הנדסת מים
44 148 | מגזין המים הישראלי הנדסת מים | הוא לזהות SOC- ״תפקיד ה שאירוע התרחש, לנתח את דרך הפעולה של התוקף ולפעול להגבלת הנזק. לאחר מכן מתבצע תחקור מלא של מהלך האירוע: כיצד הושגה הגישה, אילו נקודות תורפה נוצלו, מגובשות המלצות אופרטיביות, והסקת מסקנות שיסייעו במניעת אירועים דומים בעתיד״ כחלק כחלק ממאמץ לאומי להגנה על תשתיות המים 24/7 של רשות המים עובד SOC - ה למעשה מעניק שירותים של זיהוי וגיבוי לספקי המים , יש לזכור כי מרבית ספקי המים הינם גופים ציבוריים (תאגידי מים עירוניים או רב עירוניים( חלקם קטנים ולמעשה 7 כפול 24 אשר אינם פעילים ללא הסוק אין “עין צופה ואוזן קשבת“ למערכות מעבר לשעות העבודה. האחריות לטיפול באירועים נותרת בידי ספק מספק כלים נדרשים SOC המים, אך ה- לניטור, זיהוי וליווי מקצועי לאורך הדרך.״ SOC אומרת רחל בן שימול, מנהלת ה- ( של רשות Security Operation center ( המים. פועל בכמה מישורים: ניטור שוטף SOC ה- מנטר בזמן אמת מגוון מוצרי SOC - צוות ה- FW , AV אבטחה המחוברים לניטור, כגון , וכן מוצרי אבטחה ייעודיים לניטור IDS / IPS ו- , שתפקידם לזהות חריגות OT סביבת ה- בפעילות הבקרים ועוד.; איתור וזיהוי איומים –מבוסס על חוקת ניטור ייעודיות, המוגדרת מראש לפי מאפייני הרשת והתהליכים הקריטיים של כל ספק. באמצעותן מזהה סטיות תפעוליות, התנהגויות SOC צוות ה- ;. OT חשודות וניסיונות תקיפה במערכות תגובה מהירה – עם זיהוי איום, מופעל נוהל חקירה ותגובה בהתאם לסוג האירוע ולחומרתו, , החל מבידוד רכיבים וניתוק מערכות ועד העברת הנחיות טיפול לגורמים התפעוליים בשטח.; תחקור ושיפור – לאחר כל אירוע, מתבצע תחקור מקיף במטרה להבין את וקטור התקיפה, לזהות את מהלך ( לניטור indicators האירוע, להוציא מזהים ( עתידי, ולגבש צעדים שימנעו הישנות של אירועים דומים; ושיתוף מידע – כחלק מחיזוק ההגנה המשותפת במרחב הסייבר הישראלי, מתבצע שיתוף מידע וידע ספקי המים השונים, וגם עם מערך הסייבר הלאומי. כחלק 24/7 של רשות המים עובד SOC ה- כחלק ממאמץ לאומי להגנה על תשתיות של רשות המים SOC המים. “כמנהלת ה- אני מייחסת חשיבות לשלושה מרכיבים עיקריים: ראשית – האנשים, שכן כבכל ארגון ברשות המים הוא באנשים SOC כוחו של ה- המרכיבים אותו, אנליסטים מומחי אבטחת מידע. עם קבלת התראה, האנליסטים מבצעים הערכת חומרה, מנתחים את פרטי האירוע, מבחינים בין אירוע שיכול לנבוע מתקלה תפעוליות לבין אירועים בעלי פוטנציאל לתקיפת סייבר ולפגיעה ממשית. מעבר לכך, הצוות עוסק גם בחקירת אירועים מורכבים, הפקת תובנות, עבודת האנליסטים כוללת גם תחקור וטיוב מתמיד של יכולות הזיהוי והניטור ועדכון שוטף של חוקות ומנגנוני הזיהוי – כחלק מתהליך שיפור מתמשך של ההגנה. מרכיבשני הם הטכנולוגיות ומערכות הניטור. , SIEM עושה שימוש במערכת SOC ה- ( log אשר אוספת באופן רציף רשומות ( ממגוון רכיבי אבטחה מהסביבה התפעולית בקרב ספקי המים המחוברים. הלוגים הללו מנוטרים בזמן אמת, והמערכת מפעילה ( שנכתבו מראש correlation rules חוקות ( – החוקים הם שילובים של מספר SOC ב- רשומותששילובן עשויה להעיד על אנומליה, ניסיון תקיפה או חריגה בפעילות התפעולית. החוקות מותאמות לכל ספק מים, בהתאם לתהליכים הקריטיים שהוגדרו עבורו, והמערכת מאפשרת גם תחקור לאחור ( לצורך חקירת retrospective analysis ( אירועים שהתגלו בדיעבד. ויש עוד הפתעות מערכות וססנורים אשר מיירטים תנועה חשודה ברשתות וחיבור אמיץ עם מודיעין איכותי המגיע ממערך הסייבר הלאומי. המרכיב השלישי הוא תהליכים: יצירת נהלים מסודרים לתגובה, יצירת יכולת זיהוי, חקירה,הסקת מסקנות והמלצות למניעת הישנות של אירוע״. מהם האיומיםשאתם מזהים וכיצד השפיעה המערכה עם איראן על ? SOC פעילות ה- “מאז מבצע ‘עם כלביא׳, ולמרות מחסור לאורך כל 24/7 בכוח אדם, הצלחנו לעבוד ימי המלחמה. במהלך התקופה זיהינו עלייה ניכרת בניסיונות תקיפת סייבר נגד תשתיות מים, בינהם מתקפות פישינג ממוקדות ( שנעשו על ידי שליחת spear phishing ( לאדם ספציפי בארגון, SMS מיילים והודעות תוך שימוש בשמות ותפקידים אמיתיים. הפישינג מנסה להניע את הגורם בארגון לפעולה תוך הפעלת לחץ ‘אם לאתעשה כך וכך אז...׳ . דוגמה לניסיון כזה היה בשליחת מייל המתריע לכאורה על קיומו של חוב – אם לא ישולם החוב עד מועד 6 לכביש קרוב במיוחד אזי ינקטו הליכים משפטיים דראסטיים. האירועים דווחו לנו על-ידי עובדי רשות המים וספקי המים השונים, ונתנו מענה לכל אחד מהמקרים. ישנן גם דוגמה לניסיונות גישה לא מורשית,
Made with FlippingBook
RkJQdWJsaXNoZXIy NjcyMg==