המשרות שלי

מה עושה מומחה IR/פורנזיקה (DFIR) וThreat hunting

מה עושה מומחה IR/פורנזיקה (DFIR) וThreat hunting

בתחום אבטחת המידע, מוסמך IR ופורנזיקה (DFIR) הוא אדם בעל ידע עדכני ויכולת מעשיות גבוהות בנושאי תחקור אירועים.

על החוקר לאסוף, באופן מדויק וסטרילי ככל הניתן, את כל המידע מתוך מסמכים, תמונות, דואר אלקטרוני, כוננים קשיחים, כונני אחסון, קבצים מכווצים, כוננים פלאש ומידע שנמחק, נפגם או שונה בכל אופן.

Forensics

חוקרים פורנזיים אחראיים לשחזור המידע, פענוח האירועים, שימור ראייתי, חקירה בזמן אמת או חקירה אקס פוסט (בדיעבד).

כחלק מתפקידו על החוקר לשאת ארגז כלים משוכלל הכולל כלי שכפול, שחזור, חיפוש, ניטור, פיצוח סיסמאות וכל כלי שיסייע בחקירה.

Incident Response

(תגובה לאירועים) הוא תפקיד בכיר הממוקם בתוך או מחוץ למרכז ה-SOC ועוסק בתגובת הארגון לאירועי אבטחת מידע ממשיים. במסגרת התפקיד באופן שוטף ישנו עיסוק במוכנות הארגון למתקפות שונות ומורכבות בתחום אבטחת המידע.

איש ה-IR נחשב בכיר יותר מהאנליסטים במרכז ה-SOC אמנם בארגונים קטנים יותר ייתכן כי התפקיד יבוצע ע”י אנליסט בכיר, המוגדר כTier 2/3.

 

תיאור התפקיד

מוסמך פורנזיקה אחראי על שלושה אפיקים עיקריים: במסגרת המשפטית, שחזור המידע והבנת תהליכים המתקיימים במערכת לצורך שיפור ביצועים, או לצורך שחזור תקלה לצורך מניעתה בעתיד.

מוסמך פורנזיקה משתמש במגוון כלים לחקור ולאסוף מידע אלקטרוני ממערכות מחשוב הכולל היסטורית גלישה, מסמכים שעובדו ונערכו במעבד תמלילים, תמונות וקבצים רבים אחרים.

במסגרת תפקידו, כאמור, הוא אחראי לפענח אירועhם תוך שימוש בשיטות וכלים לגילוי, זיהוי, פענוח ושחזור אירועים; ניתוח נתונים, הצלבת נתונים וקורלציה בין נתונים לשם הרכבת תמונה שלמה.

תפקידם המשמעותי בחקר האמת ומציאת ראיות לעיתים משפיע על הליך משפטי, הליך פלילי.

מומחה IR מתמקד בהגנה על המידע הארגוני על ידי ניתוח מתקפות סייבר וחקירת אירועי אבטחת המידע, כאשר השלבים העיקריים הם:

  • ניטור ובדיקה שוטפת
  • זיהוי סגירה ראשונית של תקריות
  • בדיקת וחקירת המתקפה תוך בחינת הצורך בתיעוד ראייתי פורנזי וניתוח נוזקות
  • בידוד ובלימת המתקפה
  • סגירת התקרית, תחקור והמלצה לפעולות מנע

מומחה Threat Hunting הוא “צייד האיומים” ומבצע מהלך אקטיבי של ארגון לאיתור איומים אפשריים חדשים שאינם ידועים לארגון ושיכולים להתקיף אותו בעתיד הרחוק או הקרוב. במסגרת מחקר זה מחפש איומים זהים אשר תקפו ארגונים בעלי אופי דומה לשלנו או שמנסה לזהות פגיעויות בארגון שלנו אשר גורמים עוינים ינסו לנצל על מנת להגיע למידע שלנו.

בתחום עיסוק זה יש לרוב שימוש בכלים של Big data וMachine learning.

דרישות התפקיד

חוקר DFIR משמש כציר חשוב במערכת וחייב להכיר לעומק את עולמות התקינה, מערכות הפעלה, רשתות, חומרה, תוכנות אבטחה ואף את העולם האפליקטיבי.

מומחה מסוג זה חייב להיות מנוסה בפריצה ולהכיר טכניקות חדירה למערכות מחשב, לדעת כיצד לסרוק אחר חולשות ועוד.

בנוסף, עליהם להביא יכולות אנליטיות גבוהות, תשומת לב גבוהה לפרטים ויכולות מולטי-טאסקינג.

דרישות התפקיד כוללות:

  • ניסיון/הכרות עם תהליכי החקירה
  • ידע בטכניקות וכלי תקיפה
  • ניסיון מוכח בשימוש בכלי פורנזיקה (FTK, EnCase, Volatility, Redline) וכו-  יתרון
    • CSFP: Cyber Security Forensics Professional
  • הכרה עמוקה בתחום מערכות ההפעלה – Windows, Linux
  • הבנת היבטי אבטחת רשת, אבטחת נקודות קצה, פיתוח תוכנה מאובטח
  • הכרות עם פרוטוקולי תקשורת TCP-IP, HTTP, SMTP, UDP, HTTPS, SSH
  • הכרות עם Malware analytics בסביבות שונות כמו windows, Linux
  • הסמכות המקנות יתרון:
    • Certified Forensic Computer Examiner (CFCE)
  • הכרות עם תהליכי פיתוח – יתרון
  • יכולת לימוד עצמית, עבודה תחת תנאי לחץ, יכולת בינאישית גבוהה (שיחה עם לקוחות), יכולת ארגון

שכר ממוצע DFIR וThreat Hunting

 מתחילבינייםמנוסהבכיר
ותק0-22-55-88 ומעלה
שכר9-1414-2525-3535-45

מסלול התקדמות

איוש תפקידי חוקר DFIR בתחום אבטחת המידע באירגונים שונים הינו תפקיד ייחודי הנושא בחובו יתרונות רבים. אפשרויות הקידום בתוך תחום המחקר הן רוחביות על פי רוב כגון:

  • התמחות בתחומי פורנזיקת רשתות
  • התמחות בתחומי פורנזיקת Host
  • Threat hunting
  • Malware analysis
  • Researcher

לרשימת משרות DFIR וThreat hunting

למפת מקצועות הסייבר

צור קשר