צוות IT המונה שלושה אנשים יכול להגיב לאירוע אבטחה בפחות מארבע שעות אם הוא פועל לפי ספר פעולות המבוסס על NIST SP 800-61 ומשתמש בכלים בקוד פתוח. ההבדל בין בלימת תוכנת כופר תוך דקות לבין אובדן ימים בשחזור טמון בתיעוד ארבעת השלבים: הכנה, זיהוי, בלימה ופוסט-מורטם — ולא בתקציב.

מדוע הצוות הקטן מהיר יותר מהצוות הגדול?

עסקים קטנים ובינוניים באמריקה הלטינית מגיבים לאירועים ב-37% מהר יותר מחברות עם צוותי אבטחה ייעודיים, לפי נתוני CyberShield לשנת 2023. הסיבה אינה טכנית, אלא ארגונית. צוות של 1-3 אנשים אינו כולל שכבות אישור, ישיבות תיאום או הסלמות ביורוקרטיות. אך אותה זריזות עצמה הופכת לכאוס אם אין ספר פעולות כתוב.

בשנת 2022, עסק קטן ובינוני מקסיקני בתחום הלוגיסטיקה איבד 18 שעות בבלימת מתקפת כופר מכיוון שהמנהל היחיד של המערכות ניסה "לתקן" את הבעיה על ידי הפעלה מחדש של השרתים מבלי לבודד אותם תחילה. התוכנה הזדונית התפשטה לגיבויים. החברה שילמה כופר לא בגלל חוסר בכלים, אלא בגלל חוסר בתהליך. תיעדנו ב-CyberShield כי 82% מהאירועים בעסקים קטנים ובינוניים באמריקה הלטינית מחמירים בשל פעולות מאולתרות בשעתיים הראשונות.

NIST SP 800-61 Rev 2 מגדיר ארבעה שלבים לטיפול באירועי אבטחה. בצוותים קטנים, שלבים אלה אינם סדרתיים: הם מקבילים. בזמן שחבר אחד מבודד נקודת קצה, אחר מודיע ל-CSIRT הלאומי והשלישי מתעד בכרטיס קריאה. המפתח טמון בחלוקת אחריות לפי מיומנויות, ולא לפי תפקידים.

שלב 1: הכנה — ספר הפעולות שמתאים לדף אחד

ספר פעולות שימושי לעסקים קטנים ובינוניים חייב לכלול שלוש תכונות: להיות קצר, ניתן לביצוע על ידי מי שאינו מומחה לאבטחה, ומודפס במקום גלוי. התבנית בה אנו משתמשים ב-CyberShield עבור לקוחות היא כדלקמן:

1. זיהוי ראשוני
- כלי: Wazuh (קוד פתוח) עם כללים מותאמים לאמריקה הלטינית (לדוגמה: זיהוי דיוג בספרדית).
- פעולה: אם Wazuh מייצר התראה ברמה "High" או "Critical", הצוות חייב:
א) לוודא במסוף של Wazuh אם האירוע מתואם עם אירועים אחרים.
ב) לצלם את לוח המחוונים ולהוסיף אותו לכרטיס הקריאה.
ג) להודיע לאיש הקשר המיועד (לדוגמה: "חואן הוא איש הקשר לאירועים השבוע").

2. בלימה
- נקודת קצה: ניתוק המכשיר מהרשת (כבל פיזי או WiFi). לא לכבות.
- שרת: בידוד VLAN במתג (פקודה: switchport access vlan 999).
- ענן: ביטול הרשאות IAM זמניות וסיבוב מפתחות API.

3. תקשורת
- פנימי: קבוצת WhatsApp/Telegram עם כל העובדים. הודעה מאושרת מראש: "מתרחש אירוע אבטחה. אין לפתוח מיילים או להוריד קבצים עד להודעה חדשה."
- חיצוני: תבנית הודעה ללקוחות (ראו סעיף 5).
- CSIRT: שליחת דיווח ראשוני ל-CSIRT הלאומי תוך שעתיים הראשונות (חובה במקסיקו, קולומביה וצ'ילה).

ספר הפעולות חייב לכלול גם:

כלים בקוד פתוח חיוניים לשלב זה:

ב-CyberShield אימתנו כי צוות של שני אנשים יכול לפרוס כלים אלה בפחות מארבע שעות באמצעות מכולות Docker. העלות: אפס, בנוסף לזמן ההגדרה.

שלב 2: זיהוי — כיצד להבחין בין התראה שגויה למתקפה אמיתית תוך 15 דקות

68% מההתראות בעסקים קטנים ובינוניים הן התראות שווא, לפי נתוני ENISA. ההבדל בין התעלמות מהתראה אמיתית לבין בזבוז זמן על התראה שגויה טמון בשלוש שאלות:

  1. האם האירוע משפיע על נכס קריטי? (לדוגמה: שרת חשבוניות, מסד נתונים של לקוחות).
  2. האם יש מתאם עם אירועים אחרים? (לדוגמה: ניסיון כניסה כושל לשרת + תהליך לא מוכר הפועל).
  3. האם ההתנהגות חריגה עבור משתמש/מכשיר זה? (לדוגמה: רואה חשבון שפתאום מריץ PowerShell).

כלל מעשי: אם לשתי שאלות מתוך השלוש יש תשובה חיובית, האירוע נחשב לאירוע עד שיוכח אחרת.

דוגמה קונקרטית: בשנת 2023, עסק קטן ובינוני ארגנטינאי קיבל התראה מ-Wazuh על תהליך mimikatz.exe בשרת. המנהל התעלם מההתראה כהתראה שגויה מכיוון ש"השרת אינו כולל משתמשים אינטראקטיביים". המתקפה הסלימה לתוכנת כופר תוך שלוש שעות. החברה איבדה גישה לחמש שנות חשבוניות אלקטרוניות. הפעולה הנכונה הייתה:

  1. לוודא ב-Wazuh אם היו אירועים נוספים בשרת זה (היו: מספר ניסיונות כניסה כושלים ב-RDP).
  2. לבודד את השרת באופן מיידי (פקודה iptables -A INPUT -s IP_SERVIDOR -j DROP).
  3. להריץ את Velociraptor לאיסוף ראיות (velociraptor -v collect Windows.KapeFiles.Targets --output evidence.zip).

כלים להאצת הזיהוי:

שלב 3: בלימה — בידוד ללא השמדת ראיות

לבלימה שני יעדים סותרים: עצירת המתקפה ושימור ראיות. בצוותים קטנים, זה מתורגם ל:

  1. בלימה מיידית (דקות):
    - נקודות קצה: ניתוק מהרשת (לא כיבוי).
    - שרתים: בידוד VLAN או חסימת IP בחומת אש.
    - ענן: ביטול הרשאות IAM וסיבוב מפתחות API.
    - דואר: חסימת דומיין השולח בשער הדואר (לדוגמה: postfix access).
  2. בלימה לטווח בינוני (שעות):
    - יצירת snapshot של המכונה הווירטואלית או הדיסק הקשיח.
    - הרצת כלים לחקירה מרחוק (Velociraptor, KAPE).
    - שינוי כל הסיסמאות של חשבונות בעלי הרשאות גבוהות.

טעות נפוצה: כיבוי מכשיר שנפרץ. פעולה זו מוחקת את הזיכרון הנדיף, שם נמצאים בדרך כלל פריטי ראיות קריטיים כמו מפתחות הצפנה של תוכנות כופר או חיבורים פעילים ל-C2. במקום זאת, יש להשתמש בכלים כמו dd ליצירת תמונת דיסק משפטית:

dd if=/dev/sda of=/mnt/backup/evidencia.img bs=4M status=progress

בענן, יש לקחת snapshots של מופעים וכרכים לפני כל פעולה. דוגמה ל-AWS:

aws ec2 create-snapshot --volume-id vol-1234567890abcdef0 --description "Snapshot pre-incidente"

תיעוד חובה במהלך הבלימה:

שלב 4: פוסט-מורטם — הדוח שמציל את החברה (ואת הצוות)

הפוסט-מורטם אינו טקס: זהו המסמך שקובע אם החברה תשרוד את האירוע. הוא חייב לענות על שלוש שאלות:

  1. מה קרה? (ציר זמן מפורט עם שעות ופעולות).
  2. מדוע קרה? (סיבת שורש: פגיעות מנוצלת, טעות אנוש, חוסר בתהליך).
  3. מה נעשה כדי שזה לא יקרה שוב? (פעולות קונקרטיות עם אחראים ומועדים).

תבנית פוסט-מורטם לעסקים קטנים ובינוניים (מבוססת על ENISA Good Practice Guide):

1. סיכום מנהלים
- תאריך ושעה של האירוע: [DD/MM/YYYY HH:MM].
- סוג האירוע: [כופר/דיוג/דליפת נתונים וכו'].
- השפעה: [לדוגמה: "אובדן גישה ל-3 שרתים למשך 8 שעות. נתוני לקוחות לא נפגעו"].
- זמן זיהוי: [דקות/שעות מתחילת האירוע].
- זמן בלימה: [דקות/שעות מזמן הזיהוי].

2. ציר זמן
| שעה | אירוע | אחראי | ראיה | |------------|------------------------------------------------------------------------|-------------|--------------------| | 14:32 | Wazuh מתריע: תהליך mimikatz.exe ב-SRV-DB-01 | אנה | צילום מסך #1 | | 14:35 | SRV-DB-01 מבודד מהרשת (VLAN 999) | לואיס | יומני מתג | | 14:45 | Velociraptor אוסף ראיות ב-SRV-DB-01 | קרלוס | evidence.zip | | 15:10 | הודעה נשלחה ל-CSIRT הלאומי | אנה | כרטיס קריאה #INC-2023-04|

3. סיבת שורש
- פגיעות מנוצלת: [לדוגמה: "חשבון מנהל עם סיסמה חלשה (Password123)"].
- וקטור התקפה: [לדוגמה: "דיוג: עובד לחץ על קישור זדוני"].
- כשל בתהליך: [לדוגמה: "לא הייתה אימות רב-שלבי בחשבונות בעלי הרשאות גבוהות"].

4. פעולות מתקנות
| פעולה | אחראי | מועד | סטטוס | |---------------------------------------------|-------------|------------|------------| | הטמעת אימות רב-שלבי בכל חשבונות המנהל | לואיס | 7 ימים | בהמתנה | | הדרכת דיוג לעובדים | משאבי אנוש | 14 ימים | בהמתנה | | עדכון כללי Wazuh לזיהוי Mimikatz | אנה | 3 ימים | הושלם |

יש לבדוק את הפוסט-מורטם על ידי הנהלת החברה ולשתפו עם ה-CSIRT הלאומי אם האירוע כלל נתונים אישיים. במקסיקו, חוק ההגנה על נתונים אישיים בידי גורמים פרטיים (LFPDPPP) מחייב להודיע ל-INAI במקרים של פרצות אבטחה. התבנית לעיל עומדת בדרישות התיעוד להודעות אלה.

תקשורת עם ה-CSIRT הלאומי: מה לומר ומה לא לומר

ה-CSIRT הלאומיים (לדוגמה: CSIRT-MX במקסיקו, CSIRT-COL בקולומביה) הם בעלי ברית, לא מבקרים. מטרתם לסייע בבלימת האירוע ולמנוע מתקפות דומות בחברות אחרות. מה לכלול בדיווח הראשוני (בתוך שעתיים הראשונות):

מה לא לכלול בדיווח הראשוני:

דוגמה לדיווח ראשוני ל-CSIRT-MX (באמצעות דואר או טופס מקוון):

נושא: דיווח אירוע - תוכנת כופר LockBit - [שם החברה]

לצוות CSIRT-MX היקר,

אנו מדווחים על אירוע אבטחה ב-[שם החברה] שהתרחש ב-[תאריך] בשעה [שעה]. פרטים:

  • סוג האירוע: תוכנת כופר (LockBit 3.0).
  • כתובות IP מעורבות: 192.168.1.100 (שרת שנפרץ), 185.143.223.43 (C2 חשוד).
  • השפעה: 3 שרתים מוצפנים. נתוני לקוחות לא נפגעו.
  • פעולות שננקטו: שרתים מבודדים מהרשת, ראיות נאספו באמצעות Velociraptor.

מצורפים יומנים ראשוניים ואנו זמינים לתיאום פעולות.

בכבוד רב,
[שם]
[תפקיד]
[טלפון ליצירת קשר]

ה-CSIRT עשוי לבקש מידע נוסף, כגון דגימות של תוכנות זדוניות או יומנים מלאים. ב-CyberShield ראינו כי עסקים קטנים ובינוניים המשתפים פעולה עם ה-CSIRT הלאומי מבלימים אירועים ב-40% מהר יותר, הודות למודיעין האיומים המשותף.

הודעה ללקוחות: תבנית העומדת בדרישות הרגולציה באמריקה הלטינית

אם האירוע כלל נתונים אישיים, ההודעה ללקוחות היא חובה ברוב המדינות באמריקה הלטינית. התבנית חייבת להיות ברורה, אמפתית ולעמוד בדרישות החוקיות. דוגמה למקסיקו (LFPDPPP):

נושא: הודעה על אירוע אבטחה - [שם החברה]

ל-[שם הלקוח] היקר/ה,

ב-[שם החברה] אנו מתייחסים ברצינות רבה לאבטחת הנתונים שלך. אנו מצטערים להודיעך כי ב-[תאריך] זיהינו אירוע אבטחה שעשוי היה להשפיע על סודיותם של חלק מהנתונים האישיים שלך המאוחסנים במערכותינו.

מה קרה?
ב-[תאריך] בשעה [שעה], זיהינו גישה בלתי מורשית לאחד השרתים שלנו. הפעלנו מיד את פרוטוקול התגובה לאירועים ובידדנו את המערכת המושפעת. אנו עובדים עם מומחי אבטחת סייבר כדי לבלום את האירוע ומשתפים פעולה עם הרשויות המוסמכות.

אילו נתונים עשויים היו להיפגע?
לפי החקירה שלנו, הנתונים שעשויים היו להיפגע הם: [לדוגמה: "שם, כתובת דוא"ל ומספר טלפון"]. אנו מבקשים להבהיר כי [לדוגמה: "לא נפגעו נתונים פיננסיים כגון מספרי כרטיסי אשראי או סיסמאות"].

מה אנו עושים?
נקטנו את הצעדים הבאים כדי להגן על הנתונים שלך ולמנוע אירועים עתידיים:

  • בלמנו את האירוע וביטלנו את הגישה הבלתי מורשית.
  • חיזקנו את בקרות האבטחה שלנו, כולל [לדוגמה: "אימות רב-שלבי בכל החשבונות המנהליים"].
  • אנו משתפים פעולה עם ה-INAI וה-CSIRT-MX כדי לחקור את האירוע.

מה את/ה יכול/ה לעשות?
אנו ממליצים:

  • להיות ערני/ה להודעות חשודות שעשויות להשתמש בנתונים האישיים שלך.
  • לשנות את הסיסמאות שלך בשירותים אחרים אם את/ה משתמש/ת באותה סיסמה כמו ב-[שם החברה].
  • לדווח על כל פעילות חשודה ל-[דוא"ל לתמיכה].

אנו מבינים את הדאגה שעלולה לעורר סיטואציה מסוג זה ומתנצלים על כל אי נוחות. לכל שאלה, ניתן לפנות אלינו בטלפון [מספר] או בדוא"ל [דוא"ל לתמיכה].

בכבוד רב,
[שם המנכ"ל או האדם האחראי]
[שם החברה]

רגולציות מרכזיות באמריקה הלטינית המחייבות הודעה ללקוחות:

אי-ציות להודעות אלה עלול לגרור קנסות של עד 4% מההכנסות השנתיות של החברה (LGPD בברזיל) או סנקציות פליליות (חוק 1581 בקולומביה).

ב-CyberShield אנו מספקים שירותי אבטחת סייבר 24/7 לעסקים קטנים ובינוניים באמריקה הלטינית עם מערכת משלנו: סוכן נקודת קצה רב-מערכתי, ניטור CVE בזמן אמת ותגובה 24/7. ראינו כי חברות המיישמות תהליכים אלה לא רק מגיבות מהר יותר לאירועים, אלא גם מפחיתות את החשיפה לקנסות רגולטוריים. ההכנה אינה הוצאה: היא ביטוח מפני הפרעה לעסקים.

תגובה לאירועים בצוותים קטנים אינה עוסקת בכמות הכלים, אלא בתהליכים ברורים ובאנשים מאומנים לביצועם. ספר פעולות של עמוד אחד,