אולימפיאדות, מונדיאל, פסגות מדיניות ותערוכות טכנולוגיה מושכות מיליוני משתתפים וצופים בעלי עניין בנושא - במקביל ​לאירוע עצמו האירוע מושך אליו גם גורמי תקיפה מכל העולם. אירועים מסוג זה הופכים ל"מטרה הפוגשת סביבה נוחה" (Target Rich Environment): עומס דיגיטלי, מערכות מחשוב, קהל גלובלי וערך גבוהה לכל פגיעה. כדי להבין זאת לעומק, יש לבחון את המשולש: חולשה איום וסיכון.  חולשה (Vulnerability)אירועים בינלאומיים נשענים על מערכות מורכבות ורב שכבתיות: כרטוס, תשלומים, לוגיסטיקה, שידור, אפליקציות ושרשרת אספקה רחבה מאוד. הלחץ התפעולי, ריבוי הספקים ואינטגרציות המהירות מייצרים כר פורה לחולשות כמו: מערכות ואפליקציות לא מעודכנות הגדרות שגויות בענן וברשת APIs חשופים או לא מאובטחים כראוימודעות נמוכה לפישינג והנדסה חברתית בקרב עובדים , ספקים ומתנדבים איומים (Threats) בגלל כל החולשות שהזכרתי לעיל משטח התקיפה רחב מאוד וכאן ניכנסים גורמי תקיפה בעלי מניעים שונים: גורמים מדינתיים APT המבצעים ריגול, איסוף מודיעין ולעיתים גם שיבוש מכוון של תשתיות פשיעה מאורגנת וקבוצות כופרה ransomware המתמקדות בסחיטה, הצפנת מערכות והונאותהאקטיביסטים הפועלים ממניעים אידיאולוגים נגד מדינות, ארגונים ונותני חסותגורמים פנימיים ותוקפים אופרטיוניסטיים המנצלים גישה קיימת או בקרה חלשה סיכונים (Risks) כאשר איום מנצל חולשה, הסיכון מתממש בפועל: השבתת מערכות קריטיות של כרטוס, שערים חכמים, אתרים ושרותי סטרימינגדליפת מידע רגיש או ריגול מדינתי מתמשך APT Advanced Persistent Threat פגיעה בשלמות נתונים integrity , כולל בנתוני אמת לוגיסטייםנזק כלכלי, פגיעה במוניטין ואובדן אמון הציבור  דוגמאות מהשטחאולימפיאדת החורף פיונגצ'נג 2018 - מתקפת "Olympic Destroyer" ששיבשה את מערכות הכרטוס, השידור והתקשורת .מונדיאל קאטר 2022 - קמפיינים רחבי היקף של פישינג והונאות כרטיסים פסגות G20 וארועים מדינתיים - ניסיונות חדירה למערכות התקשורת ואיסוף מודיעיןכנסי טכנולוגיה כמו למשל CES ו- MWC הן יעד לגנבת קניין רוחני וחדירה לשרשראות האספקה מסקנה: ניהול סיכוני סייבר מקצה לקצה האתגר המרכזי בארועים בינלאומיים אינו רק ההפקה הלוגיסטית, אלא ניהול סיכוני סייבר לאורך כל מחזור החיים של אותו אירוע:זיהוי חולשות, כולל תלות בצדדים שלישייםמיפוי והבנת האיומים בהתאם לפרופיל האירוע צמצום סיכונים באמצעות הקשחה, ניטור, והעלאת המודעות על ידי תרגול ותרחישים בסופו של דבר, הצלחת האירוע לא נמדדת רק במספר המשתתפים או ההכנסות, אלא ביכולת להגן על המידע, התשתיות ואמון הציבורי.  CyberSecurity #InfoSec #RiskManagement #CyberThreats #APT #Ransomware #GlobalEvents#

 כשמדברים על אבטחה בענן, קל לקפוץ ישר להגדרות, Policies ושירותים. אבל לפני הכל, חשוב להבין את ההיגיון שעומד מאחורי מודל האבטחה של AWS – ורק אחר כך לצלול לטכנולוגיה. עיקרון ראשון: הפרדה בין זהות להרשאותבכל מערכת מחשוב יש שתי שאלות בסיסיות:  מי אתה? מה מותר לך לעשות? מודלי האבטחה של ספקי הענן בנויים סביב הפרדה בין זהות לבין הרשאות.ב-AWS שירות IAM משלב ניהול זהויות והרשאות, בעוד שב-Azure ניהול הזהויות נעשה באמצעות Microsoft Entra ID וההרשאות למשאבי הענן מנוהלות באמצעות  Azure RBAC .מצד אחד יש ישויות - משתמשים, שירותים או אפליקציות - שמקבלים זהות במערכת. מצד שני יש הרשאות - Policies ומנגנוני בקרה (Guardrails) שמגבילים או מגדירים את הפעולות המותרותההפרדה הזו מאפשרת לבנות מודל אבטחה מסודר, גמיש ושקוף יותר לניהול.  עיקרון שני: הרשאה מינימלית (Least Privilege)במקום לתת לכל משתמש או מערכת גישה רחבה “ליתר ביטחון”, המטרה היא לתת בדיוק את מה שנדרש לביצוע המשימה - ולא יותר מזה. משתמש אנושי יקבל רק את ה‑permissions הדרושים לתפקיד שלו, ושירות יקבל רק את הגישה למשאבים שהוא באמת צריך. הגישה הזו מצמצמת משמעותית את הנזק הפוטנציאלי במקרה של טעות, שימוש לא נכון, או פריצה לחשבון/מערכת.  עיקרון שלישי: זהויות והרשאות זמניותבעולם הישן עבדו עם סיסמאות ומפתחות קבועים שנשמרו בקבצים, בשרתים או בקוד. בעולם הענן המודרני, הדגש הוא על הרשאה זמנית: ב‑AWS, שירות כמו STS (Security Token Service) מנפיק פרטי גישה זמניים, שמוגבלים בזמן ונוצרים רק לפי צורך. כך גם אם מפתח דולף – חלון הזמן שבו ניתן לנצל אותו מוגבל, והסיכון לאורך זמן קטן בהרבה.  עיקרון רביעי: הפרדה בין בני אדם למערכותלא כל מי שצריך גישה למערכת הוא אותו סוג “משתמש”. אדם שמתחבר לקונסול, שרת שמריץ תהליך אוטומטי, ואפליקציה שמדברת עם שירות אחר - כולם צרכני גישה, אבל לא באותו אופן. מודל האבטחה זה מאפשר להגדיר הרשאות שונות לבני אדם (דרך זהות ארגונית, למשל Azure Entra ID) ולמערכות/Workloads (למשל ב   AWS IAM Roles עם הרשאות זמניים), כך כל ישות מקבלת גישה שמתאימה לתפקיד ולסיכון שלה.  אבטחה בענן כגישה מערכתיתאבטחה בענן היא לא מוצר אחד ולא “שירות קסם”, אלא צורת חשיבה. היא משלבת זהויות, הרשאות, בקרות, ניטור ולוגים - כדי לוודא שלא רק מי שנכנס הוא מי שהוא טוען שהוא, אלא שגם הוא עושה רק את מה שמותר לו. כשמבינים את ההיגיון שמאחורי מודל האבטחה של הענן - זהות מול הרשאות, קביעות מול זמניות, בני אדם מול מערכות - העבודה עם הכלים עצמם הופכת להיות הרבה יותר טבעית. במילים פשוטות: אבטחה בענן לא מתחילה מהשירותים של ספק הענן, אלא מהחשיבה על זהות, הרשאות ושליטה מדויקת בגישה למידע.  

​מבואבינה מלאכותית הפכה לרכיב ליבה במערכות דיגיטליות מודרניות – החל ממנגנוני זיהוי הונאות, דרך סינון תוכן וספאם, ועד מערכות הגנה ברשתות ארגוניות ותשתיות קריטיות. שילובה העמוק במערכות קבלת החלטות יוצר יתרון תפעולי משמעותי, אך במקביל מייצר משטח תקיפה חדש.בניגוד לאיומים מסורתיים הממוקדים בשרתים, משתמשים או פרוטוקולי תקשורת, במערכות מבוססות AI המודל עצמו הופך ליעד. תוקפים אינם מנסים רק לעקוף את המערכת – אלא ללמוד אותה. באמצעות שאילתות שיטתיות ניתן לנתח דפוסי תגובה, לבצע חילוץ מודל, ולהסיק מידע על נתוני האימון או גבולות ההכרעה.באופן פרדוקסלי, עקרונות שנועדו לשפר אמינות ושקיפות – כגון הסבריות ועקביות – עשויים בתנאים מסוימים להפוך לערוצי מידע המשרתים יריב מיומן. הסבריות כגורם מעצים התקפההסבריות נועדה לאפשר שקיפות והבנה של תהליך קבלת ההחלטות. במערכות פיננסיות, רפואיות וביטחוניות מדובר לעיתים בדרישה רגולטורית ואתית. עם זאת, כל מידע נוסף המוחזר למשתמש מהווה גם הרחבה של משטח התקיפה.רמת הסיכון תלויה בשלושה פרמטרים מרכזיים: רזולוציית הפלטים עושר המידע המוחזר תדירות השאילתות המותרת  זליגת פרטיות דרך הסקה על נתוני אימוןכאשר מודל מחזיר הסתברויות מפורטות או ציוני ביטחון רציפים, ניתן לבצע הבחנה סטטיסטית בין דוגמאות שהופיעו בסט האימון לבין דוגמאות חיצוניות, במיוחד במצבי התאמת יתר.הסיכון אינו נובע מעצם השקיפות, אלא מהשילוב בין פלטים עשירים לבין גישה בלתי מבוקרת. חילוץ מודליםגישה למודל דרך API מאפשרת להזין קלטים שיטתיים, לאסוף פלטים, ולאמן מודל חיקוי. חשיפת ציוני ביטחון מפורטים משפרת משמעותית את איכות השחזור.מודל חיקוי כזה מאפשר: יצירת קלטים עוינים מיפוי גבולות סיווג בדיקה לא מקוונת של וריאציות קלט עקיפת מנגנוני סינון בתרחיש זה מנגנון ההכרעה עצמו הופך למקור מידע מנבא.  ניתוח סיכון יישומיבעולם ניהול הסיכונים מקובל להגדיר:סיכון = איום × חולשהובמודל מורחב:סיכון = איום × חולשה × השפעהבמערכת AI: האיום הוא גורם המבצע שאילתות חקרניות החולשה היא חשיפת ציון סיכון מפורט או נימוק כמותי ההשפעה עשויה להיות עקיפת מנגנון הגנה, דליפת מידע או הטעיית מסווג כאשר מערכת מחזירה ציון סיכון מדויק וערך החלטה מספרי, היא אינה יוצרת את האיום אך מגדילה את רכיב החולשה. משוב כמותי מאפשר כיול איטרטיבי של הקלט עד למעבר מתחת לערך ההחלטה.  עקביות כיתרון אסטרטגי לתוקףעקביות – כלומר אותו קלט מוביל לאותו פלט – היא עקרון יסודי במערכות אמינות. עם זאת, עקביות גבוהה מפחיתה רעש סטטיסטי ומאפשרת למידה מדויקת יותר של פונקציית ההחלטה.האתגר אינו ביצירת חוסר עקביות מלאכותי, אלא בשליטה בכמות המידע שניתן ללמוד מהתנהגות המערכת.  שחזור גבולות החלטהכאשר מודל מגיב באופן יציב, ניתן למפות גבולות החלטה ולאמן מודל קירוב. מודל כזה עשוי להספיק ליצירת דוגמאות תקיפה הניתנות להעברה גם למודל המקורי.עקביות אינה חולשה כשלעצמה, אך בהיעדר בקרה היא מאיצה למידה התקפית.  עקביות בזמני תגובהיציבות בזמני תגובה עשויה, בתנאים מסוימים, לאפשר ניתוח תזמון והסקת מאפיינים פנימיים של זרימת ההחלטה. בסביבות ענן ציבוריות קיים רעש תשתיתי משמעותי – תנודתיות ברשת, ריבוי דיירים, וירטואליזציה ואיזון עומסים – אשר מעלים את סטיית התקן של זמני התגובה ומקשים לבודד הבדלים זעירים בזמן העיבוד הפנימי. כאשר יחס האות–רעש נמוך, גם אם קיימת תלות בין זמן חישוב למידע פנימי, נדרש היקף מדידות גדול מאוד כדי לחלץ מסקנה מובהקת. לעומת זאת, במערכות מקומיות או בהתקני קצה שבהם הסביבה יציבה יותר והמדידה מדויקת יותר, ניתן לזהות סטיות זמן קטנות, ולכן פוטנציאל זליגת המידע התזמוני גבוה משמעותית.מדובר באיום תלוי הקשר תפעולי.  עקיפת מערכות זיהוי מבוססות MLמודלים עקביים מאפשרים חישוב שינויים מינימליים בקלט המובילים לשינוי סיווג. המודל פועל בהתאם לתכנונו, אך גבולות ההכרעה שלו מנוצלים ליצירת קלטים עוינים.  האתגר האדריכלי: אמון מול חסינותהבעיה אינה הסבריות או עקביות כשלעצמן, אלא יישום שאינו מלווה בחשיבה עוינת.מערכת אמינה נדרשת לאזן בין: שקיפות למשתמש לגיטימי מזעור דליפה אינפורמטיבית שימושיות תפעולית חסינות מול יריב מסתגל מדובר באתגר תכנוני המשלב הנדסת תוכנה, אבטחת מידע ולמידת מכונה.  עקרונות מיתוןניתן לצמצם את משטח התקיפה באמצעות עקרונות תכנוניים ברורים:מינימליזם בפלטים אחידות בהודעות שגיאה הגבלת קצב שאילתות וזיהוי דפוסי חקירהשימוש בטכניקות פרטיות דיפרנציאלית באימון אימון מול קלטים עוינים טשטוש מבוקר של פלטים המטרה אינה לבטל שקיפות, אלא לנהל אותה באופן מבוקר. סיכום הסבריות ועקביות הן יסודות במערכות AI אמינות. אולם כאשר פלטי המודל עשירים וללא בקרה מספקת, הם עשויים להפוך לערוץ מידע התקפי.הסיכון אינו נובע מהשקיפות עצמה, אלא מהיעדר תכנון המניח יריב רציונלי ומסתגל.בעידן שבו AI משמש כמנגנון הגנה, עליו להיות מתוכנן גם כיעד תקיפה אפשרי. מערכת אמינה חייבת להיות שקופה למשתמש, אך לא אינפורמטיבית יתר על המידה ליריב. 

אחת הבדיקות הראשונות והחשובות ביותר לפני פתיחת קישור באימייל היא פשוטה מאוד — ריחוף עם העכבר מעל הלינק. כן, עוד לפני בדיקת כותרות טכניות, SPF או DKIM — יש לבצע בדיקה ויזואלית בסיסית. שלב ראשון: ריחוף מעל הקישור (בלי ללחוץ)כאשר מרחפים עם העכבר מעל קישור (Hover), רוב תוכנות הדוא״ל והדפדפנים מציגים בתחתית המסך את ה-URL האמיתי שאליו הקישור מוביל.מה צריך לבדוק?האם הדומיין תואם לארגון הנטען?אם ההודעה כביכול מבנק לאומי - הדומיין צריך להיות leumi.co.il ולא domain אקראי. האם יש טעויות כתיב מכוונות?דוגמאות נפוצות: paypa1.com במקום paypal.com micr0soft-support.com במקום microsoft.com    4. האם מדובר בקישור מקוצר (bit.ly, tinyurl וכו')?קישורים מקוצרים מסתירים את היעד האמיתי - זה לא בהכרח זדוני, אך בהחלט דורש זהירות.האם הדומיין נראה אקראי או לא קשור לתוכן?למשל הודעה מ"מס הכנסה" שמובילה לשרת באוקראינה או לשרת עם שם לא ברור. אם הקישור לא נראה לגיטימי - לא לוחצים. נקודה.  שלב שני: בדיקות טכניות בכותרות ההודעה (Headers)  לאחר בדיקת הקישורים, ניתן לעבור לבדיקה טכנית עמוקה יותר.SPF (Sender Policy Framework)         יש לוודא שמופיע spf=pass המשמעות: שרת השליחה מורשה לשלוח בשם הדומיין. אם מופיע fail או softfail — מדובר באינדיקציה משמעותית לזיוף.   DKIM (חתימה קריפטוגרפית)        יש לוודא שמופיע dkim=pass.החתימה מאשרת שהתוכן לא שונה בדרך ושהדומיין אכן חתם על ההודעה.        כישלון ב-DKIM עלול להעיד על מניפולציה או זיוף. DMARC      יש לוודא שמופיע dmarc=pass.DMARC מאמת התאמה בין כתובת ה-From לבין SPF/DKIM.      כישלון כאן הוא דגל אדום משמעותי. שרשרת Received      בדקו את מסלול ההודעה:האם היא עברה דרך שרתים לגיטימיים?האם יש שרתים לא מזוהים?האם קיימת קפיצה גאוגרפית חריגה?      שרשרת לא הגיונית עשויה להעיד על התחזות. שלב שלישי: סימנים התנהגותיים ותוכניים מחשידיםגם אם כל הבדיקות הטכניות תקינות - זה עדיין לא מבטיח שההודעה בטוחה. כיום רבות מהתקיפות נשלחות מחשבונות Gmail או Outlook אמיתיים שנפרצו.שימו לב ל:תחושת דחיפות קיצונית"החשבון ייחסם היום""יש לאשר מיידית""לחץ כאן תוך 30 דקות"לחץ זמן הוא כלי קלאסי בהנדסה חברתית. בקשות חריגותשליחת סיסמהשליחת קוד אימותשינוי פרטי בנקתשלום דחוףפתיחת קובץ ZIP/ISO/HTMLכל פעולה שאינה חלק מתהליך עבודה רגיל מחייבת אימות טלפוני. קבצים מצורפים מסוכניםסיומות חשודות במיוחד:exejsvbsisoקבצי Office עם Macrosגם PDF עלול להכיל קישור זדוני. ניסוח לא טבעישגיאות תחביריותתרגום מכונהניסוח מאולץחוסר עקביות בשם השולח נקודה קריטית להבנהאימייל יכול לעבור SPF, DKIM ו-DMARC בהצלחה - ועדיין להיות פישינג.למה?כי התוקף יכול להשתמש בחשבון אמיתי שנפרץ.לכן אבטחת דוא״ל היא שילוב של בדיקה טכנית, בדיקת קישורים, ניתוח תוכן וזיהוי דפוסי הנדסה חברתית. כלל זהבאם יש ספק - מאמתים בערוץ נוסף.טלפון ישיר למספר מוכר.לא למספר שמופיע בהודעה.מודעות היא שכבת ההגנה הראשונה.טכנולוגיה לבדה אינה מספיקה. יורם דר  

 Red Team, Threat Intelligence ו APT במציאות המשתנה של מתקפות סייברתקצירהנוף הקיברנטי משתנה במהירות. מתקפות אינן עוד אירועים נקודתיים אלא קמפיינים מתמשכים, מבוססי מודיעין, אוטומציה ובינה מלאכותית. במציאות זו, שילוב בין Threat Intelligence לבין פעילות Red Team מקצועית הופך לקריטי עבור ארגונים המעוניינים לבחון את רמת החוסן האמיתית שלהם.מאמר זה מסביר מהו Threat Intelligence, מהי פעילות Red Team, מהו APT ומדוע הוא פועל לאורך זמן, וכיצד השילוב בין כל המרכיבים הללו מייצר יתרוןהגנתי משמעותי. מהו Threat Intelligence?Threat Intelligence הוא תהליך שיטתי של איסוף, ניתוח והפקת תובנות ממידע הקשור לאיומי סייבר, במטרה לאפשר קבלת החלטות מבוססת סיכון. מדובר במעבר מגישה תגובתית לגישה פרואקטיבית הנשענת על הבנת היריב, טכניקות הפעולה שלו ומטרותיו.:ניתן לחלק מודיעין איומים לארבע רמות מרכזיות.הרמה האסטרטגית עוסקת במגמות גלובליות, מדינות תוקפות וקבוצות תקיפה מאורגנות.הרמה האופרטיבית מתמקדת בקמפיינים פעילים ובטכניקות פעולה של תוקפים.הרמה הטקטית כוללת אינדיקטורים כגון כתובות IP, דומיינים וחתימות קבצים.הרמה הטכנית עוסקת   בניתוח נוזקות, קוד זדוני ותשתיות תקיפה. Threat Intelligence אפקטיבי מאפשר לארגון להבין מי עלול לתקוף אותו, באילו טכניקות סביר שישתמשו, ומהו משטח התקיפה הרלוונטי עבורו. מהי פעילות Red Team?Red Team היא פעילות תקיפה סימולטיבית המדמה תוקף אמיתי במטרה לבחון את רמת החוסן הארגונית ברמה הטכנולוגית, התהליכית והאנושית. בניגוד לבדיקת חדירה קלאסית המתמקדת בזיהוי חולשות בזמן קצר, Red Team פועל בגישה רחבה יותר ובוחן גם את יכולות הזיהוי והתגובה של הארגון.תהליך טיפוסי כולל שלב איסוף מידע, השגת גישה ראשונית, העלאת הרשאות, תנועה רוחבית ברשת, ביסוס מנגנוני התמדה ואיסוף או הדמיית דליפת מידע. המטרה איננה רק לפרוץ אלא לבדוק האם הארגון מזהה, מגיב ומתמודד עם תקיפה מתמשכת. מהו APT?APT הוא קיצור של Advanced Persistent Threat. מדובר במודל תקיפה מתוחכם ומתמשך, המבוצע לרוב על ידי קבוצות מאורגנות ולעיתים ממומנות מדינתית, אשר מטרתן איננה רווח מיידי אלא השגת יעד אסטרטגי כגון ריגול תעשייתי, איסוף מודיעין או פגיעה בתשתיות קריטיות. המונח כולל שלושה רכיבים מרכזיים: המילה Advanced מתייחסת לשימוש בטכניקות מתקדמות כגון חולשות יום אפס - Zero Day, שימוש בכלי מערכת לגיטימיים להסוואת פעילות, פיתוח נוזקות מותאמות ויכולת עקיפת מערכות זיהוי מתקדמות.המילה Persistent מתארת שהייה ממושכת ברשת היעד תוך הימנעות מחשיפה.המילה Threat משקפת את העובדה שמדובר בגוף מאורגן, בעל משאבים, תכנון וסבלנות. מדוע APT פועל לאורך זמן.  APT אינו אירוע תקיפה קצר אלא קמפיין מבצעי. הסיבה לשהייה ממושכת נעוצה באופי המטרות ובשיטת הפעולה.ראשית, המטרות הן אסטרטגיות ולא טקטיות. תוקף APT אינו מחפש פגיעה מהירה אלא איסוף מידע רגיש, מיפוי תשתיות והבנה עמוקה של הסביבה הארגונית. תהליך כזה דורש זמן. שנית, התקיפה מתבצעת בשלבים הדרגתיים. לאחר שלב איסוף המידע מתבצעת חדירה ראשונית, לרוב באמצעות דיוג ממוקד. בהמשך  תבצעת העלאת הרשאות, תנועה רוחבית, מיפוי שרתים ואיסוף נתונים. כל שלב עשוי להימשך שבועות ואף חודשים. שלישית, התוקף שואף לפעול בפרופיל נמוך. הוא משתמש בכלים לגיטימיים של מערכת ההפעלה, פועל בשעות פעילות רגילות ויוצר מנגנוני התמדה שקטים. המטרה היא להימנע מהפעלת התרעות.  המדד המרכזי בהקשר זה הוא Dwell Time, כלומר פרק הזמן שבין החדירה הראשונית לבין הזיהוי. במתקפות APT פרק זמן זה עשוי להגיע לחודשים ארוכים. ככל שהשהייה ארוכה יותר כך התוקף צובר מודיעין עמוק יותר ויכולת פגיעה מדויקת יותר. הקשר בין APT ל Red Teamכדי לבחון את רמת המוכנות האמיתית של ארגון, פעילות Red Team צריכה לאמץ חשיבה של APT. אין די במציאת חולשה טכנית אחת. יש לבנות תרחיש מתמשך המדמה קמפיין תקיפה הכולל שהייה ברשת, תנועה הדרגתית וניסיון הסתרה.כאשר Red Team נשען על Threat Intelligence עדכני, ניתן לדמות טכניקות פעולה אמיתיות המיוחסות לקבוצות תקיפה מוכרות ולמפות אותן למסגרת MITRE ATTACK. בכך הארגון אינו מתאמן מול תרחיש תאורטי אלא מול איום רלוונטי. מתקפות מודרניות ושינוי הפרדיגמהבשנים האחרונות ניכרת עלייה במתקפות כופרה מתקדמות, בתקיפות שרשרת אספקה ובשימוש בטכניקות Living off the Land. נוסף על כך, בינה מלאכותית מאפשרת לתוקפים לבצע אוטומציה של איסוף מידע, לייצר הודעות דיוג מותאמות אישית ולנתח תשתיות במהירות גבוהה.משמעות הדבר היא שמתקפות מתקדמות הופכות ליעילות יותר, שקטות יותר ומדויקות יותר. ארגון המסתמך על הגנה סטטית ועל בדיקות תאימות תקופתיות בלבד עלול שלא לזהות קמפיין תקיפה מתמשך. כיצד ארגונים צריכים להגיב?ארגונים צריכים לעבור מגישה המתמקדת בעמידה בתקנים לגישה המתמקדת בחוסן אמיתי. יש לשלב מודיעין איומים עדכני בתרגילי סימולציה, לבחון תרחישים רב שכבתיים הכוללים רשת, זהויות, יישומים וסביבת ענן, ולהעריך את יכולות הזיהוי והתגובה לאורך זמן.שילוב בין Threat Intelligence, פעילות Red Team וחשיבה מבוססת APT מאפשר לארגון להבין לא רק האם ניתן לפרוץ אליו אלא האם ניתן להישאר בתוכו מבלי להתגלות. מסקנהAPT איננו אירוע נקודתי אלא מבצע מודיעיני מתמשך. השהייה הארוכה היא אסטרטגיה מכוונת שנועדה לאפשר איסוף מידע ופגיעה מדויקת. לכן, בחינת רמת ההגנה הארגונית חייבת לכלול סימולציה של תקיפה מתמשכת המבוססת על מודיעין עדכני.ארגון שמבין את דפוס הפעולה של APT ובודק את עצמו בהתאם, מגדיל באופן משמעותי את סיכוייו לזהות ולבלום קמפיין תקיפה לפני שיגרם נזק מהותי. אודות המחברYoram Dar הוא מרצה וחוקר בתחום הסייבר ו- Offensive Cybersecurity, מתודולוגיות Penetration Testing בשילוב בינה מלאכותית בזיהוי ובהגנה מפני איומי סייבר. פעילותו האקדמית והמקצועית מתמקדת בניתוח טכניקות תקיפה מתקדמות ובפיתוח גישות מבוססות AI להגנה פרואקטיבית. 

בשנים האחרונות עולם הסייבר התרגל לשמוע על Ransomware נוזקות שמצפינות מידע ודורשות כופר אבל יש איום אחד מסוכן יותר אכזרי יותר וכזה שלא משאיר מקום למשא ומתן Wiper! מה זה בעצם Wiper?Wiper הוא סוג של נוזקה שמטרתה להשמיד מידע לחלוטין מחיקה או דריסה של קבצים השחתת מערכת הקבצים כתיבה ישירה ל MBR או GPT מחיקת דיסקים מחוברים כולל iSCSI SAN ו NAS.בניגוד ל Ransomware אין הצפנה אין מפתח אין כופר ואין דרך לשחזר את המידע שנמחק.המטרה אינה רווח כלכלי אלא השבתה פגיעה תפעולית ונזק אסטרטגידוגמאות אמיתיות מהעולם: Shamoon פגע בחברות נפט במזרח התיכון ומחק עשרות אלפי תחנותNotPetya הוצג כ Ransomware אך בפועל היה Wiper שהשבית ארגונים גלובלייםWhisperGate שימש נגד גופים באוקראינה עם מחיקה מכוונת של מערכות. איך מתקפת Wiper נראית בפועל תרחיש טיפוסי:התוקף משיג גישה ראשונית דרך RDP סיסמה חלשה או פישינגנוצר משתמש חדש במערכת לצורך Persistenceמתבצעת תנועה לרוחב ברשתהתוקף מזהה Storage קריטי למשל iSCSIמופעל Wiper שמוחק את הדיסק או משכתב אותו הארגון מתעורר למערכות מושבתות בלי יכולת שחזור.  במקרים רבים הדיסק המקומי נשאר תקין אבל האחסון המשותף מושמד מה שמפיל עשרות מערכות בבת אחת. למה Wiper כל כך מסוכן?מהירות מחיקה תוך שניות או דקותתחכום - לעיתים מופעל ידנית על ידי תוקף חי אשר עוקב אחר ההתנהלות. קשה לזיהוי מוקדם - שכן אין קובץ זדוני קלאסיאין יכולת התאוששות בלי גיבוי מבודד - הנזק קבוע. האם EDR או XDR יכול לעצור Wiper - כן אבל לא תמיד!!! מערכות EDR ו XDR יכולות לזהות כתיבה חריגה לדיסקים לעצור תהליך בזמן אמת לנתק תחנה מהרשת ולמנוע התפשטות.אבל אם ה Wiper כבר התחיל לפעול על דיסק קריטי המירוץ הוא נגד הזמןאיך מתגוננים באמת שכבות הגנה קריטיות בידוד רשת ל iSCSI ו SANהרשאות מינימליו תאימות CHAP ל iSCSI Snapshots בלתי ניתנים למחיק הגיבויים מנותקים ניטור יצירת משתמשים ו RDPIncident Response מתורגל מראשהשורה התחתונהWiper הוא לא עוד נוזקה זה נשק סייברהוא לא בא לקחת כסף הוא בא להשבית לפגוע ולהרוסמי שלא נערך מראש מגלה את זה מאוחר מדי 

פישינג כבר מזמן אינו בעיה טכנולוגית בלבד. מדובר בזירה שבה מנגנוני אבטחה מתקדמים פוגשים הבנה עמוקה של התנהגות אנושית. כדי להבין מדוע מתקפות פישינג מצליחות גם היום, יש לבחון את השילוב בין ההיבט הטכני לבין ההיבט הפסיכולוגי.הצד הטכני כולל שלושה מנגנונים מרכזיים לאימות מיילים: SPF, DKIM ו DMARC.SPF Sender Policy Framework נועד לבדוק האם השרת ששלח את המייל מורשה לשלוח בשם הדומיין שמופיע בשדה From. כאשר מתקבל SPF Fail המשמעות היא שהמייל נשלח משרת שאינו מורשה על ידי הדומיין, וזהו סימן חזק לזיוף זהות. גם אם המשתמש רואה כתובת שולח מוכרת, בפועל מקור ההודעה אינו לגיטימי.DKIM DomainKeys Identified Mail הוא מנגנון חתימה קריפטוגרפית שמטרתו לוודא שני דברים: שהמייל לא שונה בדרך, ושהוא נחתם על ידי הדומיין השולח. במתקפות פישינג מתקדמות ניתן לראות מצב שבו חתימת DKIM של תשתית ביניים כמו Microsoft או Google עוברת, אך החתימה של הדומיין הארגוני האמיתי נכשלת. מצב כזה יוצר תחושת אמינות מזויפת, למרות שהמייל אינו אותנטי.DMARC הוא מנגנון מדיניות שמחליט כיצד להתייחס למיילים שנכשלו ב SPF או DKIM. חשוב להבין ש DMARC אינו בודק אמת מוחלטת אלא תנאי סף. מספיק ש SPF או DKIM אחד יעבור, ובתנאי שקיים יישור לדומיין שבשדה From, כדי ש DMARC יסומן כ Pass. לכן מייל יכול לעבור DMARC ועדיין להיות מסוכן.כאן נכנס הצד הפסיכולוגי של ההתקפה.המייל אינו נועד רק לעבור מנגנוני סינון. הוא נועד לעבור את האדם שמקבל אותו. התוקף בוחר נושא רלוונטי, שפה מקצועית והקשר שמותאם במדויק לפרופיל הקורבן. מרצים יקבלו מיילים אקדמיים, אנשי כספים יקבלו חשבוניות, ואנשי IT יקבלו התראות גישה או אבטחה.זה אינו פישינג אקראי אלא מתקפה ממוקדת, המכונה Spear Phishing או Targeted Phishing. ההצלחה אינה תלויה רק בטכנולוגיה אלא ביצירת אמון, תחושת דחיפות והפעלה של שגרות עבודה יומיומיות.החיבור הקריטי בין הטכנולוגיה לפסיכולוגיה הוא נקודת התורפה האמיתית. התוקף יודע שחלק מהמנגנונים הטכניים יעברו, ש DMARC יסמן את ההודעה כתקינה, ושבסופו של דבר ההחלטה תתקבל על ידי אדם.המסקנה ברורה. פישינג מודרני אינו מצליח משום שמערכות ההגנה נכשלות, אלא משום שהן אינן יכולות להתמודד לבדן עם מניפולציה אנושית. הגנה אפקטיבית דורשת גם הבנה טכנית של SPF, DKIM ו DMARC וגם חשיבה ביקורתית מצד המשתמש.זו אינה מלחמה של קוד מול קוד. זו מלחמה של אמון מול מניפולציה. 

ניתוח לוג אמיתי של ניסיונות סריקה ותקיפה בשרת  Apache כאשר מעלים שרת חדש לענן לדוגמה AWS EC2 ופותחים אותו לאינטרנט, רבים מניחים שרק משתמשים אמיתיים יגיעו לאתר. בפועל, בתוך דקות ספורות מתחילות להגיע סריקות אוטומטיות של האינטרנט שמטרתן למצוא חולשות אבטחה.בפוסט זה ננתח קטע אמיתי מתוך לוג של שרת Apache ונראה כיצד ניתן להבין מה מתרחש מאחורי הקלעים.צפייה בלוגים בזמן אמתבשרת Linux ניתן לצפות בלוגים של הגישה לאתר באמצעות הפקודה:sudo tail -f /var/log/apache2/access.logהפקודה מציגה בזמן אמת כל בקשה שמגיעה לשרת. דוגמה אמיתית מלוג השרתלהלן קטע מתוך הלוג: 89.248.168.239 - - [05/Mar/2026:13:08:19 +0000] "POST /wp-content/plugins/jekyll-exporter/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"89.248.168.239 - - [05/Mar/2026:13:08:19 +0000] "POST /wp-content/plugins/cloudflare/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"89.248.168.239 - - [05/Mar/2026:13:08:20 +0000] "POST /wp-content/plugins/flavor/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"89.248.168.239 - - [05/Mar/2026:13:08:20 +0000] "POST /wp-content/plugins/developer/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"89.248.168.239 - - [05/Mar/2026:13:08:20 +0000] "POST /wp-content/plugins/mm-plugin/inc/vendors/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"89.248.168.239 - - [05/Mar/2026:13:08:21 +0000] "POST /wp-content/plugins/contact-form-7-to-database-extension/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"89.248.168.239 - - [05/Mar/2026:13:08:21 +0000] "POST /wp-content/plugins/shortcode-tumblr-gallery/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"89.248.168.239 - - [05/Mar/2026:13:08:21 +0000] "POST /wp-content/plugins/user-export-with-their-meta-data/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"89.248.168.239 - - [05/Mar/2026:13:08:22 +0000] "POST /wp-content/plugins/jannes-mannes-social-media-auto-publisher/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"89.248.168.239 - - [05/Mar/2026:13:08:22 +0000] "POST /wp-content/plugins/rollbar/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 434 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36"135.237.126.250 - - [05/Mar/2026:14:08:06 +0000] "GET /developmentserver/metadatauploader HTTP/1.1" 404 434 "-" "Mozilla/5.0 zgrab/0.x"87.121.84.57 - - [05/Mar/2026:14:30:14 +0000] "GET / HTTP/1.1" 200 1789 "-" "-"13.217.223.172 - - [05/Mar/2026:14:30:44 +0000] "GET / HTTP/1.1" 200 913 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36"  ניתוח הלוגסריקה אוטומטית של  WordPressרוב הבקשות מגיעות מהכתובת:89.248.168.239הבקשות מנסות להגיע לקובץ:eval-stdin.phpזהו קובץ הקשור לפרצת אבטחה מוכרת ב-PHPUnit המאפשרת הרצת קוד מרחוק (Remote Code Execution).התוקף מנסה מספר נתיבים של Plugins בWordPress   jekyll-exportercloudflareflavordevelopercontact-form pluginsrollbarועוד כלומר מדובר ב־סריקה אוטומטית שמחפשת התקנה פגיעה של WordPress  האם ההתקפה הצליחה?בכל הבקשות מופיע קוד התגובה:404כלומר:File Not Foundהקובץ לא קיים בשרת ולכן ניסיון התקיפה נכשל. סריקה באמצעות כלי מחקרשורה נוספת בלוג:135.237.126.250  "GET /developmentserver/metadatauploader"User-Agent: zgrabהכלי zgrab  הוא סורק אינטרנט ידוע המשמש למיפוי שירותים ברשת ולמחקרי אבטחה.  בקשות לגיטימיותבסוף הלוג מופיעות שתי בקשות רגילות לדף הראשי:87.121.84.57   "GET /" 20013.217.223.172 "GET /" 200קוד:200משמעותו שהדף נטען בהצלחה – כלומר מדובר בגולשים רגילים או שירותים שמבקרים באתר.  מסקנההלוג מציג תמונה טיפוסית של שרת אינטרנט המחובר לאינטרנט: סריקות אוטומטיות של חולשותניסיונות לנצל פרצות ידועותכלים לסריקת אינטרנטלצד גישה רגילה של משתמשים ברגע ששרת נפתח לאינטרנט, הוא הופך מיד למטרה לסריקות אוטומטיות. למה חשוב לנתח לוגיםניתוח לוגים מאפשר: לזהות ניסיונות פריצהלהבין איזה חולשות מחפשים התוקפיםלאתר כתובות IP חשודותלהגיב במהירות לניסיונות תקיפה המלצות בסיסיות להגנהכדי להגן על שרת אינטרנט מומלץ להשתמש ב: FirewallWeb Application Firewall (WAF)עדכון קבוע של תוכנותניטור קבוע של לוגיםשרתים באינטרנט נסרקים כל הזמן.היכולת לקרוא ולהבין לוגים היא אחד הכלים החשובים ביותר של מנהל מערכת ואיש אבטחת מידע. ​

מבנה היהלום (Diamond Model of Intrusion Analysis) הוא מודל אנליטי מרכזי בתחום אבטחת המידע והמודיעין הקיברנטי, המאפשר להבין מתקפות סייבר לא רק כרצף פעולות טכני, אלא כמערכת של יחסים בין שחקנים, כלים ותשתיות.ארבעת המרכיבים המרכזיים של מבנה היהלום הם:1Adversary – התוקףCapability – היכולתInfrastructure – התשתיתVictim – הקורבןהמודל מבוסס על ההנחה כי כל אירוע תקיפה הוא תוצאה של אינטראקציה בין ארבעת המרכיבים הללו, וכי ניתוח הקשרים ביניהם מאפשר הבנה עמוקה של המתקפה והשלכותיה.הסבר מרכיבי מבנה היהלום1. Adversary – התוקףמרכיב זה מייצג את הגורם העוין המבצע את המתקפה. התוקף יכול להיות מדינה, קבוצת APT, ארגון פשיעה או גורם יחיד. הניתוח מתמקד במוטיבציות, במשאבים, ברמת התחכום ובדפוסי פעולה חוזרים, אשר מסייעים בייחוס מתקפות ובהבנת ההקשר האסטרטגי שלהן.2. Capability – היכולתהיכולת מתארת את הכלים, הקוד והטכניקות שבהם עושה התוקף שימוש לצורך ביצוע המתקפה. אלה כוללים נוזקות, Exploits, כלים אוטומטיים וטכניקות תקיפה שונות. מרכיב זה עונה על השאלה כיצד בוצעה המתקפה בפועל.3. Infrastructure – התשתיתהתשתית כוללת את המשאבים הטכניים המאפשרים את ביצוע המתקפה ואת הקשר בין התוקף לקורבן. דוגמאות לכך הן שרתי Command & Control, דומיינים, כתובות IP ושירותי ענן. ניתוח התשתית מאפשר לעיתים קישור בין אירועי תקיפה שונים ואף ייחוס של קמפיינים רחבים.4. Victim – הקורבןהקורבן הוא היעד של המתקפה, כגון ארגון, מערכת או משתמש. ניתוח הקורבן כולל בחינה של המגזר הארגוני, המיקום הגיאוגרפי והטכנולוגיות בשימוש, ומסייע להבין מדוע נבחר יעד מסוים ומהם הסיכונים העתידיים.השוואה בין Cyber Kill Chain למבנה היהלוםמודל Cyber Kill Chain ומבנה היהלום מייצגים שתי תפיסות משלימות לניתוח מתקפות סייבר. ה-Kill Chain מתאר מתקפה כרצף ליניארי של שלבים, החל מאיסוף מודיעין ועד להשגת מטרות התקיפה. מודל זה יעיל במיוחד לזיהוי מוקדם של מתקפות וליישום מנגנוני הגנה בכל שלב בשרשרת.לעומתו, מבנה היהלום אינו מתמקד ברצף הזמן של המתקפה, אלא ביחסים בין הגורמים המעורבים בה – התוקף, היכולת, התשתית והקורבן. מודל זה מתאים במיוחד לניתוח עומק, ייחוס מתקפות (Attribution) וקישור בין אירועים שונים לאותו קמפיין תקיפה.ביישום מעשי, שילוב שני המודלים מאפשר הבנה מלאה יותר של המתקפה: ה-Kill Chain מספק את הממד התהליכי של איך המתקפה מתקדמת, בעוד שמבנה היהלום מספק את הממד האנליטי של מי, באילו אמצעים ו-מדוע.ערך אנליטי ויישומיייחודו של מבנה היהלום הוא ביכולת להסיק מסקנות גם כאשר המידע חלקי. שינוי באחד ממרכיבי המודל עשוי להעיד על שינוי באחרים, ולאפשר זיהוי קמפיינים מתמשכים וחיזוי מתקפות עתידיות.---סיכוםמבנה היהלום מספק מסגרת חשיבתית מתקדמת לניתוח מתקפות סייבר, תוך התמקדות ביחסים בין תוקף, יכולות, תשתית וקורבן. בשילוב עם מודלים כגון Cyber Kill Chain, הוא מאפשר לאנשי אבטחת מידע, אנליסטים וחוקרים להבין לא רק את רצף הפעולות הטכני, אלא גם את ההקשר הרחב של האיום הקיברנטי.​

מודל ה-Cyber Kill Chain מציע מסגרת אנליטית להבנת מתקפות סייבר כתהליך רב־שלבי, החל מאיסוף מודיעין ועד למימוש מטרות התקיפה. המודל, שפותח על ידי חברת Lockheed Martin, משמש כלי מרכזי במחקר, בהוראה וביישום מעשי של אבטחת מידע. יישומו מאפשר זיהוי נקודות התערבות קריטיות לצורכי מניעה, גילוי ותגובה לאירועי סייבר.שבעת שלבי ה-Cyber Kill Chainמודל ה-Cyber Kill Chain מחלק מתקפת סייבר לשבעה שלבים עוקבים:1Reconnaissance – איסוף מודיעיןWeaponization – חימושDelivery – מסירהExploitation – ניצולInstallation – התקנה והתבססותCommand & Control (C2) – שליטה ובקרהActions on Objectives – השגת מטרות התקיפההנחת היסוד של המודל היא כי פגיעה או סיכול של אחד משלבי השרשרת עשויים למנוע את התקדמות המתקפה או לצמצם משמעותית את השפעתה.תיאור מפורט של שלבי המודל1. Reconnaissance – איסוף מודיעיןבשלב זה התוקף אוסף מידע על היעד באמצעות מקורות גלויים וסמויים, לרבות מידע ארגוני פומבי (OSINT), פרטי עובדים, דומיינים, כתובות IP ושירותים זמינים. מטרת השלב היא בניית תמונת מצב שתאפשר התאמה מדויקת של כלי התקיפה לסביבת היעד.2. Weaponization – חימושבשלב החימוש נבנה כלי התקיפה על ידי שילוב בין מנגנון ניצול חולשה (Exploit) לבין קוד זדוני מבצעי (Payload). שלב זה מתבצע מחוץ לרשת היעד ומתבסס על המידע שנאסף בשלב הסיור.3. Delivery – מסירהבשלב זה מועבר כלי התקיפה אל היעד באמצעים שונים, כגון מתקפות Phishing, קבצים או קישורים זדוניים, התקני אחסון ניידים או ניצול שירותי רשת חשופים. שלב המסירה מהווה נקודת זיהוי והגנה מרכזית עבור מערכות אבטחה ארגוניות.4. Exploitation – ניצולבשלב הניצול מתבצעת הפעלה בפועל של הקוד הזדוני באמצעות ניצול חולשות תוכנה, הפעלת קוד אוטומטי (כגון Macros) או מתקפות הזרקה. הצלחת שלב זה מעניקה לתוקף דריסת רגל ראשונית במערכת היעד.5. Installation – התקנה והתבססותהקוד הזדוני מותקן במערכת היעד ויוצר מנגנוני התמדה (Persistence), כגון שירותים מערכתיים, משימות מתוזמנות או שינויי Registry. מטרת השלב היא להבטיח גישה מתמשכת גם לאחר אתחול המערכת.6. Command & Control (C2) – שליטה ובקרהבשלב זה המערכת הנגועה מקיימת תקשורת עם תשתית השליטה של התוקף באמצעות פרוטוקולים שונים, לרבות HTTP/HTTPS, DNS Tunneling או ערוצי תקשורת מוסווים. שלב זה מאפשר לתוקף שליטה וניהול מרחוק של המתקפה.7. Actions on Objectives – השגת מטרות התקיפהבשלב האחרון מבוצעות הפעולות המהוות את מטרת התקיפה, כגון גניבת מידע, ריגול מתמשך, תנועה רוחבית ברשת, השבתת שירותים או הצפנת מערכות (Ransomware).דיוןמודל ה-Cyber Kill Chain מדגיש כי מתקפת סייבר היא תהליך דינמי ומתמשך ולא אירוע נקודתי. המודל מהווה בסיס תאורטי להבנת מתקפות מתקדמות (APT) ומשתלב עם מסגרות מודרניות כגון MITRE ATT&CK, המספקות פירוט טקטי רחב יותר של פעולות התוקף.סיכוםה-Cyber Kill Chain מספק מסגרת מושגית חיונית לניתוח מתקפות סייבר ולפיתוח אסטרטגיות הגנה. עבור חוקרים, אנשי אבטחת מידע וסטודנטים, מדובר בכלי יסוד המחבר בין תאוריה ליישום מעשי ומדגיש את חשיבות הזיהוי המוקדם והתגובה המושכלת.ביבליוגרפיה1. Hutchins, E. M., Cloppert, M. J., & Amin, R. M. (2011).Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains.Leading Issues in Information Warfare & Security Research, 1(1), 80–106.2. Lockheed Martin. (2011).Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains.Lockheed Martin Corporation.3. MITRE Corporation. (2023).MITRE ATT&CK® Framework.https://attack.mitre.org4. Alshamrani, A., Myneni, S., Chowdhary, A., & Huang, D. (2019).A survey on advanced persistent threats: Techniques, solutions, challenges, and research opportunities.IEEE Communications Surveys & Tutorials, 21(2), 1851–1877.5. Scarfone, K., & Mell, P. (2012).Guide for Conducting Risk Assessments (NIST SP 800-30 Rev. 1).National Institute of Standards and Technology.​