Beginners
Advanced
הודעהמבואות סייבר למתחילים CSPPבקר SOCמיישמי הגנת סייבר CSPבודקי חדירות-האקינג CSPTארכיטקט הגנת סייבר CSTPמתודולוג הגנת סייבר CSMPמנהל הגנת סייבר CISOקורס ארגוני תפורקורס למדינה זרהרק הודעה
מרכז פעולת אבטחה (SOC) הוא פונקציה ריכוזית בארגון המעסיק אנשים, תהליכים וטכנולוגיה כדי לפקח ולשפר באופן רציף את רמת האבטחה של הארגון תוך ביצוע פעולות מניעה, איתור, ניתוח ותגובה לאירועי אבטחת רשת.
מרכז SOC הוא מתקן (חדר / אולם / סדרת חדרים) בו מערכות מידע ארגוניות (אתרי אינטרנט, יישומים, מסדי נתונים, מרכזי נתונים ושרתים, רשתות, שולחנות עבודה ונקודות קצה אחרות) מנוטרות, נבדקות ומגנות.
SOC פועל כמו מרכז שליטה ובקרה, נוטל טלמטריה מכל תשתיות ה- IT של הארגון, כולל רשתות, מכשירים, ואמצעים אחרים, בכל מקום בו נכסים אלה נמצאים. התהליך של איסוף הקשר ממקורות שונים, מסייע מאוד בהגנה בעידן של ריבוי האיומים המתקדמים. בעיקרו של דבר, כל אירוע שנרשם בארגון נרשם ומבוקר ב- SOC. בכל אחד מהאירועים הללו, על ה- SOC להחליט כיצד ינוהלו ויפעלו עליהם.
ה- SOC קשור לאנשים, תהליכים וטכנולוגיות המספקים תמונת מצב ראויה באמצעות ניטור, איתור, הכלה ותיקון של איומי IT. ה- SOC עוקב גם אחר יישומים לזיהוי התקפת סייבר אפשרית או חדירה (אירוע), וקובע אם מדובר באיום (אירוע) זדוני אמיתי, ואם האיום יכול להשפיע על הארגון.
הקמה והפעלה של SOC היא יקרה וקשה, ועשויה לכלול עמידה בכללי התעשייה כגון PCI DSS, ועמידה בכללי הממשלה, כגון חוק הגנת הפרטיות, חוק המחשבים ורגולציות מגזריות שונות.
טכנולוגיה
SOC בדרך כלל מבוססים על מערכת אבטחת מידע וניהול אירועים (SIEM) צוברת ומתאמת נתונים המוזנים אליה ממערכות אבטחה כגון מערכות גילוי רשת ומערכות פגיעות; מערכות ממשל, סיכון ותאימות (GRC); מערכות הערכה ופיקוח על אתרים, סורקי יישומים ומסדי נתונים; כלי בדיקת חדירה; מערכות גילוי חדירות (IDS); מערכת מניעת חדירות (IPS); מערכות ניהול יומנים; ניתוח התנהגות רשת ומודיעין איומי סייבר; מערכת מניעת חדירה אלחוטית; חומות אש, אנטי-וירוס ארגוני וניהול איומים מאוחד (UTM). טכנולוגיית SIEM יוצרת "חלונית זכוכית אחת" עבור בקרי האבטחה כדי לפקח על הארגון.
אנשים
בדרך כלל מנוהל ה- SOC על ידי מנהל SOC, והוא עשוי לכלול "מגיבים" הנקראים בעברית בקרי SOC (אנליסטים של SOC) בעלי דרגות יכולת (דרגות 1, 2 ו -3, ובאנגלית: tier 1, 2, 3), ציידי איומים (threat hunters) ומנהל תגובת אירועים (incident response manager(s)). ה- SOC מדווח ל- CISO, אשר בתורו מדווח לסמנכ"ל או ישירות למנכ"ל.
צוות SOC כולל בקרי SOC (אנליסטים), מהנדסי אבטחה ומנהלי SOC שצריכים להיות אנשי מקצוע בתחום ה- IT והרשתות. הם בדרך כלל מיומנים בהנדסת מחשבים, קריפטוגרפיה, הנדסת רשת או מדעי מחשב ויכולים להיות בעלי תעודות כגון CISSP או GIAC.
תוכניות האיוש של SOC נעות בין שמונה שעות ביום, חמישה ימים בשבוע (5×8) ועד עשרים וארבע שעות ביום, שבעה ימים בשבוע (24×7). משמרות צריכות לכלול לפחות שני אנליסטים ויש להגדיר את האחריות באופן ברור.
ארגון
ארגונים גדולים עשויים להפעיל יותר מ- SOC אחד לניהול קבוצות שונות של טכנולוגיות מידע ותקשורת, ולעיתים – כדי לספק יתירות במקרה בו אתר אחד אינו זמין. ניתן למקם מיקור-חוץ לעבודה של SOC למשל באמצעות שירות אבטחה מנוהל. המונח SOC שימש באופן מסורתי ממשלות וספקי אבטחת מחשבים מנוהלים, אם כי למספר הולך וגדל של חברות גדולות וארגונים אחרים יש גם מרכזים כאלה.
ה- SOC ומרכז פעולות הרשת (NOC) משלימים זה את זה ועובדים במקביל. ה- NOC אחראי בדרך כלל לניטור ותחזוקה של תשתית הרשת הכוללת, ותפקידו העיקרי הוא להבטיח שירות רשת ללא הפרעה. ה- SOC אחראי על הגנה על רשתות, כמו גם אתרי אינטרנט, יישומים, בסיסי נתונים, שרתים ומרכזי נתונים וטכנולוגיות אחרות. באופן דומה, ה- SOC ומרכז פעולות הביטחון הגופני מתואמים ועובדים יחד. ה- SOC הפיזי הוא מתקן בארגונים גדולים שבהם עובדי הביטחון עוקבים אחר בקרה / מאבטחים, אזעקות, טלוויזיה במעגל סגור, גישה פיזית, תאורה, חסמי רכב וכו '.
לא לכל SOC יש את אותו תפקיד. ישנם שלושה אזורי מיקוד שונים שבהם SOC עשוי להיות פעיל, ואשר ניתן לשלב אותם בכל שילוב:
במקרים מסוימים ה- SOC, NOC או ה- SOC של אבטחה פיזית עשויים לפעול יחד באותו מתקן, או בשילוב ארגוני, במיוחד אם המיקוד הוא במשימות תפעוליות. אם ה- SOC מקורו בארגון CERT, בדרך כלל ההתמקדות היא יותר במעקב ובקרה, ובמקרה זה ה- SOC פועל באופן עצמאי מ- NOC בכדי לשמור על הפרדת תפקידים. בדרך כלל, ארגונים גדולים יותר מקיימים SOC נפרד כדי להבטיח מיקוד ומומחיות. לאחר מכן משתף ה- SOC בשיתוף פעולה הדוק עם פעולות רשת ופעולות אבטחה פיזיות.
מתקנים
SOCs בדרך כלל מוגנים היטב עם אבטחה פיזית, אלקטרונית, מחשב ואנשי אדם. מרכזים מוצבים לרוב עם שולחנות עבודה הפונים לקיר וידיאו, המציג סטטוס אירועים והתראות; אירועים מתמשכים; הצוות מצויד גם במכשיר טלוויזיה לצורך מעקב אחר חדשות או מזג אוויר, כדי שהצוות יהיה מודע לאירועים אקטואליים שעלולים להשפיע על מערכות מידע. למהנדס אבטחה או מנתח אבטחה עשויים להיות כמה מסכי מחשב בשולחן העבודה.
תהליך ונהלים
תהליכים ונהלים בתוך SOC יתוארו בבירור תפקידים ואחריות וכן נהלי פיקוח. תהליכים אלה כוללים תהליכים עסקיים, טכנולוגיים, תפעוליים ואנליטיים. הם מציגים אילו צעדים יש לנקוט במקרה של התראה או הפרה, כולל הליכי הסלמה, נהלי דיווח ונהלי תגובה להפרה.
SOC בענן
ניתן להקים מרכז פעולות אבטחה בענן (CloudSOC) כדי לפקח על השימוש בשירותי ענן בארגון (ולשמור על בעיית ה- IT של Shadow תחת פיקוח), או לנתח ולבדוק תשתיות IT וביומני יישומים באמצעות טכנולוגיות SIEM כדי לספק התראות ופרטים על פעילות חשודה.
נושאים נוספים ללימוד עצמי ומחקר
התוכנות הזדוניות (malware) כוללות תוכנות ריגול, יישומי אנטי-וירוס מזוייפים, וירוסים, סוסים טרויאניים, תולעים, adware (תכנות פרסום) ו- rootkits. חדירה של אחת מהתוכנות למחשב עלולה לגרום לשליטה של האקר על מחשב ואפילו על הזהות של בעל המחשב.
מגוון תוכנות אנטי-וירוס, חומות אש ואסטרטגיות אחרות משמשות כדי לסייע בהגנה מפני הצגת תוכנות זדוניות, כדי לעזור לזהות אותה אם היא כבר קיימת ולהתאושש מפעילות זדונית הקשורה לתוכנות זדוניות.
תוכניות זדוניות מוקדמות רבות, כולל תולעת האינטרנט הראשונה, נכתבו כניסויים או כמעשה קונדס, אך כיום, תוכנות זדוניות משמשות על ידי האקרים ועל ידי ממשלות, כדי לגנוב מידע אישי, כספי, עסקי או ביטחוני.
לעתים קרובות משתמשים בתוכנה זדונית באופן נרחב כנגד אתרים ממשלתיים או ארגוניים כדי לאסוף מידע שמור או לשבש את פעולתם. עם זאת, ניתן להשתמש בתוכנה זדונית נגד אנשים כדי להשיג מידע כמו מספרי זיהוי אישיים או פרטים חסויים: מספרי כרטיסי בנק או אשראי וסיסמאות.
תוכניות שנועדו לעקוב אחר הגלישה באינטרנט של המשתמשים, להציג פרסומות לא רצויות או להפנות הכנסות שיווקיות מקושרות נקראות רוגלה. תוכנות ריגול אינן מתפשטות כמו וירוסים; במקום זאת הם בדרך כלל מותקנות תוך ניצול חורי אבטחה. הם יכולים גם להיות מוסתרים וארוזים יחד עם תוכנות שאינן קשורות להתקנה היזומה על-ידי משתמשים.
תוכנת הכופר Ransomware משפיעה על מערכת מחשב נגועה בדרך כלשהי ודורשת תשלום כדי להחזיר אותה למצב הרגיל. תוכניות כמו CryptoLocker מצפינות קבצים בצורה מאובטחת ורק לאחר תשלום דמי הסחיטה – מאחזרים את הקבצים.
תוכנות זדוניות מסוימות משמשות ל"ייצור כסף" על ידי הונאת קליקים, מה שמאפשר שמשתמש המחשב לחץ על קישור פרסום באתר, תוך יצירת תשלום מהמפרסם. בשנת 2012 העריכו כי כ -60 עד 70% מכל התוכנות הזדוניות הפעילות השתמשו בהונאה כלשהי של קליקים, ו -22% מכל קליקים על מודעות הונאה.
בנוסף לאופציה להרוויח כסף באופן פלילי, תוכנה זדונית יכולה לשמש לחבלה, לרוב למניעים פוליטיים. Stuxnet, למשל, נועד לשבש ציוד תעשייתי מאוד ספציפי. היו פיגועים בעלי מוטיבציה פוליטית שהתפשטו וגרמו לכיבוי רשתות מחשבים גדולות, כולל מחיקה קבועה של קבצים והשחתה של רשומות האתחול הראשי, שתוארו כ"הרג מחשב". התקפות כאלה בוצעו על Sony Pictures Entertainment (25 בנובמבר 2014, תוך שימוש בתוכנות זדוניות הידועות בשם Shamoon או W32.Disttrack) וחברת ארמקו הסעודית (אוגוסט 2012).
פרצת אבטחה בתוכנה או באתר אינטרנט היא בעיה הנובעת מעצם צורת כתיבת התוכנה או מאילוצים שונים המאפשרים לקראקר להשיג שליטה חלקית או מלאה על המחשב עליו מורצת התוכנה או אתר האינטרנט.
ישנן שלל סיבות מדוע נוצרות אותן פרצות אבטחה ולא מסולקות על ידי המתכנתים שלהן. למשל: רצון להוציא גרסה חדשה של תוכנה עד מועד אחרון מסוים ובשל כך להימנע מבדיקת מצבי שגיאה לא צפויים שונים, חוסר ידע מספיק של המתכנת או חוסר תשומת לב למצב שגיאה מסוים.
אמנם ישנם מומחי אבטחה המועסקים על ידי חברות גדולות, שכל תפקידם הוא לנסות ולמצוא את הפרצות הנמצאות במוצריהן או באתרי האינטרנט שלהן וכך יוכלו לתקנן מבעוד מועד. אולם כנגדם ישנן קבוצות "קראקרים " (המכונים "האקרים בעלי כובע שחור") המנסים להשיג לדוגמה מידע חסוי על לקוחות של חברה גדולה לצורך מכירת המידע למתחרה שלהן.
כסיוע למומחי האבטחה ישנם גם האקרים (המכונים בעלי "כובע לבן") שאף הם מנסים למצוא פרצות אבטחה, בתמורה לתשלום או לפרסום, אך בניגוד לעמיתיהם הם מודיעים באופן מסודר לחברה, החשופה לפרצות, על אופי הפרצות ומיקומן כך שיוכלו לתקן אותן לפני שינוצלו על ידי גורמים עוינים.
פגיעות היא חולשה שיכולה להיות מנוצלת על ידי גורם עוין / תוקף, לביצוע פעולות לא מורשות בתוך מערכת מחשב.
כדי לנצל פגיעות, על תוקף לכלול לפחות כלי או טכניקה ישים שיכולים להתחבר לחולשה במערכת.
ניהול הפגיעות הוא התרגול המחזורי של זיהוי, סיווג, פיצוי והתמכרות של פגיעויות. נוהג זה מתייחס בדרך כלל לפגיעויות תוכנה במערכות מחשוב.
לרוב סיכון אבטחה מסווג באופן שגוי כפגיעות. השימוש בפגיעות עם אותה משמעות של סיכון יכול להביא לבלבול. הסיכון הוא פוטנציאל ההשפעה המשמעותי הנובע מניצול פגיעות. ישנן נקודות תורפה ללא סיכון: למשל כאשר לנכס המושפע אין ערך. פגיעות עם אחד או יותר מקרים ידועים של התקפות פועלות ומיושמות במלואה מסווגת כפגיעות ניתנת לניצול – פגיעות שלגביה יש ניצול. חלון הפגיעות הוא הזמן בו הוחלף או התבטא חור האבטחה בתוכנות שנפרסו, ועד שהוסרה הגישה, התקנת אבטחה הייתה זמינה / נפרסה או שהתוקף הושבת – ראה התקפה של יום אפס.
באג אבטחה (פגם אבטחה) הוא מושג צר יותר: ישנן פגיעויות שאינן קשורות לתוכנה: פגיעויות של חומרה, אתר, כוח אדם הן דוגמאות לפגיעויות שאינן באגי אבטחת תוכנה.
מבנים בשפות תכנות שקשה להשתמש בהם כראוי יכולים להוות מקור גדול לפגיעויות.
אקספלויט הוא קטע תוכנה או מידע למנצלים פרצת אבטחה או באג בתוכנה או בחומרה. מטרת האקספלויט היא לשנות את ההתנהגות המתוכננת של הרכיב עליו הוא מופעל, כך שתתאים לרצונותיו של התוקף. שימוש באקספלויטים נפוץ על ידי האקרים למטרות הפעלת קוד תוכנה זדוני. לדוגמה, התקנת נוזקה, הסלמת הרשאות, התקנות מניעת שירות – ההופכות את המכשיר לכלי תקיפה בעצמו, ועוד.
אקספלויטים נכתבים ברחבי העולם בידי האקרים בעלי ידע בשפות תכנות שונות, ובחלק מהמקרים הם ניתנים להורדה חופשית ברשת האינטרנט באתרים ייעודיים לנושא. באתרים האלה קיימים בדרך כלל הסברים על מטרת האקספלויט ואופן הרצתו, עניין המייתר במידת מה את הצורך בידיעת שפות תכנות כדי לבצע התקפות האקינג אלו. לכתיבת האקספלויט ולפרסומו קודם מחקר שתכליתו מציאת חולשה באופן הפעולה של המערכת הרצויה, אשר מאפשרת לנצל אותה לצורכי התוקף.
במקרים מסוימים, בעת פרסומו האסקפלויט ינצל חולשת Zero-Day. במקרים כאלה הוא עלול להוות סיכון גבוה על המערכות הרלוונטיות, מכיוון שטרם הופץ עבורו טלאי מתאים.
דרכי פעולה
דרכי הפעלת האקספלויטים הן רבות ובהן:
התקפות אקספלויטים על מחשבים מרוחקים מאופיינות לעיתים קרובות באינטראקציה מסוימת עם המשתמש המותקף או עם המערכת המותקפת, ניצול שדות קלט בעלי יכולת חדירה למחשב מקבל הקלט, וכן שימוש בטכניקות הנדסה חברתית.
במקרים מסוימים, בהתאם לסוג הפרצה שנמצאה במערכת המותקפת, האקספלויט יכול להכיל גם Shellcode. כאשר הוא קיים, ה- Shellcode מאפשר לתוקף לקבוע את הפעולות שיתבצעו על המערכת המותקפת לאחר שנוצלה הפרצה על ידי האקספלויט.
קוד ייעודי (Shellcode) הוא חלק בקוד של אקספלויט המנצל פרצת אבטחה המהווה את ה"מטען המועיל" שיפעל על המחשב הנתקף. הקוד הייעודי בדרך כלל מתחיל בפקודת מעטפת שמאפשרת לשלוט במחשב המותקף. קוד ייעודי בדרך כלל כתוב בשפת מכונה.
יכולת כתיבת קוד ייעודי, יכולת לנתח מה הוא עושה, היכולת להתאים קוד כזה לפלטפורמות שונות, ("חתימת קוד ייעודי מוכר"), והיכולת לפתח ווריאציות שלו כדי להתחמק מתוכנות הגנה (אנטי וירוס וכדומה) – הם מרכיב משמעותי בהגדרת היכולת של מומחה בלוחמת סייבר.
להמשך הבנתך המלאה, עבור לפרק
היה סבלני וקרא עד הסוף. הקריאה תשפר את יכולתך לקבל החלטה כה חשובה ותחסוך לך טעויות אפשריות.