14/09/2025
היום כל חברה זקוקה להגנת סייבר.
דלף מידע מבפנים 🐙
Insider Threat Detected: A Technical Case Study from the Socrates SOC
בעולם הסייבר, לא כל איום מגיע מבחוץ.
לאחרונה, אחד הלקוחות שלנו חווה אירוע חמור שלInsider Threat – עובד שסיים את תפקידו ונפרד מהארגון בצורה לא נעימה, החליט לבצע פעולה זדונית רגע לפני היציאה.
מה קרה בפועל:
1. העובד חיבר התקן USB לתחנה ארגונית, העתיק נפח גדול של קבצים רגישים (DB Dumps, קבצי Excel עם נתוני לקוחות, מסמכי חוזים ועוד).
2. לאחר מכן, הוא ניסה לטשטש עקבות על-ידי מחיקה מלאה של תיבת ה-Outlook 365 שלו (Soft Delete ולאחר מכן Hard Delete).
3. הוא ניסה להתנתק מהתחנה ולהשאיר מינימום סימנים על הפעולה.
🥇 כיצד צוות ה-SOC של Dorin Dushi פעל:
* EDR Logs: זוהו אירועי Device Control חריגים בזמן אמת על התקן USB חדש שנחבר.
* File Monitoring: ניטור File Copy Operations הצביע על העתקת מאות קבצים בפרק זמן קצר.
* O365 Audit Logs: הצלבה מול Unified Audit Logs של Microsoft 365 חשפה מחיקות חריגות בתיבת דואר (SoftDelete + Purge).
* Correlation Rules: שילוב אירועי Endpoint עם אירועי ענן יצר תמונה מלאה של ציר הזמן – מהחיבור הפיזי, דרך ההעתקה ועד המחיקה.
* IR Process: הצוות הפיק מיידית IOC’s, חסם גישה לחשבון, והפיק ממצאים משפטיים (Forensic Evidence) לטובת המשך טיפול של הלקוח.
התוצאה:
* זיהוי תוך דקות של האירוע.
* חסימת המשך הפעילות של העובד.
* הפקת דו"ח חקירה מלא עם Timeline מפורט, IOC’s, והמלצות ל-Hardening.
* הלקוח מנע דלף מידע שעלול היה להסתיים באובדן אמון מול לקוחות, קנסות רגולטוריים, ותביעות.
מה היינו ממליצים מתודולוגית לארגונים אחרים:
1. Offboarding מדויק: ניתוק הרשאות וגישה (כולל O365) ברגע סיום תפקיד.
2. Device Control: הגבלת חיבור USB והפעלת Full Audit.
3. Cloud Monitoring: חיבור לוגים מ-Outlook 365 / Azure AD ל-SIEM.
4. Data Loss Prevention: מנגנוני DLP עם Policy מותאם למידע רגיש.
5. SOC 24/7 עם Playbooks לאיומים פנימיים: תגובה מתוזמרת וחכמה מונעת אסון.
ב-Socrates SOC אנחנו לא מסתפקים בזיהוי. אנחנו מפרקים את האירוע עד לפרט האחרון, כדי שללקוח תהיה שליטה מלאה – גם מול איומים פנימיים מורכבים.
כי בעולם של היום, הסכנה הגדולה ביותר יכולה להגיע דווקא מתוך הארגון.
#אבטחתמידע
#ניטור
