3.6 תסריט אירוע הגנת סייבר מתחילים

עדיין לא למדנו הגנת סייבר, אך אנחנו מבקשים להמחיש לכם כיצד נוצרת התקפת סייבר על ארגון, וכיצד מגיבים בארגון ובסביבה. התסריט כללי, בשלב זה של הלימוד, אך בשלבים מתקדמים יותר בלימודיכם, נחזור אליו באופן מעמיק יותר.

ביטויים רבים לא תוכלו עדיין להבין, ואף לא תבחינו בעקרונות, בטכנולוגיות ובתהליכים, כי עדיין לא למדנו עליהם, אבל התסריט, יאפשר לכם לקבל תמונה של "20 אלף רגל".

תסריט של התקפת סייבר ותגובה לאירועים (למתחילים)

שלב 1: הקדמה והגדרת סביבה המותקפת

חברת "SecureTech Ltd" ממוקמת בלב פארק ההיי-טק של תל אביב, ישראל. מדובר בחברה בינלאומית עם שלושה סניפים נוספים: אחד בניו יורק, אחד בברלין, והשלישי בסינגפור. כל סניף מתמחה בתחומים שונים של פיתוח והגנת סייבר, תוך עבודה צמודה עם המטה הראשי.

במטה הראשי עובדים כ-500 אנשים, בהם מהנדסי תוכנה, אנליסטים להגנת סייבר, מומחי רשת, עובדי תמיכה טכנית, וכן צוותים מנהליים ותפעוליים. בכל אחד מהסניפים עובדים בין 50 ל-150 עובדים, בהתאם להיקף הפעילויות והמיזמים המקומיים.

ההנהלה הראשית כוללת את המנכ"ל, מנכ"ל משנה, סמנכ"ל לפיתוח עסקי, סמנכ"ל להגנת סייבר, מנהל הכספים (CFO), ומנהל הטכנולוגיה (CTO). כל אחד מהם מוביל אסטרטגיות שונות בתוך החברה ואחראי על תחום מומחיותו.

"SecureTech" מתמחה בפיתוח פתרונות הגנת סייבר מתקדמים, כגון אנטי-וירוסים, חומות אש, ומערכות מניעת חדירה. המטרות המסחריות שלה כוללות שיפור מתמשך של פתרונות אלה, חדירה לשווקים חדשים, ושמירה על חדשנות טכנולוגית בחזית הטכנולוגית. החברה שמה דגש רב על מחקר ופיתוח ומשקיעה משאבים ניכרים במיזמים חדשים ובפטנטים, עם מטרה להוביל את התעשייה בתחומיה.

בהתחשב בתמונה הכוללת של הארגון, הוא מתוחזק היטב מבחינה טכנולוגית ומבנית, אך כפי שנראה בהמשך, גם חברה מתוחזקת כזו יכולה להיתקל באיומים ובאתגרים בתחום אבטחת הסייבר.

נכסי הארגון לפני ההתקפה:

"SecureTech" מחזיקה בנכסים דיגיטליים ופיזיים רבי ערך. הנכסים הדיגיטליים כוללים את קודי המקור לתוכנות אבטחה שפיתחה החברה, פטנטים, מאגרי מידע של לקוחות ופרויקטים חשאיים. הנכסים הפיזיים כוללים את התשתיות של מרכזי הנתונים והמחשבים הפרטיים של העובדים.

ארכיטקטורת המחשבים והתקשורת לפני ההתקפה:

הארגון מפעיל מרכז נתונים מרכזי המכיל מספר שרתים חזקים המארחים את התוכנות העסקיות, מאגרי המידע, מערכות CRM, ופתרונות ERP. שרתים אלו מחוברים לרשת חיצונית באמצעות חומת אש מתקדמת ומערכת אימות לגישה מרחוק. תחנות הקצה של העובדים, כולל לפטופים וסמארטפונים, מחוברות לרשת הארגונית באמצעות VPN מאובטח.

הארכיטקטורה מסודרת בתצורת "ענן פרטי" המאוחסנת במקום וב"ענן ציבורי" לשירותים שדורשים גמישות ונגישות רחבה יותר. כל סניף חבר ברשת הגלובלית של החברה, אך מפעיל גם תשתיות מקומיות עצמאיות.

יחידת ה-IT:

היחידה מורכבת ממומחי IT בעלי כישורים בתחזוקת תשתיות, פיתוח תוכנה, ותמיכה טכנית. החוזקות העיקריים הם מומחיות טכנית גבוהה ותגובה מהירה לאירועים. מגבלות כוללות משאבים מוגבלים להשקעה בטכנולוגיות חדשות ובהכשרת עובדים בשל קיצוצים תקציביים.

יחידת הגנת הסייבר:

SecureTech מעסיקה יחידת הגנת סייבר מקצועית שמוביל ה-CISO. הצוות כולל מומחים בניהול אירועים, באנליזה של איומים ותגובות לאירועי אבטחה. הם משתמשים בכלים מתקדמים לניטור רשתות ולזיהוי פריצות. החוזקות כוללות מומחיות טכנית גבוהה ושימוש בפרוטוקולים מתקדמים להגנת סייבר. קיימת בעיה של גיוס ושמירה על עובדים בעלי מומחיות מתקדמת בהגנת סייבר עקב התחרות הגבוהה בתעשייה על כוח אדם מיומן.

יחידת הגנת הסייבר מפעילה גם תרגילי הדמיה לתקיפות ומספקת הדרכות שוטפות לעובדי הארגון, אך עדיין מתמודדת עם האתגר של שינוי המודעות וההתנהלות של כלל העובדים לטובת שמירה על היבטים אבטחתיים.

מערכת ה-IT של חברת SecureTech כוללת מרכז נתונים מאובטח, שרתי ענן, רשת פנימית ומערכות תקשורת חזקות. הנכסים הדיגיטליים כוללים דאטה בעל רגישות גבוהה של פרויקטים חשאיים, פטנטים ומידע אישי של לקוחות.

טכנולוגיות הגנת סייבר בשימוש:

• הארגון משתמש במספר טכנולוגיות להגנת סייבר, כולל:

• חומות אש מתקדמות לסינון תעבורת רשת וחסימת גישה לא מורשית.

• מערכות גילוי ומניעת חדירות (IDS/IPS) שמנתחות תעבורה ומזהות פעילות חשודה.

• פתרונות אנטי-וירוס ואנטי-מלוואר בתחנות קצה ושרתים.

• תוכנות לניהול פרצופים ופרצות אבטחה (patch management).

• פלטפורמות לניהול אירועים ומידע אבטחתי (SIEM) שמרכזות ומנתחות יומני אבטחה.

• הצפנה של נתונים במנוחה ובתנועה להגנה על פרטיות הנתונים.

הארגון מחזיק במדיניות הגנת סייבר חזקה, עם קבוצת עובדים מיומנת שמנהלת את ההגנה. יש להם תכניות לשימור מודעות עובדים, כולל אימונים ותרגילים תקופתיים. 

רקע טכני של אנשי הסייבר:

צוות הסייבר מורכב מאנשי מקצוע בעלי רקע טכני עמוק, כולל מומחים להגנת סייבר, מנתחי סיכונים, חוקרי פרצות, ואנשי תגובה לאירועים. הם עברו הכשרות רבות והשתתפו בתרגילים שונים להכנה לתקיפות סייבר.

מידת השימוש בפועל בטכנולוגיות ההגנה:

למרות שהטכנולוגיות מותקנות, לא תמיד נעשה בהן שימוש אופטימלי בשל מגבלות תקציביות שפגעו בתחזוקה ובעדכונים קבועים. יתרה מזאת, עומס עבודה גבוה וחוסר במשאבי אנוש מומחים גרם לאי-יעילות בניהול ובפיקוח על אותן מערכות.

בקשות לרכש טכנולוגיות נוספות:

ה-CISO וצוות האבטחה הציעו לרכוש טכנולוגיות חדשות, כגון מערכות אימות רב-גורמי מתקדמות וכלים לאימות זהויות מבוססי AI, וכן להעלות את מספר אנשי הצוות. אלה לא נענו בשל עדיפויות תקציביות אחרות.

נקודות תורפה:

• נקודות התורפה של מערכות המידע כוללות:

• מערכות לא מעודכנות שעלולות להכיל פרצות אבטחה ידועות.

• חוסר בכוח אדם כדי לעקוב אחרי אירועים בזמן אמת.

• אימות חלש יחסית של עובדים הנכנסים למערכת, עקב חוסר בטכנולוגיה מתקדמת.

• תלות בטכנולוגיות ישנות עקב חוסר בתקציב לרכש ולעדכון טכנולוגיות חדשות.

• העדר שימוש בשיטות הגנה מתקדמות כמו ניתוח התנהגותי של נתונים ומשתמשים.

ההתמודדות עם נקודות התורפה האלה תהיה מכרעת ביכולת הארגון לעמוד מול התקיפה המתוחכמת שתבוצע נגדו.

שלב שני: ההתקפה ונסיבותיה

מוטיבציות של התוקפים:

התוקפים הם קבוצת פשע סייבר מתוחכמת שמחפשת נתונים לגניבה לצורך מכירה בשוק השחור או לשימוש בתקיפות סחיטה.

שלבי ההתקפה:

לשם נוחות התיאור, נשתמש במודל "Kill Chain" של לוקהיד מרטין לתיאור שלבי ההתקפה. על המודל הזה נלמד בהרחבה בהמשך, ואין צורך להרחיב עליו כאן. (מונחים רבים עדיין אינם ברורים לכם, וזה בסדר!)

מטרת התסריט היא לקבל תמונה כללית בלבד על ארגונים, מידת מוכנותם לאירועי סייבר, ותיאור של תהליכי התקפה מגובה רב.

אנחנו נחזור אל "האירוע הדמיוני" הזה בהמשך כדי להבהיר כל מונח בלתי ברור.

שלב 1: איסוף מודיעין / היכרות (Reconnaissance)

התקפת הסייבר מתחילה עם חוקרים תוקפים מקצועיים המתחילים לאסוף מידע על SecureTech. הם משתמשים בטכניקות שונות כמו סריקת פורטים, פישינג לעובדים, ואפילו מיפוי הנוכחות הדיגיטלית של החברה ברשתות חברתיות ופורומים מקצועיים. כל זה במטרה לאתר נקודות תורפה, כמו מערכות לא מעודכנות או עובדים שנראים כאלו שאפשר "לנצל" אותם בקלות יחסית, לרבות חקר רשתות חברתיות לזיהוי של עובדים עם עדיפות לעובדים שיש להם גישה לנתונים רגישים (בכירים או בתפקידי מפתח).

הם מנסים למצוא פרטים כמו גרסאות של תוכנות שמותקנות בארגון, פרטי התקנה של אבטחת הרשת ושמות עובדים שיכולים לשמש נקודות כניסה להתקפה.

שלב 2: בניית כלי תקיפה (Weaponization)

לאחר שמצאו את המידע הדרוש, התוקפים מפתחים כלי תקיפה מתאים (קוד זדוני), כמו תוכנת רוגלה (spyware) שמיועדת לנצל את הפגיעויות שהם זיהו. הם עלולים להשתמש בקוד רע כדי ליצור מסמכים מזויפים שיראו לגיטימיים, או להכין תוכנת כופר שתוכל להצפין נתונים רגישים לצורך סחיטה.

הקוד הזדוני מותאם אישית כדי להתגבר על הגנות האבטחה של SecureTech ולמנוע איתור על ידי אנטי-וירוסים שבשימוש החברה.

שלב 3: הפצה (Delivery)

בשלב ההפצה, התוקפים משתמשים בדואר אלקטרוני, רשתות חברתיות, ואתרי פישינג מזויפים כדי לשלוח את הקוד הזדוני למערכת היעד, כלומר: להעביר את התוכנה הרעילה לקורבנות. מיילים רבים נשלחים לעובדים ברמות שונות בארגון, עד שאחד מהם פותח קובץ נגוע או לוחץ על קישור זדוני. דרכים פופולריות כוללות דואר אלקטרוני (מסרוני פישינג), או השתלטות על עדכוני תוכנה של צד שלישי. המטרה היא לגרום למשתמש הקצה לפתוח את המסמך או להריץ את התוכנה שתייצר התקפת spear phishing.

שלב 4: ניצול (Exploitation)

כאשר הקובץ הנגוע נפתח או הקישור הזדוני נלחץ, הקוד הזדוני מנצל את הפגיעות שזוהו מראש ומתחיל לבצע את פעולתו. במקרה של SecureTech, זה יכול להיות ניצול של פרצת אבטחה בתוכנה שלא עודכנה עקב חוסר במשאבים. כשהמלכודת מתפקדת, התוקפים יכולים לנצל את הפגיעויות שזיהו בשלב הראשון כדי לחדור לרשת הארגונית. הם יכולים להשתלט על מחשב של עובד או להקים נקודת קצה זדונית ברשת.

שלב 5: התקנה (Installation)

לאחר שהקוד הזדוני חדר למערכת, הוא מתקין תוכנת ריגול או תוכנת כופר שמאפשרת לו לשלוט במערכת המותקפת. תוכנת הריגול מותקנת בשקט ומסתתרת מעיני כלי הניטור של הארגון.

התוכנה תאפשר להם גישה רחוקה ותמשיך לפעול גם לאחר שהמחשב יאותחל מחדש. תוכנות כאלה יכולות לכלול טרויאנים, דלתות אחוריות ו-Rootkits. (לא להיבהל מהמונחים).

שלב 6: פיקוח ושליטה (Command and Control)

התוקפים יוצרים ערוץ שליטה ופיקוח שדרכו הם יכולים לשלוח פקודות למערכת המותקפת. הם מנצלים את תחנות הקצה כנקודת קפיצה להתקדמות בתוך הרשת הפנימית של SecureTech, בחיפוש אחר מידע רגיש יותר. קונסולת השליטה והפיקוח מאפשרת לתוקפים לשלוט ולנהל את התוכנה הזדונית. משם הם יכולים לקבוע מתי ואיך לשלוח פקודות למחשב הנגוע, לבצע גניבת נתונים או להצפין אותם לצורך דרישת כופר.

שלב 7: פעולה על יעדים (Actions on Objectives)

בסופו של דבר, התוקפים מגיעים ליעדיהם - פריצה למאגרי מידע רגישים, גישה לקודי מקור של תוכנות החברה, ואפילו השבתת שירותים קריטיים. הם יכולים לשדוד מידע, להצפין מערכות לצורך סחיטה, או להשמיד נתונים לשם נזק קבוע.

ההתקפה כמובן מתרחשת למרות מיטב המשאבים והמומחיות של הארגון, ועוברת מתחת לרדאר של מערכות ההגנה בשל העדפות תקציביות שגרמו להתעלמות מנקודות תורפה והתעלמות מהמלצות טכניות של צוות האבטחה בעבר. ההנהלה וצוותי ה-IT והסייבר יוצאים למאבק לא פשוט בניסיון למנוע נזק קריטי לארגון, במיוחד כאשר כל דקה קריטית והתקדמות התוקפים נעשית במהירות רבה.

בכל שלב משלבי ה-Kill Chain, הארגון היה יכול תיאורטית לזהות ולעצור את התקיפה לו היו לו המשאבים, הידע, והטכנולוגיות הנדרשים. אך עקב המגבלות שפורטו קודם, ההתקפה התפשטה ללא מכשולים רבים.

כשהקוד הזדוני כבר בפנים, קשה מאוד לזהות אותו בלי מערכות ניטור מתקדמות ותהליכי ניתוח שמתבצעים בזמן אמת. כל כוח האדם והכלים הטכנולוגיים של יחידת הסייבר, לא הצליחו לעצור אותם או לזהות אותם.

שלב שלישי: התגובה לאירועים

תגובות צוות האבטחה:

במהלך התקיפה, תהליכי תגובה שונים מתרחשים בתוך צוותי ה-IT והסייבר, ומתחילה להתנהל תקשורת רבה ומבוהלת בין הצוותים הטכניים להנהלת הארגון, ומהנהלה אל מחוץ לארגון. אספקת תמונת מצב ברורה וקבלת החלטות מהירות הן מרכיבים קריטיים להצלחת המאבק בהתקפה. להלן התהליכים שהתרחשו בכל שלב.

• צוות ה-IT והגנת הסייבר זיהו את החריגות במערכת הניטור והתחילו באיסוף מידע וניתוח מהיר של המידע כדי להבין את היקף ההתקפה.

• הופעל "חדר מצב" ונערכו ישיבות קבועות לעדכון ההנהלה על ההתקדמות בהתמודדות עם האירוע.

• הופעלו פרוטוקולי תגובה לאירועים, כולל ניתוק שרתים ותחנות קצה מהרשת למניעת התפשטות התקיפה.

• הופעל "חדר מצב" ונערכו ישיבות קבועות לעדכון ההנהלה על ההתקדמות בהתמודדות עם האירוע.

• הופעלו פרוטוקולי תגובה לאירועים, כולל ניתוק שרתים ותחנות קצה מהרשת למניעת התפשטות התקיפה. ברגע שצוות הגנת הסייבר של SecureTech הבחין באירועים חריגים שמעידים על פעילות זדונית, הם החלו בתהליך מנורמל של תגובה לאירועים:
    - זיהוי וניתוח המתקפה (Identification and Analysis): צוות הסייבר נערך לניתוח מהיר של       המתקפה, בחינה של יומנים והתראות מהמערכות, וזיהוי של וקטור התקיפה והנזק הפוטנציאלי.
  - מיכון והכנה לתגובה (Containment and Preparation): צוות ה-IT נערך למגבל את ההתפשטות  של הנזק על ידי ניתוק מכונות מהרשת, בידוד והפעלה של פרוצדורות גיבוי.
  - תיקון ומניעת התקפות נוספות (Eradication and Prevention): נקודות הקצה שנפגעו מושבות למצב טרום ההתקפה עם פרוצדורות גיבוי ושחזור, ופגיעויות נסגרות כדי למנוע התקפות חוזרות.

במקביל לכל שלבי התגובה הטכניים, צוות הגנת הסייבר נמצא בתקשורת צמודה עם ההנהלה על מנת לעדכן על ההתקדמות ולהבין את עדיפויות התגובה.

המגעים בשלבים השונים של הצוותים הטכניים עם הנהלת הארגון:

במהלך ההתקפה, התקשורת בין צוותי הטכניים להנהלת הארגון הייתה עניין מרכזי. מנכ"ל החברה והC-Level עודכנו מיד על התקדמות המתקפה ועל נקודות התורפה שנחשפו, כדי לקבל החלטות בנוגע להגבלת הנזק.

בהתמודדות עם התקיפה הסייברית, התקשורת בין הצוותים הטכניים להנהלת הארגון היא קריטית ליעילות התגובה והתיאום של פעולות ההגנה. הנה פירוט מורחב של המגעים בשלבים שונים בין הצוותים להנהלה:

1. מודיעין וזיהוי האיום (Reconnaissance): כשהצוותים הטכניים זיהו את הפעילות החשודה במערכות, הם העבירו את המידע ל-CISO, שבתורו עדכן את המנכ"ל וביקש לכנס דיון דחוף עם ראשי המחלקות הרלוונטיות. בדיון זה, שהתקיים בזום ובמהירות, נקבעה אסטרטגיה מוקדמת להתמודדות עם האיום הפוטנציאלי.

2. ניתוח האיום (Weaponization & Delivery): לאחר השגת מידע ממקורות חיצוניים ופנימיים, הצוותים הטכניים דיווחו ל-CISO על האופן והכלים שבהם עלול הארגון להיתקל. ה-CISO העביר את המידע באופן מיידי להנהלה וקבע תוכנית עבודה למניעת התקיפה.

3. פעילות התקיפה (Exploitation & Installation): כאשר התברר כי האיום התממש והתקיפה מתרחשת, צוות הסייבר וה-IT החלו בנקיטת צעדים פעילים למזעור נזקים ובידוד האזורים המושפעים. הם עדכנו בזמן אמת את ההנהלה על כל פעולה וקיבלו תמיכה בקבלת החלטות חשובות, כגון ניתוק מחשבים ושרתים מסוימים מהרשת.

4. שליטה ופיקוח (Command and Control): ההנהלה, בהנחיית ה-CISO, קבעה לקיים סדרת פגישות תדירות לעדכון מצב ובחינה של אופציות לתגובה. נעשה שימוש בפלטפורמות תקשורת מאובטחות להעברת המידע בין צוות הסייבר להנהלה, כדי להבטיח כי פרטי התקיפה והתגובה לא יחשפו לאיומים נוספים.

5. פעולה על המטרות (Action on Objectives): צוות הסייבר וה-IT נקטו בצעדים נחושים למנוע את פעילות התוקפים מלהשיג את מטרותיהם. הם דיווחו להנהלה על נזקים מתועדים ועל מידע שנחשף או נגנב. המנכ"ל וה-CISO תכננו את התקשורת הרשמית שיש להעביר לגורמים חיצוניים וללקוחות.

6. תגובות והתמודדות אחרי האירוע: לאחר שהאירוע הוכל, ה-CISO ערך סקירת מצב מקיפה, איתר את נקודות התורפה שנוצלו וכתב דוח המכיל המלצות לשיפורים עתידיים. ההנהלה קבעה מפגש עם מנהלי המחלקות לניתוח המקרה ולבחינת דרכי התמודדות עתידיות, ונערכה לבניית תוכנית תקשורת חיצונית מוקפדת כדי לשמור על תדמית החברה והמשך עסקי תקין.

התהליכים שהתרחשו בתוך ההנהלה:

• כשההתקפה מתחילה: מיד עם קבלת דיווח ראשוני מה-CISO על פעילות חשודה, המנכ"ל מורה לכנס מיד ישיבת חירום של כל חברי ההנהלה הבכירה. בישיבה זו מציג ה-CISO תמונת מצב ראשונית של האירוע: הפרטים הידועים, ההשפעה הפוטנציאלית והצעדים הראשוניים שננקטו. המנכ"ל מבקש מחברי ההנהלה להיערך לסדר יום בלתי רגיל ולתמיכה מלאה בצוותי הטכניים. בדיון החירום ביקשה ההנהלה לאמוד את המצב ולקבוע אסטרטגיה. דיונים אלו כללו עדכונים על חומרת המתקפה, נזקים פוטנציאליים, וצעדים להגנה על הנתונים ועל שמירת מוניטין הארגון.

• בעת ניהול המשבר: המנכ"ל ממנה מנהל משבר שישמש כנקודת קשר בין הצוותים הטכניים לבין ההנהלה. מוקמת תדירות קבועה של ישיבות עדכון, וה-CISO נדרש לספק עדכונים מצב כל שעה. המנכ"ל מחליט להקדיש את כל זמנו לניהול המשבר ומורה לסמנכ"לים לנהל את פעילות המחלקות השוטפת.

• תקשורת פנימית וחיצונית: המנכ"ל, יחד עם ראש מחלקת התקשורת וה-CISO, מתכננים את אסטרטגיית התקשורת. הם מחליטים מתי וכיצד להודיע לעובדים, לקוחות ולציבור הרחב על ההתקפה, תוך כדי שמירה על שקיפות מידתית ואחריות על מניעת הטעיה או מידע לא מדויק.

• קבלת החלטות ראשוניות: בהתחשב בדיווחים מה-CISO, ההנהלה מקבלת החלטות מרכזיות למניעת התפשטות האיום ולהגברת ההגנה, כולל אישור מידי לכספים לרכישת פתרונות טכנולוגיים דחופים, העסקת חברות חיצוניות למיגור נזקים ותחזוקת גיבויים ושחזור מידע.

• אחרי האירוע: לאחר שההתקפה מוגרה והמצב חזר לשגרה, המנכ"ל מוביל בדיקת פוסט-מורטום. הוא מבקש מה-CISO לספק דוח מקיף של האירוע ולבחון את הלקחים שנלמדו. יחד עם ה-CFO וה-COO, המנכ"ל פועל לבדוק את ההשפעה הכספית של האירוע ולתכנן תקציב להשקעות בהגנת סייבר בעתיד.

ההנהלה אישרה הקצאת משאבים נוספים ואת קיום תקשורת פנים ארגונית שקופה כדי להבטיח שכל העובדים יהיו בעתיד מודעים למתקפות ולאופן התנהלות עד לסיומן.

הנהלת החברה התכנסה עם יועצים משפטיים ועם גורמי תקשורת כדי להחליט על האסטרטגיה לתקשורת החוצה ולהחליט על תכנית תקשורת ללקוחות ולשותפים עסקיים.

שלב רביעי: סיום האירוע ומסקנות

סיום האירוע:

לאחר שהאירוע כבר ניתן לשליטה והנתונים חוזרים להיות בטוחים, צוות הגנת הסייבר עבר לשלב שחזור והתאוששות, תוך כדי פעולה לזיהוי נקודות תורפה נוספות וכיצד למנוע תקלות בעתיד.

מסקנות ה-CISO:

ה-CISO הגיע למסקנה שיש צורך בהשקעה נוספת במשאבי אבטחת המידע, כולל כוח אדם נוסף והדרכה מתמשכת לעובדים. כמו כן, נקבע שיש צורך בשיפור המערכות והתשתיות הקיימות כדי לעמוד בסטנדרטים הגבוהים יותר של הגנת סייבר.

מסקנות ולקחים: ה-CISO מציג בפני ההנהלה מסקנות מעמיקות לגבי ההתקפה, כולל נקודות התורפה שהצליחו לנצל, הפעולות שהצליחו למנוע נזק גדול יותר, והשינויים שיש לערוך להמשך. המנכ"ל יחד עם ההנהלה מבינים כי יש צורך בשינוי באסטרטגיה הארגונית ולשקלל מחדש את עדיפויות התקציב של הגנת סייבר ומחליטים על השקעה מחודשת באנשים, תהליכים וטכנולוגיה כדי לחזק את היכולת הארגונית להתמודד עם איומי סייבר בעתיד.

מטרת התסריט היא ראייה כללית של התהליכים, בלי להיכנס לעומקם.

בהמשך – נחזור אל תסריטי ההתקפה, ונעמיק בהם לאחר שתבינו יותר.