מאמרים:

פורנסיקה דיגיטלית: תחקור אירועי סייבר כצורך עסקי

05 מרץ 2019

ארז שטנג , CTO ואריכטקט סייבר ואבטחת מידע |
בקצרה

תחקור דיגיטלי (Digital forensics) הוא תהליך טכנולוגי לבירור עובדות ואיסוף ראיות לצורך זיהוי פשיעה ("פורנסיקה"), כחלק מהליך משפטי או פנים-ארגוני. התהליך משלב תחקור, ניתוח והצלבת מידע שנשלף ממערכות מחשב רבות, במטרה לקבל תמונה מלאה של היקף הנזקים והגורמים המעורבים, והוא יתבצע במקרים כמו חשד לגניבת מידע ארגוני, תחקור אירועי סייבר, מעילות פיננסיות ועוד.

הצורך במוכנות הארגונים לביצוע תחקור דיגיטלי עולה הן מהסכנות הפיננסיות והתדמיתיות האורבות לארגונים המעורבים באירועי סייבר; הן מדרישות החוק והרגולציה. על אף זאת, רוב החברות בארץ לא נוקטות מהלכים מקדימים מוסדרים שיאפשרו תחקור דיגיטלי – והן נתקלות בקשיים משמעותיים "ביום הדין", בעודן לא יודעות מה לעשות כאשר נדרש תחקור בפועל.

בכדי להבטיח מוכנות לקראת אירועי סייבר שידרשו תחקור, על צוותי מערכות המידע הארגון להכין את המערכות הרלבנטיות לתרחישי הונאה עסקית ואיומי סייבר. בכלל זה, לשמור תיעוד רלבנטי לתקופה ארוכה, בהתאם לצרכי הארגון, ולוודא שבעת הצורך המידע יהיה זמין לשימוש.

המידע שיש לתעד הוא בעיקר מידע רגיש, כזה הדורש הזדהות ומאפשר לגורם גישה ויכולת שינוי ומחיקה, כמו גישה למערכות או מאגרי מידע. עם זאת יש לתעד את כל הפרטים על הכנסת המידע, הוצאתו או שינויים שבוצעו בו (מתי, מאיזו כתובת, על ידי מי וכו'), ולשמור אותם בסביבה נפרדת ומאובטחת.

המרכז להגנת הסייבר ב-BDO מומחה בתחקור דיגיטלי תוך התמקדות באירועי סייבר ומסייע למגוון חברות וארגונים – הן ביצירת תכנית מוכנות והטמעת מנגנוני תיעוד, הן בביצוע תחקור מתקדם לצרכים שונים.

 

 

צרו קשר עם המומחים שלנו >

מהו תחקור דיגיטלי?

תחקור דיגיטלי (Digital forensics) הוא תהליך טכנולוגי המבוצע כחלק מתהליכי פורנסיקה (סייבר ועסקית), המשלב כיום איסוף ראיות כחלק מתהליך תחקור ובירור עובדות. זאת לצרכי זיהוי ערוצי פריצה וחדירה לארגון, ביצוע הונאות ופשעי מחשב, וכן לבקשת רשויות החוק כחלק מתהליך משפטי.

בעבר התבסס התהליך על עקרונות "פורנסיקה של פעם" (כמו איסוף תביעות אצבע, דגימות דם, בחינת וידאו ממצלמות מעקב, שחזור ניירות שנגרסו וכדו'). כיום, מופעלת פורנסיקה מודרנית בנסיבות של חקירת עבירות מחשב ואירועי סייבר, כמו ווירוסים הרסניים, תוכנות כופר, הונאות מבוססות התחזות באינטרנט, פריצה לאתרי אינטרנט, מעילות כספים ממוחשבות, גניבת מידע המאוחסן במערכות ארגוניות רגישות ואירועי דלף מידע.  

מתי מתבצע התהליך?

פורנסיקה מודרנית בעידן הסייבר היא תהליך המשלב תחקור ושליפת מידע ממוחשב ממערכות מחשב רבות, ניתוחו והצלבתו, כדי לקבל תמונת מצב ראייתית מלאה להיקף הנזק והגורמים המעורבים ביצירתו.

בהתאם, תהליך תחקור דיגיטלי מתבצע לרוב במקרים הבאים:

  • כאשר קיים חשד לגניבת מידע ארגוני;
  • חשד לגישה וצפייה לא מורשית במידע ארגוני/עסקי רגיש;
  • שיבוש מידע ארגוני (ע"י סוס טרויאני, אדם סורר בארגון או מחוצה לו) ;
  • מעילות פיננסיות;
  • תחקור אירועי סייבר, כמו Ransomware המצפין מערכות מידע ארגוניות;
  • פריצה לאתר אינטרנט;
  • תחקור מכשיר סלולארי ממנו נגנב מידע ארגוני, או הופץ מידע ארגוני או וירוס.

הצורך במוכנות לתחקור אירועים בארגונים

הצורך במוכנות הארגונים לביצוע תחקור דיגיטלי עולה ממספר זוויות. ראשית, בעולם העסקי מתקיימים מידי יום אירועי סייבר "אלימים" הפוגעים ברציפות העסקית של החברות המעורבות. ההשלכות של אירועים כאלו עלולות להוביל לנזקים פיננסיים כבדים ולפגוע רבות בתדמית הארגונים המעורבים.

לצד זאת, הצורך נגזר גם מדרישות חוק, חוזים עסקיים, רגולציה, חקיקה מקומית ובינלאומית (GDPR) וכן עמידה בדרישות תקנים, כמו ISO-27001 ISO-27017  ISO-27018.

ובכל זאת, רוב החברות היום בארץ אינן נוקטות מהלכים מקדימים מוסדרים כדי לאפשר תחקור דיגיטלי שיאפשר הפקת ממצאים רלבנטיים בדיעבד. וכך, ביום הדין, בו חברה נדרשת לתחקר אירוע ולאתר כיצד הוא נגרם ועל ידי מי, מתעוררים קשיים.  

דוגמאות נפוצות לחוסר יכולת תחקור

חוסר המוכנות של הארגונים והחברות בישראל, על אף המודעות העולה לפשיעת סייבר, מתבטאת בדרכים רבות. עם זאת, ישנן מספר דוגמאות נפוצות שממחישות את חוסר היכולת לתחקר ולזהות את הגורם המעורב באירוע סייבר, בהן:

  • אי שמירת "log" היסטורי של מערכות הזדהות, מערכות הפעלה ומערכות ואבטחה שונות לתקופה היסטורית ארוכה מספיק;
  • אי שמירת "log" מערכות הדוא"ל  ו\או תיעוד דוא"ל של בכירים מקבלי החלטות, לצרכי תיעוד החלטות והתנהלות של בעלי עניין ומקבלי החלטות בחברה;
  • אי שמירת Audit Log מפורט במערכות תוכנה עסקיות במרכזי המחשוב של החברה ו/או במערכות ענן בהן החברה משתמשת, כמו: מערכות CRM , Billing , Accounting Financial, שרתי קבצים, מערכות ניהול מסמכים וחוזים, וכדו'.

תקנות אבטחה ופרטיות מודרניות דורשות היום מארגונים פיננסיים להכין את עצמם ואת מערכות המחשוב שלהם מבעוד מועד. זאת בכדי שבמידה ויעלה הצורך בתחקור דיגיטלי יתאפשר הדבר, והמערכות המעורבות יספקו תיעוד איכותי עד כדי יכולת לזהות נתיב תקיפה ואף להצביע על גורם שהיה מעורב ישירות באירוע הנחשד.

כיצד מתבצע התהליך ומה עושים כשצריך לתחקר?

לרוב, מחקר יתחיל בביצוע העתקה מקצועית של המערכת הנבדקת וכן ניתוח המידע מהמערכת המשוכפלת במעבדה, מבלי לפגוע במערכת המקור והראיות המקוריות.

אחת הטעויות הנפוצות, כשקיים חשש לאירוע סייבר כמו הצפנת מחשב, היא לכבות את המחשב החשוד. מצב זה עלול למחוק מידע שיאפשר תחקור איכותי.

במקרים כמו זה, מתחקר האירוע יוכל לחלץ מידע חשוב מהמחשב בו התרחש האירוע, כל עוד המחשב לא כובה. על כן עדיף במצב זה לנתק מחשב מהרשת ולא לכבותו.

כמו כן, ייבחנו רישומי "log" במערכות נוספות ומשיקות כדי לאתר את ערוץ הפעילות ודרך הגישה אל המידע או המערכת.

כך תכינו את הארגון שלכם

בכדי לסייע לחברות לייצר מוכנות לצורך התמודדות מול אירוע סייבר / פשע דיגיטלי שבהם יידרש תחקור, יש להקפיד על כמה דגשים חשובים. בראש ובראשונה, על צוותי מערכות המידע להכין את כלל המערכות הרלבנטיות לתרחישי הונאה עסקית ותרחישים מבוססי איומי סייבר, ולהגדירן כך שיישמר תיעוד רלבנטי לתקופה ארוכה בהתאם לצרכי ותכתיבי הארגון (צרכים כמו תכתיבים משפטיים ורגולטוריים; הסמכות כמו ISO-27001, ודרישות עסקיות). יש לבדוק שאכן בעת הצורך יצליחו להשתמש במידע, ושהוא לא נמחק או נדרס ע"י המערכת שיצרה אותו או ע"י גורם שחיבל בו במכוון.

איזה מידע יש לתעד?

מידע היסטורי המתעד גישה של עובדים ולקוחות למאגרי מידע, כך שיוכל להיות זמין לתחקור גם לאחר יותר משנה;

  • גישה למערכות פיננסיות;
  • גישה לתיקים רפואיים ומערכות רפואיות;
  • כל מערכת אשר נדרשת בה הזדהות והינה מכילה מידע עסקי\אישי רגיש,
    לרבות:
    • אתרי מסחר מבוססי גישה מזוהה;
    • גישה מרחוק של עובדים וספקים של החברה למשאבי החברה.

בכלל זה תיעוד של איזה מידע הוכנס, הוצא או שונה; ע"י מי ומאיזו כתובת מקור; תאריך ושעת ביצוע; מיקומו של המכשיר; וכדומה.

בסביבות עסקיות רגישות יש לשמור את המידע המתועד מחוץ למערכת המתועדת, כך שבמידה ויבוצעו שיבוש או מחיקה יוותר עותק נגיש בסביבה מאובטחת ונפרדת.

תחקור ממוקד לאירועי סייבר

אם כן, בעולם הסייבר ואבטחת המידע ארגונים רבים משאירים פינה זו מוזנחת וביום הדין מתקשים להשיג ממצאים וראיות כחלק מתהליכי תחקור אירועי סייבר ואירועי הונאה. לכן, על ארגונים לפעול לצורך הכשרת המערכות שלהם לשמירת התיעוד הנדרש לצרכי תחקור עתידי.

אנחנו בחטיבת הסייבר של BDO, מספקים ללקוחותינו ליווי ומענה מקיף לכלל צרכי הניתוח הדיגיטלי, החל מיצירת תכנית מוכנות ארגונית וכלה בביצוע התחקור בפועל. צוות BDO Cybersecurity מתמחה בתחקור הממוקד באירועי סייבר, לרבות:

  • תחקור של אירועי סייבר במחשבים וטלפונים סלולאריים;
  • תחקור אירועי הצפנת מידע;
  • אחזור מידע ומציאת מידע שנמחק או נעלם;
  • תחקור גישה למידע ארגוני רגיש וחשיפתו;
  • תחקור אירועי הדלפת מידע דיגיטלי;
  • תכנון ואפיון דרישות תיעוד דיגיטלי למערכות וסביבות מחשוב רגישות לצרכי עמידה ברגולציה.

צרו קשר עם המומחים שלנו >