על כל ארגון גדול בו יש מספר רב של מחשבים שרתים יש להיערך לאירוע סייבר. מטרת ההערכות מראשה היא לפעול באופן אוטומטי על פי מטודה מוגדרת מראש. הסיבות העיקריות הן:
- עצירת האירוע לצורך הקטנת הנזק
- התאוששות מהירה
- עמידה בחוק/תקנות הרגלולטורים
בטבלה הבאה מוצג מודל למיקוד הפעולות בהתאם לסוגי ההתקפה. כמובן שזה עשוי להשתנות בארגונים שונים.
טבלת ארועים ופעולות
| דלף מידע | Denial of service | הצפנת מידע | פריצה לשרת/אתר |
דיווח | V | V | V | V |
חסימת גישה גורפת מהאינטרנט | V | V | בהתאם להערכת מצב | |
חסימת גישה גורפת של משתמשים ברשת הפנימית | V | V | ||
חסימת גישת VPN | V | V | ||
בדיקת אנטיוירוס ועדכוני אבטחה בשרתים ותחנות | V | V | V | V |
שמירת SNAPSHOTS אחרונים | V | V | V | |
ייצוא לוגים ממערכות האבטחה ומשרתים קריטיים | V | V | V | V |
פניה לספקי השירות ודרישה מהם לבצע פעולות מניעה | V | V | V | V |
קיום הערכת מצב | V | V | V | V |
ניתוק כרטיסי רשת משרתים (ברמת VM ופיזי היכן שצריך) | V | V | בהתאם להערכת מצב | |
החלפת סיסמאות – מיידית של אדמינים ברשת ובמערכות קריטיות | V | V | V | |
גורם מקצועי לפנות אליו בעת אירוע | V | V | V | V |
בדיקת ארונות תקשורת (נעולים, ללא ריכיבי חומרה מחוברים) | V | V | V | |
ביצוע גיבוי יזום לכל המצאי הפעיל (בכל המדיות האפשרויות – בעדיפות למדיה נתיקה) | V | V | V | |
בדיקת חריגות בלוגים של מערכות הניטור (שרת עמוס באופן יוצא דופן אשר מבצע הצפנה), לוגים של FW בהם רואים תחנה שיוצאת באופן חריג לרשת וכו' | V | V | V | V |
טבלאות משנה המייצגות את היישויות בטבלה הקודמת
דיווח מנכ"ל מחלקת שירות גורמים רלוונטים בארגון גורמי חוץ רלוונטיים (ספקים) רשות הסייבר/הגנת הפרטיות לקוחות ועובדים רלוונטיים משטרת ישראל | קיום הערכת מצב כל צוות המחשוב מנכ"ל גורם רלוונטי בארגון ספק רלוונטי מחלקת שירות | החלפת סיסמאות רשימת השרתים והשירותים הרלוונטיים והאנשים במערכות החיוניות |
רשימת ספקי שירות ******* ******* ******* | בדיקת אנטיוירוס שרת הפצה מעודכן בדיקה מדגמית של תחנות שעודכנו בדיקה של WIN UPDATES כולל בדיקה מדגמית | רשימת מערכות חיוניות SCCM SQL MOODLE שכר פריוריטי |