חיפוש משרות DFIR
מה עושה מומחה IR/פורנזיקה (DFIR) ו- Threat hunting
בתחום אבטחת המידע, מוסמך IR ופורנזיקה (DFIR) ו- cyber threat hunting הוא אדם בעל ידע עדכני ויכולת מעשיות גבוהות בנושאי תחקור אירועים.
על החוקר (cyber threat hunter) לאסוף, באופן מדויק וסטרילי ככל הניתן, את כל המידע מתוך מסמכים, תמונות, דואר אלקטרוני, כוננים קשיחים, כונני אחסון, קבצים מכווצים, כוננים פלאש ומידע שנמחק, נפגם או שונה בכל אופן.
Forensics
במסגרת משרות threat hunter, חוקרים פורנזיים אחראיים לשחזור המידע, פענוח האירועים, שימור ראייתי, חקירה בזמן אמת או חקירה אקס פוסט (בדיעבד).
כחלק מתפקידו של threat hunting על החוקר לשאת ארגז כלים משוכלל הכולל כלי שכפול, שחזור, חיפוש, ניטור, פיצוח סיסמאות וכל כלי שיסייע בחקירה.
Incident Response
(תגובה לאירועים) הוא תפקיד בכיר הממוקם בתוך או מחוץ למרכז ה-SOC ועוסק בתגובת הארגון לאירועי אבטחת מידע ממשיים.
במסגרת התפקיד באופן שוטף ישנו עיסוק במוכנות הארגון למתקפות שונות ומורכבות בתחום אבטחת המידע.
איש ה-IR נחשב בכיר יותר מהאנליסטים במרכז ה-SOC אמנם בארגונים קטנים יותר ייתכן כי התפקיד יבוצע ע”י אנליסט בכיר, המוגדר כTier 2/3.
תיאור התפקיד
מוסמך פורנזיקה אחראי על שלושה אפיקים עיקריים: במסגרת המשפטית, שחזור המידע והבנת תהליכים המתקיימים במערכת לצורך שיפור ביצועים, או לצורך שחזור תקלה לצורך מניעתה בעתיד.
מוסמך פורנזיקה משתמש במגוון כלים לחקור ולאסוף מידע אלקטרוני ממערכות מחשוב הכולל היסטורית גלישה, מסמכים שעובדו ונערכו במעבד תמלילים, תמונות וקבצים רבים אחרים.
במסגרת תפקידו, כאמור, הוא אחראי לפענח אירועhם תוך שימוש בשיטות וכלים לגילוי, זיהוי, פענוח ושחזור אירועים; ניתוח נתונים, הצלבת נתונים וקורלציה בין נתונים לשם הרכבת תמונה שלמה.
תפקידם המשמעותי בחקר האמת ומציאת ראיות לעיתים משפיע על הליך משפטי, הליך פלילי.
מומחה IR מתמקד בהגנה על המידע הארגוני על ידי ניתוח מתקפות סייבר וחקירת אירועי אבטחת המידע, כאשר השלבים העיקריים הם:
- ניטור ובדיקה שוטפת
- זיהוי סגירה ראשונית של תקריות
- בדיקת וחקירת המתקפה תוך בחינת הצורך בתיעוד ראייתי פורנזי וניתוח נוזקות
- בידוד ובלימת המתקפה
- סגירת התקרית, תחקור והמלצה לפעולות מנע
מומחה Cyber Threat Hunting
הוא “צייד האיומים” threat hunter ומבצע מהלך אקטיבי של ארגון לאיתור איומים אפשריים חדשים שאינם ידועים לארגון ושיכולים להתקיף אותו בעתיד הרחוק או הקרוב.
במסגרת מחקר (threat hunting) זה מחפש איומים זהים אשר תקפו ארגונים בעלי אופי דומה לשלנו או שמנסה לזהות פגיעויות בארגון שלנו אשר גורמים עוינים ינסו לנצל על מנת להגיע למידע שלנו וכאן נכנס תפקידו של threat hunter ומכאן חשיבות התפקיד בתחום cyber threat hunting.
בתחום של threat hunting יש לרוב שימוש בכלים של Big data ו- Machine learning.
דרישות התפקיד threat hunting
חוקר DFIR משמש כציר חשוב במערכת וחייב להכיר לעומק את עולמות התקינה, מערכות הפעלה, רשתות, חומרה, תוכנות אבטחה ואף את העולם האפליקטיבי.
מומחה מסוג זה חייב להיות מנוסה בפריצה ולהכיר טכניקות חדירה למערכות מחשב, לדעת כיצד לסרוק אחר חולשות ועוד.
בנוסף, עליהם להביא יכולות אנליטיות גבוהות, תשומת לב גבוהה לפרטים ויכולות מולטי-טאסקינג.
דרישות תפקיד threat hunting כוללות:
- ניסיון/הכרות עם תהליכי החקירה
- ידע בטכניקות וכלי תקיפה
- ניסיון מוכח בשימוש בכלי פורנזיקה (FTK, EnCase, Volatility, Redline) וכו- יתרון
- CSFP: Cyber Security Forensics Professional
- הכרה עמוקה בתחום מערכות ההפעלה – Windows, Linux
- הבנת היבטי אבטחת רשת, אבטחת נקודות קצה, פיתוח תוכנה מאובטח
- הכרות עם פרוטוקולי תקשורת TCP-IP, HTTP, SMTP, UDP, HTTPS, SSH
- הכרות עם Malware analytics בסביבות שונות כמו windows, Linux
- הסמכות המקנות יתרון:
- Certified Forensic Computer Examiner (CFCE)
- הכרות עם תהליכי פיתוח – יתרון
- יכולת לימוד עצמית, עבודה תחת תנאי לחץ, יכולת בינאישית גבוהה (שיחה עם לקוחות), יכולת ארגון
שכר ממוצע פורנזיקה – DFIR וThreat Hunting
| מתחיל | ביניים | מנוסה | בכיר | |
|---|---|---|---|---|
| ותק | 0-2 | 2-5 | 5-8 | 8 ומעלה |
| שכר | 10-18 | 18-30 | 30-40 | 40-45 |
מסלול התקדמות בתפקיד threat hunting
איוש תפקידי חוקר DFIR בתחום אבטחת המידע באירגונים שונים הינו תפקיד ייחודי הנושא בחובו יתרונות רבים.
אפשרויות הקידום בתוך תחום המחקר הן רוחביות על פי רוב כגון:
- התמחות בתחומי פורנזיקת רשתות
- התמחות בתחומי פורנזיקת Host
- Threat hunting
- Malware analysis
- Researcher
לרשימת משרות DFIR וThreat hunting