אלי שלמה

עוד יום של סייבר בענן

תחקור בממשק Data Investigations

by · 01/10/2019

מאמר זה מתמקד באפשרויות של תחקור אירוע באמצעות כלי Data Investigations בשירות Office 365, ובנוסף לכך במידע על אירוע סייבר ותחקור דיגיטלי.

תחקור אירוע סייבר הינו שלב ראשון בתהליך של ניהול אירוע סייבר ופעולה אשר מתרחשת מקביל ולאורך כל האירוע עצמו, ובמקרים רבים הינו שלב מכריע באירוע.

מטרת התחקור היא למצוא מידע וראיות מהר ככל האפשר, בין אם מדובר על ראיות ראשוניות או על מציאת ראיות של מקור התקיפה במטרה לבצע הכלה של האירוע ולתת מענה מהר ככל האפשר.

טיפ: אירוע מורכב ממאפיינים רבים, החל מסוג האירוע, חומרת הנזק, ראיות, אופי הכלת האירוע ומאפיינים נוספים ולכן תחקור, מענה והתאוששות חייב להיות תהליך מוגדר מראש עם נהלים בכדי שכל גורם יידע מה מקומו באירוע.

אירוע אבטחה

אירוע סייבר בארגון הינו אירוע עם פוטנציאל מסוים למשל אירוע יכול להיות עם פוטנציאל בעל נזקים נמוכים, בינוניים ואף גבוהים.

אירוע סייבר מושפע מגורמים שונים הקשורים לאירוע החל מאופי הקמפיין ודרכי התקיפה, מידת מוכנות ורובדי אבטחה בארגון, כמות המשתמשים הקשורים לאירוע ותנאים נוספים המשפיעים על נזקי הסייבר בארגון אשר נחלקים לקטגוריות שונות, ובמקרים שונים אותם נזקים מאירוע הסייבר מתבססים על אומדנים שונים, אך בסופו של דבר הכל מחושב לפי אומדן כלכלי.

פוטנציאל הנזק מתוך אירוע סייבר נחלק למספר קטגוריות:

  • נזק נמוך – נזק אשר נגרם לנכסים שאינם חשובים ואינם משפיעים על הארגון באופן כזה או אחר – אומדן כלכלי שהוא עד לסכום של 1000$
  • נזק בינוני – נזק אשר נגרם לנכסים חשובים או משתמשי קצה ומשפיע על עבודתם – אומדן כלכלי עד סכום של 5000$
  • נזק גבוה – נזק הגורם להשבתה חלקית או מלאה של הארגון בין אם זה ברמת משתמשים או נכסים חשובים ורגישים של הארגון – אומדן כלכלי של מעל 5000$

במקרים מהסוג הנ"ל ישנו תהליך תחקור ובקרה של אומדן נזקים ובמקרים כאלה יש להיערך לכך מראש עם תוכנית סדורה של תחקור, בקרה, מענה ותגובה לאירוע סייבר (Incident Response Plan).

במקרים כאלה ישנה חלוקה של תגובה לאירוע לפי הקטגוריות הבאות:

  • פוטנציאל נזק נמוך – הארגון יבצע תהליך פשוט של מענה ותגובה לפי מיפוי יעדים ויבין לפי תהליך את אופן ההגנה הנדרש.
  • פוטנציאל נזק בינוני – הארגון יבצע תהליך מסודר וחלקי לפי תוכנית תגובה מונהלת מראש ויגיב לפי תהליך הגנה נדרש.
  • פוטנציאל נזק גבוה – ארגון יבצע תהליך תגובה מלא הנשען בצורה משמעותית על מרחב הסייבר ונדרש לבצע תגובה ותחקור מלא. כמו כן יבצע תהליך התאוששות מאירוע סייבר.

תהליך תחקור, תגובה והתאוששות הינו תהליך לא פשוט וכולל בתוכו תהליך בחינה וניתוח מתודולוגי של ניהול אירוע הסייבר מראשיתו לסופו בהיבטי אנשים, תהליכים וטכנולוגיה. התהליך מבוצע בסמוך ככל שניתן למועד הטיפול האופרטיבי באירוע, במטרה לספק לקחים ותובנות אשר יאפשרו טיפול יעיל ומהיר יותר באירוע סייבר עתידי.

ניהול אירוע סייבר מתבסס על ידי המאפיינים הבאים:

  • זיהוי – בירור ראשוני של אירוע סייבר וגיבוש מהיר ככל האפשר של דפוס הפעילות
  • תחקור וניתוח האירוע – בירור מקיף ומעמיק ככל האפשר לגבי אירוע הסייבר, לצורך קבלת החלטות ברמה האופרטיבית, גיבוש רשימת חלופות של דפוסי פעולה אפשריים לבלימת התקיפה והחלטה על דרך הפעולה העיקרית לשלב ההכלה
  • הכלה – השגת שליטה ראשונית באירוע לצורך הכלתו ועצירת החמרתו והשגת יעדיו
  • הכרעה – נטרול רכיבי התקיפה שמצויים במערכות
  • השבה – חזרה לתקינות ופעילות מלאה של פעילות הארגון
  • הפקת לקחים (נזק) – תוצאה בלתי רצויה, לרבות שיבוש/הפרעה/השבתה של פעילות; גניבת נכס;איסוף מודיעין; פגיעה במוניטין
  • תחקור נוסף והפקת לקחים – תהליך בחינה וניתוח מתודולוגי של ניהול אירוע הסייבר מראשיתו לסופו
  • בהיבטי אנשים, תהליכים וטכנולוגיה.
  • מעקב אחר יישום הלקחים ותובנות – תהליך בחינה הבא לוודא כי כל הלקחים והתובנות שעלו באירוע ימומשו בפועל.

הערה: המאפיינים המוזכרים מעלה אינם בהכרח חייבים להיות בסדר המוזכר ומשתנים בהתאם לכל ארגון וארגון, למשל, שלב התחקור יכול להיות משימה שמתרחשת בכל רגע נתון שבו שלב אחר מתבצע וזה מתבסס על האירוע, הארגון, התהליך והנהלים.

תחקור בענן

תחקור דיגיטלי בענן שונה במעט מאשר תחקור דיגיטלי מאשר בסביבה המקומית וזאת בגלל שמאפיינים רבים הנדרשים לניטור ומעקב מוגדרים ומופעלים מראש ובאופן אוטומטי ע"י ספק הענן.

טיפ: ספקי ענן דואגים להגדרת מאפייני ניטור ומעקב באופן הבסיסי ביותר ולכן מומלץ להגדיר את המאפיינים השונים לרמה מתקדמת יותר.

טיפ: בשירות הענן של Office 365 טננטים חדשים מוגדרים מראש עם מאפיינים של מעקב וניטור ובמידה ומופעל רכיב חדש ישנם הוראות ברורות להפעלת מעקב נוסף (התראות בממשק שאי אפשר לפספס).

תחקור דיגיטלי

תחקור דיגיטלי הינו חלק מתוך תהליך פורנזי שמטרתו היא לאסוף ראיות, לברר עובדות טכנולוגיות ולבנות את מסלול התקיפה אשר חווה הארגון. תחקור נועד לאסוף את כלל הממצאים בשטח מתוך כלל המערכות וע"י כך לזהות את מקור הפריצה ולהביא להרשעה.

תחקור דיגיטלי יכול להיות בנסיבות שונות החל מאירוע כופר, הונאות שונות, פישינג טלפוני, פריצה לאתרי Web, גניבת מידע רגיש, דליפת מידע של גורם פנימי וכן הלאה.

תחקור דיגיטלי כולל מספר מרכיבים כללים המוגדרים מראש והם: שימור, זיהוי, חילוץ, פרשנות ותיעוד. ולכן נוהל ותהליך נכון של המרכיבים הנ"ל ובצורה קפדנית ומסודרת יכול להביא למצב של איתור התוקף באופן מלא.

תחקור מתבצע (או יכול להתבצע) בכל רמת נזק שהיא, כלומר מאירוע בעל נזק נמוך ועד גבוה כאשר אנו צריכים להפעיל את הגורמים הנדרשים ולהפעיל שיקול דעת בכל תהליך לצד נהלים.

ומתי מתבצע תחקור? כאשר עולה חשד או שישנו מקרה בשטח, וככל שנקדים כך נמנע את הרחבת האירוע למשהו גדול יותר. תחקור יכול להתבצע בין היתר לפי הסיבות הבאות:

  • חשד לתרגוט מסוים של חשבונות רגישים
  • במקרים בהם ישנו חשד לדלף מידע רגיש מתוך הארגון
  • גישה לא מורשית לנכסים מסוימים שהוגדרו מסווגים מראש
  • הונאות במטרה לבצע מעילה פיננסית או הוצאת פרטי הזדהות
  • פריצה למערכות ארגוניות או אתרי Web חיצוניים

מוכנות הארגון

מוכנות הארגון לאירוע כזה חייב להיות בנוי מכמה מאפיינים: אנשים, תהליכים וטכנולוגיה.

לכן לצד הכנות טכנולוגיות אנו חייבים להכין תהליך מוגדר מראש עם נהלים ולוודא שכל גורם בצוות יודע את מקומו במצב של אירוע סייבר.

בצד הטכנולוגי הפעולות יכולות להיות פשוטות יותר, ובכדי לבצע תחקור המערכות השונות חייבות להיות מוגדרות מראש וכאלה שמאפשרות לנבור במידע ולבצע קורלציה בכל פרק זמן שהוא, ולכן לצד תהליך ונהלים שצריכים להיות מוכנים מראש אנו חייבים לדאוג לכך שהמערכות מדווחות על כל פעולה אשר נעשית.

בכדי להימנע ממצבים כאלה אנו חייבים להפעיל בענן מעקב וניטור בכל מערכת אפשרית ולוודא שישנו מידע מפורט ככל האפשר בכל סוגי המערכות האפשריות ולא רק הקריטיות, ובין היתר:

  • מערכות לניהול זהויות וגישה, כדוגמת Azure AD
  • מערכות דואר והעברת מסרים כדוגמת Teams, SfB, Slack
  • מערכות ליבה המכילות מידע רגיש, כדוגמת CRM, Financial
  • מערכות נוספות לניהול מסמכים ושמירת מידע כדוגמת ODfB, SharePoint
  • מערכות נוספות בעלי רמת חשיבות נמוכה

בנוסף לכך תקנות אבטחה דורשות מארגונים להכין את מערכות המחשוב מבעוד מועד, וזאת בכדי לבצע תחקור בכל פרק זמן, ובכדי שמהמערכות המעורבות יספקו תיעוד איכותי עד כדי יכולת לזהות נתיב תקיפה ואף להצביע על גורם התקיפה.

דוגמה לדגשים בתחקור באירוע

במקרה של אירוע סייבר יש לבצע בדיקה מעמיקה ומקיפה של האירוע, ויש להיערך לכך כראוי. ישנם מספר כללים אשר יכולים לסייע בהכנת הקרקע לקראת תחקור דיגיטלי בכדי שיוכל לספק לחוקרים את כל הנתונים הנדרשים לביצוע בדיקה מקיפה של אירוע הסייבר:

  • הכנת Image של כל תחנת קצה או שרת אשר היה קשור לאירוע בצורה כלשהיא
  • שכפול זיכרון RAM וגם את הכוננים הקשיחים
  • התאמה של זמנים בכלל האובייקטים אשר היו חלק מהאירוע
  • רישום הבדלים בין המערכות השונות שהן חלק מהחקירה
  • שמירת לוגים ותיעוד של כלל מערכות הניטור והמעקב (במידה ואין SIEM כלשהוא)
  • לוודא שישנו תרשים רשת פנימי וחיצוני מפורט ככל האפשר עם הכניסות והיציאות
  • תרשים של תהליכי זרימה של האוביקטים וכלל המערכות אשר נפגעו או הותקפו

תחקור אירוע באמצעות Data Investigations

בשירות Office 365 ובמערכות הגנה נלוות אליו ישנה אפשרות לעקוב ולנטר כל פעולה שהיא ולשמור את כלל הפעולות במקופ מרוכז ועל גבי אותן מערכות ניתן לבצע תחקור ברמת הבורג.

הכלים המוצעים של Microsoft מציעים מגוון רחב של כלים למעקב, ניטור ותחקור לכלל האפשרויות בענן כולל ספקי ענן צד שלישי, וישנם כלים כדוגמת Microsoft Cloud App Security, Azure Identity Protectin, Threat management ועוד אחרים המאפשרים מעקב וניטור וכן אפשרויות תחקור ומציאת ראיות.

כלי נוסף שהתווסף לאחרונה הוא Data Investigations המאפשר לתחקר בעיות ואירועים שונים.

על Data Investigations

מהי מידת השליטה על הנתונים בארגון? האם ידוע היכן הנתונים מסתובבים? שאלה קשה ובמיוחד בעידן שבו נתונים הופכים להיות משאב יקר מאוד אפילו יותר מאשר נדלן, ובמצבים בהם נתונים בארגון נמצאים במקומות שונים, סביבה מקומית וסביבת ענן ולכן נגישים מכל מקום ומכל התקן בין אם מכשירים חכמים או מחשב אקראי – ומצב זה הופך את הנתונים לנגישים.

הערה: נכון שלצד הגנה על זהויות והקשחת הגישה מתוך התקנים שונים עדיין אנו חייבים לדעת מה קורה עם הנתונים ולפעול בהתאם?

הכלי Data Investigations מאפשר בחינה, תחקור ותגובה לאירוע סייבר בהם יש תקריות הקשורות באופן ישיר או עקיף לנתונים, למשל, אירוע פישינג או אירוע של דלף מידע, ואפילו מאפשר מעקב אחר מידע והצלבת מידע לצרכים שונים.

הכלי Data Investigations מחולק למספר קטגוריות של חיפוש המידע, מציאת ראיות, תחקור המידע ואף פעולות מנע.

Data Investigations

 

חשוב לשים לב לתהליך של ביצוע הפעולות בממשק Data Investigations שהוא בהתאם לתרשים של תהליכי זרימה הקשורים לאירוע, כלומר החל מחיפוש המידע הרלוונטי, מציאת ראיות, אנשים הקשורים לאירוע, ניתוח המידע וביצוע פעולות תגובה, הוצאת כל המידע והראיות הקשורות לאירוע – כלומר תהליך המורכב מטכנולוגיה, תהליכים ואנשים.

הכלי Data Investigations מאפשר לבצע תהליך רק על שירותי ענן של Exchange Online, SharePoint Online, OneDrive for Business, Teams, Sway, ToDo, Flow, Groups ואפליקציות Office 365 נוספות.

ביצוע הפעולות בכלי Data Investigations נחלק לקטגוריות הבאות בתהליך:

Search – אפשרות "החיפוש" מאפשר לבצע חיפוש על כלל הנתונים הקיימים באפליקציות Office 365 ובנוסף לכך ניתן לבצע פעולות מנע על נתונים אשר נמצאו, למשל חיפוש של דואר זדוני אשר נחת בתיבות הדואר או הסרה של שיתוף חיצוני על קבצים וכן הלאה.

אפשרויות החיפוש מאפשרות לבצע חיפוש אשר מבוסס לפי קריטריונים ושאילתות שונות, למשל, אם נקח קבצים אז ניתן לבצע חיפוש לפי סוגי קבצים, נתון בתוך הקובץ, Metdata של הקובץ ומאפיינים נוספים.

החלק המעניין שחיפוש האו קורלציה של נתון מסוים בין כלל האפליקציות והמידע הקיים של Office 365 – הקורלציה מבוצעת באופן אוטומטי לפי השאילתה.

Evidence – בכל תחקור אנו מחפשים ראיות ואם אפשר כאלה ישכולים להביא להרשעה ולמבצ שבו אפשר למצוא את הנקודה הראשונה שממנה התחילה התקיפה. בשלב השני של תהליך התחקור ובפרט בממשק Data Investigations אנו מתחילים בתחקור הנתונים אשר חיפשנו בשלב הקודם.

בשלב זה ולאחר שחיפשנו את המידע לפני המאפיינים השונים, הכלי של Data Investigations בונה על סמך אותם סט מאפיינים אינדקס ומוסיף אותו אל Evidence, כלומר לאחר שחיפשנו את הנתון הספציפי ומצאנו ראיה מסוימת אנו מוסיפים את הראיה בכדי שהכלי יבנה אינדקס על אותה ראיה או לחלופין ניתן להוסיף ראיה באופן ידני ללא חיפוש.

האפשרות Evidence מכינה את הקרקע לבצע מענה נדרש של מחיקת נתונים במידת הצורך.

People of interest – שלב נוסף בתהליך הוא משתמשים שהינם חלק מהאירוע, כלומר בכל אירוע סייבר ישנם משתמשים שנחשפו לאירוע או משתמשים שמהם החלה הבעיה.

ברגע שאנו מגדירים סקופ משתמשים מבוצע מיפוי של כלל המשתמשים וקורלציה בין הנתונים שכהמשתמשים עובדים איתם או עבדו לפני כן במהלך האירוע.

במצב שיש לנו משתמשים אנו יכולים לדעת האם המידע שחיפשנו והראיות מוצלבות בין כל כלל האובייקטים: משתמשים, נתונים וראיות.

Processing  – שלב נוסף בתהליך אשר חושף את המידע שאינו נגיש במצב ראשוני, כלומר מידע שהכלי Data Investigations אינו יכל לאנדקס ולכן באפשרות Processing הנתונים הנ"ל נחשפים ולאחר מכן מאפשרים הצגה והורדה של אותו נתון ספציפי.

הדוגמה הנפוצה היא קובץ מוגן או מוצפן שאינו מאונדקס אך נוצג בממשק ונגיש להורדה.

Export – ניתן להוציא את הנתונים אשר נמצאו בחיפוש או כל סט נתונים שהיו חלק מאותו תהליך בכלי Data Investigations, ניתן לייצא את הנתונים אל מיקום מקומי או מיקום בשירות Azure.

דוגמה בסיסית מול Data Investigations

דוגמה בסיסית וקצרה לניהול אירוע עם Data Investigations ובנוסף אליו מספר דגשים חשובים בכלי Data Investigations:

  • בהתאם לאירוע נחשפים אפשריוות שונות, למשל ביצוע פעולות גובה כמו מחיקה או הורדה של מידע
  • ניתן לשייך פעולת חיפוש אל פעולות מסוג Evidence
  • ניתן ליצור שאילתות חדשנות בתוך Evidence אשר נוצר מתוך Evidence של חיפוש
  • שאילתות לחיפוש, Evidence ופילטרים נוספים יכולים להיות חלק מתוך תהליך או פעולה ספציפית שאינה קשורה לתהליך
  • ניתן ליצור אינספור שאילות שונות בתהליך אחד
  • ממשק החיפוש דומה לאפשרויות חיפוש של eDiscovery אך עובד בצורה הרבה יותר פשוטה ומהירה מאשר eDiscovery

דוגמה בסיסית וקצרה מתוך ממשק Data Investigations

2019-10-01_18h29_512019-10-01_18h30_502019-10-01_18h31_072019-10-01_18h31_262019-10-01_18h31_352019-10-01_18h32_522019-10-01_18h33_122019-10-01_18h34_432019-10-01_18h35_49

לסיכום

אירוע סייבר הוא מופע שמתרחש בכל ארגון בין אם מדובר באירוע מינורי או בין אם מדובר על אירוע בעל נזק גבוה, בכל אירוע כזה אנו חייבים לדעת מהו התהליך, השלבים ומה תפקידו של כל גורם בצוות במצב כזה.

הכלי Data Investigations מפשט את התהליך של תחקור דיגיטלי בשירות הענן של Office 365 ומספק ממשק עם תהליך הכולל אפשרויות של חיפוש הנתונים, מציאת ראיות, קורלציה בין המידע, ביצוע פעולות תגובה ופעולות נוספות.

Tags:

You may also like...

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *