התוכן הזה עודכן לאחרונה ביוני 2026, והוא מציג את המצב הקיים במועד כתיבתו. מדיניות האבטחה ומערכות האבטחה של Google עשויות להשתנות בעתיד, מכיוון שאנחנו כל הזמן פועלים לשיפור ההגנה על הלקוחות שלנו.
בראש סדר העדיפויות של Google ניצב הצורך לשמור על סביבה בטוחה ומאובטחת לנתוני הלקוחות. לשם כך, אנחנו משתמשים במערך מוביל בתחומו לאבטחת מידע, שמשלב תהליכים קפדניים, צוות שמומחה בתגובה לתקריות ותשתית רב-שכבתית לשמירה על פרטיות ואבטחת המידע. במסמך הזה מוסבר על הגישה העקרונית שלנו לניהול אירועי אבטחת מידע ותהליך התגובה אליהם ב- Google Cloud.
המונח 'אירוע אבטחת מידע' מוגדר בנספח לעיבוד נתונים ב-Cloud בתור "פרצה באבטחה של Google שמובילה בטעות או בדרך המנוגדת לחוק להשמדה, לאובדן, לשינוי, לחשיפה בלתי מורשית של נתוני הלקוחות או לגישה אליהם במערכות ש-Google מנהלת או שבשליטתה בכל דרך אחרת". אנחנו פועלים לסיכול של כל האיומים שניתן לחזות מראש על הנתונים והמערכות, ולכן ניסיונות שנכשלו או פעילויות שלא מסכנות את האבטחה של נתוני הלקוחות לא נחשבים לאירועי אבטחת מידע. לדוגמה, ניסיון כושל לכניסה לחשבון, שליחת פינג, סריקת יציאות, התקפה מסוג מניעת שירות (DoS) והתקפות אחרות ברשת על חומות האש או המערכות ברשת, לא נחשבים כאירועי אבטחת מידע.
אחד ההיבטים המרכזיים בתוכנית הכוללת שלנו לאבטחה ופרטיות הוא תגובה לאירועים. יש לנו נוהל קפדני לניהול אירועי אבטחת מידע. הנוהל הזה מפרט מהן הפעולות שצריך לעשות, מתי צריך להעביר את הטיפול באירוע לרמה גבוהה יותר, איך מצמצמים את הפגיעה ולמי מודיעים על אירועים שעלולים לפגוע בסודיות, בתקינות ובזמינות של נתוני הלקוחות.
בסקירה הכללית על תכנון האבטחה בתשתית ובמאמר בנושא אבטחה ב-Google Cloud מוסבר בהרחבה איך אנחנו שומרים על האבטחה ב- Google Cloud.
תגובה לתקריות אבטחת מידע
צוותי מומחים שמורכבים מבעלי תפקידים שונים הם אלה שמנהלים אצלנו את תוכנית התגובה לתקריות, כדי להבטיח שכל תגובה תותאם היטב לאתגרים הייחודיים של כל תקרית. צוות התגובה המקצועי יכול לכלול מומחים מהצוותים הבאים, בהתאם לאופי התקרית:
- צוותים מיוחדים לתגובה לתקריות, כולל צוות תגובה לתקריות שמבוסס על למידת מכונה
- הנדסת המוצר
- Site Reliability Engineering
- אבטחה בענן
- זיהוי פלילי דיגיטלי
- זיהוי ותגובה
- יועצי אבטחה, פרטיות ומוצרים
- פעולות תגובה לאבטחה
- תגובה בנושא פרטיות ואמון
- אמון ובטיחות
- Cloud Customer Care
המומחים מהצוותים האלה פועלים במגוון דרכים. לדוגמה, מפקדי אירועים מרכזים את התגובה לאירוע, ואם צריך, צוות של פורנזיקה דיגיטלית מבצע חקירה פורנזית, אוסף ראיות ועוקב אחרי מתקפות פעילוֹת. מהנדסי מוצרים פועלים להגבלת ההשפעה על הלקוחות ומספקים פתרונות לתיקון המוצרים שנפגעו. היועצים פועלים לצד האנשים המתאימים מצוות הפרטיות והאבטחה כדי ליישם את האסטרטגיה של Google לאיסוף ראיות, עובדים מול רשויות אכיפת החוק והרגולטורים ומייעצים בקשר לדרישות ולהיבטים המשפטיים. צוות Customer Care עונה לפניות של הלקוחות ומשיג פרטים נוספים ועזרה.
ארגון הצוות
כשאנחנו מצהירים (declare) על אירוע, אנחנו ממנים מפקד אירוע שמרכז את התגובה אליו ואת הטיפול בו. מפקד האירוע מקים צוות תגובה לאירוע עם מומחים מצוותים שונים, לבחירתו. מפקד האירוע מאציל את הסמכויות לניהול ההיבטים השונים של האירוע לאותם מומחים, ומנהל את האירוע מרגע ההצהרה עליו ועד לסיומו. בתרשים הבא תוכלו לראות דוגמה לאופן שבו בעלי התפקידים השונים מאורגנים ומהן הסמכויות שלהם במהלך התגובה לאירוע. יכול להיות שיוקצו תפקידים שונים, בהתאם לסוג האירוע.
תהליך התגובה לתקריות אבטחת מידע
כל אירוע אבטחת מידע הוא ייחודי במינה, ומטרת תהליך התגובה לאירוע היא להגן על נתוני הלקוחות, להחזיר את השירות לפעולה תקינה כמה שיותר מהר ולתת מענה לדרישות הרגולטוריות והחוזיות כאחד. בטבלה הבאה מפורטים השלבים המרכזיים בתוכנית התגובה לאירוע של Google.
| שלב התקרית | מטרה | תיאור |
|---|---|---|
| זיהוי | איתור | באמצעות תהליכים אוטומטיים וידניים אנחנו מאתרים נקודות חולשה פוטנציאליות ותקריות. |
| דיווח | באמצעות תהליכים אוטומטיים וידניים אנחנו מדווחים על הבעיה לצוות התגובה לתקרית. | |
| ריכוז ותיאום | מיון | ביצוע הפעולות הבאות:
|
| מעורבות של צוות התגובה לתקרית | ביצוע הפעולות הבאות:
|
|
| טיפול | חקירה | ביצוע הפעולות הבאות:
|
| בלימה והתאוששות | אחראי התפעול נוקט פעולה מיידית כדי:
|
|
| תקשורת | ביצוע הפעולות הבאות:
|
|
| סיום הטיפול | הפקת לקחים | ביצוע הפעולות הבאות:
|
| שיפור שוטף | הכנת תוכנית | עדכון הצוותים, ההדרכות, התהליכים, המשאבים והכלים הנדרשים. |
| מניעה | הצוותים משפרים את תוכנית התגובה לתקריות בהתאם ללקחים שהופקו. |
כל אחד מהשלבים מפורט בהרחבה בהמשך.
זיהוי
כדי לנהל תקריות אבטחה, חשוב לזהות אותן מוקדם ובצורה מדויקת. בשלב הזיהוי ההתמקדות היא בניטור תקריות אבטחה, כדי לזהות תקריות פוטנציאליות של אבטחת מידע ולדווח עליהן.
צוות הזיהוי משתמש בכלי זיהוי מתקדמים, באותות ובמנגנוני התראה שמאפשרים לזהות מוקדם תקריות פוטנציאליות. המקורות שלנו לזיהוי תקריות הם, בין השאר:
ניתוח אוטומטי של הרשת ושל יומני המערכת: בעזרת ניתוח אוטומטי של התנועה ברשת ושל הגישה למערכת אנחנו מזהים פעילות חשודה, פוגענית או לא מורשית, ומעבירים תקריות לטיפול של צוות האבטחה. מערכות לזיהוי איומים משתמשות בלמידת מכונה כדי ליצור קורלציה בין אותות אבטחה נפרדים בתשתית Google Cloud . על ידי קיבוץ של אירועים מבודדים, בנפח נמוך, שמשותפים להם חתימות תפעוליות נפוצות, המערכת חושפת קמפיינים מתוחכמים או מתואמים של תקיפות, שפילטרים פשוטים שמבוססים על כללים עלולים לפספס.
זיהוי חריגות התנהגותיות: מודלים של למידת מכונה מנתחים דפוסי גישה של משתמשים, פרטי כניסה ובקשות API כדי ליצור התנהגויות בסיסיות. בין הסטיות המשמעותיות שמפעילות התראות אוטומטיות נכללות חריגות בנפחי הנתונים שחולצו, כניסות גיאוגרפיות לא אופייניות או שינויים פתאומיים בהרשאות אדמיניסטרטיביות.
בדיקות: צוות האבטחה מבצע סריקות יזומות לזיהוי איומי אבטחה באמצעות בדיקות חדירה, אמצעי בקרת איכות (QA), זיהוי פריצות אבטחה ובדיקות אבטחה לתוכנות.
סקרי קוד פנימיים: סקר קוד המקור מגלה נקודות חולשה שמסתתרות בו, פגמים בעיצוב ומוודא שמנגנוני אבטחה מרכזיים מיושמים.
כלים ותהליכים ספציפיים למוצר: הצוותים משתמשים בכלים אוטומטיים שספציפיים לתפקידם בכל הזדמנות, כדי לשפר את היכולת שלנו לזהות תקריות ברמת המוצר.
מעקב אחרי גישה עם הרשאות מיוחדות: צינורות אוטומטיים סורקים ומעריכים באופן רציף את הגישה של צוות Google למשאבים של לקוחות. מסווגים מבוססי-למידת מכונה מנתחים יומני ביקורת כדי לזהות ולסמן ניסיונות גישה לא צפויים או לא סטנדרטיים, לצורך בדיקה מיידית של התאימות והאבטחה.
התראות אבטחה במרכז הנתונים ובשירותי הארגון: באמצעות התראות אבטחה במרכזי הנתונים אנחנו מנסים לזהות תקריות שעלולות להשפיע על התשתית שלנו.
עובדי Google: עובדי Google יכולים לזהות חריגות ולדווח עליהן.
תוכנית התגמולים של Google לזיהוי נקודות חולשה: תוכנית שבמסגרתה חוקרי אבטחה חיצוניים יכולים לזהות בתוספים לדפדפן, באפליקציות לנייד ובאפליקציות האינטרנט שבבעלות Google נקודות חולשה טכניות פוטנציאליות שעלולות לפגוע בסודיות או בשלמות של נתוני המשתמשים, ולדווח עליהן.
מיון חכם של התראות: כדי למנוע עייפות מהתראות, Google משתמשת במודלים של AI כדי לבצע סיווג מראש של התראות ולהסיר כפילויות בזרמי התראות בכמויות גדולות. המערכת הזו מקבצת אותות קשורים לאירועים מאוחדים, מדרגת אותם לפי חומרתם הפוטנציאלית ומצרפת אבחון הקשרי של איומים לצוות התגובה.
ריכוז ותיאום
כשמתקבל דיווח על אירוע, התורן מצוות התגובה בודק אותה ומעריך את האופי שלה כדי להחליט אם היא מהווה אירוע אבטחת מידע פוטנציאלי – ואם כן, מתחיל את תהליך התגובה לאירוע.
אחרי שהוא מאשר שמדובר בתקרית פוטנציאלית, התורן בוחן את אופייה ומתחיל בתגובה יזומה ומתואמת. בשלב הזה, התגובה כוללת השלמת הערכת התגובה לאירוע, שינוי מידת החומרה שלו במידת הצורך והפעלת צוות התגובה לאירוע הנדרש שכולל אחראי תפעול ואחראים טכניים, שיבדקו את העובדות ויזהו אזורי מפתח שמחייבים חקירה. אנחנו ממנים אחראי מוצר ואחראי משפטי שיקבלו החלטות מרכזיות בקשר לאופן התגובה. התורן מאציל סמכויות לחקירה והעובדות נאספות. במקרה הצורך, מוכרז על אירוע ומוקצה לו מפקד.
היבטים רבים בתגובה שלנו תלויים בהערכה של מידת החומרה, על סמך עובדות מרכזיות שצוות התגובה לאירוע אוסף ומנתח. העובדות העיקריות האלה כוללות את:
פוטנציאל הנזק ללקוחות, לצדדים שלישיים ול-Google.
אופי התקרית (לדוגמה, אם יש חשד שהייתה גישה לנתונים או שהם הושמדו או שונו).
סוג הנתונים שיכול להיות שהושפעו מהתקרית.
ההשפעה של התקרית על היכולת של הלקוחות שלנו להשתמש בשירות.
סטטוס התקרית (לדוגמה, האם מדובר בתקרית מבודדת, בתקרית מתמשכת או בתקרית שנבלמה).
כשמתווסף מידע חדש במהלך מאמצי התגובה, מפקד התקרית ושאר האחראים מבצעים הערכה מחודשת לגורמים האלה כדי להבטיח שהמשאבים הנדרשים מוקצים ושהתקרית מטופלת במידת הדחיפות המתאימה. תקריות שיש להן את ההשפעה הקריטית ביותר מטופלות במידת החומרה הגבוהה ביותר. אנחנו ממנים אחראי תקשורת שיכין תוכנית תקשורת יחד עם שאר האחראים.
מערכות AI עוקבות אחרי ערוצי שיתוף פעולה שקשורים לאירוע ומציעות עדכונים לציר הזמן של האירוע.
רזולוציה
בשלב הטיפול, ההתמקדות היא במציאת שורש הבעיה, הגבלת ההשפעה של התקרית, טיפול בסכנות אבטחה מיידיות (אם יש), יישום התיקונים הנדרשים כחלק מהתיקון ושיקום המערכות, הנתונים והשירותים שהושפעו.
ככל שיתאפשר לנו, נחזיר את הנתונים שהושפעו למצב המקורי שלהם. במידה הסבירה וכפי שנדרש בהתאם לכל תקרית לגופה, נבצע מספר פעולות שונות כדי לטפל בעניין. לדוגמה, יכול להיות שנצטרך לבצע חקירה טכנית או פורנזית כדי לשחזר את שורש הבעיה או לזהות השפעה על נתוני הלקוחות. יכול להיות שננסה לשחזר עותקים של הנתונים מעותקי הגיבוי שלנו, אם הם שונו בצורה שגויה או הושמדו.
אחד ההיבטים המרכזיים בתיקון הוא עדכון הלקוחות כשתקריות אבטחה משפיעות על הנתונים שלהם. לאורך התקרית, העובדות המרכזיות נבדקות כדי להחליט אם היא השפיעה על נתוני הלקוחות. אם יוחלט שיש צורך בעדכון הלקוחות, מפקד התקרית יתחיל את תהליך העדכון. אחראי התקשורת יכין תוכנית תקשורת עם מידע שיתקבל מאחראי המוצר ומהאחראי המשפטי, יודיע למי שהושפע מהתקרית וייתן מענה לפניות של לקוחות בעזרת צוות Customer Care.
אנחנו שואפים לשלוח עדכונים ברורים, מדויקים ובזמן, שמכילים את הפרטים הידועים בקשר לתקרית אבטחת המידע, האמצעים שנקטנו כדי לצמצם את הסיכונים הפוטנציאליים והפעולות שאנחנו ממליצים ללקוחות לבצע כדי לטפל בתקרית. אנחנו עושים כמיטב יכולתנו כדי לספק תמונה ברורה לתקרית כדי שהלקוחות יוכלו להעריך בעצמם את הצורך בעדכון, ולעדכן את מי שצריך.
סיום הטיפול
בסיום הטיפול באירוע אבטחת המידע ואחרי תיקון הבעיה, צוות התגובה לאירוע בוחן את הלקחים שהופקו בעקבותיו. אם האירוע הציף בעיות קריטיות, מפקד האירוע יכול ליזום ניתוח פוסט-מורטם. כלי AI מאכלסים אוטומטית טיוטה של סיכום האירוע באמצעות ציר זמן, יומני צ'אט ומטא-נתונים. במהלך התהליך הזה, צוות התגובה לאירוע בוחן את הסיבות לאירוע ואת התגובה שלנו ומזהה נקודות מרכזיות לשיפור. בחלק מהמקרים, הדבר ידרוש שיחות עם צוותי מוצר, הנדסה ותפעול שונים ופעולות לשיפור המוצר. אם תידרש פעולת המשך, צוות התגובה לאירוע יכין תוכנית פעולה וימנה מנהלי פרויקטים שיהיו אחראים על ביצועה בטווח הארוך. התקרית תסתיים כשיסתיימו מאמצי התיקון.
שיפור שוטף
אנחנו ב-Google שואפים ללמוד מכל תקרית וליישם אמצעים שימנעו הישנות של תקריות.
בעזרת התובנות הפרקטיות מניתוח התקרית אנחנו יכולים לשפר את הכלים, ההדרכות והתהליכים שלנו, וכן את התוכנית הכוללת לאבטחה, לפרטיות ולהגנה על הנתונים, את מדיניות האבטחה ואת מאמצי התגובה. בזכות התובנות המרכזיות אנחנו גם יכולים לתעדף את המאמצים ההנדסיים וליצור מוצרים טובים יותר.
כדי לשפר את התוכניות שלנו, מומחי האבטחה והפרטיות בוחנים את תוכניות האבטחה של כל הרשתות, המערכות והשירותים, ומעניקים לצוותי המוצר וההנדסה שירותי ייעוץ ספציפיים לפרויקט. מומחי האבטחה והפרטיות משתמשים בלמידת מכונה, בניתוח נתונים ובשיטות חדישות אחרות כדי לנטר פעילות חשודה ברשתות שלנו, לטפל באיומי אבטחת מידע, לבצע ביקורות ובדיקות שגרתיות לאבטחה ולערב מומחים חיצוניים לביצוע בדיקות אבטחה שוטפות. נוסף על כך, יש לנו צוות המכונה Project Zero, שמטרתו למנוע מתקפות ממוקדות על ידי דיווח על באגים לספקי התוכנה ותיעוד שלהם במסד נתונים חיצוני.
אנחנו עורכים הדרכות שוטפות וקמפיינים להעלאת המוּדעוּת כדי לעודד חדשנות בתחום האבטחה ופרטיות הנתונים. העובדים מצוותי התגובה לתקריות עוברים הדרכות בנושאי זיהוי פלילי וטיפול בראיות, כולל שימוש בכלים שבבעלותנו וכלים של צדדים שלישיים. אנחנו בוחנים את התהליכים והנהלים של התגובה לתקריות באזורים מרכזיים, כמו מערכות שבהן מאוחסנים נתונים רגישים של הלקוחות. בבדיקות האלה נלקחים בחשבון מגוון תרחישים, כולל איומים מבית ונקודות חולשה בתוכנה, ובעזרתן אנחנו יכולים להיערך טוב יותר לתקריות אבטחה ופרטיות.
תהליך התגובה לאירועים שלנו נבדק באופן קבוע בהתאם למסגרות רגולטוריות, כדי שללקוחות שלנו ולרגולטורים יהיו אישורים ממקורות בלתי תלויים בקשר למנגנוני האבטחה, הפרטיות והתאימות שלנו. לדוגמה, התאמנו את תהליכי התגובה לתקריות שלנו בהתאם לחוק האירופי בנושא חוסן תפעולי דיגיטלי (DORA), כדי לעזור ללקוחות בתחום הפיננסי לעמוד בדרישות בנוגע לסיווג תקריות, לדיווח ולציר הזמן. בנוסף, אנחנו פועלים בהתאם להנחיה 2.0 בנושא רשתות ומערכות מידע (NIS2) באירופה. המוצרים שלנו עוברים באופן קבוע בדיקות הסמכה לתוכניות ISO-27017, ISO-27018, ISO-27001, PCI-DSS, SOC 2 ו-FedRAMP. במרכז המשאבים בנושא תאימות תוכלו למצוא את רשימת האישורים שלGoogle Cloudממקורות צד שלישי.
תקשורת עם לקוחות
Google מספקת ללקוחות שלנו כמה מנגנונים לקבלת התראות על אירועים ולשילוב ההתראות בתהליכי העבודה שלהם בנושא תגובה לאירועים.
ההתראות על אירועי נתונים נשלחות באמצעות אנשי קשר חיוניים. בנוסף, במסוף Google Admin מוצגות התראות לגבי אבטחה וניהול של חשבונות, תקינות של שירותים ועדכונים, והודעות שירות חיוניות (MDA).
כדי לציין מי יקבל את ההתראות האלה, צריך להוסיף כתובות אימייל מתאימות לאנשי קשר חיוניים ולחשבונות אדמין ב-Google Workspace. אם לא מגדירים אנשי קשר חיוניים,Google Cloud שולחת אימיילים לאדמינים ארגוניים, לבעלי פרויקטים או לאדמינים לחיוב, בהתאם להיקף ההתראה.
Google שולחת אימיילים באמצעות כתובת @google.com. השולח הספציפי משתנה בהתאם לשירות ששלח את ההתראה. השולחים כוללים את cloud-security-scanner-noreply@google.com, google-cloud-compliance-noreply@google.com, workspace-noreply@google.com, apps-noreply@google.com או כתובות noreply ספציפיות לשירות.
ההתראות בדרך כלל כוללות את הפרטים הבאים:
- השירותים והפרויקטים שהושפעו Google Cloud
- תיאור של הבעיה או האירוע
- המועד שבו אותרה הבעיה
- מזהה ייחודי של התקרית
- קישורים למרכזי בקרה רלוונטיים או למשאבי תמיכה
כדי להטמיע את ההתראות האלה בתהליכי התגובה לאירועים, צריך לבצע את הפעולות הבאות:
- מגדירים כתובת אימייל קבוצתית לתגובה לאירוע בקטגוריה אבטחה או הכול באנשי הקשר החיוניים.
- צריך להקצות לאדמינים של האבטחה את תפקיד ה-IAM Advisory Notifications Viewer (
roles/advisorynotifications.viewer) כדי שהם יוכלו לראות את ההמלצות האלה בGoogle Cloud מסוף. - יצירת התראות ב-Cloud Monitoring כדי לקבל התראות על סמך היומנים והמדדים.
שימוש ב-AI בתגובה לתקריות אבטחת מידע
Google משתמשת ב-AI בשלבים השונים של תהליך התגובה לתקריות אבטחת מידע כדי להוסיף הקשר ולייעץ לצוותים שלנו לגבי השלבים הבאים. לדוגמה, Google משתמשת ב-AI למטרות הבאות:
- בשלב הזיהוי, מודלים של למידת מכונה מנתחים אותות של התראות ומבצעים קורלציה בין אירועים.
- בשלב הבדיקה, סוכני AI מנתחים את האבחון כדי לזהות את שורשי הבעיה האפשריים ולהמליץ על פתרונות. בשלב הזה, ה-AI מוגבל להצעת פתרונות.
- בשלב הפתרון, מודלים של AI לא יכולים להריץ פקודות באופן ישיר. במקום זאת, מודלים של AI יוצרים מטען ייעודי (payload) של פעולות מובנות שצריך לעבור בדיקות אימות ולקבל אישור מפורש של בודק אנושי לפני שהמטען הייעודי מוחל.
כדי לעזור לכם לבצע ביקורת ולעמוד בדרישות התאימות, פעולות ה-AI שמתרחשות במהלך תהליך התגובה לאירוע מתועדות ביומני ביקורת שלא ניתן לשנות.
סיכום
בלב העסק שלנו ניצב הצורך להגן על הנתונים. אנחנו כל הזמן משקיעים בתוכנית האבטחה הכוללת, במשאבים ובמומחיות, כדי שהלקוחות שלנו יסמכו עלינו שנגיב ביעילות לכל תקרית, נגן על הנתונים שלהם ונשמור בשירותי Google על הרמה הגבוהה של מהימנות שהלקוחות מצפים לקבל.
תוכנית התגובה לאירועים שלנו היא מהמובילות בתחום, וכוללת את החלקים הבאים:
תהליך שנשען על שיטות מוֹבִילות לטיפול בתקריות וממוקד בשימוש יעיל בקנה המידה של Google.
מערכות ניטור, כלים לניתוח נתונים ושירותי למידת מכונה מהחלוצים בתחומם, שבעזרתם אנחנו יכולים לזהות ולבלום תקריות באופן יזום.
מומחים ייעודיים בתחום שיכולים לתת מענה לתקריות אבטחת מידע מכל סוג והיקף.
תהליך מבוסס לעדכון מהיר של הלקוחות שהושפעו, שעולה בקנה אחד עם המחויבויות של Google בתנאים ובהגבלות ובהסכמים שלנו עם הלקוחות.
השלב הבא
מידע נוסף על ניהול אירועים מופיע בפרק 17 של הספר Building secure and reliable systems (O'Reilly book).
בתוכנית לניהול יסודות האבטחה בארגון ובGoogle Cloud מסגרת Well-Architected שלנו תוכלו לקרוא בהרחבה איך משתמשים באמצעי אבטחה להגנה על עומסי העבודה ב-Google Cloud.