דברו איתנו

ניהול אירוע סייבר בציר זמן

 

PLAYBOOK: ניהול אירוע סייבר בציר זמן מפורט

 

שלב 1: הכנה לפני האירוע

מיפוי נכסים והגדרת איומי ייחוס

  • פעולות: מיפוי של כל הנכסים המקושרים לרשת, הגדרת איומים פוטנציאליים וייחוסם לנכסים רלוונטיים.
  • אחראים: צוות אבטחת מידע, מנהלי IT ו – OT.
  • כלים: תוכנות ניהול נכסים כמו Nessus או Qualys \ BMC כלי ניתוח סיכונים.
  • דוגמה: ביצוע סריקת רשת עם Nessus \ Pentera לזיהוי נכסים וחריגות אבטחה.

 

ניהול סיכונים ומפת חום

  • פעולות: ניתוח וניהול סיכונים על פי חשיפות והסתברויות, יצירת מפת חום של איומים וסיכונים.
  • אחראים: צוות אבטחת מידע, צוותי ניהול סיכונים.
  • כלים: כלי ניהול סיכונים כמו RiskLens כלי יצירת מפת חום (אפשר גם באקסל..).
  • דוגמה: יצירת מפת חום סייברית לזיהוי נקודות חולשה והתמקדות באיומים פוטנציאליים.

 

מיטיגציות ובדיקת חדירות

  • פעולות: תכנון ויישום מיטיגציות לסיכונים ואיומים, בדיקת חדירות לזיהוי נקודות חולשה.
  • אחראים: צוות אבטחת מידע, צוותי ניהול סיכונים.
  • כלים: כלי אוטומציה לניהול מיטיגציות, כלי בדיקת חדירות כמו Metasploit.
  • דוגמה: הטמעת פתרונות אבטחה כמו Cyber2.0, WAF, חומת אש, ניהול הרשאות, IPS \ IDS, Honeypot הגדרת הרשאות משתמש, סיגמנטצייה, נהלים, בדיקת חדירות עם  Metasploit \ Pentera.

 

סקרי אבטחת מידע

  • פעולות: ניתוח והערכת סקרי אבטחת מידע לזיהוי נקודות חולשה ופתרונם.
  • אחראים: צוות אבטחת מידע (העברת משימות גם לצוות סיסטם וצוות פיתוח בהתאם).
  • כלים: כלי בדיקת אבטחת מידע כמו Nessus, OpenVAS, Burp Suite, ולא פחות חשוב סביבת הבדיקות F12 ב Chrome.
  • דוגמה: בדיקת חולשות ברמת התשתיות, בדיקת אבטחת מידע באפליקציות, הנדסה חברתית, פישינג ועוד..

 

שלב 2: הכנה לפני האירוע

ניתוח סיכונים והכנת תשתית

  • פעולות: זיהוי איומים פוטנציאליים, ביצוע ניתוח סיכונים, התקנת מערכות הגנה, הגדרת נהלי עבודה.
  • אחראים: צוות אבטחת מידע (InfoSec), מנהלי IT ו – OT.
  • כלים: מערכות ניהול סיכונים, מערכות ניטור ובקרה, מערכות גיבוי.
  • דוגמה: התקנת  Firewalls, IDS/IPS, מערכות SIEM כמו Splunk או  QRadar.

 

תכנון ותיעוד תהליכים

  • פעולות: תיעוד תהליכים קריטיים, הכנת תוכניות BCP ו – DRP, הכנת מסמכי מדיניות.
  • אחראים: צוות אבטחת מידע, מנהלי תהליכים עסקיים.
  • כלים: מערכות ניהול מסמכים כמו Confluence, SharePoint.
  • דוגמה: תיעוד נהלים ב – Confluence, הכנת תרחישי תגובה וסימולציות.

 

הדרכות ותרגולים

  • פעולות: הדרכות לעובדים, תרגולי תגובה לאירועים.
  • אחראים: צוות אבטחת מידע, מנהלי הדרכה.
  • כלים: מערכות הדרכה כמו KnowBe4, תרגולי שולחן (Tabletop Exercises).
  • דוגמה: סדנאות מודעות לאבטחת סייבר, תרגול סימולציות אירועים.

 

 

שלב 3: זיהוי האירוע

זיהוי ראשוני ודיווח

  • פעולות: זיהוי אירוע סייבר ודיווח לצוות הרלוונטי.
  • אחראים: כל עובד בארגון.
  • כלים: מערכות ניהול אירועים כמו ServiceNow, מערכת SIEM.
  • דוגמה: עובד מזהה פעילות חשודה ודווח לצוות אבטחת מידע דרך מערכת ServiceNow.

 

שלב 4: הערכת המצב

הערכת חומרת האירוע והשפעתו

  • פעולות: הערכת היקף האירוע, זיהוי מערכות פגועות והערכת השפעתן.
  • אחראים: צוות תגובה לאירועים (IRT), צוותי IT ו – OT.
  • כלים: כלי ניתוח לוגים, מערכות ניטור.
  • דוגמה: שימוש ב – Splunk לניתוח לוגים והערכת היקף האירוע.

 

שלב 5: הכלת האירוע

יישום פעולות הכלה ראשוניות

  • פעולות: בידוד מערכות פגועות, חסימת גישה, עדכון תוכנות הגנה.
  • אחראים: צוות תגובה לאירועים, צוותי IT ו – OT.
  • כלים: מערכות ניהול גישה, מערכות הגנה.
  • דוגמה: בידוד שרתים פגועים מהרשת הראשית, חסימת גישה למשתמשים לא מורשים.

 

שלב 6: מיטיגציה

יישום פעולות תיקון ושחזור

  • פעולות: הסרת קוד זדוני, תיקון פגיעויות, שחזור מערכות מגיבויים.
  • אחראים: צוות תגובה לאירועים, צוותי IT ו – OT.
  • כלים: תוכנות אנטי – וירוס, מערכות גיבוי.
  • דוגמה: שימוש ב – Veeam לשחזור נתונים, הסרת קוד זדוני באמצעות Symantec Endpoint Protection.

 

שלב 7: מעורבות צוותים נוספים

מעורבות צוותים מיוחדים ואסקלציה

  • פעולות: זיהוי צורך במעורבות צוותים חיצוניים, ביצוע אסקלציה להנהלה בכירה.
  • אחראים: צוות תגובה לאירועים, הנהלה בכירה.
  • כלים: מערכות דיווח וניהול אירועים.
  • דוגמה: מעורבות צוות משפטי במקרה של דליפת מידע, אסקלציה ל – CISO.

 

שלב 8: סיום האירוע

הכרזת סיום האירוע והחזרת מערכות לפעולה

  • פעולות: בדיקת שלמות המערכות, אישור סיום האירוע, החזרת מערכות לפעולה.
  • אחראים: צוות תגובה לאירועים, הנהלה בכירה.
  • כלים: מערכות ניטור ובקרה.
  • דוגמה: הכרזת סיום האירוע לאחר אישור שכל המערכות נקיות ותקינות, החזרת מערכות IT ו – OT לפעולה.

 

שלב 9: הפקת לקחים

ניתוח האירוע והפקת לקחים

  • פעולות: תחקור האירוע, כתיבת דוח סיכום, זיהוי נקודות לשיפור.
  • אחראים: צוות תגובה לאירועים, הנהלה בכירה.
  • כלים: מערכות ניהול ידע.
  • דוגמה: כתיבת דוח סיכום ב – Confluence, זיהוי נהלים חדשים לשיפור תגובה עתידית.

 

סיכום

PLAYBOOK מפורט זה מתאר את שלבי ניהול אירוע סייבר בציר זמן מפורט, החל מהכנה לפני האירוע ועד להפקת לקחים לאחריו.

כל שלב כולל פעולות מפורטות, אחראים, כלים ודוגמאות, על מנת להבטיח התמודדות יעילה עם כל תרחיש אפשרי, תוך התחשבות בסביבת ה – IT וה – OT ובסיכוני סייבר שונים.

 

 

——

נכתב על ידי: רז זדה, תום מלכה ואושר עשור.
ILCD – Israel Cyber Defense
אתר להגנת סייבר אזרחי