2.0 גהות · 2020. 12. 15. · 1 הנגהה תרות תטויט ןוגראל רבייסב...
TRANSCRIPT
-
V 2.0טיוטת תורת ההגנה בסייבר לארגון
2.0תוה"ג
-
1
תורת ההגנה טיוטת בסייבר לארגון
2.0גרסה 2020 נובמבר
י מערך הסייבר הלאומי לצורך קידום הגנת הסייבר במשק"סמך זה נכתב עמ המסמך. הסייבר הלאומימערך –כל הזכויות שמורות למדינת ישראל . הישראלי
העתקת המסמך או שילובו במסמכים אחרים כפוף לתנאים. נכתב כשירות לציבור שימוש בגרסא; מתן קרדיט למערך הסייבר הלאומי בפורמט המופיע להלן: הבאים
.אי הכנסת שינויים במסמך; העדכנית של המסמך ןם מערכות הארגואשר יישומו בארגון מצריך היכרות ע, המסמך מכיל מידע מקצועי
.והתאמה למאפייניו בידי איש מקצוע בתחום הגנת הסייברt: הערות והתייחסויות למסמך ניתן להעביר למייל o r a @c y b e r .g o v .i l
-
2
תוכן עניינים 3 .............................................................................................................. פתח דבר
4 ..................................................................................................... תמצית מנהלים
4 ............................................ הארגון יבין לאיזו קטגוריה הוא משויך: -שלב א
4 ................................................ ביצוע תהליך הערכת וניהול סיכונים –שלב ב
4 ........................................................... תוצר סופי לאור העבודה עם מסמך זה:
5 ................................................................................................................ מבוא .1
6 ...................................................................................... עקרונות תורת ההגנה .2
7 מבנה תורת ההגנה.3
עבודה עם מסמך זה בהתאם לקטגוריה – תהליך התכנון בראיית הארגון. 4 9 .............................................................................................................. הארגונית
10 ........................................ מימוש תורת ההגנה עבור ארגון מקטגוריה א' 4.1
10 ............................................................................. תיחום הפעילות: 1שלב
עשרת הדיברות לארגון –הערכת הסיכונים וטיפול בהם :3-ו 2שלבים 11 ................................................................................................ 'בקטגוריה א
13 ....................................................................... בניית תכנית עבודה: 4שלב
14 .................................................................... ביקורת ובקרה רציפה: 5שלב
15 ........................................ מימוש תורת ההגנה עבור ארגון מקטגוריה ב' 4.2
15 ................. ממשל תאגידי ואסטרטגיה לניהול הסיכונים הארגוני – 0שלב
16 ......................................... תיחום הפעילות וסקר הערכת סיכונים: 1שלב
16 ................................................................................ הערכת הסיכון: 2שלב
27 ....... :הארגון יחזיק ברשימה שיכולה להיראות לדוגמה כך, בסוף שלב זה
28 ....................................................................... בניית תכנית עבודה: 4שלב
34 ................................................................. ביקורות ובקרה רציפה: 5שלב
39 ............................................................................................................... נספחים
39 .. דגשים עבור איש המחשוב –בקרות הגנה לארגון מקטגוריה א' -נספח א
48 ................................................. דוגמהרשימת איומים ופגיעויות ל –נספח ב
53 ...................................................................................... בנק בקרות –נספח ג
54 .......................... כלים ושיטות להטמעה של בקרה רציפה בארגון –נספח ד
61 .................. עץ התורות: ראיה הוליסטית של תורת ההגנה לארגון –נספח ה
Da)הגנת מידע פרטי והגנת מידע –נספח ו t a s e c u r i t y & p r i v a c y) ........................................................................................................................ 63
66 ........................................................................... הגנה על מאגרי על –נספח ז
-
3
פתח דבר
,מומחי אבטחת מידע והגנת סייבר יקרים, מנהלים
לי קישוריות וחיבור גלוב, מרחב הסייבר הוא תולדה של קדמה טכנולוגית
.לרשת האינטרנט
טכנולוגיתהתלות הגוברת במרחב הסייבר מביאה עמה בשורות של חדשנות
.ופיתוחים אדירים לאדם ולסביבתו
, תהמשפיע על הרציפות התפקודית הארגוני, לצד אלה מתפתח מרחב איומים
.על שלמות תהליכי הייצור ועל סודיות המידע הארגוני
, צורמתקפות סייבר עלולות לפגוע בארגונים ואף להביא להפסקת תהליכי יי
.ןלנזק כלכלי ולפגיעה במוניטין של הארגו
. מדינת ישראל עושה מאמץ לאומי בהגנת הסייבר במרחב האזרחי
המורכבת , תורת ההגנה הארגונית הינה נדבך בתפיסת ההגנה הלאומית
.מרבדים שונים של הגנה על המשק הישראלי ועל הרציפות התפקודית שלו
תורת ההגנה הלאומית רואה את הארגון כמכלול שלם ומאפשרת את העלאת
שיטות ומוצרי, רגוני באמצעות הטמעה רציפה של תהליכיםרמת החוסן הא
.הגנה
יישום תורת ההגנה הארגונית ישפר את החוסן הארגוני ואת העמידות
.הארגונית בפני מתקפות סייבר
-
4
תמצית מנהלים
י מטרת תורת ההגנה הינה להציג שיטה מקצועית סדורה בפני המשק הישראל
.לניהול סיכוני הסייבר בארגון
נטיים הארגון יכיר את הסיכונים הרלוו, באמצעות המתודה המובאת במסמך זה
.יגבש מענה הגנתי ויממש תכנית להפחתת הסיכונים בהתאם, אליו
:הארגון יבין לאיזו קטגוריה הוא משויך -שלב א
כתוצאה מאירוע ך נמו -בינוניארגונים בעלי פוטנציאל נזק – 'קטגוריה א
.סייבר
.אירוע סייברכתוצאה מ גבוהארגונים בעלי פוטנציאל נזק – 'קטגוריה ב
.7 בעמודשאלון חלוקה לקטגוריות מופיע
ביצוע תהליך הערכת וניהול סיכונים –שלב ב
סייבר הסיכוני נהל את לאור רצון של הארגון ל, פעילות הגנה בסייבר מתבצעת
.חשוףאליהם הארגון
יים או )לרוב תהליכים עסק יעדי ההגנהתחילה יגדיר הארגון מהם , כךלטובת
הגנה המהם פערי , מהי רמת ההגנה הנדרשת, העיקריים שלונכסים דיגיטליים(
.אל מול המצב הרצוי ולבסוף יבנה תכנית עבודה לצמצום הפערים
יומן ק, םדלכתלות בגו ,עבור ארגונים שונים, מתבצע באופן שונה, תהליך זה
.של דרישות חוק ורגולציה ופרמטרים נוספים
רגונים בחלוקה לא, מסמך זה מציג מספר שיטות לביצוע הערכת וניהול סיכונים
רחבת ומתודולוגיה מו( ₪עד לחצי מיליון )בעלי פוטנציאל נזק קטן יחסית
.עבור ארגונים בעלי פוטנציאל נזק גדול יותר, יותר
:עם מסמך זה תוצר סופי לאור העבודה
בת ומהן הבקרות הנדרשות לטו, הארגון יבין את מפת הסיכונים הארגונית
.הפחתת סיכונים אלו
הקצאת משאבים , בקרות אלו יהוו את הבסיס לבניית תכנית העבודה
.ולהיערכות ארגונית בהתאם
רך עבור ארגונים אשר מוכוונים מקצועית באמצעות מנחה ייעודי מטעם מע
.תכנית העבודה תבנה בהתאם להכוונת המנחה הרלוונטי, הסייבר הלאומי
-
5
מבוא .1
ידע מברמה האישית אנו מחפשים . מרחב הסייבר הוא חלק בלתי נפרד מחיינו
משוחחים ,מנווטים את דרכנו בכביש באמצעות תוכנות ניווט, באינטרנט
המחוברים , ולחלקנו יש קוצב לב או משאבת אינסולין ,בטלפון סלולרי
ברמה העסקית אנחנו משתמשים . כולם חלק ממרחב הסייבר –לאינטרנט
באלי מנהלים ארגון גלו ,מנהלים בסיס נתונים של לקוחות ,בכרטיסי אשראי
סות על והכול תוך התבס -קונים ומוכרים ,משווקים ,ידי רשתות מחשוב-על
.מרחב הסייבר
נגיש , מרחב סייבר זמין, בחיי היומיום בכלל ובעסקים בפרט, לרבים מאיתנו
בצורה קל להבין זאת כאשר הללו נמנעים מאיתנו. ומהימן מהווה תנאי הכרחי
ללא הידע האגור ברשת? איך תנהל את העסק ללא טלפון סלולרי. זמנית
?יללא יכולת לבצע סליקת כרטיסי אשרא? הארגונית
מרחב הסייבר הינו מרחב של אפשרויות והזדמנויות מצד אחד ומרחב של
.איומים וסיכונים מנגד
ע פש, ריגול תעשייתי, פה של ריגול מדינתיבמרחב זה מתנהלת פעילות ענ
, למשל)הללו עלולים להשפיע על הביטחון הלאומי '. מאורגן ופשע מזדמן וכד
באמצעות פגיעה במרחב הסייבר בתשתית לאומית קריטית כמערכת החשמל
.עודו( סחיטה כלכלית, ריגול מסחרי, למשל)על התנהלות עסקית (, או המים
המידע . ותשונים מגינים על עצמם מפני איומים אלו בצורות שונ ארגונים, כיום
ר ומורכב דרכי ההתגוננות מפני סיכוני סייבר רב ביות אודותהקיים באינטרנט
ל עשה וא"כללי ,שיטות עבודה מומלצות, מאוסף של מתודולוגיות סדורות
.ועוד" תעשה
אנחנו משקיעים האם" -ארגונים רבים בארץ ובעולם מתחבטים בשאלות כגון
ם אנחנו הא?", "האם אנחנו משקיעים נכון בהגנה בסייבר?", "די בהגנה בסייבר
?"בענף שלנו/משקיעים בהגנה בסייבר בהתאם למקובל במשק
להבין את , תורת ההגנה מסייעת לארגונים למפות את סיכוני הסייבר
ים של התממשות הסיכונים ולהגדיר אמצעי הגנה מידתי ארגוניתהמשמעות ה
. להפחתת הסיכונים העיקריים
. אשר מסייעים לארגון לאמץ אותה בקלות, תורת ההגנה מלווה בעזרים שונים
עבור המלצות ליישוםהללו כוללים מסמכי הרחבה מקצועית ונוהלי הגנה ו
אלית ותקינה טבלאות ישימות מול חקיקה ורגולציה ישר ,תחומים שונים
מיכון התורה באמצעות פלטפורמה טכנולוגית נוחה ועוד כפי ,בינלאומית
.1שמופיעים באתר המערך
1 https://www.gov.il/he/departments/topics/organization_cyber_protection
https://www.gov.il/he/departments/topics/organization_cyber_protectionhttps://www.gov.il/he/departments/topics/organization_cyber_protection
-
6
ההגנהעקרונות תורת .2
כלומר ",הגנה מפני איומים רלוונטיים"העיקרון הראשי של תורת ההגנה הינו
, נכסיו השוניםההכרה בכך שנדרש להגן על רציפות התפקוד של הארגון
נות על בסיס הבנת איום הייחוס, המודיעין והמגמות המשת ולתמוך ביעדיו
. בתחום זה
:באמצעות תתי העקרונות הבאיםבא לידי ביטוי עקרון זה,
אשונה אצל נמצאת בראש ובר האחריות להגנה על המידע - נהלההאחריות ה .א
.הנהלת הארגון
תפיסה הגם כמו, המשקל של המלצות ההגנה – הגנה מתוך ראיית היריב .ב
נגזר ישירות מתוך הבנת , המובאת להגדרת סדר העדיפויות למימושן
תרחישי התקיפה הנפוצים ומידת היעילות של המלצות ההגנה אל מול
וסן להשגת התכלית של רמת ח האמצעיהמלצות ההגנה הינן . תרחישים אלו
.ארגונית בהתאם לאיומים ודרכי פעולת תוקף הרלוונטיים לארגון
קוד תורת ההגנה מאפשרת את המי –בוססת ידע וניסיון ישראלי הגנה מ .ג
יבר כחלק מפעילות מערך הסי. בסיכונים הרלוונטיים לכל ארגון וארגון
לו פעולות א. מתבצעות ביקורות והערכות מודיעין עתיות למשק, הלאומי
. מאפשרות למקד ארגונים באזורים ספציפיים במעגלי ההגנה השונים
נה תהיה ההשקעה בהגנה על כל יעד הג – נציאל הנזקהגנה בהתאם לפוט .ד
.בהתאם לרמת הקריטיות שלו לתפקוד הארגון
ליישמן מאפשרות לארגון, בקרות תורת ההגנה –הגנה מבוססת עומק יישום .ה
מעבר מהסתכלות על הבקרות מתוך נקודת . ברמות שונות של בשלות
C" )ציות"מבט של o mp l i a n c e ) בנושאים כגוןS OC ,DL P, סקרי
די הדבר בא לי. שלהן אפקטיביות ההטמעהסיכונים ועוד לנקודת מבט של
(.בקרה)לכל המלצת הגנה " עומק יישום"ביטוי באמצעות הגדרת
-
7
מבנה תורת ההגנה .3
אשר נגזרים בעיקר, תורה זו מציגה שני מסלולים שונים לביצוע הערכת וניהול סיכונים
:מפוטנציאל הנזק לארגון כתוצאה מאירוע סייבר
מיפוי יעדי לשכולל תהליך פשוט ומהיר - 'מסלול עבור ארגון מקטגוריה א
האשר מותאם לארגונים מקטגורי ,הגנה ומענה על מספר שאלות מצומצם
ת היבטי התהליך יתבצע באמצעות גורם חיצוני אשר מלווה א, על פי רוב .זו
.גנת הסייבר בארגוןה
כולל תהליך של הערכת סיכונים– 'מסלול עבור ארגון מקטגוריה ב (Ri s k
a s s e s s me n t) ,סיכונים הבנת המענה ההגנתי הנדרש אל מול מפת ה
(Ri s k ma t r i x( ותיאבון הסיכון )Ri s k a p p e t i t e) , בחינת המצב
Ga) הנוכחי אל מול המלצות הגנה מקובלות בתעשייה p a n a l y s i s)
Mi) וגיבוש תכנית עבודה להעלאת החוסן בארגון t i g a t i o n p l a n) .
התהליך והמעקב אחר מימוש המסקנות שלו נדרש לביצוע על , על פי רוב
מתוקף תפקידו או )ה על תחום ההגנה בסייבר בארגון ידי גורם הממונ
'.או באמצעות צד ג( כתחום אחריות נוסף על תפקידו
לטובת חישוב העלות, ניתן להיעזר במחשובנים ובמחקרים מקצועיים אשר
אשר מסייעים לכמת את עלות הנזק תוך שקלול פרמטרים אלו תוך ביצוע
סוג המידע, כמות הרשומות שבידי הארגון התאמה למגזר בו פועל הארגון,
ועוד.
אחת ש ב, ניתן לבצע שימוכלל אצבע קבלת שיוך מהיר, בהתבסס עלעבור
משתי החלופות הבאות:
מספר פרמטרים דוגמת משוקלליםמטה בתרשים – עץ סיווג ארגונים .1
גודל הארגון, כמות הלקוחות, מחזור כספי ותלות הארגון בדיגיטל. עץ
לנתב זה איננו תחליף לבחינה של פוטנציאל הנזק, אך הוא עשוי לסייע
:את הארגונים למסלול המתאים עבורם
₪? 500,000נזק אשר עלותו עשויה לעלות על האם כתוצאה מאירוע סייבר בארגונך, ייגרם
לטובת חישוב העלות, מומלץ לשקלל בין היתר את הפרמטרים הבאים:
אובדן הכנסה כתוצאה מפגיעה ברציפות העסקית
)עלות טיפול באירוע )כולל צוותי תגובה, מומחי תוכן ועוד
ותכנה(עלות שיקום מערכות המידע עד לחזרה לשגרה )לרבות רישוי, חומרה
עלות ישירה אשר נגזרת מהפרת חוק/רגולציה ומתביעות עסקיות
נזקים עקיפים דוגמת פגיעה במוניטין, לרבות השלכה על הפסד לקוחות קיימים וחדשים
-
8
עץ קבלת החלטה לניתוב ארגונים בין מסלולי תורת ההגנה השונים
ניתן להיעזר , לטובת חלוקה מהירה - טבלת "ארגונים מייצגים בקטגוריה" .2
כללית לחלוקה אפשרית של סוגי הבטבלה מטה אשר מציגה דוגמ
:ארגונים בהתאם לקטגוריה המומלצת עבורם
גונים ל הנה פשטנית ונועדה לספק כלל אצבע ראשוני לסיווג האר"החלוקה הנ
.בהתאם לקטגוריות השונות
:ת ככלי תומך החלטהולהלן שאלות מכוונ
מהי מידת המוטיבציה לתקוף את הארגון ?
o נתונים , מידע אישי: כגון? )מהם סוגי המידע הקיימים בארגון
קטגוריה א
משרד עורכי דין קטן
משרד רואי חשבון קטן
בית דפוס קטן
חברת תרגום מסמכים קטנה
מפעל בינוני
קטגוריה ב
עירייה
בית חולים
מוסד אקדמי
משרד ממשלתי
בית תכנה
ספק שירותי מחשוב
-
9
מידע בטחוני , פטנטים, מידע רפואי, פיננסיים כגון פרטי אשראי
(וכו
o מאות רשומות: כגון? )מהו היקף המידע הרגיש הקיים בארגון,
'(מאות אלפים וכו, אלפי רשומות
o תיב נהאם מדובר בבית תכנה אשר מספק : כגון? )מהו אופי הארגון
האם מדובר בארגון אשר מאחסן מידע ? חדירה ללקוחות אחרים
?(האם מדובר בארגון אשר מהווה סמל לאומי? של לקוחות רבים
כמות הממשקים הפתוחים : כגון) ?מהו משטח התקיפה של הארגון
ם של גיטלייפריסה ונגישות גלובאלית לנכסים הדי, של הארגון וסוגם
(כמות וסוג הספקים של הארגון, הארגון
כגון)? מהם משאבי הארגון המוקצים לטיפול בנושא ההגנה בסייבר :
האם מנהל מערכות? האם קיים בארגון ממונה הגנת מידע וסייבר
האם תקציב ? המידע מודע ומקצה משאבים לניהול הגנת הסייבר
?(וןר השנתי של הארגהגנת הסייבר בארגון גבוה מרבע אחוז מהמחזו
או /במידה ועל הארגון חלות חובות נוספות מעצם היותו כפוף לחקיקה ו
הביא דרישות חוזיות וצרכים עסקיים שונים הדבר עשוי ל, רגולציות קיימות
גבוהה ארגונים בעלי תלות, כן-כמו. 'לקטגוריה ב' אותו למעבר מקטגוריה א
, יצאה מאירוע סייבר משמעותבטכנולוגיה ואשר פוטנציאל הנזק שלהם כתו
ראוי שיבחנו את הצורך לבצע את התהליך בהתאם לדרישות ארגונים
'.מקטגוריה ב
עבודה עם מסמך זה בהתאם – תהליך התכנון בראיית הארגון .4 לקטגוריה הארגונית
קטגוריה שם שלב
א
קטגוריה ב
: 1שלב תיחום "
-הפעילות על מה נדרש
?"להגן
, תהליכים עסקיים/נכסיםאיתור בסוף שלב . הרגישים לפגיעת סייבר
הארגון תהיה רשימה של רשותב, זהארגונים מתקדמים יבצעו . יעדי הגנה
מיפוי של תהליכים עסקיים ליעדי תוך ניתוח יחסי הגומלין בין , ההגנה
התהליכים העסקיים ויעדי ההגנה הרלוונטיים
כולל את תתי השלבים הבאים: 10עמוד
בולות גזרהג 1.1
אסטרטגיה ארגונית 1.2
תיחום הסקר 1.3
: 2שלב הערכת "
"הסיכון
אל מול , זיהוי הסיכונים ודירוגם
מספר פרמטרים בדגש על פוטנציאל
או )ברות להתממשותו תסההנזק וה
הפגיעויות , אל מול שקלול האיומים
עמוד
11-12
כולל את תתי השלבים הבאים:
זיהוי סיכונים 2.1
ניתוח סיכונים 2.2
-
10
קטגוריה שם שלב
א
קטגוריה ב
(. ומידת הרלוונטיות שלהם לארגון
תהיה בידי הארגון , בסוף שלב זה
.מדורגת של סיכונים לטיפולרשימה
אומדן סיכונים 2.3
: 3שלב קביעת "
אסטרטגיה לטיפול "בסיכון
נדרש , אל מול כל אחד מהסיכונים
.להחליט על אופן הטיפול בו
כולל את האפשרויות של
קבלת
הסיכון/דחיה/הפחתה/העברה
: 4שלב בניית "
תכנית "עבודה
מנת -על, להעלאת רמת ההגנה
כולל )להגיע לרמת הסיכון הרצויה
הבנה של מהות החשיפה לסיכון
במידה שלא מממשים בקרות
(.נדרשות
כולל את תתי השלבים הבאים: 13עמוד
הכרת נתיבי תקיפה 4.1
נפוצים
בניית תפיסה להתמודדות 4.2
עם איומים מתקדמים
: 5שלב ביקורת "
ובקרה רציפה
"ומתמשכת
במקביל למימוש תכנית העבודה
נדרש מעת לעת לבצע , שהוגדרה
תיקוף ובחינה "תהליך יזום של
תהליך זה מתבצע אל ". מחודשת
אירועי , מחקרים, מול איומים חדשים
סייבר ואל מול התפתחות פעילות
הארגון ברמה העסקית וברמה
של קרה במ, הטכנולוגית כגון
מהלך אשר , (M&Aמיזוגים ורכישות )
משפיע על התשתיות שלה
14עמוד
'מימוש תורת ההגנה עבור ארגון מקטגוריה א 4.1
: תיחום הפעילות1שלב
ונכסי המחשוב הנמצאים בדוק מול גורם התמיכה הטכנית את סוגי הציוד
. הבן מהם הנכסים הדיגיטליים של הארגון והיכן הם נשמרים .בשימוש הארגון
כחלק . הינה להבין מהם היעדים להגנה מפני איומי סייבר, מטרת שלב זה
נכסים , יש להבין האם יש ברשות הארגון מאגרי מידע, משלב התיחום
, ות ארגוניות כגון מערכת שכרמערכות ותוכנ, דיגיטליים כגון רשתות חברתיות
-
11
.עמדות תשלום וסליקה ועוד, מערכת נוכחות
ת אשר יש לבחון א, ברשות הארגון תהיה רשימה של נכסים, בסוף שלב זה
.רמת ההגנה שלהם מפני סיכוני סייבר אל מול רשימת הבקרות המומלצות
דוגמה למיפוי יעדי הגנה בארגון מקטגוריה א'
עשרת הדיברות לארגון בקטגוריה –ת הסיכונים וטיפול בהם: הערכ3-ו 2שלבים
א'
דרש נהארגון , לכן. נדרש להגנה בהלימה לפוטנציאל הנזק' ארגון בקטגוריה א
.לממש בקרות בעלות אפקטיביות גבוהה במיוחד
ו אינם מבצעים אבחנה בין ארגונים בהתאם לגודלם א, אירועי סייבר רבים
לף של ד, עסקים קטנים רבים חוו מתקפות כופרה. הארגוןלפוטנציאל הנזק בעיני
.גניבת מידע של לקוחות ועוד, מאגר לקוחות
ובמטרה להגביר את , במטרה להפחית את הסיכוי להתממשות אירועים מסוג זה
מומלץ לארגונים לאמץ , גם במידה והוא יותקף, יכולת השרידות והמשכיות העסק
בקרות אלו . של מסמך זה בנספח אופיעות את דרישות ההגנה הרוחביות אשר מ
:מחולקות לעשר קטגוריות ההגנה הבאות
-
12
:אחריות הנהלה. 1
ערי ההגנה פהבן את הסיכונים הקיימים לארגון במרחב הסייבר ובנה תכנית עבודה לסגירת
.בסייבר
מחשוב ענן ורכש . 4
:תוכנות
אשר , קיים חוזה מול הספק
דורש עמידה בסטנדרטים
מקובלים להגנה על
דוגמת התוכנה והמידע
מתודת שרשרת האספקה
, בפרט. של מערך הסייבר
יש לוודא בעת עלייה לענן
על את חלוקת האחריות
בין ספק ההגנה בסייבר
לארגון ענןה
:הצפנה. 3
הצפן ההתחברות מרחוק של
עובדי הארגון וספקיו תוך
הצפנה שימוש במנגנוני
הצפן גישה . פשוטים מסחריים
למידע רגיש תוך שימוש בתווך
הן בגלישה )תקשורת מוצפן
מהבית מרשת אלחוטית אל
-מהארגון החוצה הן הארגון ו
(אל לקוחות וספקים
:מניעת קוד זדוני. 2
עשה שימוש בטכנולוגיות
לטיפול בפוגענים ובצע
עדכוני אבטחה למערכות
ת א יש לתת, בפרט. הארגון
על הגנה מפני הדעת
פוגענים המגיעים דרך
ערוץ המייל ובאמצעות
גלישה לאתרי אינטרנט
:משאבי אנוש. 7
תדרך עובדים בעת
, העלאת קליטתם לעבודה
מודעות העובדים,
החתמתם על אי הוצאת
לאחר סיום מידע מהארגון
. הגדר מדיניות העסקתם
שימוש בציוד מחשוב פרטי,
ונהלי עבודה חיבורו לארגון
ברשת/מחשבים
:וציוד קצה הגנה על מחשבים. 6
הגדר רמת הגנה נדרשת על
רמה זו כוללת . המחשבים
החלפת סיסמאות ברירת
הסרת תוכנות שאינן , מחדל
הקשחת ממשקים , הכרחיות
חיצוניים והסרת משתמשים
Ad)חזקים mi n a c c o u n t )
אשר אינם הכרחיים
:הגנה על מידע. 5
ההגנה על הגדר מנגנוני
אופן הוצאת מידע אל מחוץ
לארגון
:המשכיות עסקית. 10
יכולת התאוששות ודא
, במקרים של נפילת אתר
נעילת , מחיקת מידע
יש לוודא , בפרט. קבצים
.גיבוי אפקטיביקיומו של
יש לבצע שחזור יזום באופן
עיתי ולהגדיר תדירות וסוג
הגיבוי הנדרש
:אבטחת רשת. 9
אל הרשת ודא כי הגישה
נמצאת בבקרה של הארגון
ספקים ועובדים אינם יכולים )
להתחבר לרשת מרחוק מתי
ושהרשת ( וכיצד שהם בוחרים
ערוכה מפני התקפות מניעת
יש לצמצם את , בפרט. שירות
משטח החשיפה ולבדוק האם
הארגון חשוף לעולם באמצעות
או כאלו /ממשקים מיותרים ו
שאינם בטוחים
:תיעוד וניטור. 8
באמצעות לוגים נטר ותעד
אשר , פעולות חריגות
הארגון מעוניין לדעת אם
ואשר מעידות )הן התרחשו
לטובת (על איום סייבר
.תחקור עתידי
-
13
נדרש לקבל החלטה אודות המענה, לאחר המענה על סטטוס יישום הבקרות
. הנדרש אל מול הסיכונים אשר נובעים מן הפערים בהטמעת בקרות אלו
העסקית פגיעה ברציפות, סיכונים אלו מחולקים לרוב לפגיעה בסודיות נתונים
ניטין מוהסיכונים אלו עלולים להשליך בין היתר על . ולפגיעה בשלימות המידע
קב עחשיפה לתביעות , אי יכולת לקבל לקוחות ולספק להם שירות, של העסק
תבוע או רגולציה או דלף מידע של לקוחות אשר עלולים ל/הפרה של חקיקה ו
הוגדרו שנדרשים להיבחן אל מול יעדי ההגנה , סיכונים אלו. את הארגון ועוד
.מעלה 1בשלב
: בניית תכנית עבודה4שלב
תכנית נדרש לבנות, לאחר שהארגון הגדיר את הסיכונים ליעדי ההגנה של הארגון
. מעלה 3או להעברת הסיכונים בהתאם להחלטה של שלב /שנתית להפחתת ו
תית בדיקה תקופ: תכנית זו עשויה לכלול הטמעת תהליכים ורכש פתרונות כגון
מדות הגנה על עהתקנת תוכנות , הגנה על מחשבים ניידים, של הגיבויים בחברה
.הדרכת העובדים בארגון ועוד, הקצה
התכנית תיקח בחשבון את, בבניית תכנית העבודה לסגירת פערי הבקרות
:השיקולים הבאים
תרומתה להפחתת הסיכון לארגון) הבקרהאפקטיביות)
משך " )וןעלות הפתר"מיוצג מטה באמצעות ציר – עלות מימוש הפתרון
(כח אדם וציוד נדרש, מורכבות המימוש, היישום
מיוצג מטה באמצעות גודל העיגול –מהירות היישום
ת לשקלול הפרמטרים הנזכרים מעלה בארגון מסוים יכולה להראו הדוגמ
:כך
לשקלול פרמטרים לטובת קביעת תעדוף תכנית העבודה לארגון מקטגוריה א' הדוגמ
-
14
: להלן תבנית עזר למילוי נתוניםיעדי הגנה בארגון
שמופו בשלב אחד
בוים שרת גי, שרת מיילים, עמדות קצה, מאגר לקוחות, אתר אינטרנט: כגון
'וכו
לא /קיים משפחת הבקרה
קיים
אפקטיביות
הבקרה
תעדוף/שקלול הנתונים מימושעלות
אחריות הנהלה
מניעת קוד זדוני
הצפנה
מחשוב ענן ורכש
תוכנות
הגנה על המידע
הגנה על
מחשבים
משאבי אנוש
תיעוד וניטור
אבטחת רשת
המשכיות עסקית
.הארגוןתכנית העבודה המוצעת תאושר על ידי מנהל
: ביקורת ובקרה רציפה5שלב
טיות ולטובת בחינת הרלוונ, לטובת בקרה על התקדמות מימוש תכנית העבודה
נדרש לבצע תהליך תקופתי של תיקופה ובחינת קצב המימוש שלה , שלה
קרות באילו , הינה לוודא האם ישנם נכסי מידע חדשים, מטרת שלב זה. בפועל
.והתשומות הנדרשות מהנהלת הארגון בנושאיושמו עד כה ומהם המשאבים
ו שנתית או ד, לדוגמה)סקירה זו עשויה להתבצע אל מול סקירה תקופתית
ם אל מול אירועי סייבר שהתרחשו בשנים האחרונות לעסקים קטני( שנתית
סקירה זו תסייע להנהלה למקד את המאמצים ולתעדף את . ל"בארץ ובחו
.ר רלוונטיים לארגוןהמשאבים בהתאם לסיכונים אשר יות
.סיים את הקריאה של מסמך זה' ארגון מקטגוריה א
-
15
'מימוש תורת ההגנה עבור ארגון מקטגוריה ב 4.2
לניהול הסיכונים הארגוניואסטרטגיה ממשל תאגידי – 0שלב
"ממשל התאגידיה"נדרש לבחון את , האיומים והמענים בארגוןטרם זיהוי
(Cy b e r s e c u r i t y g o v e r n a n c e) לעיתים )נקרא בתהליך ךשתומ
I/מערכת ניהול אבטחת מידע -מ "מנא S MS.)
ה שגרות ההגנה והליכי הבקר, בעלי התפקידים, הגדרת ההיררכיה, ומטרת
הצגת תוך, הניתן להן המבוצעים במטרה למפות את סיכוני הסייבר ואת המענה
.שיפור מתמיד
P –עקרון זה מוכר כ DC A
בו ו, חלק זה הינו באחריות הנהלת הארגון :מ"הקמת מנא – (Plan) תכנן
ק מוודאת הטמעתה כחל, היא מגדירה את המדיניות הארגונית בסייבר
ומקצה משאבים ובעלי תפקיד לרבות סמכות בארגוןמהתהליכים
.לטובת מימושה ,ואחריות בהתאם
ות יישום המדיניות הארגונית באמצעות הטמעת בקר :יישום –(Do) עשה
.הגנה בארגון
הערכה ומדידה של סטטוס ההטמעה ושיקוף : סקירה– (Check) בדוק
.המצב למקבלי החלטות בארגון
ל עבהתבסס ( פעולות מתקנות)מימוש בקרות : שימור ושיפור– (Act) פעל
ר מ תוך חתירה להטמעה רחבה יות"והבקרה של המנאתוצאות הביקורת
.ובעלת רמת אפקטיביות רבה יותר
:באיםעל הארגון להתייחס בין היתר לנושאים ה, ממשל תאגידיכחלק מהגדרת
מהי הכשרתו ? הערכת הסיכון בארגון אמון על ביצועמי הגורם אשר
ח למי הוא מדוו ?לרשותו עומדיםמהם המשאבים ש? וניסיונו בתחום
בארגון?
מיפוי של תהליכים רגישים כחלק מתכנית ההמשכיות האם קיים לארגון
B) העסקית I A) כיצד ? אשר ניתן להשתמש בו לטובת הערכת סיכונים
?הערכת הסיכונים משתלבת עם יעדי הארגון
על באיזו שיטה יזוהו סיכונים חדשים ואילו כלים עומדים לרשות הארגון
?יעילהמנת לזהות אותם בצורה
האם הערכת הסיכונים תבוצע ? מהי תדירות ביצוע הערכת הסיכונים
ית בראיה של תרחישי תקיפה ואיום ייחוס או שתבוצע בהתאם למתודולוגי
E)ניהול הסיכונים הכוללת בארגון RM?)
-
16
מי מורשה לאשר את ? מיהו הגורם שמורשה להחליט על קבלת סיכון
, תרכן את הסיכון לערך נמוך יומי מורשה לעד? הפעילות להפחתת הסיכון
.מפצה/לאור מימוש בקרות הגנה ופעילות מתקנת
? המי חבר ב, ואם כן? האם קיימת ועדת היגוי לנושא הגנת מידע וסייבר
?מי חבר בה, ואם כן? האם קיימת ועדת היגוי לנושא המשכיות עסקית
: תיחום הפעילות וסקר הערכת סיכונים1שלב
ארגון הינו שלב ראשוני והכרחי לטובת הבנת הסביבה בה תיחום יעדי ההגנה ה
.פועל ולטובת הגדרת גבולות הגזרה ותחומי האחריות
:הארגון יגדיר בין היתר את הנושאים הבאים, בשלב זה
ים הגדרת גבולות הגזרה בין ממונה הגנת מידע וסייבר לבעלי תפקיד אחר
ן פנימיים בעלי עניייש להגדיר חלוקת סמכות ואחריות אל מול - בארגון
יועץ, מנהל הסיכונים, מנהל מערכות מידע, מנהל תפעול, ט"קב: כגון
או מחשוב /במידה והארגון צורך שירותי סייבר ו. ל ועוד"משפטי מנכ
MS)כשירות S P ,) אזי חשוב להגדיר את יחסי הגומלין ואת חלוקת
.האחריות בין הצדדים
י מאפיינ, יעדים, רבות חזוןל) הארגוןשל הכרה מעמיקה של האסטרטגיה
וכיצד נושא הגנת מידע וסייבר משתלב בה(, השוק העסקי והמתחרים
טים האם הסקר כולל התייחסות להיב: כגון - מהו תיחום סקר הסיכונים
פס הייצור וסביבות , מערכת מיזוג אוויר, מצלמות האבטחה: כגון
ים מחוץ סניפ, שרשרת האספקה, מחשוב פרטי של העובדים, תפעוליות
' לגבולות המדינה וכו
Iתכנית , לשלב זה עשויות להיות השלכות על מסמכי המשכיות עסקית R
Bמסמך , חוזי התקשרות עסקיים מול ספקים, ארגונית I A , מיזוג תהליכי
.ועוד( M&A)ורכישה
: הערכת הסיכון2שלב
ניתוח
-
17
מיפוי זה , כמו כן. מערכות תפעוליות, רשתות, אפליקציות
תוך , עשוי לכלול רשימה של תהליכים עסקיים חשובים
כגון )שיוך של הנכסים הדיגיטליים המשרתים תהליכים אלו
ככל (. סליקת כרטיסי אשראי וכו, ורסהדיווח לב, תהליך שכר
יש לתת עדיפות למיפוי תהליכים עסקיים על פני , שניתן
.תוך ניתוח יחסי הגומלין השונים, מיפוי של יעדי ההגנה
שלב עבור המיפוי מה - או איומים ופגיעויות/שיוך סיכונים ו
.נכסים/בחן את איומי הסייבר הרלוונטיים לתהליכים, הקודם
אשר ( א"דפ)ן דרכי הפעולה האפשריות מה, לדוגמה
דוגמת שיבוש של , באמצעותן יכול תוקף לממש את האיום
תהליך הייצור או השגת גישה אל מאגר הנתונים הרגיש של
לשימושך רשימה של איומים ופגיעויות נפוצים . הארגון
.של מסמך זה' בנספח ב
I-לטובת ביצוע מיפוי מקיף עבור נכסי ה T ים מאגף מת נכסמומלץ לקבל רשי
מערכות מידע בארגון וכן לפעול מול מחלקת הרכש, שם קיימת רשימת
ספקים של מוצרים ושירותים, אשר עשויה להציף מערכות אשר ניתנות
וןכשירות ואשר לעיתים אינן מנוהלות על ידי גוף המחשוב המרכזי בארג
(S h a d o w I T OT עבור מיפוי נכסי. ( התפעול ועם מנהל מומלץ להיפגש עם –
.מנהל הביטחון )בפרט בארגונים תעשייתיים(
י ארגון אשר כתב תכנית המשכיות עסקית, יוכל להסתייע בה לטובת מיפו
Bתהליכים עסקיים מהותיים לארגון )שימוש ב I A.)
הינה לקבוע את האירועים אשר , מטרת שלב זה - ניתוח הסיכון 2.2
קביעה זו . עלולים להתרחש על בסיס המידע הזמין ברשות הארגון
:כגון, עשויה להתבצע במספר אופנים
רזולוציית מיפוי היעדים: שים לביך בצורה לטובת ביצוע התהל. מיפוי יעדי ההגנה הינו תהליך שדורש זמן ומשאבים
.יש להקפיד על הרזולוציה הנדרשת למיפויאפקטיבית , קצההמובן שאין צורך לפרט את כל השרתים ואת כל עמדות , מצד אחד: לדוגמה
ות הכללה גסה של כל השרתים כמקשה אחת עלולה לגרום לעלוי -ומצד שני .הגנה לא מידתיות
כמו . ענןם או מאוחסן במידע רגיש של הארגון נמצא אצל הספקי, לעיתים :שים לבערכת לעיתים מידע רגיש מאוחסן בתוך קובץ ולא בתוך בסיס נתונים או מ, כן
.מיפוי טוב כולל גם נכסים מסוג זה. מידע ייעודיתחשבון של העסק הינה דרך טובה לוודא כי המיפוי מביא ב תהליכי הליבהסקירת
.את כל הנכסים המהותיים
הנזק הפוטנציאלי בהסתברות להתממשותו שקלול של עוצמת(Ri s k = I mpa c t X L i k e l i h o o d.)
-
18
Iגישה זו נובעת מתקן S O וצמה כמכפלה של ע, הסיכון אשר מגדיר את 31,000
(. מה עלול לקרות ומהי הסבירות להתממשות האירוע)בהסתברות
a. מתבצע לרוב אל מול בחינת פוטנציאל הנזק - חישוב העוצמה
זמינות הנתונים /מהימנות/המקסימאלי כתוצאה מפגיעה בסודיות
(C I A .)לטובת חישוב העוצמה מומלץ להשתמש בטבלה הבאה:
4 3 2 1 שאלה
מהי רמת . 1
הנזק שייגרם
לארגון בעקבות
חשיפת מידע
?נכס/מהתהליך
C
הנזק מוערך
כאחד או יותר
מהקריטריונים
:הבאים
עלות של עד ( א
ח "ש 500,000
.לארגון
השקעה של ( ב
עד שני חודשי
אדם לצורך
. טיפול באירוע
הנכס מוגדר ( ג
כמאגר מידע
המנוהל על ידי
על פי יחיד
תקנות הגנת
הפרטיות
אבטחת )
(.המידע
הנזק מוערך
כאחד או יותר
מהקריטריונים
:הבאים
עלות לארגון ( א
-של יותר מ
, ח"ש 500,000
-אך פחות מ
.ח"ש 10,000,000
השקעה של ( ב
יותר משישה
אך , חודשי אדם
שנות 5-פחות מ
אדם לצורך
.הטיפול באירוע
הנכס מוגדר ( ג
כמאגר מידע
עליו רמת שחלה
האבטחה
הנמוכה על פי
תקנות הגנת
הפרטיות
(.אבטחת המידע)
הנזק מוערך
כאחד או יותר
מהקריטריונים
:הבאים
עלות לארגון ( א
-של יותר מ
.ח"ש 10,000,000
השקעה של ( ב
שנות 5-יותר מ
אדם לצורך
.הטיפול באירוע
הנכס מוגדר ( ג
כמאגר מידע
שחלה עליו רמת
האבטחה
פי הבינונית על
תקנות הגנת
הפרטיות
(.אבטחת המידע)
קיימת סכנה ( ד
אפשרית לחיי
.אדם
ייגרם נזק
, משמעותי
אשר יכלול
אחד משני
התרחישים
:מטה
קיימת ( א
סכנה ברורה
ומיידית
לחייהם של
. אנשים רבים
נזק כלכלי ( ב
המוערך ביותר
100,000,000-מ
.ח"ש
הנכס מוגדר ( ג
כמאגר מידע
שחלה עליו
האבטחה רמת
הגבוהה על פי
תקנות הגנת
הפרטיות
אבטחת )
.2(המידע
קיימת ( ד
סכנה ברורה
לבריאות
הציבור
קיימת ( ה
סכנה ברורה
.לחיי אדם
מהי רמת . 2
הנזק שייגרם
לארגון בעקבות
שיבוש המידע
)או נתונים(
הקיים
? נכס/בתהליך
I
מהי רמת . 3
הנזק שייגרם
לארגון בעקבות
השבתת
נכס /התהליך
לפרק זמן
? ממושך
A
2 http://www.justice.gov.il/Units/ilita/MainDocs/shlav2.pdf
-
19
לות הציון הגבוה ביותר שהתקבל לשלוש השא הינו נכס/לכל תהליךציון הערכיות
(I mp a c t = MAX הציון (. Iמסומן באות )של הסיכון העוצמהנה ציון זה גם מכו (.1-3
.נכס זה/פוטנציאל הנזק המקסימלי לארגון כתוצאה מפגיעה בתהליךמגדיר את
b. בין . עשוי לנבוע משקלול של מספר פרמטרים - חישוב ההסתברות
: פרמטרים אלו ניתן להביא בחשבון לדוגמה
i. סקירת אירועי סייבר שהתרחשו בשנים – היסטוריית אירועים
המערכות , מאפייניו, תוך בחינת המגזר בו פועל הארגון, האחרונות
האופייניות לו וכו במטרה להבין את סוגי המתקפות המוכרות
הבנת . מידת הנפוצות של כל סוג מתקפה/בעולם ואת התדירות
תסייע לתת משקל לתרחישים אשר , המגמות בעולם התקיפה
ובכך להיערך בצורה עדכנית לאתגרים , בתקופה האחרונה נצפו
.מגזר/הנוכחיים של הארגון
i i. במידה וברשות הארגון יכולת לבצע תהליך של – מודיעין סייבר
או באמצעות רכש /סריקות והרצת כלים ו, איתור מודיעין ברשת
: שים לב
עות מקובל בתחום הגנת הסייבר ואבטחת המידע לבחון את הנזק העלול להיגרם באמצ
:שלוש קטגוריות
ת או סוד תקיפת סייבר לצורך הדלפת פרטי לקוחו ,לדוגמה –פגיעה בסודיות הנתונים
.מסחרי החוצה אל האינטרנט
ח "וני הדוהמשנה את נת, תקיפת סייבר, לדוגמה -הנתונים ( מהימנות) פגיעה באמינות
ת את הכספי של החברה כך שהם אינם מייצגים נכונה את מצבה או תקיפה אשר משבש
.תפקודו התקין של פס הייצור
ינו זמין הגורמת לכך שהמידע א, תקיפת סייבר, לדוגמה – פגיעה בזמינות הנתונים
(.כופרה ( בעת נפילת אתר או נעילת קבצים, למשל. לחברה או ללקוחותיה
הטיות נפוצות בהערכת ערכיות הנכס : טיפלולה עלעיתים . הנכסים נדרש לבצע בשיתוף הגורמים העסקיים-את ניתוח ערכיותהנכס ידי בעל הנכס מהצד העסקי שסובר כי-על" עודף ערכיות"להיווצר תחושת
ורים אך היצמדות לתבחיני שאלון הערכיות אמ, שלו הינו הנכס החשוב בארגון .את המערכות על פני סקאלה אחידה נטולת הטיות לעזור לאמוד
תהליכים לפגיעה במהימנות הנתונים עלולה להיות השלכה על, כי לעיתים, שים לביות לבחינת משמעו, יש לשים לב כחלק מתהליך הערכת הסיכונים. במרחב הפיזי
I)בקרים תעשייתיים (, OT)של תקיפת סייבר על מערכות תפעוליות C S ,)צלמות מל ידי עמערכות לשליטה ובקרה ועל ציוד אשר פעמים רבות איננו מנוהל , אבטחה
I)אנשי מערכות המידע T.)
-
20
הארגון יוכל לקבל תמונת מצב מדויקת , של שירות מודיעין סייבר
להיערך נקודתית להגנה בהתאם לתמונה כמו גם, יותר
.שמשתקפת מראי התוקף
i i i. כמות וסוג לרבות , גודל משטח התקיפה– קלות המימוש
כמות וסוג , רמת ההגנה והנגישות הפיזית לנכס, המשתמשים
נתיבי )ת יריב ביחס לנתיבים הקריטיים "דפאו, הממשקים
ת ועוד עשויים להשפיע על קלו( אל הארגון/ויציאה מ/כניסה
המימוש של המתקפה
i v. מערכות אשר כוללות מידע –וסוג המידע המוטיבציה לתקיפה
איום עשויות לדוגמה להיות בעלות רמת, או מידע פיננסי/רפואי ו
, סוג המאגר, גודל המאגר. שונה ממערכות עם סוג מידע שונה
ם קיומם של מתחרים עסקיים וגורמים נוספי, זהות הבעלים שלו
המוטיבציה של בעלי עניין שונים לבצע משפיעים לא פעם על
.מתקפה כנגד הארגון
עשויה בעלי העניין ונזקים פוטנציאלים, סוגי המידע, שקלול של המוטיבציה
ת לסייע לארגון לייצר מפת סיכונים מדויקת יותר אשר מביאה בחשבון א
.הטבלה הבאה עשויה להוות כלי תומך החלטה בתהליך. ראיית היריב
החלטה להבנת והגדרת איום הייחוס לארגון מקטגוריה ב'כלי תומך
בטבלהניתן להיעזר , 1-4וקביעת ערך אשר נע בטווח של חישוב הסבירות, לטובת
כגון:
-
21
היסטוריית אירועים
מודיעין איומים בסייבר
מהו משטח התקיפה
ו א
ו/ן גו
רא
בש
חרת
הת
נורו
חאה
ם ני
שש
מח
בם
אה
?רב
ייס
ע רו
אין גו
רא
הי קפס
ב
םא
ה
ו א
ו/ן גו
רא
הי כ
םדי
עימ
ר ב
ייס
ן עי
דימו
י א
מצמ
ה מ
דות
לועי
פר
טוקס
בם
ניגו
רא
ו א
ו/ן גו
רא
הי קפס
?ה
פקי
ת ל
ףדעמו
ד ע ים
ויהו
מם
ולעבץ/
רא
ב
ר ש
אע
דמי
י כ
םדי
עימ
ר ב
ייס
ן עי
דימו
י א
מצמ
ם א
ה
ף דעמו
ד ע יה
ווה
מו ת
שורבק
זיח
מן גו
רא
ה
?ה
פקי
תל
)בש
חמ
י/בטי
קלי
פא
י/ש
נוא
( ם
שימ
תש
מה
ר פס
מ
בם
מיייקה
?ס
נכבך/
ליה
ת
?ס
נכה
ך/לי
הת
בם
ייש
נוא
הם
שימ
תש
מה
ם ה
י מ
?ת
רכעמ
לם
מיייקם
קיש
ממ
ה מ
כ ?
סנכ
הך/
ליה
תה
י קש
ממ
י פאו
ו ה
מ
?ת
רכעמ
בם
ייקה
ע דמי
הג
סוו ה
מ ?
תרכ
עמ
לקחו
רמ
ה ש
גית
מייקם
אה
?ת
רכעמ
בת
אוש
רה
הר
דומי
ת מ
רי ה
מ ?
סנכ
הך/
ליה
תה
ל ש
ת יוכנ
דעה
ת מ
רי ה
מ
חט
בא
הי א
טל ום
ניכו
דעה
ת יוינ
דמ
י ה
מ?ה
?ס
נכה
ך/לי
הת
הל
שת
זיפי
הה
חט
באה
ת מ
רי ה
מ
ת ההסתברות.א( אשר ייצג 1-4על בסיס הפרמטרים הנ"ל, ניתן לתת ערך מספרי )
:אופן שקלול הנתונים -חישוב רמת הסיכון לנכס
I) "סיכון שורשי" n h e r e n t r i s k) - ל מייצג את הערך המשוקלל ש
:פוטנציאל הנזק המירבי עם ההסתברות התיאורטית למתקפה
I)שקלל את עוצמת הנזק הפוטנציאלי mp a c t )נה הנגזרת מערכיות יעד ההג
P)עם ההסתברות שאירוע סייבר יתרחש בנכס זה r o b a b i l i t y .) שקלול
( P)וההסתברות ( I)ערכיות /זה עשוי להתבצע באמצעות הצבת ערכי העוצמה
:במטריצה מטה
Re) "סיכון שיורי" s i dua l r i s k) - מאחר וארגונים מיישמים בקרות הגנה ,
רמת הסיכון הנשקפת לארגון , ניטור ועוד, הצפנה, כגון ניהול הרשאות גישה
לאחר שקלול הבקרות , רמת הסיכון. פחותה בפועל מרמת הסיכון השורשית
".סיכון שיורי"מיוצגת באמצעות הערך אשר נקרא , הקיימות בפועל
-
22
ום ילויות להפחתת הסיכון באמצעות צמצביכולת הארגון לבצע פע, לעיתים
I)פוטנציאל הנזק mp a c t) .ים באמצעות היערכות עם מערך גיבוי, לדוגמה
חית את היכולת של ארגון להפ, יחד עם זאת. רכישת ביטוח סייבר ועוד, יעיל
משטח החשיפה והפחתת מתבצעת באמצעות הקטנת , על פי רוב, הסיכון
, טכנולוגיות, באמצעות יישום בקרות)להתממשות אירוע סייבר ההסתברות
(. נהלים ותהליכי הגנה
מת לרללהפחית את רמת הסיכון בהתאם נדרש , לטובת חישוב הסיכון השיורי
.בפועל קיימותהבקרות האפקטיביות היישום של
:באמצעות הנוסחה הבאה הסיכון השיוריניתן לייצג את רמת , לפיכך
(I mp a c t X L i k e l i h o o d ) - C o n t r o l s
Ri)אומדן הסיכון 3 s k e v a l u a t i o n)- לאחר קבלת רשימה של סיכונים
ת הסיכון נדרש לאמוד א, או איומים מדורגת על פי סדר העדיפויות לטיפול/ו
.בהשוואה לרמת הסיכון אשר מקובלת על הארגון
אשר מקובלת גבוהה מרמת הסיכון, כאשר רמת הסיכון השיורי –" סיכון מטרה"
Ri) על הארגון s k a p p e t i t e) , נדרש לבנות תכנית הפחתה
(Mi t i g a t i o n p l a n )אל , אשר תכליתה להפחית את רמת הסיכון השיורי
.רמת הסיכון הרצויה
ת או נוסחה בינלאומי/נמצא כי לא קיימת מתודה ו, בסקירת ספרות מקצועית
ניתן להיעזר באחת משתי החלופות , לפיכך. מקובלת לחישוב סיכון המטרה
:הבאות
ימוש במתודה בה מבצע ארגונך שימוש בתחום ניהול הסיכונים בצע ש .1
(. תפעוליים וכו, אשראי, סיכוני ציות)
: לדוגמה. שימוש בקווים מנחים אשר יוגדרו על ידי הארגון .2
ון יישום כלל הבקרות המוצעות להפחתת הסיכון תוריד את רמת הסיכ .2.1
הסיכון אחוז אשר תוריד את רמת 50בשתי רמות לעומת יישום של
.ברמה אחת
בהינתן מימוש ( עוצמה והסתברות)ביצוע הערכת הסיכון מחדש .2.2
.הבקרות אשר הארגון החליט לשלב בתכנית ההפחתה
לת לסיכון חוסר סיבו, כגון)הגדרת סיכון מירבי אותו הארגון יכול להכיל .2.3
בניית תכנית להפחתת הסיכונים אשר נמצאו(. 10ברמה העולה על
.וצמצום הסיכונים הגבוהים, ך זהבמפת החום מעל לער
.ןדוגמת בדיקות חוס, שימוש באמצעים אימפריים לאישוש או הפרכה .2.4
-
23
ול מתבצעת הערכה של הסיכונים שנותחו והחלטה לגבי אופן הטיפ, בשלב זה
יטיות קררמת ה: תביא בחשבון בין היתר את השיקולים הבאים, החלטה זו. בהם
ו אשירות וספקימידע מערכות , טופולוגיה של הארגון, התהליך העסקישל
. ים ועודיכולת תגובה וטיפול בסיכונ, מעורבים בתהליכים הקריטייםאשר מוצר
תיאור התרחיש שם הסיכון
ן יו
צ( ת
רובי
ס
ח וו
טב
1-4
)ן
יוצ( המ
צעו
ח וו
טב
1-4
)י ש
רשו
ן כו
סי
ה מ
צעו
ל לו
קש
(
ת(רו
בת
סהו
ת רו
קבהת
כואי
מיי
קה
תו
רי יוש
ן כו
סי
אובדן יתרון
תחרותי
כתוצאה
מדלף מידע
רגיש
הוצאת מידע לא מורשית
באמצעות התקן זיכרון
נייד על ידי עובד הארגון
באמצעות שליחתו או
עסקי על ידי /במייל פרטי
עובד הארגון
אובדן הכנסה
כתוצאה
מהשבתת
התקשורת
בין הסניפים
אירוע כופרה ברשת
הארגונית
חשיפה
משפטית
עקב אי ציות
או /לחקיקה ו
רגולציה
הוצאת מידע לא מורשית
באמצעות העלאת המידע
לשירות ענן על ידי ספק
בצורה לא
מבוקרת/מורשית
אובדן הכנסה
כתוצאה
מחוסר יכולת
לבצע סליקה
מתקפת מניעת שירות על
אתר החברה
פגיעה
במוניטין
כתוצאה
מפריצה
מהותי לספק
לארגון
ניצול ממשק גישה מרחוק
הארגון ספק מוללארגון
.דורגיםמפת איומים/סיכונים מהארגון בידי ההיה מצוית, בסוף שלב זה
-
24
טיפול בסיכון: 3שלב
. לא ניתן לקיים פעילות ללא חשיפה לסיכון כלל, ככלל
צריכה להתבצע אל מול שקלול של מספר, השקעת תשומות להפחתת הסיכון
רמת , משך ההטמעה, מבחן עלות תועלת כלכלית לארגון: פרמטרים כגון
ם עחובות משפטיות של הארגון מכח התקשרות , הסבירות להתממשות הסיכון
( רתיתדוגמת אחריות חב)שיקולים מוסריים , ורגולציהאו מכח חוק /ספקים ו
.ופרמטרים נוספים שהוחלטו על ידי הנהלת הארגון
בלות הארגון יחלק את כלל הסיכונים לארבע האפשרויות המקו, בסוף שלב זה
:בעולם לטיפול בסיכון
Ri) קבלת הסיכון .א s k a c c e p t a n c e )– בוהבמקרה בו הסיכון איננו ג ,
נה יחליט לבצע את הפעילות ללא יישום של בקרות הגייתכן והארגון
היא במקרה בו הצעדים הנדרשים להפחתת, דוגמה נוספת. ייעודיות
הסיכון עולים על הסף אותו הארגון מוכן להשקיע אל מול האיום
ייתכן וארגון יחליט כי הגישה למחשבי החברה: לדוגמה. הספציפי
עלות הכרוכה בהטמעת בשל ה, תתבצע ללא תהליך של הזדהות חזקה
דע מנגנון הזדהות חזקה או בשל ייחוס משקל נמוך לסיכון לפיו המי
.שבמערכת ידלוף
R) הפחתת הסיכון .ב i s k r e d u c t i o n)– במידה והפעילות הארגונית
רות ניתן לבחון יישומן של בק, על אף הסיכונים הגלומים בה, נדרשת
: לדוגמה. ברהגנה אשר מפחיתות את הסבירות להתממשות אירוע סיי
במידה ולארגון ישנן עמדות מכירה אשר מבצעות סליקה באמצעות
של מקובל שהארגון יישם בקרות הגנה להפחתת הסיכון, כרטיסי אשראי
ר ול מניעת חיבולבקרות אלו עשויות לכ. דלף פרטי אשראי מהעמדות
ים הצפנת הנתונ, ניהול הרשאות על תחנות העבודה, התקנים חיצוניים
.ועוד הרגישים
R) העברת הסיכון .ג i s k T r a n s f e r)– במקרים בהם נדרש לבצע את
, ידע)אך אין ברצון הארגון להחזיק במשאבי ההגנה הנדרשים , הפעילות
'. צד גניתן לנקוט באפשרות של העברת הפעילות ל'(, כח אדם וכו, כלים
רשתות בבמידה וארגון מעוניין להקים אתר אינטרנט או פרופיל : לדוגמה
ן ייתכ, אשר אין בידיו את המשאבים הנדרשים להגנה עליו, יותחברת
פת אפשרות נוס. והביצוע יועבר לקבלן משנה אשר יקים ויגן על האתר
עם . נטיהינה רכישת ביטוח סייבר כנגד הסיכון הרלוו, של העברת הסיכון
ת את הדעת כי פעמים רבות החוק אינו מסיר את אחריו תתיש ל, זאת
.דוגמת דליפת מידע אישי, אירוע סייבר הארגון במקרה של
-
25
R) דחיית הסיכון .ד i s k a v o i d a n c e )– במקרים בהם רמת הסיכון
ל ניתן לנקוט באפשרות ש, גבוהה מאוד והסבירות להתממשותו גבוהה
ידה במ: לדוגמה". איפוס הסבירות להתממשותו"דחיית הסיכון באמצעות
אגר מכלים להגן על כי אין בידיה את הידע וה, והנהלת הארגון מבינה
או , זהייתכן ויוחלט שלא להחזיק מאגר כ, המידע אותו היא רוצה להקים
.מידע רגיש מאוד, שלא לאחסן בו מלכתחילה
, כוןהסי כי נדרשת לבצע פעילות של הפחתת, עבור נכסים בהם החליט הארגון
ל כוללות פעילויות כגון ניהו, בקרות אלו". בקרות הגנה"נדרש ליישם
.ביצוע גיבוים ועוד, ניטור, הצפנה, משתמשים
י של מושפעת ישירות מרמת הסיכון השיור, נכס/רמת ההגנה לכל תהליך עסקי
. הנכס
רש נד, לרמת הסיכון המקובלת על הנהלת הארגון, לטובת הפחתה של הסיכון
. ון לבצע שימוש בבנק הבקרות המופיע בנספח ג של מסמך זההארג
:אופן השימוש בבנק הבקרות
בקרות . מורכבת מתכנון יישום והטמעה של בקרות הגנה, שגרת ההגנה בסייבר
, להלן מוצרים ואנשים אשר מבצעים פעילויות שונות, אלו כוללות תהליכים
. במטרה להפחית את סיכוני הסייבר לארגון( Controls)" בקרות"
מקובל להציג במסגרת רעיון מסדר אשר משקף את , את הבקרות השונות
F)הקשרים שבין הבקרות השונות r a me wo r k .)
בר מתוך מטרה להביא את הידע המקצועי והניסיון הרב שנצבר במערך הסיי
מקובלות ולאפשר לארגונים במשק לקבל תאימות למסגרות עבודה , מחד
שר נכתבו על ידי מערך הסייבר הלאומי בקרות ייעודיות א, בעולם מאידך
מה כאשר הן מאוגדות לתוך מסגרת הדו, מתאימות למתאר האיומים העדכני
NIלזו של S T C y b e r S e c u r i t y F r a me wo r k .
ר את כוללות מאפיינים ייחודיים אשר כוללים בין הית, בקרות תורת ההגנה
הצגת דגשים ליישום הבקרה באופן ", עומק יישום ההטמעה"ההבניה של
דגשים וראיות נדרשות לטובת הבניית תשתית מקצועית להסמכה , מיטבי
.למתודה זו ועוד
-
26
מסגרת בקרות תורת ההגנה
Identify
Protect
Detect
Respond
Recover
אחריות הנהלה ודירקטוריון•ניהול סיכונים והערכת סיכונים•
בקרת גישה•הגנה על מידע•מחשוב ענן•הגנה על יעדי הגנה•הגנה על תחנות עבודה ושרתים•הגנה פיזית וסביבתית•הגורם האנושי•OTהגנה על סביבות •
אבטחת רשת•קריפטוגרפיה•
מתודולוגיה ונהלי עבודה לטובת ניטור •הגנת מידע וסייבר
(מיפוי)הגנת סייבר פרואקטיבית •איסוף והגנה על ארטיפקטים•מערך ניטור מרכזי•ניתוח ואנליזה•
ניהול אירועים ודיווח•
המשכיות עסקית•
-
27
בדוק מהן הבקרות 'בנספח גהנמצאות אל מול רשימת בקרות ההגנה
צע ב. נכס עבורו נדרש להפחית את רמת הסיכון/הרלוונטיות לתהליך העסקי
G" )בחינת תאימות פערי הגנה"תהליך של a p An a l y s i s ,) תוך הגדרת
קבל הארגון י, בסיום תהליך זה. עומק היישום הנדרש מכל בקרה רלוונטית
ק היישום בקרות נדרשות למימוש וזאת בהתאם לעומ, רשימת פערים
.הרלוונטי
עיתים ל, מענה לסיכונים שונים ולתהליכים שונים תמאחר ובקרות שונות נותנו
ומשתמשים " רציפה"ארגונים בוחרים לממש את המעבר על הבקרות בצורה
וץ נע, החסרון העיקרי בשיטה זו(. קליסט'צ)למעשה בבקרות כרשימת תיוג
ומוכוונת תאימות " יתציות"בעובדה שהארגון בוחן את הבקרות בראיה
R)תקן ולא בראיה מוטת ניהול סיכונים /לרגולציה i s k b a s e d V s
C o n t r o l b a s e d.)
רשות כל הבקרות נד אול, מאחר ולא כל הבקרות מיושמות באופן זהה בארגון
ן לארגו יעדי הגנה מהותייםוודא כי עבור , נכס/למימוש עבור כל תהליך
כי למרות שעל פי רוב בקרות , הניסיון מראה. מתבצעת בדיקה פרטנית
רה הרי שישנם לא מעט מקרים בהם הבק, מיושמות בארגונים בצורה רוחבית
. מערכת ספציפית/לא יושמה בתהליך
היעזר ברמת הערכיות , מאחר ולא כל הבקרות נדרשות למימוש בכל נכס
.לטובת מיקוד רשימת הפערים 3שהוגדרה לכל נכס בשלב
(.4שלב )סיס לבניית תכנית העבודה של הארגון רשימת פערים זו תהיה הב
בסוף שלב זה, הארגון יחזיק ברשימה שיכולה להיראות לדוגמה כך:
C -מערכת ה כלל הארגון בקרה RM מערכת תשלום
לספקים
יש לממש : 4.30
mu l t i f a c t o r
a u t h e n t i c a t i o n עבור
התחברות חשבונות בעלי הרשאות
וזאת בהתאם , יתר דרך הרשת
Xלעומק יישום
קיים
חלקית
נדרש לממש קיים
יש להגדיר ולהטמיע אמצעי : 6.4
אבטחה על מנת לאתר ולהתריע על
שינויים בלתי מורשים בהגדרות
וזאת בהתאם לעומק יישום , תצורה
X
קיים
תהליך
מסודר
בארגון
המערכת נמצאת
בענן ואין לנו
שליטה ישירה
על מימוש
אך , דרישה זו
ניתן להציב
דרישות לספק
קיים
-
28
יש להשתמש בכלים חוזיים : 16.2
ומשפטיים בעת רכישת מערכת
וזאת , מידע או שירות מספקים
Xבהתאם לעומק יישום
אין תהליך
מסודר של
החתמת
ספקים
בארגון
הספק הוחתם על
הצהרה
ל "מדובר בספק מחו
אשר אין
באפשרותנו
נבחן את . להחתימו
הדרישות אל מול
ההסכם הגנרי מול
הספק
: בניית תכנית עבודה4שלב
שום בהתאם לעומק היי)ובחינת הבקרות הנדרשות , לאחר מיפוי יעדי ההגנה
ליך נדרש לבצע תה, להטמעה בארגון לטובת הפחתת הסיכון השיורי( הנבחר
.הגדרת תכנית עבודה למימוששל תעדוף ו
לטובת מיטוב סדר הפעולות ומקסום התועלת המופקת מהמשאבים המוקצים
ית ראוי להביא בחשבון את ראיית היריב בעת בניית תכנ, בתכנית העבודה
לק ניכר ראוי לציין ח. העבודה והגדרת סדר העדיפויות של הפרויקטים השונים
וב חיש" - 2גזר משלב זה אמור להי במהמידע הנדרש להשלמת של
".ההסתברות
:הבנה זו מביאה בחשבון בין היתר את ההיבטים הבאים
מהם נתיבי התקיפה הנפוצים ביותר: 4.1
מסייעת למיקוד, הבנה של האופן בו רואים התוקפים את הארגון מבחוץ
ת סיווג התוקפים והמתקפו. המאמצים ולהגדרת סדר עדיפויות יעיל יותר
:בצורה פשטנית בהתאם לחלוקה הבאהעשויה להתבצע
ורם ג, של הארגון' צד ג/שותף חיצוני, גורם פנימי לארגון: מקור התקיפה
.חיצוני לארגון
בשוגג או במזיד: אירוע/סיבת המתקפה
ם מהם עשויה להציב בפני ארגון מטריצה אשר ממקדת אותו באיומי, חלוקה זו
דע אשר מנסה להוציא מי אירוע של עובד פנימי, לדוגמה. הוא יותר חושש
צאה בשוגג כתו' גרימת נזק על ידי ספק שירות צד ג, רגיש מהארגון בזדון
מטרה אירוע שמקורו מבחוץ והוא נגרם בזדון מתוך, מרמת הגנה נמוכה אצלו
'.לגרום נזק לארגון או להפיק תועלת אחרת מהמתקפה וכו
ארגון לא הגישה זו עשויה למקד את הארגון ולסייע בסיווג איזורי הסיכון בהם
. השקיע משאבים לטיפול
פות המוחלט של תקיהרוב הראה כי , ניתוח של אירועים רבים, יחד עם זאת
:התבצע שימוש באחד מהערוצים הבאים, הסייבר
-
29
RDP ,Sכגון ) ניצול ממשקים חיצוניים .1 S H ,F T P ועוד)
שור עם קובץ זדוני או קי) קה באמצעות שליחת דואר אלקטרוניהחדרת נוז .2
(לאתר נגוע
(אשר מורידים פוגען לעמדת הקצה) גלישה לאתרים נגועים .3
מצריכה מהתוקף משאבים , תקיפה שלא באמצעות תווך האינטרנט ישירות
רת ניצול שרש, שימוש בהנדסה חברתית: רבים והפעלת אמצעים נוספים כגון
ים השגת נגישות פיזית ומשאבים אשר הופכ, מבצעי הטמנה ביצוע, האספקה
.את המתקפה למורכבת ויקרה יותר
מכוונת את הארגון להעדפת פרויקטים אשר , הסתכלות מנקודת מבט זו
. מקשים על היכולת של התוקף להשיג נגישות לרשת הארגון ואחיזה בה
טמעת באמצעות ה, לדוגמה)פרויקטים אשר תכליתם להגן על הממשקים
MF A ,) לדוגמה באמצעות )הגנה על שרת הדואר הארגוניma i l r e l a y ,
s a n d b o x ,)ו יקבל, הקשחת ממשקים למזעור שימוש בפרוטוקולים מסוכנים
.עדיפות גבוהה יותר בתכנית העבודה
ה אל עשויה לספק מענ, מימוש תהלכי הקשחה ואמצעי הגנה עבור נתיבים אלו
:מידה מטהמול שתי השכבות התחתונות בפיר
ים מאופיו כי לארגונים שונים סיכוני סייבר שונים אשר נובע, יש לקחת בחשבון
שר מקור ייתכן וארגון א, כך לדוגמה. ומתוך מאפייניו הייחודיים של הארגון
ל יעדיף להשקיע באמצעים להגנה ע, הכנסתו העיקרי הינו אתר הסחר שלו
Anהאתר דוגמת t i d d o s אוWAF וצר להגנה על תיבות טרם השקעה במ
.המייל הארגוני
0מתקפות המשלבות ניצול DAY ,שרשרת אספקה ,
שבירת הצפנה
חולשות , ניצול ממשקי גישה חשופיםהשגת הרשאות , (Day-1)מוכרות
גבוהות
& Poor security)מתקפות המנצלות רמת הגנה ירודה Misconfigurations)
-
30
דירה עבור רוב הארגונים בעולם נמצא כי התגוננות בערוצי הח, יחד עם זאת
ש לכל לארגון בממשקים השונים שלו מול האינטרנט מהווים בסיס מינימלי נדר
.ארגון מול רוב סוגי המתקפות
לו הוא מו אל מול איום הייחוס, שיפור רמת החוסן של ארגון לאורך ציר הזמן
מה עשוי לבוא לידי ביטוי באמצעות אימוץ והטמעה של בקרות מר, מתמודד
יביות וכן באמצעות העמקת אפקט( 4-ו 3כגון בקרות מרמה )גבוהה יותר
"(עומק יישום הבקרה)"הבקרות
ם אשר לרוב מיוחסי, ארגון אשר נדרש לתת מענה לאיומים מתקדמים יותר
, ייםכמו גם גורמי תקיפה מדינת, מתקדמותלאיום ייחוס של קבוצות תקיפה
.מורכבת יותר תפיסת הגנהנדרש לבצע תכנון אשר מתבסס על
גיבוש ואימוץ תפיסה מתקדמת להתמודדות עם איומים מתקדמים 4.2
כוללת , תפיסת הגנה אשר נדרשת לתת מענה אל מול איומים מתקדמים
.גישות הגנה מתקדמות
וי לארגון להשיג תכליות מתקדמות כגון שיטשילוב של גישות אלו יסייע
ה של ואף יצירת הרתע, התשה של התוקף, והטעית התוקף במטרה להרוויח זמן
.תוקפים פוטנציאלים
:עקרונות אלו עשויים לכלול בין היתר
מניעה והונאה(D&D – De n i a l & De c e p t i o n )
הסוואה(C l o a k i n g ) וערפול(Ob f u s c a t i o n )
מניעת חבלה(T a mp e r i n g Re s i s t a n c e ) וחשיפת חבלה
(T a mp e r -E v i d e n t )
הגנה שקטה(S i l e n c e De f e n s e )
שונות /גוניות-רב(Di v e r s i t y )
ציד איומים(T h r e a t Hu n t i n g )
בקרה רציפה ומתמשכת(C o n t i n u e s Mo n i t o r i n g )
צייד איומים(T h r e a t Hu n t i n g )
משטח תקיפה דינמי(MTD – Mo v i n g T a r g e t De f e n s e )
MIדבר עשוי לבוא לידי ביטוי באמצעות אימוץ מסגרות עבודה כגון ה T RE ,
K i l l C h a i n C y b e r ובאמצעות פריטת התפיסות לתהליכים ושגרות הגנה
. בארגון
רות ות להטמעתם בשגאדוגמות למרכיבים בתפיסה ארגונית ואדוגמלהלן מספר
:ההגנה
-
31
ותאדוגמ תכלית הסבר רכיב
שחיקה התשה
הדרגתית
ומתמשכת
בכושר
הלחימה של
התוקף על
ידי פגיעה
מצטברת
, בגיסותיו
באמצעיו
על )וברוחו
פי מילון
(ל"מונחי צה
שינוי
משוואת
הכדאיות
של התוקף
מול הגוף
. המגן
הגבהת
החומות
על מנת
שהגוף
לא , המגן
יהיה היעד
המועדף
להשגת
תכלית
התקיפה
ביצוע פעולות
פרואקטיביות
י "תדירות גבוהה עב
המגן לשם בחינת
תקינות משטח
התקיפה החיצוני של
הארגון עשוי לאפשר
זיהוי וטיפול , גילוי
בחולשות בטרם
כפועל . ינוצלו לרעה
תוקף , יוצא מכל
פוטנציאלי עשוי
לגלות כי שימוש
בשיטות תקיפה
דוגמת )קונבנציונליות
We b s h e l l ) כנגד
הארגון אינו אפקטיבי
שר יחייב דבר א, דיו
את התוקף לפתח
אמצעי תקיפה
דבר אשר )חלופיים
בתורו מייקר את
עלות התקיפה
או שהתוקף ( ומשכה
יעדיף לעבור ליעד
חלופי אשר נגיש
.יותר
הבנה מצבית
בסייבר
היכולת
לייצר הבנה
טובה של
יצירת
התשתית
לקבלת
נפוץ כי מערך הגנת
הסייבר בארגונים פועל
. במחסור משאבים תמידי
-
32
ותאדוגמ תכלית הסבר רכיב
(S i t u a t i o na l
)Awa r e ne s s
המתרחש
במרחב
הסייבר ושל
השלכותיו
על רציפות
התפקוד
משק/בארגון
החלטות
על בסיס
הבנה
מצבית של
האיומים
העיקריים
אל מול
נכסי
הליבה של
הארגון
ארגון אשר , עם זאת
ישכיל להבין מהם יהלומי
C)הכתר r o wn
J e we l s של הארגון (
ומהם וקטורי תקיפה
(A t t a c k V e c t o r )
העדכניים אשר תוקף
פוטנציאלי עשוי
יוכל , להשתמש בהם
לתעדף נכון יותר את
מאמצי ההגנה
פעולה או הרתעה
תהליך של
, איום
המונעים מן
התוקף
נקיטת
פעולה בשל
חשש מפני
. תוצאותיה
ההרתעה
יוצרת בקרב
-התוקף הלך
רוח בדבר
קיומו של
, איום אמין
שאין לו
נגד -פעולת
.בורוע
ראוי לציין
כי היכולת
ליצור
הרתעה
תלויה
הפחתת
המוטיבציה
של יריב
לתקוף את
הארגון
הקפצת הודעה למשתמש
אשר ביצע פעולה אשר
חשודה כניסיון לאסוף
בה , מודיעין לפני תקיפה
ייתכן ואתה "נכתב כי
מבצע פעולה אשר
כל –מוגדרת כלא חוקית
פעולה שלך מרגע זה
מנוטרת ומתועדת
והארגון שומר לעצמו את
עים הזכות להגיב באמצ
הרתעה עשויה ". שונים
להיות ממומשת
באמצעים רכים יותר
דוגמת הסכמים
משפטיים ועד לאמצעים
Haמסוג c k B a c k .
פעילות כזו , בכל מקרה
נדרשת להיות מלווה
בייעוץ משפטי בשל
הסיכונים המובנים
שגלומים בה
-
33
ותאדוגמ תכלית הסבר רכיב
של בקיומה
סמכות
חוקית
, מתאימה
ולפיכך
יכולת
ההרתעה של
הארגון
במקרה זה
תהיה
מבוססת
בעיקרה על
שימוש
במכשירים
משפטיים
. ופיננסים
במקביל על
הארגון
לוודא כי
הוא מפעיל
מכשירים
אלו בעת
וזאת , הצורך
מנת -על
לשמור על
אמינות
ההרתעה
מניעה והונאה
(D&D – De n i a l
)De c e p t i o n&
באמצעות
שימוש
באמצעים
ת ושיטו
מסוג אלו
ניתן לשטות
ואף , בתוקף
השגת זמן
מרגע
תחילת
התקיפה
ועד
, למימושה
לטובת
תחת משפחה זו ניתן
שימוש דוגמהלכלול ל
במלכודת דבש
(Ho n e y p o t אמולציה , (
(Emu l a t o r אסימוני , (
דבש
(Ho n e y t o k e n s ) ,
-
34
ותאדוגמ תכלית הסבר רכיב
לאסוף מידע
מודיעיני רב
עם . ערך
, זאת
ההצלחה
בפועל
תלויה
ביכולת
ההקבלה של
אמצעים
ושיטות
העבודה
לסביבת
הייצור
הקיימת או
לזו שהתוקף
מאמין כי
היא קיימת
בפועל
למידת
דרכי
הפעולה
, יבשל היר
לצד קבלת
התראה
מוקדמת
על
ניסיונות
תקיפ