SOC: מטרות ודוגמאות אמיתיות לפעילות (למתעניינים מתחילים)

SOC: מטרות ודוגמאות אמיתיות לפעילות (למתעניינים מתחילים)

מטרות ה-SOC הן, לנטר באופן רציף של מערכות כדי לזהות חריגות ואיומים, להבין ולהבחין בין פעילות רגילה לבין מתקפה אמיתית, להגיב מהר כדי לעצור התפתחות של איומים ולסייע בשיקום נזקים, וללמוד מהאירוע כדי לשפר את ההגנה בעתיד.

ה-SOC לא רק מגיב לאירועים אלא גם פועל באופן יזום כדי לזהות נקודות תורפה ולחזק את ההגנות.

בואו נפשט את המטרות המרכזיות של SOC ונבין מה באמת צוות ה-SOC אמור להשיג:

1. זיהוי וניטור אירועי אבטחה

בדומה לצוות רפואי שמנטר באופן קבוע את הסימנים החיוניים של מטופלים כדי לזהות בעיות לפני שהן מחמירות, צוות ה-SOC מנטר באופן רציף את כל המערכות והרשתות בארגון. הם מחפשים סימנים חשודים שעלולים להצביע על פעילות זדונית.

למשל, אם פתאום משתמש שבדרך כלל מתחבר למערכת רק בשעות העבודה הרגילות, מנסה להתחבר בשלוש לפנות בוקר – זו דגל אדום. או אם פתאום יש העברות נתונים חריגות מהרגיל – זה יכול להצביע על מישהו שמנסה להוציא מידע מהארגון.

2. תגובה לאירועים

כשמתגלה אירוע אבטחה, צוות ה-SOC פועל כמו צוות כיבוי אש שמגיע לזירת השריפה. המטרה היא לבודד את האיום, למנוע את התפשטותו, ולהחזיר את המערכות לפעילות תקינה בהקדם האפשרי.

לדוגמה, אם מתגלה מחשב נגוע בתוכנה זדונית, צוות ה-SOC יכול לנתק אותו מהרשת כדי למנוע התפשטות, לנקות את המחשב, ולחקור איך התוכנה הזדונית חדרה בכלל.

3. שיפור מתמיד של מערך ההגנה

לאחר כל אירוע אבטחה, צוות ה-SOC עורך תחקיר מעמיק כדי להבין מה קרה, איך זה קרה, ואיך ניתן למנוע אירועים דומים בעתיד. זה דומה לפרקטיקה הרפואית של "מורבידיטי ומורטליטי" שבה צוותים רפואיים לומדים ממקרים מאתגרים כדי לשפר את הטיפול בעתיד.

לדוגמה, אם ארגון היה קורבן למתקפת פישינג (דיוג) שהצליחה, צוות ה-SOC עשוי להמליץ על הדרכות נוספות לעובדים, להטמיע פתרונות סינון דוא"ל מתקדמים יותר, או להחמיר את מדיניות הסיסמאות.

דוגמאות של אירועי אמת

כדי להבין את החשיבות של SOC, הנה כמה דוגמאות אמיתיות (עם שמות שונים) לאופן שבו צוותי SOC מנעו נזק משמעותי:

מקרה 1: זיהוי מוקדם של תוכנת כופר

צוות ה-SOC של בית חולים גדול זיהה פעילות חשודה באחת מתחנות העבודה. בתוך דקות, הם הבינו שזו תחילתה של התקפת תוכנת כופר (Ransomware) – תוכנה זדונית שמצפינה קבצים ודורשת כופר עבור שחרורם. הצוות ניתק במהירות את התחנה הנגועה, מנע את התפשטות התוכנה, וכך מנע אירוע שיכול היה לשתק את כל המערכות הרפואיות ולסכן חיי אדם.

כיצד התגלה בידי הצוות?

האירוע התגלה דרך התראה ממערכת ה-EDR (Endpoint Detection and Response) שזיהתה פעילות קריפטוגרפית חריגה בתחנת עבודה בחדר האחיות. מנתח האבטחה הבחין בשילוב מדאיג של ניסיונות גישה לקבצים מרובים, פעילות CPU גבוהה ותקשורת אל שרת C2 (Command & Control) שזוהה כקשור לקבוצת תקיפה ידועה. צוות ה-SOC זיהה חתימות YARA התואמות דפוסי התנהגות של וריאנט Ryuk מוכר.

כיצד הגיב מרכז ה-SOC?

מרכז ה-SOC הפעיל מיידית את פרוטוקול התגובה לאירועי ransomware והסלים את האירוע למנהל ה-CSIRT (Computer Security Incident Response Team). הצוות פנה גם לראש מחלקת IT הרפואית ולקצין אבטחת המידע (CISO) של בית החולים. במקביל, הופעל צוות Forensics לבדיקת וקטור החדירה ולאיסוף ראיות דיגיטליות, תוך תיעוד מפורט של האירוע לצרכי תחקיר עתידי.

מי עוד התערב באירוע?

לאירוע גויסו נציגי הנהלת בית החולים, לרבות המנכ"ל והסמנכ"ל התפעולי, שהחליטו על הקמת חדר מצב. הצוות המשפטי של בית החולים הוזעק להעריך את המשמעויות הרגולטוריות. כמו כן, יידעו את מערך הסייבר הלאומי ואת רשות הגנת הפרטיות, בהתאם לנהלים. חברת סייבר חיצונית התבקשה לספק שירותי ייעוץ מומחה וסיוע בהתאוששות.

מקרה 2: זיהוי דלף מידע מתמשך

צוות ה-SOC בחברת טכנולוגיה זיהה תבנית חריגה של העברת נתונים בשעות הלילה. חקירה מעמיקה חשפה כי עובד לשעבר, שחשבון המשתמש שלו לא נסגר כראוי, היה מתחבר מרחוק וגונב מידע סודי. הצוות חסם את החשבון, הפסיק את הדלף, ואפשר לחברה לנקוט בצעדים משפטיים.

כיצד התגלה בידי הצוות?

האירוע התגלה באמצעות מערכת ה-UEBA (User and Entity Behavior Analytics) שזיהתה אנומליות בדפוסי הפעילות. ניתוח לעומק חשף העברות נתונים בנפח גבוה (7GB לילה) בין 2:00-4:00 לפנות בוקר, כשאיש לא אמור לעבוד. בנוסף, מערכת ה-DLP (Data Loss Prevention) איתרה חתימות של קבצי תכנון מוצר המסווגים כ"סודי מסחרי" העוברים דרך פרוטוקול SFTP לשרת חיצוני בסין.

כיצד הגיב מרכז ה-SOC?

מרכז ה-SOC הסלים את האירוע למנהל אבטחת המידע (CISO) וליחידת התגובה לאירועים. הם יצרו קשר מיידי עם מחלקת משאבי אנוש כדי לאמת את מעמדו של העובד לשעבר ולהבין מדוע חשבונו עדיין פעיל. פנייה למחלקה המשפטית של החברה נעשתה לקבלת הנחיות לגבי איסוף ראיות תוך שמירה על קבילותן בהליך משפטי עתידי. צוות ה-SOC הפעיל גם חקירה דיגיטלית מקיפה לזיהוי היקף הנזק.

מי עוד התערב באירוע?

האירוע ערב את מנהלי מחלקת הפיתוח והקניין הרוחני שנקראו להעריך את רגישות המידע שדלף. יחידת אבטחת הרשת החלה בסריקה מקיפה של כל המערכות לאיתור נקודות כשל נוספות. חברת חקירות סייבר חיצונית גויסה לתעד ראיות באופן פורנזי ולסייע בהכנת תיק משפטי. הוזעקו גם נציגי האכיפה מיחידת הסייבר של המשטרה לטיפול בהיבט הפלילי של האירוע.

מקרה 3: מניעת הונאה פיננסית

צוות ה-SOC בבנק גדול זיהה פעילות חשודה בחשבונות מסוימים. ניתוח מהיר הראה שמישהו משתמש בפרצת אבטחה במערכת הבנקאות המקוונת כדי לגנוב כספים. הצוות סגר את הפרצה ומנע הפסדים שיכלו להסתכם במיליוני שקלים.

אלה רק דוגמאות אחדות משפע אירועי אמת שממחישות את החשיבות הקריטית של SOC יעיל. כמו בטיפול רפואי, מניעה וזיהוי מוקדם הם המפתח להצלחה, והם יכולים לחסוך לארגון כסף רב, זמן, ומשאבים.

כיצד התגלה בידי הצוות?

האירוע התגלה הודות למערכת ניטור עסקאות חריגות (FMS - Fraud Monitoring System) שהקפיצה התראה על סדרת העברות בסכומים זהים (8,499 שח - מתחת לסף דיווח של 8,500 שח) מחשבונות שונים לאותו חשבון יעד בפרק זמן קצר. ניתוח מעמיק של לוגים חשף שהפורץ ניצל פגיעות Injection בממשק API של מערכת התשלומים, המאפשרת עקיפת מנגנוני האימות הדו-שלבי בעת ביצוע עסקאות.

כיצד הגיב מרכז ה-SOC?

מרכז ה-SOC הסלים מיידית את האירוע למנהל אבטחת המידע של הבנק (CISO) ולראש מחלקת אבטחת מערכות התשלומים. הופעל צוות תגובה ייעודי למניעת הונאות שכלל מומחי אבטחה ומהנדסי תוכנה. צוות הפיתוח הוזעק כדי ליצור ולהטמיע תיקון דחוף (hotfix) לפרצה, בעוד צוות ניטור העסקאות הקפיא באופן זמני את כל העסקאות החשודות להמשך בדיקה והשיב את הכספים שכבר הועברו.

מי עוד התערב באירוע?

האירוע ערב את מחלקת הציות הבנקאי שדיווחה על האירוע לרשות לאיסור הלבנת הון ומימון טרור ולבנק ישראל, כנדרש ברגולציה. צוות הביקורת הפנימית של הבנק נכנס לתמונה כדי לבדוק אם היו כשלים נוספים בתהליכי אבטחת המידע. גם צוות התקשורת של הבנק הופעל כדי להכין הודעה ללקוחות שנפגעו ולמענה מוסדר בשאלות התקשורת. יחידת הסייבר של המשטרה הצטרפה לחקירה לאיתור התוקפים.