ראשי תיבות בעולם הסייבר הצבאי - מונחים כלליים שכדאי להכיר¶
בואו נבהיר משהו מראש: הרשימה הזו כוללת מונחים כלליים וידועים לכל, שרווחים בתעשיית הסייבר וההגנה הצבאית ברחבי העולם - לא מידע מסווג ולא פרטים על יחידות, יכולות או ארגון ספציפי כלשהו. אלה מילים שתפגשו בכל ספר מקצועי, כנס, מודעת דרושים או כתבת חדשות שעוסקת בעולם הסייבר. אם אתם קוראים חדשות ביטחוניות, שוקלים קריירה בתחום, או סתם רוצים להבין על מה כולם מדברים - הפוסט הזה בשבילכם.
איסוף מודיעין¶
מודיעין ממקורות גלויים (OSINT - Open Source Intelligence) - איסוף מידע ממקורות ציבוריים וזמינים לכולם: רשתות חברתיות, אתרי חדשות, מאגרי מידע פתוחים ואפילו תמונות לוויין מסחריות. זה הבסיס של כל חוקר סייבר, בין אם הוא עובד בצד ההגנה או בצד המתקפה.
מודיעין אנושי (HUMINT - Human Intelligence) - מודיעין שמגיע ממקורות אנושיים - שיחות, ראיונות, מפגשים ישירים. בעולם הסייבר זה כולל גם הנדסה חברתית, כלומר הוצאת מידע מאנשים בלי שהם שמים לב שהם בכלל מספרים לכם משהו רגיש.
מודיעין אותות (SIGINT - Signals Intelligence) - איסוף מידע מיירוט תקשורת אלקטרונית - שיחות, שידורים, תעבורת רשת. זה תחום ותיק שהתפתח יחד עם הטכנולוגיה, מרדיו ועד תקשורת לוויינית ואינטרנט.
התקפה והגנה בסייבר¶
איום מתמשך מתקדם (APT - Advanced Persistent Threat) - כינוי לקבוצת תקיפה מתוחכמת ומאורגנת, לרוב עם משאבים גדולים, שמצליחה לחדור למערכת ולהישאר בה זמן ארוך בלי להתגלות. חברות אבטחה נותנות לקבוצות כאלה שמות קוד כדי לעקוב אחריהן לאורך זמן.
פיקוד ושליטה (C2 - Command and Control) - התשתית שדרכה תוקף שולט מרחוק בתוכנה זדונית שכבר חדרה למחשב הקורבן, שולח לה פקודות ומקבל ממנה מידע גנוב. זיהוי תעבורת C2 הוא אחד הדברים הראשונים שצוותי הגנה מחפשים כשהם חושדים בפריצה.
סממני פריצה (IOC - Indicators of Compromise) - עדויות טכניות לכך שמערכת נפרצה, כמו כתובת IP חשודה, hash של קובץ זדוני או שינוי לא מוסבר ברישום המערכת. אנליסטים משתמשים ב-IOC כדי לזהות תקיפות ולשתף מידע בין ארגונים.
לוחמה אלקטרונית (EW - Electronic Warfare) - שימוש בספקטרום האלקטרומגנטי כדי לשבש, להטעות או לצותת ליריב, למשל שיבוש תקשורת רדיו או ניווט לוויני. זה תחום ותיק בצבאות רבים בעולם, שהתמזג יותר ויותר עם עולם הסייבר בעשורים האחרונים.
פעולות ברשתות מחשבים (CNO - Computer Network Operations) - מטרייה כללית שכוללת גם התקפה וגם הגנה ברשתות מחשבים. המונח משמש בעיקר בהקשר צבאי ומדינתי כדי לתאר את היכולות הרחבות של גוף מסוים בעולם הסייבר, בלי להיכנס לפרטים.
פער אווירי (Air Gap) - שיטת הגנה פיזית שבה מערכת קריטית מנותקת לחלוטין מהאינטרנט ומכל רשת חיצונית. זו אחת הדרכים החזקות ביותר להגן על מערכות רגישות, אבל היא לא בלתי חדירה, ויש מקרים מפורסמים שבהם תקיפות הצליחו לעקוף גם air gap.
אמון אפס (Zero Trust) - גישת אבטחה שמניחה שאף משתמש או מכשיר, גם אם הוא כבר בתוך הרשת, לא מקבל אמון אוטומטי. כל בקשת גישה נבדקת ומאומתת מחדש, מה שמקטין את הנזק גם אם תוקף כבר הצליח לחדור פנימה.
תרגולים ומתודולוגיה¶
צוות אדום (Red Team) - קבוצה שמדמה תוקף אמיתי כדי לבדוק עד כמה ההגנות של הארגון עמידות. הם מנסים לפרוץ בכל דרך אפשרית, כולל הנדסה חברתית, כדי לחשוף חולשות לפני שתוקף אמיתי ימצא אותן.
צוות כחול (Blue Team) - הצד ההגנתי, האנשים שאחראים לזהות, לבלום ולהגיב לתקיפות, אמיתיות או מדומות. הם עובדים מול הצוות האדום בתרגילים כדי לשפר את יכולות הגילוי וההגנה של הארגון.
צוות סגול (Purple Team) - שילוב בין הצוות האדום לכחול, כשהם עובדים יחד ולא נגד זה, ומשתפים תובנות בזמן אמת כדי למקסם את הלמידה משני הצדדים. המטרה היא לשפר את ההגנה מהר יותר מאשר בתרגיל אדום-כחול קלאסי ונפרד.
תחרות לכידת הדגל (CTF - Capture The Flag) - תחרות סייבר שבה משתתפים פותרים אתגרים טכניים, כמו פריצה, הצפנה או ניתוח תוכנה זדונית, כדי למצוא "דגל" נסתר ולצבור נקודות. זו אחת הדרכים הכי פופולריות ללמוד ולתרגל מיומנויות סייבר בצורה מעשית וכיפית.
שרשרת ההתקפה (Kill Chain) - מודל שמתאר את השלבים שתוקף עובר מהתחלה ועד סוף: איסוף מידע, חדירה ראשונית, השתלטות, תנועה ברשת ועד השגת המטרה. הבנת השלבים עוזרת לצוותי הגנה לתפוס תוקף בשלב מוקדם ככל האפשר, לפני שהוא מגיע לנזק בפועל.
טקטיקות, טכניקות ונהלים (TTP - Tactics, Techniques and Procedures) - הדרך שבה מתארים את "חתימת" ההתנהגות של תוקף, לא רק מה הוא עשה אלא איך הוא נוהג לעשות את זה. חברות אבטחה משתמשות במונח הזה כדי לזהות דפוסים ולשייך תקיפות חדשות לקבוצות ידועות.
מושגים ארגוניים¶
מרכז תפעול אבטחה (SOC - Security Operations Center) - החדר, הפיזי או הווירטואלי, שבו יושבים אנליסטים ועוקבים אחרי כל מה שקורה ברשת של הארגון, מסננים התראות ומגיבים לאירועים בזמן אמת. כמעט כל ארגון גדול, פרטי או ממשלתי, מפעיל SOC משלו או נעזר בכזה חיצוני.
צוות תגובה לאירועי סייבר (CERT/CSIRT - Computer Emergency Response Team / Computer Security Incident Response Team) - גוף מקצועי שתפקידו להגיב לאירועי אבטחה, לתאם בין ארגונים ולפרסם התרעות על איומים חדשים. כמעט לכל מדינה יש CERT לאומי, ולחברות גדולות רבות יש צוות CSIRT פנימי משלהן.
אם המונחים האלה עוררו בכם סקרנות ואתם רוצים להתחיל להתנסות בפועל ולא רק לקרוא עליהם, אתם מוזמנים להתחיל מקורס בודק החדירות החינמי שלנו, שם תלמדו את הכלים והשיטות בגישה מעשית וללא עלות.
עולם הסייבר מלא בראשי תיבות, וקל להרגיש אבודים כשכולם סביבכם מדברים בקיצורים. אבל ברגע שמבינים את השפה, הכל נהיה הרבה יותר ברור - וזו בדיוק המטרה של האתר הזה: להנגיש את התחום בעברית, בלי מסתורין מיותר.