Trace Id is missing
דלג לתוכן הראשי
האבטחה של Microsoft

מהי תגובה לתקריות?

גלה כיצד תגובה יעילה לתקריות עוזרת לארגונים לזהות מתקפות סייבר, למנוע אותן ולטפל בהן.

קבל מידע על Microsoft Sentinel

הגדרה של תגובה לתקריות

לפני שתגדיר תגובה לתקריות, חשוב שיהיה ברור מהי תקרית. ב- IT ישנם שלושה מונחים שונים, שלפעמים נוהגים להשתמש בהם כדי לתאר את אותו הדבר:

  1. אירוע הוא פעולה תמימה שמתרחשת לעתים קרובות, כגון יצירת קובץ, מחיקת תיקיה, או פתיחה של הודעת דואר אלקטרוני. בפני עצמו, אירוע בדרך כלל אינו מעיד על הפרה, אולם כשהוא מתרחש בליווי אירועים אחרים - הוא עלול להעיד על איום. 
  2. התראה היא הודעה המופעלת על ידי אירוע, שעלול להיות איום, או לא.
  3. תקרית היא קבוצה של התראות מתואמות שבני אדם או כלי אוטומציה קבעו שסביר להניח שהן מהוות איום אמתי. ייתכן שכל התראה בפני עצמה אינה נראית כמו איום משמעותי, אולם כשהיא משולבת עם אחרות, הן מעידות על הפרה אפשרית.

תגובה לתקריות היא הפעולות שמבצעים ארגונים כשהם חושדים שאירעה הפרה של מערכות ה- IT או הנתונים שלהם. לדוגמה, אנשי מקצוע בתחום האבטחה יפעלו אם הם יראו עדות למשתמש לא מורשה, לתוכנה זדונית, או לכשל של מדדי אבטחה.

יעדי התגובה הם הסרת מתקפת הסייבר מהר כל האפשר, התאוששות, דיווח ללקוחות או למוסדות ממשלתיים כנדרש על פי החוקים האזוריים והפקת לקחים כיצד להפחית את הסיכון להפרה דומה בעתיד.

כיצד פועלת תגובה לתקריות?

תגובה לתקריות לרוב מתחילה כאשר צוות האבטחה מקבל התראה מהימנה ממערכת ניהול מידע ואירועים של אבטחה (SIEM).

חברי הצוות צריכים לוודא שהאירוע אכן עומד בתנאים לקביעת תקרית ולאחר מכן לבודד את המערכות שנפגעו ולהסיר את היום. אם התקרית חמורה או שהפתרון שלה נמשך זמן רב, ייתכן שהארגון יצטרך לשחזר נתוני גיבוי, להתמודד עם תוכנת כופר, או להודיע ללקוחות שהנתונים שלהם נחשפו לסכנה.

לכן, גם אנשים שאינם חברים בצוות אבטחת סייבר מעורבים בדרך כלל בתגובה. מומחי אבטחה, עורכי ין ומקבלי החלטות בעסק יעזרו לקבוע מה תהיה הגישה של הארגון לתקרית ולהשלכות שלה.

סוגים של תגובה לתקריות

קיימות כמה דרכים שבהן תוקפים מנסים לגשת לנתונים של חברה או לסכן את המערכות ואת הפעולות העסקיות שלה באופן אחר. הנה כמה מהדרכים הנפוצות ביותר:

  • דיוג

    דיוג הוא סוג של הנדסה חברתית שבה התוקף משתמש בדואר אלקטרוני, בהודעת טקסט או בשיחת טלפון כדי להתחזות למותג בעל מוניטין או לאדם מסוים. מתקפת דיוג טיפוסית מנסה לשכנע נמענים להוריד תוכנה זדונית או לספק את הסיסמה שלהם. מתקפות אלה מנצלות אמון של אנשים ונעזרות בטכניקות פסיכולוגיות, כגון פחד, כדי לגרום לאנשים לפעול. רבות מהמתקפות הללו אינן ממוקדת ופונות לאלפי אנשים בתקווה שמישהו - אפילו אחד - יגיב. עם זאת, גירסה מתוחכמת יותר נקראת 'דיוג ממוקד', שמשתמש במחקר מעמיק כדי לנסח הודעה שאמורה להיות משכנעת ולשלוח אותה לאדם מסוים.

  • תוכנות זדוניות

    תוכנה זדונית מתייחסת לכל תוכנה שנועדה לפגוע במערכת מחשב או לחלץ נתונים. היא מגיעה בצורות שונות, ביניהן וירוסים, תוכנת כופר, תוכנת ריגול וסוסים טרויאניים. שחקנים רעים מתקינים תוכנות זדוניות על ידי ניצול פגיעויות החומרה והתוכנה או על ידי שכנוע עובדים לעשות זאת באמצעות טכניקה של הנדסה חברתית.

  • תוכנות כופר

    במתקפת מסוג תוכנת כופר, שחקנים רעים משתמשים בתוכנה זדונית כדי להצפין מערכות ונתונים קריטיים ולאחר מכן לאיים להפיץ את הנתונים בציבור או להשמיד אותם אם הקורבן לא ישם כופר.

  • מניעת שירות

    במתקפה מסוג מניעת שירות (מתקפת DDoS), גורם איום מציף את הרשת או המערכת בתנועה, עד שהיא מאטה או קורסת. בדרך כלל, תוקפים מתמקדים בחברות בעלות פרופיל גבוה, כמו בנקים או ממשלות, במטרה לגזול מהם זמן או כסף, אך גם ארגונים מכל הגדלים עלולים ליפול קורבן לסוג זה של מתקפה.

  • מתקפה מסוג "אדם בתווך"

    שיטה אחרת שבה משתמשים פושעי סייבר כדי לגנוב נתונים אישיים היא להכניס את עצמם באמצע שיחה מקוונת בין אנשים שמאמינים שהם מתקשרים בפרטיות. על ידי יירוט של הודעות והעתקן או שינוי של ההודעה לפני שליחתה לנמען המיועד, הם מנסים להפעיל מניפולציה על אחד המשתתפים לחשוף נתונים בעלי ערך.

  • איום מבפנים

    על אף שרוב המתקפות מתבצעות על ידי אנשים מחוץ לארגון, צוותי אבטחה צריכים גם להיות ערניים לאיומים מבפנים. עובדים ואנשים אחרים שיש להם גישה לגיטימית למשאבים מוגבלים עלולים להדליף נתונים רגישים בשוגג, ולעתים אף בכוונה.

מהי תוכנית תגובה לתקריות?

תגובה לתקרית מחייבת את הצוותים לעבוד יחד בצורה יעילה ואפקטיבית כדי להסיר את האיום ולעמוד בדרישות הרגולטוריות. במצבי לחץ כאלה, קל להתבלבל ולעשות טעויות ולכן חברות רבות מפתחות תוכנית תגובה לתקריות. התוכנית מגדירה תפקידים ותחומי אחריות וכוללת את השלבים הנחוצים כדי לפתור ולתעד תקריות ולדווח עליהן.

החשיבות של תוכנית תגובה לתקריות

מתקפה משמעותית אינה רק פוגעת בתפעול של הארגון, אלא גם משפיעה על המוניטין של העסק בקרב הלקוחות והקהילה, וייתכן גם שיש לה השלכות משפטיות. כל דבר - כולל המהירות שבה צוות האבטחה מגיב למתקפה והאופן שבו המנהלים מדווחים על התקרית - משפיע על העלות הכוללת שלה.

חברות שמסתירות את הנזק מפני לקוחות וממשלות או שאינן מתייחסות לאיום ברצינות מספקת עלולות להסתבך בעקבות אי ציות לתקנות. סוגים אלה של טעויות נפוצות יותר כאשר למשתתפים אין תוכנית. בלהט הרגע, קיים סיכון שאנשים יקבלו החלטות פזיזות המונעות מפחד, אשר יפגעו בארגון.

תוכנית שקולה היטב מאפשרת לאנשים לדעת מה עליהם לעשות בכל שלב של המתקפה, כדי שלא יצטרכו להגיב בפזיזות בזמן אמת. ולאחר ההתאוששות, אם מתקבלות שאלות מהציבור, הארגון יכול להציג איך בדיוק הוא הגיב ולהעניק ללקוחות שקט נפשי שהוא התייחס לתקרית ברצינות ויישם את הצעדים הנחוצים כדי למנוע תוצאה גרועה יותר.

שלבים בתגובה לתקריות

יש יותר מדרך אחת לגשת לתגובה לתקריות, וארגונים רבים מסתמכים על ארגון שקובע תקני אבטחה שעליהם הם מבססים את הגישה שלהם. SysAdmin Audit Network Security (SANS) הוא ארגון פרטי שמציע מסגרת תגובה בת שישה שלבים, המתוארת להלן. ארגונים רבים גם מאמצים את מסגרת ההתאוששות מתקריות של 'המכון הלאומי לתקנים ולטכנולוגיה (NIST).

  • הכנה - לפני שתקרית מתרחשת, חשוב להפחית את הפגיעויות ולהגדיר פרטי מדיניות ונהלים בתחום האבטחה. בשלב ההכנה, ארגונים מבצעים הערכת סיכון כדי לקבוע היכן ממוקדות החולשות שלהם ולתעדף את הנכסים. שלב זה כולל כתיבה וניסוח של נהלי אבטחה, הגדרת תפקידים ותחומי אחריות ועדכון מערכות להפחתת הסיכון. רוב הארגונים בוחנים מחדש שלב זה באופן סדיר ומשפרים את המדינות, הנהלים והמערכות תוך כדי הפקת לקחים או ביצוע שינויים טכנולוגיים.
  • זיהוי איומים - בכל יום נתון, צוות אבטחה עשוי לקבל אלפי התראות שמעידות על פעילות חשודה. כמה מהן הן התראות חיוביות מוטעות וחלקן לא מסלימות לדרגה של תקרית. לאחר שהצוות מזהה תקרית, עליו להכיר לעומק את אופי ההפרה וממצאי המסמכים, כולל מקור ההפרה, סוג המתקפה ויעדי התוקף. בשלב זה, הצוות צריך גם ליידע את בעלי העניין ולדווח להם על השלבים הבאים.
  • הכלת איומים - הכלת האיום במהירות האפשרית היא השלב הבא מבחינת סדרי עדיפויות. ככל שפרק הזמן שבו השחקנים הרעים מקבלים גישה לנתונים ארוך יותר, כך גדל הנזק שהם גורמים. צוות האבטחה עובד כדי לבודד במהירות את היישומים או המערכות הנתונים למתקפה, משאר הרשתות. כך נמנעת מהתוקפים האפשרות לגשת לחלקים אחרים בעסק.
  • הסרת האיום - לאחר השלמת ההכלה, הצוות מסיר את התוקף ואת התוכנה הזדונית מהמערכות והמשאבים הנגועים. פעולה זו עשויה לחייב העברה של המערכות למצב לא מקוון. בנוסף, הצוות ממשיך ליידע את בעלי העניין בהתקדמות.
  • התאוששות ושחזור - ההתאוששות מהתקרית עשויה להימשך כמה שעות. לאחר הסרת האיום, הצוות משחזר את המערכות ואת הנתונים מגיבוי ומפקח על האזורים הנגועים כדי להבטיח שהתוקף לא חוזר.
  • משוב ומיקוד - לאחר סיום הטיפול בתקרית, הצוות בוחן מה קרה ומזהה שיפורים שניתן לכלול בתהליך. הלמידה משלב זה עוזרת לצוות לשפר את אמצעי ההגנה של הארגון.

מהו צוות תגובה לתקריות?

צוות תגובה לתקריות, שנקרא גם צוות תגובה לתקריות אבטחת מחשב (CSIRT), צוות תגובה לתקריות סייבר (CIRT), או צוות תגובת חירום במחשב (CERT), כולל קבוצת אנשים חוצת ארגון בארגון, שאחראית על יצירת תוכנית תגובה לתקריות. הצוות כולל לא רק אנשים שמסירים את האיום, אלא גם אנשים שמקבלים החלטות עסקיות או משפטיות הקשורות לתקרית. צוות טיפוסי כולל את החברים הבאים:

  • מנהל תגובה לתקריות, לרוב מנהל ה- IT, מפקח על כל שלבי התגובה ומיידע את בעלי העניין הפנימיים. 

  • אנליסטים בתחום האבטחה חוקרים את התקרית כדי לנסות להבין מה קורה. הם גם מתעדים את הממצאים שלהם ואוספים ראיות פורנזיות.

  • חוקרי איומים מבצעים את המחקר מחוץ לארגון כדי לאסוף בינה ולספק הקשר נוסף. 

  • בעל תפקיד בהנהלה, למשל סמנכ"ל אבטחת מידע או סמנכ"ל מידע, מספק הדרכה ומשמש כמתאם מול הבכירים האחרים.

  • מומחים בתחום משאבי אנוש עוזרים לנהל איומים פנימיים.

  • היועץ הכללי עוזר לצוות לנווט בין נושאי חבות ואחראי לאיסוף הראיות הפורנזיות.

  • מומחים ליחסי ציבור מתאמים את העברת המסרים המדויקים בתקשורת החיצונית למדיה, ללקוחות ולבעלי עניין אחרים.

צוות תגובה לתקריות יכול להיות צוות משנה של מרכז תפעול האבטחה (SOC), אשר מטפל בתפעול האבטחה מעבר לתגובה לתקריות.

אוטומציה של תגובה לתקריות

במרבית הארגונים, הרשתות ופתרונות האבטחה יוצרים התראות אבטחה בהיקף הרבה יותר גדול מאשר זה שצוות התגובה לתקריות מסוגל לנהל במציאות. כדי לעזור לו להתמקד באיומים לגיטימיים, עסקים רבים נעזרים באוטומציה של תגובה לתקריות. האוטומציה משתמשת בינה מלאכותית ובלמידת מכונה כדי למיין התראות, לזהות תקריות ולסלק איומים על ידי יישום מדריך תגובה המבוסס על קבצי Script תוכניתיים.

תיאום, אוטומציה ותגובה של אבטחה (SOAR) הוא קטגוריה של כלי אבטחה שעסקים משתמשים בה כדי להפוך את התגובה לתקריות לאוטומטית. פתרונות אלה מציעים את היכולות הבאות:

  • תיאום נתונים בנקודות קצה ובפתרונות אבטחה מרובים כדי לזהות תקריות שאנשים יוכלו לעקוב אחריהן ולפעול לפיהן.

  • הפעל מדריך מבוסס Script מראש לבידוד סוגים של תקריות מוכרות ולטיפול בהן.

  • בנה ציר זמן מבוסס מחקר שכולל פעולות, החלטות וראיות פורנזיות שניתן להשתמש בהן למטרות ניתוח.

  • אסוף בינה חיצונית רלוונטית לניתוח אנושי.

איך ליישם תוכנית תגובה לתקריות

פיתוח תוכנית תגובה לתקריות עשוי להיתפס כמשימה מייגעת, אך היא יכולה להפחית בצורה משמעותית את הסיכון שהעסק שלך לא יהיה מוכן לתקרית דרמטית. כך ניתן להתחיל:

  • זיהוי ותעדוף הנכסים

    השלב הראשון בתוכנית תגובה לתקריות הוא לדעת על מה אתה מגן. תעד את הנתונים הקריטיים של הארגון, כולל המקום שבו הם מאוחסנים ורמת החשיבות שלהם לארגון.

  • קביעת הסיכונים הפוטנציאליים

    לכל ארגון יש סיכונים משלו. הכר את הפגיעויות הגדולות ביותר של הארגון שלך ואמוד את הדרכים שבהן תוקף יצליח לנצל אותן. 

  • פיתוח נהלי תגובה

    במהלך תקרית מלחיצה, נהלים ברורים יעזרו לך להבטיח טיפול מהיר ויעיל בתקרית. התחל בהגדרת השאלה 'מהי תקרית' ולאחר מכן קבע אילו שלבים הצוות צריך לנקוט כדי לזהות ולבודד את התקרית ולהתאושש ממנה, כולל נהלים לתיעוד החלטות ואיסוף ראיות.

  • יצירת צוות תגובה לתקריות

    בנה צוות חוצה ארגון שאחראי להכרת נהלי התגובה ולניוד במקרה של תקרית. הקפד להגדיר תפקידים בצורה ברורה ודאג לתפקידים שאינם טכניים שיכולים לעזור בקבלת החלטות הקשורות לתקשורת ולנושאי חבות. מנה מישהו בצוות המבצע אשר יסנגר על הצוות ועל הצרכים שלו בפני ההנהלה הבכירה של החברה. 

  • הגדרת תוכנית בתחום התקשורת

    תוכנית תקשורת תבטל את הצורך לנחש מתי ואיך לספר מה קורה לגורמים פנימיים בארגון ולגורמים חיצוניים לו. קח בחשבון את כל התרחישים השונים כדי שתוכל לקבוע באילו נסיבות עליך לדווח על התקרית למנהלים הבכירים, לארגון כולו, ללקוחות ולמדיה או לבעלי עניין חיצוניים אחרים.

  • הדרכת עובדים

    שחקנים רעים מתמקדים בעובדים בכל הרמות בארגון, לכן כל כך חשוב שכל אחד יכיר את תוכנית התגובה ויידע מה לעשות אם הוא חושד שהוא נפל קורבן למתקפה. מעת לעת, בחן את העובדים כדי לוודא שהם יכולים לזהות הודעות דואר אלקטרוני הכוללות דיוג וספק להם דרך קלה לדיווח לצוות התגובה לתקריות אם הם לוחצים בטעות על קישור זדוני או פותחים קובץ מצורף נגוע. 

פתרונות תגובה לתקריות

ההכנה לתקרית משמעותית מהווה חלק חשוב בהגנה על הארגון שלך מפני איומים. יצירת צוות פנימי של תגובה לתקריות תספק לך ביטחון בידיעה שאתה מוכן אם תותקף על ידי שחקן רע.

היעזר בפתרונות SIEM ו- SOAR, כגון Microsoft Sentinel שמשתמשים באוטומציה כדי לעזור לך לזהות תקריות ולהגיב להן באופן אוטומטי. ארגונים בעלי משאבים מועטים יותר יכולים ללוות את הצוותים שלהם עם ספק שירות שיכול להתמודד עם שלבים מרובים של תגובה לתקריות. לא משנה אם תגייס צוות תגובה לתקריות פנימי או חיצוני - העיקר שתהיה לך תוכנית.

קבל מידע נוסף על האבטחה של Microsoft

Microsoft Threat Protection

זהה תקריות ברחבי הארגון והגב עליהן באמצעות המתקדמים בכלי ההגנה מפני איומים.

מידע נוסף

Microsoft Sentinel

גלה איומים מתוחכמים והגב עליהם בהחלטיות בעזרת פתרון SIEM רב-יכולות, המופעל באמצעות הענן ובינה מלאכותית.

למידע נוסף

Microsoft Defender XDR

מנע מתקפות בכל נקודות הקצה, הדואר אלקטרוני, הזהויות, היישומים והנתונים.

מידע נוסף

שאלות נפוצות

  • תגובה לתקריות היא כלל הפעילויות שארגון מבצע כשהוא חושד שהתקיימה הפרת אבטחה. המטרה היא לבודד ולהרחיק את התוקפים במהירות האפשרית, לציית לתקנות פרטיות הנתונים ולהתאושש בבטחה עם נזק קטן ככל האפשר לארגון.

  • צוות חוצה ארגון אחראי לתגובה לתקריות. בדרך כלל, מחלקת ה- IT אחראית לזיהוי ולבידוד איומים וכן להתאוששות מהם. עם זאת, תגובה לתקריות היא הרבה יותר מאיתור והסרה של שחקנים רעים. בהתאם לסוג המתקפה, ייתכן שמישהו ייאלץ לקבל החלטה עסקית, כמו למשל כיצד לטפל בדרישה לכופר. אנשי מקצוע בתחום הייעוץ המשפטי ויחסי ציבור ועזרים להבטיח שהארגון מציית לחוקי פרטיות הנתונים, כולל הודעה מתאימה ללקוחות ולמוסדות ממשלתיים. אם האיום מבוצע על ידי עובד, מחלקת משאבי אנוש תייעץ באיזו פעולה לנקוט.

  • CSIRT הוא שם נוסף לצוות תגובה לתקריות. הוא כולל צוות אנשים חוצה ארגון שאחראי לניהול כל ההיבטים של התגובה לתקריות, כולל זיהוי, בידוד והסרה של האיום, התאוששות, תקשורת פנימית וחיצונית, תיעוד וניתוח פורנזי.

  • רוב הארגונים משתמשים בפתרון מסוג SIEM או SOAR שיעזור להם לזהות איומים ולהגיב להם. לרוב, פתרונות אלה אוספים נתונים ממערכות מרובות ומשתמשים בלמידת מכונה כדי לעזור בזיהוי איומים אמתיים. הם גם יכולים להפוך את התגובה לאוטומטית בסוגים מסוימים של איום על סמך מדריכים מבוססי Script מראש.

  • מחזור החיים של תגובה לתקריות כולל שישה שלבים:

    1. שלב ההכנה מתקיים לפני זיהוי התקרית והוא כולל הגדרה של מה תופס הארגון כתקרית, וכן את כל פרטי המדיניות והנהלים הנחוצים כדי למנוע, לזהות ולהסיר מתקפה ולהתאושש ממנה.
    2. שלב זיהוי האיומים הוא תהליך שמשתמש הן באנליסטים אנושיים והן באוטומציה כדי לזהות אילו אירועים מהווים איומים אמתיים שצריך לטפל בהם.
    3. שלב הכלת האיומים הוא הפעולות שהצוות מבצע כדי לבודד את האיום ולמנוע ממנו לגרום נזק לאזורים אחרים בעסק. 
    4. שלב הסרת האיומים כולל שלבים להסרת תוכנה זדונית ולהרחקת תוקפים מהארגון.
    5. שלב ההתאוששות והשחזור כולל הפעלה מחדש של מערכות ומחשבים ושחזור כל הנתונים שאבדו. 
    6. שלב המשוב והמיקוד הוא התהליך שהצוות מבצע כדי להפיק לקחים מהתקרית וליישם את הלקחים בפרטי מדיניות ובנהלים. 

עקוב אחר Microsoft 365