Incident Response — מה עושים כשפורצים? 6 השלבים
צוות CyberHub · לפני 13 ימים · 1 דק׳ קריאה
TL;DR · בקצרה
תגובה לאירוע (IR) היא תהליך מסודר לטיפול בפריצה. מודל SANS בן 6 השלבים עוזר לפעול בקור רוח במקום בפאניקה.
פריצה תקרה — השאלה היא איך מגיבים. תהליך Incident Response (IR) מסודר הוא ההבדל בין נזק קטן לאסון.
6 השלבים (מודל SANS)
- Preparation (הכנה) — נהלים, כלים, צוות, גיבויים. לפני האירוע.
- Identification (זיהוי) — האם זה באמת אירוע? מה היקפו?
- Containment (בלימה) — לעצור את ההתפשטות. ניתוק מערכות נגועות (קצר/ארוך טווח).
- Eradication (מיגור) — הסרת הנוזקה והסיבה (לא רק התסמין).
- Recovery (התאוששות) — החזרת מערכות לעבודה, וידוא שהן נקיות.
- Lessons Learned (הפקת לקחים) — מה קרה, איך נמנע בעתיד. השלב שהכי מדלגים עליו — והכי חשוב.
כללי זהב
- אל תפעלו בפאניקה — תהליך מסודר עדיף.
- תעדו הכל — לחקירה ולמשפט אם צריך.
- שמרו ראיות (forensics) לפני שמנקים.
- תקשורת — מי מודיע למי? (הנהלה, לקוחות, רגולטור).
הלקח: לארגון מוכן יש "ספר הפעלה" (playbook) מוכן מראש. אל תאלתרו תוך כדי שריפה.
📚 מקורות והפניות
💬 תגובות (0)
התחברו כדי להגיב.
אין עדיין תגובות. היו הראשונים! 🙂
🛡️ עוד הגנה
Defense in Depth — למה הגנה אחת אף פעם לא מספיקה
הגנה לעומק (Defense in Depth) היא אסטרטגיה של שכבות הגנה מרובות, כך שאם אחת נכשלת — האחרות עדיין מגנות. עיקרון יסוד באבטחה.
כלל 3-2-1 לגיבויים — ההגנה הכי טובה מפני כופרה
מתקפת כופרה (Ransomware) מצפינה את הקבצים שלכם ודורשת תשלום. הגנה אמיתית אחת עובדת תמיד: גיבוי טוב. כלל 3-2-1 הוא הסטנדרט.
סיסמאות חזקות ו-2FA: ההגנה שכל אחד חייב
רוב הפריצות לחשבונות פרטיים לא דורשות 'האקר גאון' — אלא סיסמה חלשה או כזו שדלפה. הנה איך מגינים על עצמכם ב-10 דקות.