תרגול אירוע התקפת סייבר – תכנון, מימוש והסקת מסקנות
בגיליון הקודם הצגתי בקצרה את איום תוכנות הכופרה (Ransomware), כולל דיון על מאפייני התקפות סייבר אלה ודרכי ההתגוננות. רוב הבקרות שנדונו הן בקרות טכניות (הקפדה על התקנת עדכוני תוכנה, הגנה על נקודות הממשק עם ה"עולם החיצון" מחוץ לארגון, הפעלת כלי "אנטי-ספאם", סגמנטציה של הרשת ועוד). אך חשוב לא פחות לבצע תרגולת בתוך הארגון, כדי לוודא שתכנית הפעולה בעת מתקפה היא אפקטיבית.
סימולציה, המדמה תקיפת סייבר, יעילה הן לארגון והן לביקורת הפנימית, שכן היא מאפשרת למפות את הפערים בין המצוי לרצוי, בין התכנון לביצוע.
בשלב התכנון של התרגיל יש לקבוע מי ישתתף בו, מה התרחיש שייבדק, אילו הזרמות מידע (תת-תרחישים) יימסרו תוך כדי תרגיל וסדר האירועים בתרגיל. כמובן שהתרחיש והאירועים בו שונים מארגון לארגון, ותלויים בין היתר במטרות שהוגדרו לתרגיל.
מטרות ברורות לתרגיל הן אבן יסוד בביצוע תרגיל משמעותי ואפקטיבי. מטרות מוגדרות היטב מסייעות לתכנון מדויק וריאלי יותר של התרחיש במרחב האיומים.
ישנם שלושה סוגים של תרגילים:
- Table Top – תרגיל תיאורטי שבו מוצג תרחיש עם הזרמות מידע, הכולל ניהול דיון תיאורטי בנוגע לדרכי הפעולה וקבלת ההחלטות.
- Full Live – תרגיל שבו מוצג תרחיש אמת (למשל חדירה לרשת הארגונית) עם הזרמות מידע. על המתורגלים לבצע פעולות ולקבל החלטות בזמן אמת.
- Hybrid – תרגיל שבו ישנו שילוב של תרחישים תיאורטיים שעליהם מתקיים דיון ותרחישי אמת שיש לבצע בגינם פעולות ולקבל החלטות בזמן אמת.
דוגמאות לתרחישים:
- התקפת פישינג (Phishing/Spear Phishing) על עובד הארגון שבאמצעותה מוחדר וירוס לרשת הארגונית.
- הורדת תוכנה "מודבקת" מהאינטרנט על ידי עובד בארגון.
- התקפה של האקר על הרשת הארגונית שבאמצעותה הוא משיג הרשאות כניסה למידע ארגוני או מערכות.
- התקפת DoS (Denial of Service) – הזרמת תנועה רבה לרשת הארגונית הגורמת לקריסתה.
- גניבה פיזית של מחשב ארגוני והשגת גישה למידע או למערכות.
- חדירה לרשת הארגונית על ידי חיבור פיזי של התקן לא מורשה.
דוגמאות לאירועים ופעולות שיש לתת עליהם את הדעת במהלך סימולציה המדמה התקפת סייבר:
- כוננות לאירוע סייבר (מאפייני מצב שגרה, קיום נהלים עדכניים ורלוונטיים).
- שלבים בזיהוי וחקירת האירוע.
- מתי וכיצד מכריזים על אירוע סייבר/מצב חירום סייבר.
- מתי מאיישים חדרי מצב.
- שלבים לבלימת האירוע.
- תדירות ביצוע הערכות מצב ודיווחים.
- תקשורת לגורמי פנים וחוץ (עובדים, הנהלה, לקוחות, תקשורת, מדיה חברתית וכו').
- מעורבות גופים שונים בארגון, כגון מחלקה משפטית, יחסי ציבור ודוברות, הנהלה וגורמים עסקיים, ושיתוף הפעולה ביניהם.
- שלבים בתהליך הערכת הנזק.
- הפעלת תכנית המשכיות עסקית והתאוששות מאסון.
חשוב מאוד לתעד את מהלך התרגיל בפירוט רב. תיעוד זה יעזור בשלבי הסקת המסקנות. מומלץ כי המתורגלים יתעדו את האירועים וההחלטות ביומן אירועים, כולל תזמון של כל אירוע, פעולה או החלטה. מרכיב הזמן בתרגיל חשוב מאוד ויכול בהחלט לשחק תפקיד מכריע בהתאוששות מאירוע סייבר.
גם המתרגלים ידרשו לתעד את מה שראו. תיעוד כזה יכלול כמובן תזמון ורישום של כל האירועים, ההחלטות, ההנחות, הפעולות המצופות, הפעולות שננקטו, מדידת והערכת הביצוע, ועוד.
בנוסף, מומלץ לקיים בסוף התרגיל דיון פתוח בהשתתפות המתורגלים והמתרגלים במטרה לשמוע את דעתם של המשתתפים על התרגיל ומסקנות שעלו ממנו. דיון כזה מסייע לזהות הצלחות ונקודות לשיפור.
בסיום התרגיל יש להוציא מסמך מסכם ובו תוצאות התרגיל, מסקנות והמלצות לשיפור.
לסיכום, ביצוע תרגיל סייבר הוא הזדמנות לארגון לשפר את המענה לאיום סייבר או לאשרר את אפקטיביות הבקרות הקיימות. על המשתתפים בתרגיל (המתרגלים, המתורגלים והצופים בו) לעבוד בשיתוף פעולה על מנת להשיג את המרב – שיפור מוכנות הארגון להתקפת סייבר.
פרטים נוספים על מתודולוגיית ההכנה וביצוע תרגילי סייבר ניתן למצוא במאמרים הבאים:
- “Planning for the Breach” by Regina Phelps, Crisis Response Journal, April 2015.
- “Designing Cyber Exercises” by CERT | Cyber Workforce Development, October 2014 (Copyright Carnegie Mellon University).
- “Cyber Exercise Playbook” by Jason Kick, the MITRE Corporation, November 2014.
