לדלג לתוכן

Zero Trust ו-SIEM מוסברים - הארכיטקטורה שכל אנליסט SOC צריך להכיר

אם עברתם על החומרים שלנו על עולם ה-SOC וניתחתם כבר כמה תרחישי תקיפה, כדאי שתכירו שני מושגים שחוזרים כמעט בכל שיחה מקצועית בתחום: Zero Trust ו-SIEM. אלה לא "עוד ראשי תיבות" - הם מייצגים שינוי אמיתי באיך ארגונים חושבים על אבטחת מידע, וכדאי להבין אותם לעומק לפני ראיון עבודה בתחום.

המודל הישן - "טירה עם חפירה"

כדי להבין למה Zero Trust בכלל נולד, כדאי להבין מה היה לפניו. במשך שנים, אבטחת רשתות עבדה לפי מודל שנקרא "טירה וחפירה" (Castle and Moat) - הרעיון היה לבנות הגנה חזקה בהיקף הרשת (Firewall בכניסה, VPN לגישה מרחוק), ולסמוך על כל מי ומה שכבר בפנים. ברגע שמכשיר או משתמש עברו את "החפירה" והיו בתוך הרשת הפנימית, הם נחשבו מהימנים כמעט אוטומטית.

הבעיה הפכה ברורה עם הזמן: ברגע שתוקף מצליח לחדור פעם אחת - דרך פישינג, עובד עם הרשאות שנפרצו, או מכשיר נייד שנדבק מחוץ למשרד - הוא יכול לזוז בחופשיות כמעט מוחלטת בתוך הרשת (מה שנקרא "תנועה רוחבית", Lateral Movement), כי שום דבר לא ממשיך לבדוק אותו לאחר החדירה הראשונית.

Zero Trust - "לא לסמוך על אף אחד, כברירת מחדל"

Zero Trust (אמון אפס) הופך את ההנחה הבסיסית: אף משתמש, מכשיר, או בקשת גישה לא נחשבים מהימנים אוטומטית, גם אם הם כבר בתוך הרשת הפנימית. במקום זה, כל בקשת גישה - לכל משאב, בכל פעם - נבדקת ומאומתת מחדש, על סמך כמה עקרונות מרכזיים:

אימות מתמשך, לא חד פעמי. במקום להתחבר פעם אחת ולקבל גישה חופשית, המערכת בודקת שוב ושוב - מי המשתמש, מאיזה מכשיר, מאיזו מיקום, ואם ההתנהגות הנוכחית תואמת את מה שמצופה ממנו.

הרשאה מינימלית (Least Privilege). כל משתמש או מערכת מקבלים רק את הגישה המינימלית הדרושה למשימה הספציפית שלהם - לא "גישה כללית כי הוא בפנים".

מיקרו-סגמנטציה (Micro-segmentation). במקום רשת פנימית אחת גדולה שברגע שנפרצת חושפת הכל, הרשת מחולקת לאזורים קטנים ומבודדים, כך שתוקף שחדר לאזור אחד לא יכול לנוע בקלות לאזורים אחרים.

הנחת פריצה (Assume Breach). הגישה המחשבתית היא לתכנן כאילו כבר יש תוקף בתוך הרשת, ולבנות הגנות שמגבילות נזק גם במצב הזה - לא רק הגנות שמנסות למנוע כניסה מלכתחילה.

SIEM - העיניים שרואות הכל במקום אחד

בעוד ש-Zero Trust הוא פילוסופיית ארכיטקטורה, SIEM (Security Information and Event Management) הוא כלי טכנולוגי קונקרטי - מערכת שאוספת לוגים ואירועים מכל מקורות המידע בארגון (שרתים, נקודות קצה, ציוד רשת, אפליקציות, שירותי ענן), ומרכזת אותם במקום אחד לניתוח, מתאם, והתראה.

הרעיון המרכזי הוא שלוג בודד ממקור אחד לרוב לא אומר הרבה, אבל שילוב של כמה אירועים ממקורות שונים יכול לחשוף התקפה. לדוגמה: ניסיון כניסה כושל בודד לא מדאיג. אבל SIEM שרואה ניסיון כניסה כושל, ואז כניסה מוצלחת ממדינה אחרת לגמרי דקה אחר כך, ואז הורדת קובץ גדולה חריגה - זו תמונה שמצטרפת יחד לכדי חשד אמיתי, שאף לוג בודד לא היה חושף בעצמו.

אנליסט SOC עובד עם SIEM כל יום - הוא הכלי המרכזי שדרכו מזהים אזעקות, חוקרים אירועים חשודים, ומחליטים אם משהו דורש תגובה. שמות מוכרים בשוק כוללים Splunk, Microsoft Sentinel, וIBM QRadar, אבל העיקרון זהה בכולם.

איך שני המושגים מתחברים

Zero Trust ו-SIEM לא סותרים זה את זה - הם משלימים. Zero Trust קובע את המדיניות - מי מורשה לגשת למה, בהינתן אילו תנאים. SIEM הוא העיניים שמוודאות שהמדיניות הזאת אכן נאכפת בפועל, ומזהות חריגות ממנה. ארגון שמיישם Zero Trust בלי SIEM טוב לא יידע אם המדיניות שלו נפרצה. ארגון עם SIEM מעולה אבל בלי ארכיטקטורת Zero Trust יזהה אירועים, אבל הנזק הפוטנציאלי מכל פריצה יהיה גדול הרבה יותר, כי אין הגבלה על תנועה רוחבית ברשת.

למה זה חשוב אם אתם שואפים לתפקיד SOC או אבטחת מידע

ראיונות עבודה לתפקידי SOC ואבטחת מידע כמעט תמיד נוגעים במושגים האלה, גם ברמה בסיסית. לא מצפים מכם, כג'וניור, לתכנן ארכיטקטורת Zero Trust שלמה לארגון - אבל מצפים שתבינו את ההיגיון מאחוריה, ושתדעו לקרוא ולפרש נתונים בכלי SIEM. הדרך הטובה ביותר לבנות את ההבנה הזאת היא לא רק לקרוא עליה, אלא להתנסות בפועל - להקים סביבת מעבדה, לייצר אירועי אבטחה מבוימים, ולראות איך הם נראים בכלי ניתוח לוגים אמיתי.

תכירו את קורס בדיקות החדירות שלנו כאן

אם אתם רוצים גם את הבסיס של איך רשתות ומערכות עובדות לפני שאתם צוללים לאבטחה שלהן, קורס הרשתות שלנו הוא הבסיס הנכון.

תכירו את קורס הרשתות שלנו כאן

לסיכום

Zero Trust הוא שינוי בפילוסופיה - מהנחה שכל מי שבפנים מהימן, להנחה שאף אחד לא מהימן אוטומטית ושכל בקשה נבדקת מחדש. SIEM הוא הכלי שהופך את המדיניות הזאת לניתנת לאכיפה ולניטור בפועל, על ידי איסוף וניתוח מרוכז של כל האירועים בארגון. שני המושגים ביחד מייצגים איך אבטחת מידע ארגונית עובדת היום, ושווה להכיר אותם לעומק, לא רק בתור ראשי תיבות לזרוק בראיון.

אם אתם רוצים לדבר על זה עם אנשים אחרים שמתעניינים ב-SOC ובאבטחת מידע, יש לנו קהילה שלמה בדיסקורד.

הצטרפו לקהילה בדיסקורד