוע יחל הטיפול במתקפה.

ביצוע חקירה מהירה, תוך תיעוד ואיסוף ראייתי מוקפד של מקורות פרצת האבטחה, בידוד הזירות שנפגעו, בלימת המתקפה ובחינת אפשרויות החזרת הארגון לשגרת עבודה במהירות האפשרית.

ניהול תגובה לאירוע סייבר – בכל תגובה לאירוע סייבר, נדרש לבצע תגובה לפי מנגנון ונהלים ידועים מראש תוך סדר על עדיפויות וסדר הפעולות בטיפול האירוע. ישנם מקרים בהם עלולים להיתקל בהחלטות שגויות ולבצע טעויות קריטיות בגלל מידע שגוי או במקרים בהם אין הגורמים בצוות תגובה אינם יודעים את תפקידם. (לרוב בגלל חוסר תרגול)

ראיות – איסוף ראיות במהלך האירוע הינו בעל חשיבות רבה והוא יכול לשנות את כללי המשחק, וזאת על מנת לאתר האם האירוע קשור בשיתוף פעולה, בטעות או בזדון, לספק של החברה או לשיתוף פעולה מתוך הארגון.

נקודות חשובות בניהול אירוע סייבר

ניהול אירוע סייבר נחלק למספר דשים חשובים ותהליך סדור שבו כל גורם יודע מהו תפקידו, תזמון הפעולות ושיתוף פעולה עם הגורמים הנוספים בצוות תגובה.

  • תגובה וזיהוי הזירות הדיגיטליות שנפגעו
  • בידוד הזירות הפגועות
  • ניתוח של מהות המתקפה
  • ניתוח היקף המתקפה
  • עצירה של המתקפה
  • ניהול סדרי עדיפויות לחזרה לשגרה
  • פיקוח על תהליך חזרה לשגרה וחזרה למצב תקין

תחקור מתקפת סייבר

תחקור אירוע נחלק למספר שלבים החל משלב הזיהוי, תיעוד הפעולות ועד לדוח ממצאים שבו מתקנים את בעיות האבטחה הקיימות.

  • איתור מקור התקיפה והגורמים הרלוונטיים
  • איתור המערכות שהותקפו ונזקים שנגרמו
  • ניתוח הבעיות ומענה טכני לבעיות קיימות
  • בדיקת מערך אבטחה קיים – לוודא שאין נזק נוסף
  • תיעוד שלבי התקיפה והכי חשוב ראיות
  • סיכום אירוע סייבר
  • דוח ממצאים והמלצות

לסיכום, מערכת SIEM ארגונית, צוות תגובה (IRT) ומנגנון לניהול אירועי סייבר הוא תהליך חשוב שמצריך תרגול אחת לפרק זמן, ידע של הגורמים המנהלים ומטפלים באירוע ותהליך סדור מראש וכל זאת למענה מהיר של אירוע סייבר ארגוני.

במאמר הבא נתמקד בתרחישים, סוגי אירוע, סוגי תרגול וכן הלאה.

Tags:

You may also like...

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *