תקציר מנהלים SEIM + SOC + IRT + FORENSIC

המונחים האלו מתארים שרות חיצוני של “חברת שמירה” שמקבלת אליה התראות סייבר של הלקוח.

זה דומה לעולם חברות השמירה שאתם מכירים מהשמירה על המשרדים והבתים:

מערכות ההגנה שמנטרות ומזעיקות את חברת השמירה:

(בעולם הפיזי זה גלאי נפח, מצלמות וכו’, ותוכנות הבקרה והפקוח בחברת השמירה),

בעולם הסייבר זה ה SEIM – security information and event management

שזה אוסף התוכנות, ה”גלאים” ותוכנות הבקרה והניטור שחברת הסייבר משתמשת או אוספת מידע מהם.

חלקם שייכים ומותקנים ע”י חברת הסייבר, וחלקם הם של הלקוח (למשל חומת האש).

מרכז השליטה והבקרה:

ה”חדר” בחברת ה”שמירה” שבו יושבים עובדי החברה שהוכשרו לכך ובודקים כל התראה שמתקבלת מהלקוחות.

במידה ויש חשד להתראת “אמת”, הם מפעילים את פרוטוקול התגובה עליו הוסכם עם הלקוח.

בעולם הסייבר זה SOC – Security Operation Center.

צוות התגובה:

בעולם השמירה ה”פיזי”, אלו עובדי החברה שמגיעים לבדוק אם הייתה פריצה, מזעיקים את המשטרה וכו’.

בעולם הסייבר זה IRT – Incident Response Team.

הם מופעלים ע”י צוות ה SOC (או לפי בקשת הלקוח) לסגור פרצת סייבר פעילה (השתלטות האקר, כופר, וכו’).

העבודה שלהם היא מרחוק או בהגעה למקום, בהתאם לאירוע ולפרוטוקול.

הם יכולים להיות עובדי חברת הסייבר, או חברה אחרת עם התמחות ב IRT.

צוות פרונזיקה (FORNSIC):

זה צוות ה CSI (Crime Scene Investigation ) של עולם הסייבר.

הם חוקרים בדיעבד את אירוע הסייבר כדי להבין את כל שלבי האירוע.

מטרתם להסיק מסקנות שיאפשרו מניעת אירוע דומה בעתיד (ולעיתים גם עוזרים לתפיסת ההאקר).

הם יכולים להיות מצוות חברת הסייבר, או חברה עם התמחות מיוחדת.

מתודית – עדיף חברה אחרת, לעיתים הכשלים הם של (או היו יכולים להימנע ע”י) חברת הסייבר.

לסיכום:

כמו בעולם הפיזי – חברת שמירה לא מיועדת ולא מתימרת למנוע פריצה, היא רק חלק אחד ממערך הגילוי והתגובה של הלקוח.

החברה לא יכולה (וזה גם לא התפקיד שלה) למנוע פריצה, היא אמורה לגלות ולהגיב ולמזער נזקים – ולעיתים זה מאוחר מדי.

בעולם הפיזי – אם הלקוח לא ינעל את הדלת בצאתו מהמשרד, בפריצה (אולי) האזעקות יפעלו, אבל כנראה יגרם נזק…

כמו בחברות השמירה שבעולם הפיזי, היכולות שלהם תלויות מאוד בטכנולוגיה שהם משתמשים בה,

והרבה מאוד באיכות, בהכשרה ובניסיון של העובדים.

בעולם הסייבר זה דורש מהם הרבה מאוד משאבים כספיים: עלות עובדים יקרה, טכנולוגיה יקרה ומשתנה כל הזמן,

איומים משתנים ומתפתחים, הרמה של ההאקרים עולה….

זה מלחמת מוחות, חתול ועכבר, אין סופית ויום יומית.

לסיכום:

SEIM + SOC + IRT + FORENSIC זה רק חלק ממערכות ההתרעה והתגובה (ולא המניעה) מסייבר.

הכנסתם כשכבת הגנה נוספת היא ברוכה ורצויה.

זאת רק שאלה של עלויות.

בשנה האחרונה העלויות החלו להתכנס לעלויות יחסית “שפויות”, אך עדיין מדובר באלפי שקלים לחודש.

חברות סייבר “בחוד החנית” גובות הרבה (הרבה) יותר.

חלק מהחברות מציעות מערכות משלימות לתגבור שכבת ההגנה בעלויות נוספות של אלפי שקלים לחודש.

אבל זה כבר נושא לתקציר נפרד…..