מודל וצוות Incident Response

ניהול ותגובה לאירוע (Incident Response) הוא תהליך שמוגדר מראש ותהליך מובנה המשמש את הצוותים השונים בארגון לאתר ולהגיב לאירועי אבטחה וסייבר. התהליך ברובו או חלקו מתבסס על NIST, שהוא המכון הלאומי לתקנים וטכנולוגיה וסוכנות המופעלת על ידי משרד המסחר של ארה”ב, הקובעת סטנדרטים והמלצות לתחומי טכנולוגיה רבים, בניהם לאבטחת מידע והגנת הסייבר.

במאמר הנוכחי נעבור על הנחיות של NIST המיועדות לתגובה וניהול אירוע ונבין מספר עקרונות, וכן מהם שלושת המודלים לניהול תגובה באירועי אבטחת מידע וסייבר. בנוסף לכך, נבין את הלייף סייקל של ניהול תגובה לאירוע, ונבין כיצד תגובה לאירוע היא פעילות מחזורית, שבה יש למידה והתקדמות מתמשכת שמאפשרת לגלות כיצד לשפר את ניהול התגובה וניהול האירוע ולהגן בצורה טובה יותר על הארגון.

מהו Incident Response

תגובה לאירוע היא תהליך מובנה שארגונים משתמשים בו כדי לזהות ולהתמודד עם אירועי אבטחה. התגובה כוללת מספר שלבים, כולל הכנה לאירועים, זיהוי בעיות או זיהוי תוקף, איתור וניתוח של אירוע, הכלה ובלימה, מיגור והתאוששות מלאה ולבסוף ניתוח ולמידה לאחר תקרית.

טיפ: השלב האחרון של למידה הוא חשוב מאוד כי הוא מחזיר אותנו עם לקחים וממצאים אל השלב הראשון בלייף סייקל – שלב ההכנה.

תחקור ותגובה לאירוע היא מערכת של מדיניות, נהלים ותהליך שבהם משתמשים מול אירועי אבטחת מידע, מטרתה, להכין את כלל השלבים בתהליך ולפרוט כל שלב בתהליך החל מהכנה, דרך זיהוי ועד הפקת לקחים. היעד המרכזי הוא לאפשר לארגון לזהות ולעצור התקפות במהירות, למזער נזקים ולמנוע התקפות עתידיות מאותו סוג.

בתיאוריה, לארגונים, לכל הפחות, צריכה להיות תוכנית ברורה לניהול אירוע ותגובה. תוכנית זו צריכה להגדיר מהו אירוע אבטחה עבור הארגון ולספק תהליך ברור ומנחה שאחריו אמור להתרחש אירוע. בנוסף, מומלץ לפרט את האנשים בתהליך, החל מגורם טכני ועד אנשי מפתח שאחראים הן על ניהול תהליך הכולל של תגובה לאירוע והן על מי שמטרתם לבצע כל פעולה המפורטת בתוכנית התגובה לאירוע.

תהליכים כלליים בניהול תגובה נחלקים לשלבים הבאים (מתוארים באופן כללי)

הכנה – הכנת הצוותים השונים, הכנת כלים וטכנולוגיות והכנת נהלים לטיפול באירועים פוטנציאליים. בדגש על אימון, סימולציה ותרגול.

זיהוי – זיהוי אירוע שעומד בתנאים ונחשב לאירוע אבטחה שמצריך הפעלה של הגורמים בארגון.

בלימה – הכלת האירוע על ידי בידוד מערכות שנפגעו למניעת נזקים.

מיגור – איתור סיבת האירוע וביטול האיומים ממערכות מושפעות.

שחזור – שחזור מערכות מושפעות וכן ווידוא שאין עוד איומים וסיכונים.

לקחים וממצאים – ניתוח האירוע, עדכון תכנית התגובה והשלמת תיעוד האירוע.

כאמור, תוכנית IR צריכה כוללת מספר רב של תהליכים, שלבים, אנשים וכלים, ובין היתר צריכה לכלול את הנקודות הבאות:

• סקירת התוכנית
• תפקידים, אנשי מפתח ואחריות
• רשימת אירועים הדורשים תגובה
• סקירה כללית של ארכיקטורת רשת בדגש על Secutiy Posture
• נהלים לגילוי, תחקור והכלת אירועים
• נהלים ופעולות למיגור אירוע
• תוכנית להתאוששות מאסון
• פרוטוקול להודעות על הפרה
• רשימת שיחות מעודכנת
• משימות מעקב

ביומיום, צוות תגובה אינו מחכה שיהיה אירוע אבטחה ותפקידו הוא להכין מדיניות ותוכנית, לעבות את התוכנית לאינספור תרחישים בדגש על פלייבוקים, לבצע סימלציות, וחשוב מכך להיות פרואקטיביים, לדוגמה, ליצור פעילות של איתור תוקף ברשת.

NIST בקצרה

המכון הלאומי לתקנים וטכנולוגיה הוא סוכנות המופעלת על ידי משרד המסחר של ארה”ב, והיא מספקת תקנים והמלצות למגזרים טכנולוגיים ונושאים טכניים מגוונים, בינהם אבטחה.

בתוך NIST, ישנה מעבדת טכנולוגיות מידע (ITL) אשר אחראית על פיתוח תקנים ושיטות מדידה עבור IT, כולל אבטחת מידע.

ITL פיתחה מודל רב השפעה לניהול תגובה באירוע אבטחה, סריה של תכנים המאפשרים לטפל באירועי אבטחה (בדגש על 800-61). חלקים מסוימים מתוך התוכן של NIST מוזכרים במאמר הנוכחי שמכיל יסודות והמלצות של תגובה לאירוע וכיצד ניתן למנף אותן עבור הארגון שלך.

המדריכים של טיפול באירועי אבטחה של NIST מספקים הנחיות כלליות ומעמיקות כיצד לבנות יכולת תגובה לאירועים בתוך ארגון, וכן, מכסה מספר מודלים לצוותי תגובה לאירועים, כיצד לבחור את המודל הטוב ביותר ושיטות עבודה מומלצות להפעלת הצוות.

בניית מדיניות ותהליך IR על גבי NIST הוא נפוץ מכיוון שהמדיניות על גבי NIST מכילה המלצות והנחיות מפורטות שמתאימות לתרחישים שונים כולל תרחישי קצה.

מידע נוסף לגבי מרכיבים יסודות והנחיות במאמר המצורף

IR תגובה וכאלה

מודל צוות

אחד החלקים החשובים בתהליך של ניהול תגובה הוא הצוות המוביל בניהול ותגובה לאירוע, הלא הוא צוות IR. כיום, NIST מציעה שלושה סוגים או מודלים לצוותי תגובה לאירועים:

IR מרכזי (Central IR) שמרכז את המדיניות והתוכנית עם כלל הנהלים, שלבים, תהליכים וטכנולוגיות והוא זה שמגיב ומטפל באירוע. הגוף שמוביל ומנחה את האירוע מתחילתו ועד סופו כולל אינטגרציה מול גופים שאינם טכנולוגיים.

IR מבוזר (Distributed IR) שנחלק למספר גופים וצוותי תגובה שונים כאשר כל אחד עצמאי ועובד בפני עצמו וכן מגיב לאירוע מתחילתו ועד סופו. לרוב, מיועד לארגוני ענק עם סניפים מרובים, חברות בנות, אזורי זמן שונים וכן הלאה. במודל D-IR הצוותי תגובה השונים מקבלים סמכות מהגוף IR הראשי.

IR מתואם (Coordinated IR) שמכיל צוות מרכזי לתגובה שעובד במקביל ויחד עם צוותי תגובה מבוזרים בארגון, וזאת, מבלי שיהיה להם סמכות עליהם, כלומר כל צוות IR באזור זמן הוא בפני עצמו. הצוות המרכזי משמש כמרכז ידע ומציע סיוע באירועים בלבד.

על סמך המודלים השונים, צוות IR מרכזי הוא צוות שנותן דוגמה לצוותים IR נוספים בארגון בכל מודל שהוא ובמידת הצורך מסייע באירועי אבטחה.

המלצה: האבולוציה של צוות IR מתחילה עם המודל של IR מרכזי ומשם היא יכולה להתרחב למודלים הנוספים של D-IR או C-IR, ועל סמך מורכבות וגודל הארגון. 

מודל תגובה

ישנם מספר  שיקולים לבחירת מודל תגובה לאירוע:

האם תגובה לאירוע צריך להיות 24/7? האם צוותי תגובה צריכים להיות באתר או שמספיק חיבור מרחוק? זמינות בזמן אמת ונוכחות באתר היא הטובה ביותר מכיוון שהיא מאפשרת תגובה מיידית לאירוע, מה שעלול למנוע נזקים ויוצר תקשורת טובה יותר עם כלל הגורמים. יחד עם זאת ישנם ארגונים שצריכים תגובה מהירה לאירוע ובאופן מיידי, ולכן תגובה מרחוק היא אפשרות מסוימת אך חלקית בתגובה לאירוע.

צוות תגובה צריך להיות במשרה חלקית או במשרה מלאה? האם ניתן להשתמש באנשי תגובה שהם במשרה חלקית בכדי להקים צוות תגובה לאירוע? והאם כאשר מתרחש אירוע, צוות תמיכת IT יכול להיות נקודת המגע הראשונה, האם הוא יכול לבצע חקירה ראשונית, להתקשר במהירות לאנשי צוות התגובה לאירוע, ומי שזמין יכול להגיב לאירוע.

האם הצוות צריך להיות עם סקילים חזקים? לאיזו רמת מומחיות נדרש צוות תגובה? כידוע, תגובה לאירוע דורשת ניסיון וידע רחב במערכות IT, מערכות ענן, סביבות היברידיות, פרוטוקולי תקשורת, טכניקות תקיפה, וידע בכלי תחקור, סביבת הארגון, המערכות והנהלים של הארגון. במקרים מסוימים יש לצוותים חיצוניים מומחיות חזקה יותר, אך לעובדים יש הבנה טובה יותר של הסביבה הארגונית.

כמה יעלה צוות תגובת האירוע? מכיוון שצוותי תגובה הם אנשים בעלי מומחיות, ולעתים קרובות הם נדרשים להיות באתר 24/7, הם יכולים לייצג השקעה גדולה. ספקי אבטחה מנוהלים (MSSP) יכולים גם כן להיות יקרים, ויש עלות נוספת של מערכות וכלי אבטחה ושיטות תקשורת מאובטחות.

איך לארגן צוות תגובה

ישנם מספר קווים מנחים לארגון ותפעול של צוות תגובה לאירוע, ולמרות העקרונות והרכיביים לכל ארגון ישנה דרישה שונה והתאמה שונה. הקווים המנחים הבאים הם חלק מאותן עקרונות שמתאימים לכל ארגון ובכל מודל.

הקמת יכולת תגובה רשמית לאירוע – גם אם הארגון קטן, חשוב להתייחס ברצינות רבה לאירוע, ולכן כדאי מאוד להקים גוף רשמי לניהול תגובה ואירוע. במידה ומדובר בצוות תגובה מנוהל לאירועים עם צוות במשרה חלקית, כדאי להגדיר מדיניות ולתת סמכות ואחריות שכן הם יכולים לשפר באופן דרמטי את יכולת התגובה לאירוע.

יצירת מדיניות תגובה לאירוע – היא לב התוכנית ובמסגרתה אנו צריכים לפרט את התוכנית, שלבים בתוכנית, נהלים במסגרת הארגונית לתגובה לאירוע. המדיניות יחד עם תוות התגובה מפרטת מה נחשב לאירוע, מי אחראי להגיב ובאיזה פרק זמן, ממשקי ותקשורת, תפקידים ואחריות, תיעוד ודרישות דיווח. פלייבוק הוא החלק הארי בתוכנית.

הגדר תוכנית תגובה לאירוע – על פי מתודולוגיית NIST, תוכנית תגובה לאירוע אינה רק רשימה של שלבים שיש לבצע בעת אירוע. היא למעשה מפת דרכים לתוכנית התגובה לאירוע של הארגון, הכוללת יעדים לטווח קצר וארוך, מדדים להצלחה, הכשרה ודרישות תפקיד לתפקידי תגובה לאירוע.

פיתוח נהלי תגובה לאירוע – אלה הם השלבים המפורטים שצוותי תגובה לאירוע ישתמשו בהם כדי להגיב לאירוע. הן צריכות להתבסס על מדיניות ותוכנית התגובה לאירוע ולתת מענה לכל השלבים של מחזור חיי תגובת האירוע: הכנה, איתור וניתוח, הכלה, מיגור והתאוששות ופעילות לאחר האירוע.

מערכות, כלים וסקילים וסימולציות – קשה באימונים, קל בקרב. משפט נדוש, אך במקרה של צוות IR היא אחת ההנחיות שצריכים לשים עליה דגש. בניהול תגובה לאירוע ישנה התעסקות רבה עם אנשים, כלים ותהליכים, ולכן אנו חייבים לדעת את כלל התהליכים והכלים לרוחב ולעומק ולסמלץ את האירוע בנקודות שונות, החל מהמעגל הראשון של אנשים טכנולוגיים ועד למעגלים הנוספים של אנשים שאינם טכנולוגיים.

תקשורת וחובת דיווח

תקשורת וחובת הדיווח היא גורם מכריע באירוע, וכל גורם שהוא, מתחקר או אנשי מפתח מביאים עמם יתרון וממצאים רבים באירוע, ובכדי להגיע למציאת patinet zero והתנהלות נכונה באירוע אנו חייבים לשתף את המידע שנאסף ע”י כל מתחקר.

במצב כזה ממשקי התקשורת חייבים להיות משומנים היטב בכדי שכל גורם יידע להעלות את המידע הנדרש, לתקשר עם גורמים נוספים ולשקף את הסטטוס -במיוחד מול מי שמנהל את האירוע ומול מנהל/מוביל IRT.

כלי תקשורת כמו Microsoft Teams או Slack מאפשרים תקשורת רציפה בין כלל הגורמים, כולל האפשרות לשלב BOT שיכול לתת אוטמציה, ולמשל,  ליידע כל גורם מהו השלב הבא ולענות על שאלות בתהליך. לצד זה ישנם כלים כמו PagerDuty ואחרים אשר יכולים לסייע בניהול האירוע מתחילתו ועד סופו ולשקף את האירוע לכלל הגורמים המעורבים.

דוגמה כללית לניהול אירוע ותקשורת דרך Slack

יש ללחוץ כדי לגשת אל slack-incident-management-guide-2020.pdf

קצת מהשטח, בעבר הייתי מעורב בתחקור אירועים שבהם כל גורם היה בפני עצמו, כל גורם ביצע עבודה מעולה, אך ללא תקשורת ודיווח בזמן אמת, מה שהביא לניהול ותגובה איטיים. לכן, ניהול האירוע ע”י גורם ספציפי, תקשורת וחובת דיווח הם גורם מכריע!!!

כיצד לבנות צוות IRT מנצח

אירועי אבטחה מתרחשים בפרקי זמן שונים בכל ארגון ללא יוצא מכן הכלל (חושבים אחרת??? אולי יש תוקף ברשת ולא יודעים על כך…), ולכן אנו צריכים להגיב. השאלה הגדולה, האם התגובה תהיה מהירה והאירוע ייעצר בתחילתו, או שנגיב לאט והאירוע יתרחב למימדים שקשה לעצור? בסופו של דבר מי שמנהל אירוע, עובד על הכלים ומדווח הם אנשים (בסדר חשיבות התוכנית, חשוב יותר מאשר כלים, טכנולוגיות ונהלים).

את מי לקחת לקרב ולנצח איתו זה משהו חשוב ובפני עצמו, אבל מהם התפקידים המרכזיים של צוות תגובה? אלה תפקידי הליבה של צוות IR עם האחריות הבסיסית שלהם. עם זאת, שום דבר לא חרוט באבן, כך שהאחריות בפועל משתנה מארגון אחד למשנהו.

IRT Leader שמרכז את כלל הפעילויות של צוות התגובה לאירוע (האבא והאמא של המדיניות והתוכנית).

גורם תקשורת שמאפשר ניהול תקשורת תקשור ברחבי הארגון ועם גישה לגורמים צד שלישי לצורל תקשור חיצוני. מצריך הכשרה ותמיכה ביחסי ציבור.

גורם מתחקר מוביל שתפקידו לאסוף ולנתח ראיות טכניות, לקבוע את סיבת האירוע, לשתף גורמים נוספים בתחקור האירוע ולאחר מכן לשתף את הגורמים שמתמקדים בשחזור מערכות.

גורם אנליסטי ותחקור נוספים אשר תומכים בגורם המתחקר שמספק את המידע והקשר לאירוע. במקרים רבים, ישנו צורך באנליסטים לזיהוי וביצוע פורנזיקה כולל תחקור עומק במערכות שנפגעו.

ייצוג משפטי הוא תפקיד חיוני שמצריך מעורבות של HR והנחיה משפטית בכדי שיוכל לטפל במקרים שונים וכן תקשור חיצוני.

צוות IR עשוי להיות מורכב מצוות פנימי או צוות חיצוני ואולי אף צוות מעורב. צוות חיצוני עשוי, למשל, עשוי לספק מומחים  חזקים העוסקים בפורנזיקה במערכות מסוימות כאשר צריך העמקה בתחקור או לחלופין, סיוע בתקשור ציבורי.

בארגונים בינוניים ומעלה צוות IRT חייב להתפרס (לעיתים גיאוגרפית) בכדי להבטיח את הכיסוי האזורי הטוב ביותר לאורך הזמן, וזאת בכדי לאפשר זמינות ועמידה על המשמר בכל רגע נתון. לצד זה, יתירות היא חובה, עם אנשי IR ייעודיים כאשר צוות IR ראשי אינו זמין.

עם היעדר אנשי מקצוע מנוסים שימלאו תפקידים בצוות IR, האוטומציה עומדת בראש רשימת המשימות של תהליכי אבטחה,  למשל, הדיסציפלינה של DevSecOps שמתקדמת בזירת הענן. לאוטומציה תפקיד מכריע לאפשר לצוותים אלה להמשיך ולספק עבודה איכותית מאובטחת, מבלי להתפשר על האיכות.

תגובה לאירוע אוטומטי מיושמים באמצעות פלייבוקים שהם ליבת התהליך ומאפשרות זרימות עבודה נטולות קוד שמבצעות רבות מהמשימות החוזרות על עצמן באופן אוטומטי לאחר שהתחילו.

לתרחישי תגובה רבים אין תחליף לגורם האנושי ובפרט כזה שהוא מנוסה, מכיוון שלא הכל יכול להיות אוטומטי במלואו. תגובה לאירוע יכולה להשתנות מאירוע אחד למשנהו, ולעתים קרובות אנו צריכים לקבל החלטות עם נתונים ומידע מוגבל מאוד.

מאמרים נוספים

שביל הפירורים… Windows Forensics

תחקור USB ומציאת ראיות (Windows Forensics)

Azure AD Incident Response Life Cycle and Process