צוות התערבות (IR)
מתן שירותי צוות תגובה (IR – incidence response)
צוות התערבות בעת אירועי סייבר אליו נדרשות הכנות מקדימות כגון :
הדרכות למנהלי החברה
הדרכות לצוותי תפעול מערכות מידע
ביצוע תרגול וסימולציות בניית תשתית לקבלת החלטות ניהוליות
ניהול משא ומתן מול התוקף
דוגמא למפגשים:
מפגש 1
מטרת המפגש
אסטרטגיית סיבר
משתתפים
פורום מנכ״ל וחברי מועצת החברה
מפגש 2
מטרת המפגש
טקטיקת סיבר
משתתפים
מנכ״לים, מנמ״רים, צוות ה- SOC
מפגש 1
מטרת המפגש
סימולציה ניהולית וטכנית
משתתפים
פורום סייבר בחברה
צוות תגובה (IR) ביצוע פעולות במיידיות (תוך חצי שעה) להתמודדות בקבלת החלטות ניהוליות וטכניות להכלת האירוע.
שלבי הכלת אירועי סייבר
אבחון אירוע סייבר (Detection)
גילוי באמצעות ניטור תקרית או אירוע סייבר
זיהוי ראשוני (First Response)
זירות דיגיטליות שנפגעו
הערכת היקפי האירוע (Assessment)
בחינת האפשרות לדלף מידע
אנליזה וחקירה (Analysis)
זיהוי המערכות שנפגעו וחקירת מקור התקיפה ומהותה.
הכלת האירוע (Containment)
למנוע התפשטות נוספת של האיום או נזק שנגרם כתוצאה מאירוע האבטחה, תוך שמירה על יציבות המערכת וניהול ההשלכות בצורה מבוקרת.
בחינת הצורך בתיעוד ראייתי פורנזי (Forensics)
בהתאם לצורך ניתוח הנוזקות (כלי התקיפה והנדסה לאחור malware analysis reverse engineering &)
קביעת סדרי עדיפויות להתאוששות ושיקום (Recovery)
תוך פיקוח על התהליכים הנדרשים בדגש על צמצום מקסימלי של הנזקים לחברה
תחקור האירוע והפקת לקחים (Conclusions)
צמצום סיכונים עתידיים
יישום תכנית פעולה מתקנת
(Post Incident activity)
נועד לנתח את אירוע הסייבר, לזהות את הגורמים והנזקים, וללמוד ממנו כדי למנוע אירועים דומים בעתיד
צוות התגובה משלב אנשי סייבר מנוסים בתחקור אירועים וניהול משא ומתן. מבצעים איסוף מודיעין, יוצרים קשר עם התוקפים על מנת לאמת את זהותם כדי להרוויח זמן ולשפר עמדה כלכלית תוך חקירה והכלה לצורך קבלת החלטה מושכלת לפעולה.