איך מזהים פירצת אבטחה בזמן אמת, מה עושים במקרה כזה ומהי מערכת SOC? דיקלה ורד, סמנכ"לית ומנהלת חטיבת הסייבר באקפסריס ישראל, מתארחת בפודקאסט של Experis Israel ומשיבה על השאלות החשובות.
אז מה זה בעצם מרכז SOC?
"SOC זה ראשי תיבות של Security Operation Center", אומרת ורד. "מדובר בחדר בקרה שעובד 24/7. אנחנו מפעל חיוני, אנחנו מנטרים בכל ימות השנה, כולל סופ"שים וחגים. ה-SOC מטרתו להיות עיניים ללקוח - לנטר את כל תעבורת הרשת של החברות להן אנחנו נותנים שירות ולעלות על תעבורה חריגה שעלינו להתריע לחברה על מנת לבדוק את המשמעות שלה".
עד כמה מרכז SOC הוא התשובה לכל הבעיות?
"השירות הזה מבוסס על אמון בינינו לבין הלקוח, בידיעה שהצוות הזה באמת מסתכל על הדברים בשביל להתריע. עם זאת, אבטחת מידע מדברת על ניהול סיכונים. הרעיון הוא לתת את המענה והמעטפת ובקרה נוספת סביב השירות, אבל אי אפשר לצפות ש-SOC יהיה הפתרון היחידי שימנע מתקפת אבטחת מידע, כי זה תלוי בכל כך הרבה בקרות נוספות שנעשות במקביל".
באילו חברות מדובר?
"אנחנו מנטרים מגוון גדול מאוד של חברות, בין תאגידים לחברות בטחוניות ועד לקוחות שהם סטארט אפים יחסית קטנים בעולמות שונים", היא מוסיפה. "אבל אין משמעות לגודל החברה. גם לחברות קטנות יש פתרונות, שהם לא תמיד SOC. יש חברות גדולות מאוד, כמובן גם ביטחוניות, שיש להם SOC פנימי".
איך זה עובד בפועל?
"לרוב מדובר בשירות שמנוהל מרחוק. במהלך הקורונה התבקשנו לנטר בנק מדרום אמריקה ואת הכול עשינו מרחוק בצורה מצוינת. אני שוב חוזרת על נושא האמון ועד כמה אתה מצליח לתת את אמונך בחברה שעושה את זה מרחוק. יש גם מצבים שהם משולבים - ה-SOC יושב אצלנו במתחם שלנו, אבל יש לנו אנליסטים שנמצאים בבית הלקוח ונותנים מעטפת נוספת מעבר לקו הראשון".
איך המערכת עוזרת לזהות תקיפת אבטחה?
"אנחנו בעצם מחברים את כל הרכיבים המשמעותיים והקריטיים ועושים על זה תיוג וחוקה", מציינת ורד. "שירות מנוהל, בטח בעולמות של אבטחת מידע, תלוי תלות ישירה בשיתוף הפעולה עם החברה עצמה. כי אם חברה לא תעדכן אותנו על רכיב קריטי מסוים, המתקפה יכולה לבוא ממקום שאין עליו עיניים ולא נוכל לראות זאת. יותר מזה - גם אם הקמנו וחיברנו הכול, ארגון הוא דינמי; משתנים רכיבים ומתווספים רכיבים ואם אנחנו לא נתעדכן כל הזמן בשיתוף פעולה עם החברה אנחנו נפספס דברים משמעותיים".
באיזה שלב מזהה המערכת את המתקפה?
"אנחנו מזהים מתקפה תוך דקות ונדרשים עד חצי שעה להתריע על אירוע מסוים אחרי תחקור פנימי. ברגע שראינו משהו חשוד, אנחנו מעדכנים את הלקוח ועובדים מולו בשיתוף פעולה. אנחנו מביאים את הממצאים וההמלצות שלנו והאחריות היא על הלקוח".
האזינו: כמה זמן לוקח לגלות פירצת אבטחה בזמן אמת?
מערכת וואלה! בשיתוף Experis
3.2.2022 / 7:05