Telecom News - מה זה אומר להיות חוקר/ת סייבר באגף מבצעים והתערבות במערך הסייבר?

מה זה אומר להיות חוקר/ת סייבר באגף מבצעים והתערבות במערך הסייבר הלאומי?
מאת: מערכת Telecom News, 24.5.21, 14:13 CYBER FREE

בימים אלו מגייס מערך הסייבר הלאומי חוקרי סייבר, אנליסטים וגם אנשים למשרות נוספות בתחום, במסלולי גיוס, שהותאמו לתהליך ייחודי המקצר את הטווחים במיון ובקבלה של העובדים. מהן התכונות שחשוב שתהיינה לחוקר סייבר? מה בדיוק עושים בתפקיד המרתק של חוקר סייבר? מה החשיבות של התפקיד, ועל מה מופקדים חוקרי סייבר? זרקור לתפקיד המבוקש הזה.

אחד התפקידים המרתקים במערך הסייבר הלאומי ובשוק הסייבר בכלל הוא התפקיד של חוקר הסייבר. היכולת ללמוד על תוקפים מסוגים שונים ולנהל אירועים בזמן אמת, הופכת את התפקיד לדינמי, בעל משמעות, עם מתח גבוה ויכולת לתרום לביטחון המדינה והמרחב האזרחי.

אז מה בדיוק עושים בתפקיד, מה החשיבות של התפקיד ועל מה מופקדים חוקרי וחוקרות סייבר? הפננו זרקור לתפקיד המבוקש הזה.

לחוקרי סייבר ברמה הלאומית יש תפקיד מהותי בהגנה ובשמירה על רציפות המשק, בין אם זה מול הארגון שנתקף או בהגנה פרואקטיבית מפני גורמים מדינתיים עוינים. להבדיל מחברה פרטית, שממוקדת בהגנה על ארגון ספציפי, ברמה הלאומית עובדי מערך הסייבר הלאומי מופקדים על הגנת המשק כולו מפוטנציאל למתקפת סייבר ובמיוחד כזו שעלולה להתפשט - אפידמית. במערך הסייבר הלאומי מתמודדים מול מגוון תוקפים, בהם אויבים מדינתיים, שמנסים לפגוע במשק ובנכסי המדינה.

עם השנים, תפקיד חוקר סייבר הפך לחשוב במיוחד עם התקדמות הטכנולוגיה והעלייה במתקפות סייבר.

הכירו את י', חוקר סייבר העובד כשנתיים במערך הסייבר הלאומי. הוא הגיע למערך הסייבר לאחר שירות של קרוב ל-5 שנים בחיל המודיעין, בתפקידי טיפול באירועים, אבטחת מידע ומחקר.

י': "חוקרים בתפקיד נדרשים לניסיון וידע בחקירת רשת, טיפול באירועי תקיפה, ידע מעמיק במערכות הפעלה ופורנזיקה, יכולת ניתוח מידע, חקירת זיכרון, ניסיון אפקטיבי במערכות הפעלה שונות, ניסיון בעבודה עם כלי חקירה וכלי הגנה מוכרים ויכולות תכנות.
לצד זה, צריך גם להיות גמיש ולהבין, שהתפקיד משתנה בהתאם להתפתחויות הטכנולוגיות. כך, שהחוקרים נדרשים לעמוד בקצב, ללמוד מהר וליישם מהר יותר.

התפקיד הוא טיפול וסיוע לארגונים בהתמודדות עם תקיפות. העבודה כוללת חיבור לארגונים שונים, למידת אופי העבודה בהם ויכולת לבצע חקירה בהתאם למגבלות. בין היתר, במרבית האירועים נדרש לבצע חקירת רשת, חקירה פורנזית של תחנות ושרתים, הטמעת פתרונות איסוף וזיהוי, איסוף מידע רב והתמודדות מול בעלי תפקידים בארגון. כל זאת, כדי לבלום גורמי תקיפה משמעותיים המהווים איום על המשק בישראל.

המטרה בסוף היא להגן על המרחב האזרחי מפני התפשטות התקיפה, ומפני גרימת נזק משמעותי. כחוקר, הגיוון והנגיעה בכל כך הרבה מגזרים מאפשרת להיחשף לתקיפות חדשניות ולשיטות פעולה פורצות דרך.

דרכי הפעולה של התוקפים מגוונות מאוד. כך, שכל חקירה או טיפול, שאני מבצע, בהכרח מאפשרים לי לחדש משהו לקהיליית הסייבר הישראלית וכן לשותפים בארץ ואף בעולם. התפקיד שלי כחוקר הוא לסלול את המסלול הנכון, שיבלום את האירוע וימנע תקיפה חוזרת: הרבה פעמים מדובר ממש במלחמה אונליין מול הצד השני עד העצירה הסופית. אני מתחיל את החקירה בבדיקה של אילו נקודות בדרך התוקף השאיר, הפירורים, מבלי לדעת איזה חלק זה בפאזל ואם עדיין קיים תוקף אקטיבי שפועל מולי. אתה יודע שיש לך פאזל, וצריך לפתור את החידה, החל מהפירור הראשון.

לפעמים הממצאים ברורים ומידיים ולעיתים העבודה מתמשכת והתוקף מחפש דרכים עדכניות לחזור לשליטה ברשת הארגון. ממני מצופה לעצור אותו בזמן".

א', חוקרת סייבר מזה שנתיים במערך, אחראית על הטיפול הטכנולוגי באירועי סייבר בגופים שנתקפו - ביצוע חקירה פורנזית ברשת הגוף, ליווי של התהליך כולו מרגע יצירת הקשר ועד לסיום הטיפול. בעלת רקע בתחום חקירות פורנזיות מיחידת מודיעין בצה"ל.

א': "עיקר התפקיד הוא ביצוע חקירה בגוף שנתקף. לרוב, הטיפול מתחיל בשיח ראשוני עם הגוף כדי לקבל מידע כללי על אופי החברה ומבנה הרשת שלה -הכל בהסכמה וללא כניסה למערכות החברה עצמה.

לאחר מכן מתבצע תהליך הטיפול באירוע - איסוף ראיות, חקירת כלל המידע, שהתקבל מהארגון ולאחר מכן גיבוש תכנית להסרת הממצאים החשודים, שעלו במסגרת פעילות החקירה ברשת. בסיום הטיפול נכתב מסמך דוח חקירה הכולל בתוכו סיכום של הפעולות שבוצעו ע"י צוות החוקרים, ממצאים והנחיות מפורטות להמשך לביצוע ע"י הארגון בכדי להקטין את הסיכוי לתקיפה חוזרת באותו מתווה הכניסה מה שנקרא - הגבהת חומות.

מה שמעניין אותי במיוחד בתפקיד הוא היכולת להתחקות אחרי ההתנהגות של תוקף, להבין ולחקור את הלוגים של פעולות המחשב. לרוב אנו רואים, שהתוקף נכנס דרך חולשה נפוצה, שפורסמה זמן קצר קודם לכן וכבר יש לה עדכון אבטחה. כלומר, אם הארגון היה מטמיע את עדכון האבטחה בזמן, סביר, שהתקיפה הייתה נמנעת.

עוד מעניין לראות את ההתרחשות של התוקף בגוף ולזהות את העניין שלו באותה החברה. יש לנו יכולת להשקיע משאבי חקירה רבים לאורך זמן, ולכן היכולת להתמודד עם איומים משמעותיים היא עמוקה ומקיפה".

מהן התכונות שחשוב שתהיינה לחוקר או חוקרת סייבר?
י': "ראש גדול. אי אפשר לחשוב בקטן ולבצע את העבודה, צריך ללמוד ולשפר את היכולות בכל עת. בסופו של יום איכות הטיפול תקבע את היכולת של הארגון להתמודד עם התוקף ואף להשפיע על החוסן של המרחב האזרחי כולו. נדרש רצון ללמוד ולהתפתח ויכולת לפתור בעיות מקצה לקצה באופן עצמאי. החוקר צריך להיות בעל יכולות אנליטיות ומחקריות גבוהות ויכולת לעמוד ולעבוד מול ארגונים".

בימים אלו אנו מגייס המערך חוקרי סייבר, אנליסטים ואנשים למשרות נוספות בתחום למערך הסייבר.

ארז צ'רנוביץ, סמנכ"ל בכיר למנהל ומשאבי אנוש במערך הסייבר הלאומי: "העבודה במערך היא בקצב גבוה יותר ממה שמכירים בשירות הציבורי. אנו מציעים סביבה עתירת טכנולוגיות, אתגר יום-יומי, חשיפה לתמונת המצב הלאומית ולמידע ייחודי בתחום, אנו נמצאים בתחום מבצעי ואופי העבודה הוא ביטחוני עם תחושת תרומה למדינה.

כדי להתאים לשוק התחרותי והחם בתחום, התאמנו באחרונה את מסלולי הגיוס לתהליך ייחודי המקצר את הטווחים במיון ובקבלה של העובדים, אף יותר מגופי בטחון אחרים, בנוסף לתנאי העסקה נוחים ומסלולים ייחודיים לאנשי סייבר".