שיעור 14: חמש הפונקציות של NIST CSF — מתיאוריה לפעולה
זהו השיעור המסכם של המודול על הגנה בשכבות. לאורך השיעורים הקודמים כבר בנינו בפועל את רוב הבקרות שנשענות עליהן שתיים מחמש הפונקציות של NIST CSF: PoLP, מודלי בקרת גישה, הקשחה וסגמנטציה (הגנה פנימית), Firewall, WAF, DMZ ו-IDS/IPS (הגנה היקפית). בשיעור הזה נסגור את המעגל: נחבר בקצרה את מה שכבר בנינו לתו
בקיצור: NIST CSF הוא מעגל של חמישה שלבים. זיהוי = מה יש לנו ומה מסוכן. הגנה = מה שכבר בנינו (הרשאות, הקשחה, פייחוול). איתור = לתפוס תוקף כמה שיותר מהר (SIEM, לוגים, מלכודות-דבש). תגובה = לבלום את הנזק לפי תוכנית מוכנה מראש (צוות תגובה, פורנזיקה). התאוששות = לחזור לפעול לפי יעדי זמן ומידע מוגדרים מראש (RTO/RPO), ואז ללמוד מהתקרית כדי לחזק את הזיהוי בפעם הבאה.
- מעגל חמש הפונקציות של NIST CSF
- המסגרת ההוליסטית שסוגרת את הקורס: זיהוי, הגנה, איתור, תגובה והתאוששות פועלות במעגל סגור ודינמי — לא כרשימת שלבים חד-פעמית. לקחים מ'התאוששות' (Post-Mortem) חוזרים ומעדכנים את 'הזיהוי' לקראת האירוע הבא.
- זיהוי: ממשל, הגנה מבוססת-איום ומודיעין
- רכיבי הזיהוי מעבר לניהול הסיכונים שכבר נלמד: ממשל תאגידי (חלוקת תפקידים, אישורי Risk Acceptance), הגנה מבוססת-איום (התאמת בקרות לתוקפים ספציפיים), שחקני איום ו-TTPs (הטכניקות, הטקטיקות והנהלים שלהם), ומודיעין — איסוף שיטתי של מידע איום המותאם לפרופיל הארגון.
- הגנה — סגירת המעגל (רענון)
- הפונקציה הזו כבר נבנתה בפועל בשיעורים הקודמים: בקרת גישה (MFA, PoLP) והקשחת שרתים (ביטול שירותים מיותרים, סגירת פורטים, עדכוני אבטחה) — שיעור 13; אבטחת רשת (Firewall, WAF, DMZ, IDS/IPS, VPN, NACL) — שיעור 12; והגנת מידע (סגמנטציה ומניעת דליפת מידע — DLP).
- איתור: לוגים ו-SIEM
- Logging הוא איסוף שיטתי של כל אירועי המערכת — לניתוח סימני-פריצה (IoCs) ולחקירה פורנזית. SIEM מאחד לוגים ממקורות מרובים, מבצע קורלציה בזמן אמת, ומייצר התראות (תוך שימוש ב-AI/ML). המטרה המשותפת: לצמצם את זמן השהייה של תוקף במערכת (Dwell Time) לפני שהוא מתגלה.
- איתור: CCM ומלכודות-דבש
- CCM (ניטור בקרות מתמשך) הוא וידוא שוטף שהבקרות שהוגדרו אכן פועלות כנדרש, דרך מדדי KPI/KRI. Honeypot הוא מערכת-פיתיון שמושכת תוקפים; Honeytoken הוא פיסת מידע מזויפת שכל גישה אליה מפעילה התראה מיידית — שניהם דרכים לחשוף תוקף מוקדם, לא רק להגיב אחרי שנגרם נזק.
- תגובה: תוכנית IR, צוות IRT ופורנזיקה
- מטרת התגובה היא לצמצם נזק דרך בלימה (Containment). תוכנית IR (Incident Response Plan) מגדירה מראש תרחישי תגובה. צוות IRT כולל מוביל אבטחה, אנליסטים (פורנזיקאים/חוקרים/מקבלי-החלטות), ויועץ משפטי (חובות דיווח רגולטוריות). Playbooks מתעדים מראש משימות, התראות ותקשורת חיצונית. פורנזיקה (Dump, PCAP, לוגים) אוספת ראיות. MTTD ו-MTTR מודדים כמה מהר מזהים ומגיבים, מול יעדים מוגדרים מראש (סף אדום/ירוק).
- התאוששות: DRP מול BCP, ו-RTO מול RPO
- DRP (תוכנית התאוששות מאסון) משחזרת מערכות טכנולוגיות ונתונים. BCP (תוכנית המשכיות עסקית) שומרת על תפקוד תהליכים עסקיים קריטיים, ומבוססת על BIA (ניתוח השפעה עסקית). RTO הוא חלון הזמן המרבי שמערכת יכולה להיות מושבתת לפני פגיעה עסקית בלתי-קבילה; RPO הוא היקף אובדן הנתונים המרבי המקובל, נמדד כמרחק-זמן מגיבוי אחרון. משמעת גיבויים (מלא/הדרגתי/דיפרנציאלי, מחוץ לאתר) ותרגילי כשירות מאמתים את היעדים האלה בפועל. Post-Mortem לוכד לקחים שמזינים מחדש את הזיהוי.
- שלושת עמודי התווך של הגנה בשכבות
- המסקנה המסכמת של המודול: (1) הגנה בשכבות = טכנולוגיה + תהליך + אדם; (2) רמת אבטחה לא נמדדת בכמות הכלים אלא בבשלות התהליך; (3) חוסן = סגמנטציה + ניטור מתמשך + מהירות תגובה. ארגון עם טכנולוגיה מתקדמת אך ריק ממשל (Governance) עדיין פגיע.