IR תגובה וכאלה
כופר, פישינג, חולשות, משאבים חשופים, תצורה היברידית, משאבים בענן, מידע שדלף, אירוע אבטחה שהתרחב לכלל הארגון, שיתופי פעולה עם צוותים, הכלה ובלימה, כלים לניהול IR, ראיות, כלי תגובה, כלי אבטחה, בקרות מפצות, סקיל ומומחיות בצוות ושלל ירקות. למי שנמצא בעולם התחקור (IR), ככל הנראה מדובר על חלק קטן בשגרת היומיום.
כאמור, אלה ועוד הרבה הם חלק קטן מאירועי אבטחה שהם דבר שבשגרה, בין אם מדובר על אירוע בסדר גודל של תחנות בודדות שהצלחנו להכיל, או בין אם מדובר על אירוע שלא הצלחנו להשתלט עליו והתרחב למימדים גדולים, או בין אם מדובר על אירוע שאנו מוכנים אליו עם תהליך ופלייבוק, או אירוע שאין לנו יכולת להכיל ברמת התהליך.
בנימה אישית, בשלוש שנים האחרונות לקחתי חלק פעיל בניהול וניתוח אירועי אבטחה שונים, מקומיים וגלובאליים, בחלק מהמקרים הייתי חלק מתוך צוות גדול שהתנהל על גבי תהליכי IR סדורים, ולעיתים ניהלתי אירועים מסוימים, ובמקרים הייתי חלק מצוות שפעל באירוע ללא תהליך סדור. עיקר המעורבות שלי היתה בתשתיות Microsoft השונות, ובעיקר בענן של Azure / Microsoft 365 אך גם לעיתים בעננים נוספים כמו Google / AWS.
במהלך הזמן ביצעתי פורנזיקה, לעיתים מצאתי patient zero (לא תמיד אפשר באירוע), יצרתי תהליכי תחקור, חקירה ותגובה מקיפים כולל מחזור IR שלם, דבר שהוביל לכתיבת פלייבוקים רבים בצד התיאורטי – ולרוב בראייה טכנית שמקושרת לתהליכים שאינם טכניים.
המאמר הזה מעלה באופן מצומצם מספר עקרונות, מרכיבים ונקודות בעולם הרחב והמעמיק של IR, כאשר המאמר מביט על נקודות שונות, וישנם חלקים שאינם טכניים – במאמר מדובר על קצה הקרחון, וכמו שאני קורא לזה – זה אפילו לא החימום 😊
ניהול אירוע אבטחה יכול להיות דומה למקרה של incident managment אבל אחרי הכל אינו ניהול תקלה טכנית בתשתית ארגונית, או בעיה במשאב קריטי שצריך להתגבר עליו בגלל עדכון או משהו בסגנון, אלא משהו הרבה יותר קריטי. ניהול אירוע כולל סט רחב אשר בנוי על תחקור, חקירה, שיתוף פעולה ותגובה, וכל אלה הם חלק בפאזל קריטי גדול וחשוב מאוד במערך האבטחה הארגוני.
טיפ: חשוב להדגיש כי צוות IR הוא זה שעובד מול כלל הגורמים בארגון בכדי להכיל ולהגיב לאירוע
במקרים רבים ניהול אירוע אבטחה הוא זה שעושה את ההבדל בין הצלחה בהכלת אירוע לבין כשלון שיכול למוטט ארגון, ותמיד אני משווה זאת לכיבוי שריפה, גם את השריפה הגדולה ביותר אפשר לכבות בזמן ובצורה הנכונה עם דלי מים.
רגע, אז מה זה IR?
באופן הכללי מדובר על גישה לטיפול וניהול ההשלכות של הפרות אבטחה ומתקפות סייבר. יתרה מכך IR הוא תגובה לאירוע, המאמץ לזיהוי אירוע במהירות האפשרית, הצורך למזער את השפעות האירוע, להכיל נזקים, בלימה והכלה, לשפר ולתקן את הסיבה והגורם וכן הפחתת הסיכון לאירועים עתידיים.
אם נשאל כל אדם שפועל בתחום, מהו IR? סביר להניח שכל אחד יעלה נקודות חשובות, לעיתים מאפיינים בודדים, והסיבה לכך היא לא דווקא חוסר הידיעה, אלא היבט של כל גורם, אולי ניסיון והיבט אישי. באירוע ישנו גורם מהותי והוא התרשמות אישית – נדבך נוסף בעולם התחקור.
למה לי IR?
תארו לכם שאתם מקבלים שיחה או התראות על כך שהמערכות בארגון אינן פעילות והבעיה משפיעה באופן רוחבי על משאבים שונים בינהם מערכות קריטיות. מה היתה התגובה הראשונה? מה היתה החשיבה הראשונית, בעית אבטחה? האם הייתם מסוגלים לחשוב על הדברים המוכרים או שיש נוהל מסודר שכל אחד יודע את מקומות בתהליך? או שהייתן מוצפים במחשבות ורעיונות? את מי הייתם מעדכנים בשיחה הראשונה? באיזה מערכת ראשונה הייתם נעזרים לתחקר את הבעיה? מהם הזירות העיקריות? והאם כדאי לבודד אותם כבר? אלה הם רק חלק מינורי מתוך שלל שאלות בעת אירוע אבטחה.
רגע, השאלות הנ"ל הם רק שאלות בהיבט טכני בלבד. חשוב להדגיש כי תהליך IR אינו תהליך בהיבט טכני אלא גם היבטים אחרים של רגולציות, משפטית וכן הלאה. במצב כזה מה התגובה הראשונה שעולה באירוע? מה הייתם עושים אז? האם יש לך הכנה לתהליך כזה? אירוע אבטחה הוא אינו אירוע של אדם אחד או צוות אחד ומדובר על אירוע חוצה ארגון עם שיתופי פעולה במעגלים שונים.
אז ממה בנוי IR? לא מעט עקרונות, מרכיבים ונקודות חשובות, בין היתר הנקודות הבאות:
- תוכנית תגובה לאירועים המבוססת על תרחישים רבים ומגוונים
- צוות תגובה לאירוע שמצויד במומחיות, נהלים, כלים ותהליכים
- כלים לניהול אירוע ושיתוף פעולה, וכן שקיפות במהלך אירוע (לא כלי SIEM או EDR)
- כלי תגובה לאירועים המבוססים על טכנולוגיות ושיטות אוטומציה, למשל, XDR, או SIEM וכן MDR
- שיטות עבודה מומלצות לניהול תגובה לאירועים
- ניהול אירועים לאורך מחזור החיים של האירוע
- נהלי הפעלה ברורים ומקיפים במעגל צוותי, ארגוני וחוצה ארגון
- אסקלציות, תקשורת וסיוע אוטומטי
- מימוש פוסט מורטם וניטור KPIs
- תהליך התגובה לאירוע (IRP)
- תפקידו של צוות תגובה ומעגלים נוספים
- אחריות לתגובה לאירוע כולל מעורבות מורחבת
טיפ: IR מורכב ומתבסס על מספר דגשים מאוד חשובים: אנשים, ממשקים, תהליכים (בדגש פלייבוקים) וכלים
מרכיבים של IR
מרכיבים עיקריים של תוכנית וניהול מענה לאירוע מונה בין היתר את המרכיבים הבאים: תוכנית תגובה לאירועים, צוות האחראי על תגובת לאירוע וכלים המשמשים להקלה ואוטומציה של שלבי התהליך כולל פלייבוקים מסודרים לכל תרחיש.
תוכנית תגובה לאירועים
בתכנון ותגובה לאירועים חשוב מאוד לציין בפירוט כיצד צוות IR יבצע את שלבי התגובה באירוע, מהי זירה דיגיטלית, מי אחראי לכל חלק באירוע ומה אנו נדרשים לתעד. בין היתר אפשר למנות בתוכנית את הנקודות הבאות:
- תגובה לאיומים וסיכונים
- קביעת חומרת האירוע (חלק ספציפי של Triage)
- תפקידי מפתח וסיוע בפורנזיקה
- מיטיגציה של האיום בכדי למנוע נזק נוסף או נזק משני
- הסרת האיום על ידי מציאת patient zero
- התאוששות ושחזור מערכות ייצור
- ביצוע פוסט-מורטם למניעת התקפות עתידיות
צוות תגובה לאירוע
צוותי תגובה לאירועים כוללים בדרך כלל את התפקידים הבאים או כל חלק ממנו. כל תפקיד צריך להיות מעודכן בבירור על אחריותו במקרה של אירוע:
- מנהלי תגובה לאירוע (IR Manager)
- אנשי IR (פנימי או חיצוני)
- צוות אנליסטים (יכול להיות חלק מצוות SOC)
- צוותי IT ואבטחה נוספים
- חוקרי איומים (TVM / Security Research)
- מחלקה משפטית
- תקשורת ארגונית
- ניהול משאבי אנוש
- אנשי פורנזיקה
כלים בניהול אירוע
כלים ומערכות שהם חלק מתוך IR נחלקים לשניים: כלי לניהול IR וכלים בתגובה לאירוע עצמו. חשוב להפריד בין השניים כי כלים לניהול אירוע הם שונים בתכלית מאשר כלים בתגובה לאירוע עצמו ברמה הטכנית.
כלים לניהול אירוע הם כלים שמסייעים לפשט את ניהול האירוע, מאפשרים שקיפות ארגונית בכל שלב, תקשורת רציפה בין תפקידי מפתח ועוד – המטרה של כלים מהסוג הזה היא לאפשר ניהול מתמשך ורציף של האירוע במטרה למנוע דיסאינפורמציה, לאפשר לגורמים שאינם טכניים לקבל סטטוס מהיר באירוע, ולהזין את ניהול האירוע במידע כולל הנגשה של האירוע בהיבטים שונים (היבטים טכניים ואינם טכניים). כלי שמסייעים הם כלי Digital Operations, כלי תקשורת כמו Teams וכן הלאה.
טיפ: כלים אינם עוצרים מתקפות וסיכונים אלא הגורם האנושי ותהליך בנוסף מבוסס על מבוסס ממשקים – כלים הם נדבך חשוב אך לא עיקרי
בנוסך לכך ישנם כלים נוספים שהם כלי תגובה וכלי תחקור ובכדי להיות יעילים, אנו נצטרך לעבוד עם כלים טכנולוגיים בכדי לזהות ואף להגיב באופן אוטומטי לאירועי אבטחה. בין היתר, ניתן למנף את כלי האבטחה הבאים על ידי צוותי תגובה:
- תשתית SIEM – איסוף נתונים, חיבור מקורות מידע ורישום כלל הפעולות בארגון אל מערכת SIEM מרכזית, ולצד זה יצירת התראות בכדי ליידע את צוותי האבטחה על כל פעילות בין אם פעילות חריגה, ניסיון לגעת בגדר וכן הלאה. משם אפשר לבצע תחקור וחקירה נוספת. במקרים מתקדמים מבצעים אוטומציה מול מערכות נוספות וכן עובדים עם מערכת מבוססת MK במטרה לחזות בעיות.
- זיהוי ותגובה במכונות (כלי מבוסס EDR) – כלי EDR מסייעים באופן מהותי בגלל שהם נמצאים בכל מכונה אפשרית שמחוברת למחשוב הארגונית, ומכאן יכולת הזיהוי של איומים פשוטה יותר, מאפשרת חקירה בזמן אמת, ובין היתר מאפשרת אוטומציה וכן בידוד זירה האירוע.
- ישנם כלים נוספים שמסייעים וחשובים כמו מערכת Cloud Security Gateway לעננים ואפליקציות, בקרות מפצות מול Active Directory ונוספים.
מכאן הכלים מאפשרים לתחקר אירוע בצורה יעילה יותר על סמך הנקודות הבאות:
- ניהול, תחקור וחקירת האירוע לאיתור מקור הנזק, המניעים והאחראים
- בדיקת תקפות של דרישות אבטחה
- היצמדות לתהליך ובפרט פלייבוק לאורך כל האירוע
- תיעוד ראייתי (כלל הראיות) ובכל שלבי התהליך
- כתיבת דוח ממצאים והמלצות מסכם לאירוע
שיטות מומלצות לניהול תגובה
ישנם שיטות עבודה רבות, מגוונות מומלצות שיכולות לסייע ביצירת תוכנית ניהול ומענה לאירוע. לא משנה
ניהול מחזור החיים באירוע
על פי מסגרת ועקרונות NIST או CIS, מחזור חיי IR כולל מספר דומיינים: הכנה, הגנה וזיהוי, הכלה, תגובה והתאוששות. תוכנית יעילה לניהול תגובה לאירועים חייבת לתאם ולהפוך את התהליך כולו לאוטומטי – החל מגילוי ראשוני של אירוע וכלה בתקשורת, בקרת נזקים והפקת לקחים שנלמדו לאחר הפקת אירוע.
נהלים ברורים ומקיפים
ניהול תגובה לאירועים מסייע לצוותי האבטחה להישאר צמודים לנהלים ולנקוט בפעולה הדרושה בזמן שהארגון נמצא תחת מתקפה. יתרון חשוב בתהליך ניהול מענה לאירועים מאורגן הוא שהחל מהרגע הראשון ידוע מה צריך לבצע מהשלבים המוקדמים של האירוע. נהלי התגובה לאירועים מבהירים מי אחראי לתיאום כל המשאבים בצורה היעילה ביותר האפשרית כדי למתן את האיום. "כמו שאני קורא לזה, גם בצוות ניקיון יודעים מה תפקידם באירוע"
בנוסף לצוות הטכני, התוכנית צריכה לכלול ניהול סיכונים ברורים והליכי תקשורת. צריך להיות ברור מי יכול לדבר בשם הארגון ומה הם צריכים לתקשר. צריכים להיות נהלים של תקשור לעורכי דין, מנהל מו"מ, חברות ביטוח ובעלי עניין פנימיים או חיצוניים רלוונטיים אחרים.
Computer Security Incident Handling Guide (nist.gov)
אסקלציה ותקשורת
כאשר מתרחש אירוע אבטחה עלולה להיות השבתה שגורמת לנזק כלכלי וחמור מכך המוניטין של הארגון עלול להיפגע קשות. חשוב מאוד להנחות את בעלי התפקידים והצוותים השונים איך לתפקד באירוע כמו גם העובדים שצריכים לדעת כיצד לתקשר במצב כזה.
מערכות וכלי תקשורת אוטומטיים מאפשרים לצוותים להתמקד בפתרון בעיות בעדיפות גבוהה מבלי לבזבז זמן יקר במהלך המשבר. למשל, כלי כמו סלאק או טימס מסייע רבות באוטומציה עם בוטים למינהם שמסייעים באירוע.
דוגמה נופסת לאוטומציה הוא הסלמת אירועים – בהתאם לחומרת האירוע, ניתן להעביר אותו לשכבות גבוהות יותר בארגון האבטחה, ובמידת הצורך לצוותים אחרים, מחלקות אחרות וכן הנהלה הבכירה.
פוסט-מורטם וניטור KPIs
ניתוח ותיעוד או פוסט-מורטם, לאחר סיום אירוע, הם חלק חשוב בניהול יעיל של תגובת האירועים, והיא מאפשרת לעובדים להפוך אירוע לחוויית למידה כלל-ארגונית והפקת לקחים שיכולה למנוע את האירועים הבאים.
מעת לעת, צוות התגובה צריך לבצע ניתוח של פעילויות תגובה לאירוע ולתעד מדדים כמו מספר האירועים בחודש, זמן הזיהוי הממוצע (MTTD) וממוצע זמן לרזולוציה (MTTR) ושיעורי השבתה עבור מערכות מושפעות. מעקב אחר מדדים רלוונטיים אלה ואחרים לאורך זמן יכול להצביע על הצלחת תהליך התגובה לאירוע.
עקרונות נוספים
תהליך וצוות Incident Response (או בקצרה IR) הינו גישה מאורגנת לניהול נכון ויעיל שנעשה על ידי צוות אבטחה שהוכשר לכך ומטרותיו הם רבים, אך המטרה העיקרית היא להכיל את האירוע בצורה המהירה ביותר עם מינימום נזקים. אם נרחיב את המטרות של תהליך וצוות IR אז למעשה מדובר במספר נקודות חשובות, ואלה העיקריות שבהן (במידה וצוות IR הוא נפרד מתוך צוות SOC):
- הכלת אירוע בזמן מוגדרים מראש
- צמצום זמן האירוע למינימום האפשרי
- למזער נזקים וסיכונים במשאבי הארגון
- יצירת תהליך Incident Investigation
- הכנת נהלים, יצירת סימולציות והסקת מסקנות – מוכנות ליום פקודה
- מעקב וניטור אחר פעולות שונות באמצעות כלים שונים, בין היתר, מערכות SIEM או מערכות Offense למינהם ועוד
- לשתף פעולה עם צוותים שונים, החשוב בינהם הוא צוות SOC (לעיתים צוות IR נמצא או נולד ישירות בצוות SCO)
ניהול אירוע אבטחה וצמצום הנזק מסתמך על עקרונות נוספים, בין היתר:
תפיסה ניהולית של איתור פתרונות להשבת הארגון לשגרה, בין אם מלאה או חלקית, מנקודת מבט ניהולית ותפעולית.
סקיל בתחום האבטחה והגנת הסייבר שכולל ניסיון בטיפול אירוע מאפשר שילוב של ידע מעשי ותיאורטי בטיפול וניהול אירוע.
היכרות עם תשתיות ענן ומערכות מידע של כלל החברה וארגון, בין היתר היכרות עם ממשקים שונים למערכות שונות, משאבים קריטים וכן ספקים.
היכרות עם רגולציות וכן דרישות רגולטוריות ורגישויות משפטיות אשר יכולות לקצר משמעותית את זמן הטיפול באירוע וצמצום חשיפה לסיכונים בטווח הקצר והארוך.
טיפ: צוות, תהליך וניהול IR אינו היבט טכני בלבד, ולמרות שהחלק הטכני הינו חלק מהותי במקרים מסוימים הוא אינו החלק העיקרי
יסודות IR
צוות IR מתבסס על מספר יסודות שהם הבסיס הקיומי שלו להתנהלות והתמודדות עם אירועי אבטחה, והוא צריך להיערך לכך בכל יום.
שיתוף פעולה עם צוותי שונים שלמעשה מצריך חיבור צוות תגובה לאירוע אבטחה אל מול תפקידי מפתח אשר תודרכו להיות חלק מתגובה לאירוע. חלק בתהליך הוא לאפשר שקיפות ושיתוף פעולה לניתוח תמונת המצב וצמצום זמן ההשבתה והנזקים הנלווים. עמדות המפתח הרלוונטיות בדרך כלל יהיו: מנכ”ל, מנהל אבטחת מידע, מנהל צוות SOC, מנהל טכנולוגיות, משרד יחסי הציבור של החברה (במידה וקיים), מחלקת משפטית, אנשי כספים וכן הלאה.
רגולציה וחובת דיווח במקרה של מתקפה ודליפת מידע – בחינת הרגולציה לה כפופה החברה המותקפת והדרישות העולות מתוך רגולציה זו. חברה פרטית, חברה שכפופה לתקנות שונות (מקומיות או גלובאליות). מנהל IR צריך לעדכן את הגורמים הרלוונטים בדבר ממצאים באירוע שיכולים לגרום לנזק תדמיתי.
זיהוי, בידוד, הכלה, בלימה, נטרול, שימור ראייתי, וחזרה לשגרה הוא חלק מתהליך של הבנת מבנה הארגון, מערכות המידע, רגישות המידע, ומהות המתקפה, תוך יצירת ממשקים עם הגורמים הרלוונטיים בארגון וכן ספקים רלוונטיים שהם חלק מתוך האירוע וכן טיפול במתקפה. ביצוע חקירה מהירה, תוך תיעוד ואיסוף ראייתי של מקורות פרצת האבטחה, בידוד הזירות שנפגעו, בלימת המתקפה ובחינת אפשרויות החזרת הארגון לשגרת עבודה במהירות האפשרית.
סקיל ומומחיות
בכל תגובה למתקפת סייבר, אנו נדרשים להקפיד על תעדוף, אופן וסדר הפעולות לחברה בה מתרחש האירוע ולאופי התקיפה. צוותי תגובה לאירוע נתקלים לא פעם בטעויות קריטיות שביצעה החברה כבר בתחילת האירוע.
טעויות יכולות להיות החל בניהול מו”מ לקוי ולא מקצועי עם התוקף, אי הבנה של ראיות (הבדל בין נסיבתי לבין ראייה מכרעת), דריסת ראיות דיגיטליות שעשויות לסייע בהליכים משפטיים בעתיד, השבת המצב לקדמותו בטרם אותרה התקיפה, השבה לשגרה מנקודת מבט טכנולוגית, אי האפשרות בתהליך קבלת החלטות מסודר מול הגורמים השונים (הנהלה, יועצים חיצוניים וכו).
בנוסף, ישנה חשיבות קריטית לאיסוף ראיות באופן תקין במהלך האירוע, למשל האם ישנו מקרה של Supply Chain? במצב כזה, הבנה מלאה של תמונת האירוע יכולה לתת את האינדיקציות לתגובה, למשל, האם באירוע של Supply Chain עלולה להיות חשיפה של פטנט ארגוני או שייגרם נזק תדמיתי.
נקודות חשובות בניהול אירוע
- זיהוי ואבחון אירוע
- תגובה ראשונית מול הזירות הדיגיטליות שנפגעו
- ניתוח וזיהוי המערכות שנפגעו
- חקירת מקור התקיפה ומהותה
- הערכת היקפי האירוע ובחינת האפשרות כי דלף מידע
- בחינת הצורך בתיעוד ראייתי (נסיבתי או מכריע)
- ביצוע ניתוח לכלי התקיפה ומימוש הנדסה לאחור
- הכלת האירוע והזירות הרלווניות שנפגעו
- מיגור ובלימת המתקפה
- קביעת סדרי עדיפויות להתאוששות
- שיקום ופיקוח בתהליכים נדרשים וצמצום מקסימלי של נזקים
- תחקור האירוע והפקת לקחים לצמצום סיכונים עתידי
מספר שאלות ותשובות
מהו תהליך התגובה לאירוע (IRP)? תהליך תגובה לאירוע מכסה את כל מחזור החיים של תחקור וחקירת האירוע, כולל השלבים הבאים: הכנה, זיהוי, ניתוח, בלימה וניקוי
מהו תפקידו של צוות התגובה לאירועים? צוות תגובה לאירועים היא קבוצה קטנה ויעילה (מעין סיירת מובחרת) שיכולה לכלול צוות ייעודי במשרה מלאה, צוות במשרה חלקית וספקי צד שלישי. הצוות אחראי על פעילות פרואקטיביצ וריאקטיבית:
- סימולציות ותכנון תגובת אירוע יזום
- בדיקה ופתרון של פגיעויות במערכת
- שמירה על שיטות עבודה מומלצות לאבטחה חזקה
- טיפול באירועי אבטחה מזיהוי ועד סגירה והתאוששות
- ניתוח אירועים קודמים והפקת לקחים שנלמדו
- כתיבת פלייבוקים ויישומם בשטח
מי אחראי לתגובה לאירוע? כדי להתכונן ולהגיב כראוי לאירועים ברחבי העסק שלך, לארגון שלך חייב להיות צוות תגובה לאירועים, וכן צוות שהוא חלק מתוך זיהוי ותגובה מנוהל (MDR). במקרים מסוימים צוות IR הוא חלק מתוך צוות SOC – פחות יעיל.
בין אם בתוך הבית, בייעוץ חיצוני או בשילוב של שניהם, צוותי התגובה לאירועים כוללים אנליסטים, חוקרי איומים ומנהל תגובה לאירוע שבסופו של דבר אחראי לניהול כלל האירועים. לצד זה, כלל הגורמים עובדים בשיתוף פעולה הדוק עם צוותים אחרים, מחלקות אחרות, לרבות תקשורת, משפט ומשאבי אנוש. ישנם מעגלי שיתוף פעולה שונים.
פלייבוקים, מטריקות ותוכן רלוונטי לבנייה
1 Response
[…] IR תגובה וכאלה […]