מדוע בקר SOC צריך להכיר יסודות IT? (הסבר למתחילים)

מדוע בקר SOC צריך להכיר היטב יסודות IT?

כדי להצליח בתפקיד ב-SOC, לא מספיק להבין באבטחת מידע בלבד – נדרש גם ידע טכני מעמיק ביסודות מערכות המידע (IT).

למעשה, אפשר לומר שבקר SOC בלי הבנה ב-IT הוא כמו כבאי שאינו יודע כיצד בנוי המבנה שאותו הוא מנסה להציל. הבנה במערכות מחשוב, רשתות ותשתיות היא כלי עבודה קריטי לזיהוי התקפות, הבנת הקשר בין רכיבים שונים – ולתגובה נכונה.

למה זה כל כך חשוב?

1. הבנת הסביבה "הנורמלית" – כדי לזהות חריגות

כדי לדעת שמשהו "לא תקין", צריך להכיר היטב איך נראית התנהגות תקינה: איך מערכת ההפעלה מתנהגת, איזה תעבורה רשתית נחשבת שגרתית, מיהם המשתמשים המורשים, ועוד.

2. יכולת חקירה מעשית

חקירת אירוע סייבר מתבססת על ניתוח לוגים, תעבורה, שירותים, תהליכים וקבצים. מי שלא מכיר את המבנה והתפקוד של מערכות ה-IT – לא יוכל להבין מה באמת קרה.

3. סינון מדויק של התראות שווא

מערכות האבטחה מייצרות אלפי התראות ביום. בקר SOC עם ידע מעמיק ב-IT יזהה מייד מהי פעילות לגיטימית ומהו ניסיון פריצה אמיתי – וכך ימנע עומס, בזבוז זמן, או גרוע מכך – החמצת מתקפה אמיתית.

4. שפה משותפת עם צוותי ה-IT

במהלך אירוע – העבודה מול אנשי התשתיות, ה-Helpdesk והפיתוח דורשת תקשורת אפקטיבית. אם הבקר מבין את השפה הטכנית, הוא מצליח לתווך נכון בין אירועי האבטחה לבין פתרונות ישימים.

5. הבנת השלכות של סיכונים

לא כל איום הוא קריטי באותה מידה. מי שמבין את מבנה הרשת, סוגי שרתים, ואופן הגישה למידע – יוכל להעריך את רמת הסיכון ולהציע תגובה חכמה ומבוססת.

מה בקר SOC צריך לדעת בתחום ה-IT?

1. מערכות הפעלה – Windows ו-Linux

• מבנה תיקיות, הרשאות, תהליכים (Processes), שירותים (Services)
• קריאת לוגים: Event Viewer, Syslog, journald
• ניתוח שימוש ב-PowerShell ו-Shell script ככלי תקיפה

דוגמה: תהליך לא מוכר שרץ עם הרשאות מערכת – עלול להיות רמז למתקפה.

2. תקשורת ורשתות

• מושגים בסיסיים: IP, DNS, DHCP, Subnetting
• פרוטוקולים חשובים: TCP/UDP, HTTP/S, SMB, FTP
• ניתוח תעבורה עם כלים כמו Wireshark או tcpdump
• הכרת דפוסים של תעבורה חריגה

דוגמה: התחברות יוצאת לכתובת IP זרה ב-3 בלילה – מי שמבין תעבורה, יזהה שזו חריגה.

3. Active Directory וניהול זהויות

• מבנה הדומיין, קבוצות משתמשים והרשאות
• תהליכי Authentication ו-Authorization
• התקפות נפוצות: Pass-the-Hash, Kerberoasting

דוגמה: משתמש רגיל שמבצע שאילתות LDAP ברמת אדמין – סימן לאירוע.

4. שרתים ושירותים ארגוניים

• IIS, SQL Server, Exchange – לוגים והתנהגות טיפוסית
• גישה לתיקיות משותפות, דוא"ל, שרתי אינטרנט
• ניתוח חריגות גישה, תקלות או כשלונות בהתחברות

5. גיבוי, אחסון וקבצים

• שיטות גיבוי ושחזור (Backup/Restore)
• הכרת פרוטוקולי אחסון: SMB, NFS
• הבנה של חשיבות מידע ולוגיקה של כופרה

דוגמה: תעבורה מהירה ובלתי מוסברת של קבצים – תסמן ניסיון גניבת מידע.

6. סביבת המשתמש

• אילו תוכנות מופעלות ביום-יום?
• מה נחשב לפעולה נורמטיבית של מחלקת כספים, לעומת חריגה?
• איזה מחשבים משמשים לגישה למערכות רגישות?

סיכום: בלי IT – אין SOC

בקר SOC אינו רק “איש התראות” – הוא בלש, חוקר, מנתח ומגיב. כדי למלא את תפקידו, עליו להכיר היטב את מערכות המידע, כמו טייס שמכיר כל כפתור בקוקפיט.

לכן, מי ששואף להיכנס לעולם ה-SOC – חייב להתחיל בבניית יסודות יציבים של IT.

זה לא שלב מקדים – זה תנאי להצלחה.