SOC: טרמינולוגיה בסיסית שכל מתחיל חייב להכיר

SOC: טרמינולוגיה בסיסית שכל מתחיל חייב להכיר

אחד האתגרים הגדולים בכניסה לעולם ה-SOC וסייבר הוא ים המושגים וראשי התיבות. כדי לא להרגיש אבוד, להלן מילון מושגים ידידותי שמתחיל בתחום צריך להכיר:

מושגי יסוד

• Cyber Security (אבטחת סייבר): הגנה על מערכות מחשוב, רשתות ומידע מפני התקפות, גישה לא מורשית, שינוי או השחתה. בדיוק כמו שאבטחה פיזית מגנה על בניינים וחפצים, אבטחת סייבר מגנה על נכסים דיגיטליים.
• Threat (איום): כל גורם פוטנציאלי שעלול לנצל פגיעות במערכת כדי לגרום נזק. זה יכול להיות האקר, קבוצת פשע מאורגן, או אפילו משתמש פנימי זדוני.
• Vulnerability (פגיעות): חולשה במערכת שיכולה להיות מנוצלת על ידי איום. למשל, תוכנה שלא עודכנה עם תיקוני אבטחה אחרונים.
• Risk (סיכון): השילוב של איום, פגיעות, וההשפעה הפוטנציאלית. במילים פשוטות: מה יכול לקרות, איך זה יכול לקרות, ועד כמה זה יהיה חמור.
• Incident (אירוע אבטחה): כל אירוע שמסכן את האבטחה, הפרטיות, או התפעול התקין של מערכות המידע. זה יכול להיות ניסיון פריצה, הדבקה בנוזקה, או הפרת מדיניות אבטחה.

סוגי איומים ותקיפות

• Malware (תוכנה זדונית): תוכנה שתוכננה לגרום נזק או לחדור למערכות. כולל וירוסים, תולעים, סוסים טרויאניים, ועוד. זה כמו מחלה במחשב.
• Ransomware (תוכנת כופר): סוג של תוכנה זדונית שמצפינה את הקבצים של הקורבן ודורשת תשלום (כופר) עבור מפתח הפענוח. דמיין שמישהו נועל את כל המסמכים שלך בכספת ודורש כסף כדי לתת לך את הקוד.
• Phishing (דיוג): ניסיון לגנוב מידע רגיש (כמו פרטי כרטיס אשראי או סיסמאות) באמצעות התחזות לגורם אמין. כמו מישהו שמתחזה לבנק שלך ושולח לך מייל עם לינק מזויף.
• DDoS (Distributed Denial of Service): התקפה שבה תוקף משתמש בריבוי מחשבים כדי להציף שירות או אתר, מה שגורם לו להיות לא זמין. זה כמו כשכל העיר מנסה להיכנס לחנות קטנה בבת אחת ביום שישי השחור.
• APT (Advanced Persistent Threat): איום מתקדם ומתמשך. התקפות מתוחכמות שנמשכות לאורך זמן, בדרך כלל מבוצעות על ידי ארגוני פשיעה גדולים או מדינות. זה כמו פורץ מקצועי שמתכנן שבועות מראש כדי לפרוץ לבנק.
• Zero-day (אפס-יום): פגיעות שטרם התגלתה באופן רשמי ולכן טרם פותח לה תיקון. תוקפים שמוצאים פגיעויות כאלה יכולים לנצל אותן לפני שהחברות יודעות עליהן בכלל.

מושגי SOC ותגובה לאירועים

• Alert (התראה): הודעה אוטומטית שנוצרת כאשר מערכת אבטחה מזהה פעילות חשודה או חריגה. כמו אזעקה שמתריעה כשמישהו פורץ.
• False Positive (התראת שווא): התראה על איום שלא קיים באמת. כמו אזעקה שמופעלת על ידי חתול שעובר ליד חיישן התנועה.
• Triage (טריאז'): תהליך מיון וקביעת עדיפויות של התראות אבטחה. בדיוק כמו במיון בבית חולים, שבו מחליטים אילו מקרים דורשים טיפול מיידי, כך גם ב-SOC ממיינים איזה אירועי אבטחה דורשים תשומת לב מיידית.
• Incident Response (IR, תגובה לאירוע): התהליך המובנה של זיהוי, חקירה, והתמודדות עם אירועי אבטחה. כמו צוות כיבוי אש שמגיע לאירוע, מכבה את השריפה, חוקר את הסיבה, ומוודא שהכל בטוח.
• SIEM (Security Information and Event Management): מערכת שאוספת, מנתחת ומציגה מידע על אירועי אבטחה ברחבי הארגון. זה כמו מרכז בקרה שרואה את כל מצלמות האבטחה, חיישני האזעקה והדלתות בבניין גדול.
• IOC (Indicators of Compromise): סימנים שמעידים על פעילות זדונית אפשרית. למשל, כתובות IP, חתימות קבצים, או דפוסי תקשורת חשודים. כמו טביעות אצבעות או עקבות נעליים בזירת פשע.
• TTP (Tactics, Techniques, and Procedures): השיטות והאסטרטגיות שתוקפים משתמשים בהן. הבנת ה-TTP מאפשרת לזהות את "חתימת" התוקף ולפתח אמצעי הגנה טובים יותר.
• Playbook (ספר הפעלה): תהליך מובנה ומתועד לטיפול בסוגים שונים של אירועי אבטחה. כמו מדריך שלב אחר שלב "מה לעשות אם..."
• Containment (הכלה): הגבלת היקף הנזק של אירוע אבטחה, כמו בידוד מחשב נגוע או ניתוק רשת. זה כמו הצבת מחסום סביב אזור שריפה כדי למנוע את התפשטותה.
• Forensics (זיהוי פלילי דיגיטלי): איסוף וניתוח ראיות דיגיטליות לצורך חקירת אירועי אבטחה. כמו מעבדה פלילית, אבל לעולם הדיגיטלי.
• CSIRT (Computer Security Incident Response Team): צוות ייעודי שמטפל באירועי אבטחה. חברי הצוות בדרך כלל מיומנים במגוון תחומים כמו רשתות, מערכות הפעלה, ואבטחת מידע.

טכנולוגיות הגנה ובקרה

• Firewall (חומת אש): מערכת אבטחה שמנטרת ומסננת תעבורת רשת נכנסת ויוצאת על פי כללים מוגדרים. כמו שומר בכניסה לבניין שבודק תעודות זהות.
• IDS/IPS (Intrusion Detection/Prevention System): מערכות לזיהוי (IDS) או מניעה (IPS) של חדירות. IDS מזהה פעילות חשודה ומדווח עליה, בעוד ש-IPS גם נוקט פעולה כדי לחסום אותה. כמו מערכת אזעקה (IDS) לעומת מערכת אזעקה שגם נועלת אוטומטית את הדלתות (IPS).
• EDR (Endpoint Detection and Response): פתרון אבטחה שמנטר התקני קצה (מחשבים, טלפונים וכו') כדי לזהות ולהגיב לאיומים. כמו שומר אישי לכל מכשיר בארגון.
• DLP (Data Loss Prevention): טכנולוגיה שמונעת דליפת מידע רגיש מחוץ לארגון. כמו מערכת שמתריעה כאשר מישהו מנסה להוציא מסמכים סודיים מהמשרד.
• MFA (Multi-Factor Authentication): אימות משתמשים באמצעות שני גורמים או יותר (למשל, סיסמה + קוד SMS). כמו דרישה להציג גם תעודת זהות וגם טביעת אצבע כדי להיכנס למקום מאובטח.
• WAF (Web Application Firewall): חומת אש ייעודית לאפליקציות ואתרי אינטרנט המגנה מפני תקיפות כגון SQL Injection או Cross-Site Scripting. כמו שומר בכניסה שמתמחה בזיהוי טכניקות ספציפיות של פורצים.
• IAM (Identity and Access Management): ניהול זהויות והרשאות גישה למשאבים בארגון. קובע מי יכול לגשת למה, מתי, ואיך.

מושגים מתקדמים

• Threat Intelligence (מודיעין איומים): מידע על איומים קיימים ומתפתחים שעוזר לארגונים להתכונן ולהגיב. כמו קבלת התראות מוקדמות על פורצים פעילים באזור.
• Attack Surface (משטח תקיפה): כל הנקודות בארגון שבהן תוקף יכול לנסות לחדור או להשיג גישה. ככל שיש יותר מערכות, משתמשים ואפליקציות, כך משטח התקיפה גדול יותר.
• Attack Vector (וקטור תקיפה): הדרך או השיטה שבה תוקף מנסה לחדור למערכת. למשל, דוא"ל זדוני, אתר מזויף, או ניצול חולשה בתוכנה.
• Red Team / Blue Team: תרגילי אבטחה שבהם צוות אדום (תוקפים) מנסה לחדור למערכות בעוד צוות כחול (מגנים) מנסה לעצור אותם. כמו משחק "שוטרים וגנבים" אבל עם מחשבים.
• Threat Hunting (ציד איומים): חיפוש פרואקטיבי אחר איומים שהצליחו לחדור למערכות אך טרם זוהו. כמו סיור אבטחה שמחפש פורצים שכבר הצליחו להסתנן פנימה.
• SOAR (Security Orchestration, Automation and Response): פלטפורמות שמאפשרות אוטומציה של תהליכי אבטחה ותגובה לאירועים. מאפשרות לייעל את עבודת צוות ה-SOC ולטפל במספר גדול יותר של אירועים.
• CTI (Cyber Threat Intelligence): איסוף, עיבוד וניתוח מידע על איומי סייבר כדי להבין טוב יותר את האיומים ולשפר את יכולת ההגנה. כמו יחידת מודיעין שאוספת מידע על פעילות פשע מאורגן.

טיפים להתמצאות בעולם ה-SOC

• פיתוח שפה משותפת: כדאי להכיר את המונחים הבסיסיים כדי להבין על מה אנשים מדברים. אל תהססו לשאול לפירוש של ראשי תיבות שאינכם מכירים.
• התמקדות בעקרונות ולא רק בכלים: הכלים משתנים, אבל העקרונות נשארים דומים. הבינו את ה"למה" מאחורי הפעולות, לא רק את ה"איך".
• לימוד מתמיד: תחום הסייבר מתפתח במהירות. הקדישו זמן ללמוד על איומים חדשים, טכניקות הגנה, ושינויים בנוף האיומים.
• תרגול מעשי: נסו להקים סביבת ניסוי ביתית או להשתתף בתחרויות CTF (Capture The Flag) כדי לתרגל מיומנויות בצורה מעשית.
• הסתכלות רחבה: הבינו איך ה-SOC משתלב בתמונה הארגונית הרחבה. אבטחת סייבר היא לא רק עניין טכני אלא גם עסקי.