ניטור ציות מתמשך

1) מה הוא ניטור ציות מתמשך

• הפחתת בדיקות ידניות והגורם האנושי.
• הפחתת הפרות TTD/MTTR.
• לספק ”ביקורת מוכנה” מדינה בכל עת.
• להאיץ שינוי באמצעות מדיניות-כקוד.

2) היקף CCM

גישות וזהויות (IAM/IGA): סודות, תפקידים מיותרים, ”גישה ללא בעלים”.
נתונים ופרטיות: שימור/TTL, מיסוך, Ligal Hold, DSAR-SLA.
תשתית/ענן/IC: סחיפת תצורה, הצפנה, קטגמנטציה.
מוצר/קוד/CI-CD: סודות במאגרים, SCA/SAST/DAST, רישיונות OSS.
עסקאות/AML: סינון/PEP, כללי סטייה, STR/SAR.
מבצעים: יומני ביקורת, גיבוי והתאוששות, נקודות תורפה.

3) ארכיטקטורת התייחסות CCM

1. אוסף אותות: סוכנים ומחברים (ענן, מסד נתונים, יומנים, SIEM, IAM, CI/CD, DLP, ארכיון דואר/צ 'אט).

2. נורמליזציה והעשרה: אוטובוס אירועים (קפקא/אוטובוס) + ETL/ELT בתצוגות.

3. מדיניות-כקוד (CaC): YAML/Rego Repository של מדיניות עם גרסאות, בדיקות וביקורות.

4. כללי מנוע (זרם/אצווה): מחשב הפרות, עדיפות ושיעור סיכון.

5. תזמור: Ticketing/SOAR + RACI exploration, SLA Reproducation, SLA explosion.

6. ראיות/תולעת: חפצים בלתי ניתנים לשינוי (יומנים, צילומי תצורה, דיווחים).

7. לוחות מחוונים ודיווח: מפת חום, KPI/SLO, העלאות רגולטוריות.

4) מדיניות-כקוד: מיני-דיאגרמות

yaml id: IAM-SOD-007 title: "Prohibition of toxic combination of roles: finance_approver + vendor_onboarder"
scope: ["iam:"]
detect:
query: iam_sod_violations_last_1h. sql severity: high notify: ["GRC","SecOps"]
remediate:
playbook: revoke_extra_role sla:
detect_minutes: 15 remediate_hours: 24 evidence:
sink: s3://evidence/iam-sod/dt={{ts}}
owners: ["IGA","FinanceOps"]

yaml id: GDPR-RET-001 title: "TTL 24м для PI; LegalHold priority"
rule: "object. age_months <= 24          object. legal_hold == true"
detect:
job: retention_scan_daily sla: { detect_minutes: 60, remediate_days: 7 }

5) בקרה סטנדרטית בסטנדרטים

6) מדדים ו ־ SLO

כיסוי:% ממערכות/נתונים תחת ניטור (יעד 90%).
בקרת MTTD/MTTR: משמעות הזמן לגילוי/אלימינציה.

קצב סחיפה: תצורות סחיפה/חודש

שיעור חיובי כוזב: שיעור החיוביות הכוזבות לפי כללים.
זמן מוכנות ביקורת: זמן הכנת ראיות (שעות היעד).
DSAR SLA:% סגור בזמן; תגובה חציונית.
גישה להיגיינה: שיתוף בזכויות מיושנות; סגירת הפרות SoD.

7) תהליכי CCM (SOPs)

1. זיהוי דרישות * מטריצה "standard # control'.
2. Rule Design Policy-as-Code, Tests, PR/Review, Versioning.
3. Presentation Like Idiation, לאחר מכן Prod עם דגל תכונה.
4. ניטור והתראה = עדיפויות (sev/effect), ביטול רעש, שכפול.
5. Reproduction _ auto-playbooks + כרטיסים לבעלים; הסלמת SLA.
6. ראיות * תמונות תקופתיות; WORM/immutability; סיכומי חשיש.
7. כוונון רבעוני של כללים, ניתוח FPR/TPR, השוואות A/B.
8. אימון כפול עלייה למטוס של בעלי שליטה, הוראות וויתור.

8) מחזור חיים ערני

גלה * Triage # Treage # Treasige # Remediate # Image Let.
עבור כל צעד נרשמים: בעלים, מועד אחרון, צעדים שננקטו, חפצים של ראיות.

9) אינטגרציות

דרישות GRC, סיכונים, בקרות, מסעות ביקורת, אחסון חפצים.
SIEM/SOAR - מתאם אירועים, ספרי משחק אוטומטיים.
IAM/IGA - הערכה, SOD, RBAC/ABAC, גישה למחזור חיים.
CI/CD/DevSecOps - שערי ציות, SAST/DAST/SCA, סריקה סודית.
פלטפורמת נתונים - תצוגות ”ציות”, קטלוג/שושלת, מיסוך.
DLP/EDRM - תוויות רגישות, עכבות חילוץ, יומנים.
כרטיסי אשראי/ITSM-SLAs, הסלמה, דוחות בעלים וצוות.

10) לוחות מחוונים (סט מינימלי)

Complication Heatmap (תקנות xx, סטטוס).
מרכז SLA (מועדי DSAR/AML/PCI/SOC2, עיכובים).
Access & SoD (תפקידים רעילים, גישה ”נשכחת”).
שימור ומחיקה (הפרות TTL, Ligal Hold Locks).
אינפרה/ענן סחף.
אירועים וממצאים (מגמות חזרה, יעילות תיקון).

11) כללי דוגמה (SQL/פסאודו)

sql
SELECT user_id, dataset, created_at
FROM pi_objects
WHERE age_months(created_at) > 24
AND legal_hold = false;

sql
SELECT u. id, r1. role, r2. role
FROM user_roles r1
JOIN user_roles r2 ON r1. user_id = r2. user_id
JOIN users u ON u. id = r1. user_id
WHERE r1. role = 'finance_approver' AND r2. role = 'vendor_onboarder';

12) תפקידים ו ־ RACI

13) ניהול יוצא מן הכלל (ויתורים)

בקשה רשמית עם הצדקה ותאריך פקיעה.
הערכת סיכונים ובקרת פיצוי.
תזכורת אוטומטית לתיקון.
דיווח (שקיפות למבקר).

14) פרטיות וביטחון ב ־ CCM

מזעור נתונים בחנויות ויומנים (מהדורת PII).
הפרדת חובות, פחות זכויות.
Immutability (WORM/S3 Object Lock) היא ראיה.
קיבעון קריפטוגרפי של דיווחים (שרשראות חשיש).
בקרת גישה וכריתת עצים לחפצים.

15) רשימות בדיקה

התחל CCM

[ ] Matrix "standard ach control' מוסכם.

[ ] מקורות אותות מפתח מחוברים.

[ מדיניות ] מתוארת על ידי קוד, מכוסה על ידי בדיקות וביקורות.

[ ] Dashboard והתראות כללו; SLO/SLA מוגדר.

[ ] ארכיון הראיות (immutability) מוגדר.

[ ] בעלים מאומנים; תהליך ויתור מוגדר.

לפני ביקורת

[ ] גרסאות מעודכנות של מדיניות ושינויים.

[ ] יבשה של בחירת הראיות נוהלה.

[ ] תיקונים ועבריינות חריגה סגורים.

[ ] סיקור/MTTD/MTTR/METTR/Drift metrics משלימים.

16) תרופות אנטי ־ פטריות

”ביקורת ביקורת” במקום בקרה קבועה.
חוקים רועשים ללא עדיפות ושכפול.
מדיניות ללא ורסינציה ובדיקות.
ניטור ללא בעלים ו סלאח.
ראיות במקומות ניתנים לשינוי ללא קיבעון חשיש.

17) מודל בגרות CCM (M0-M4)

מדריך M0: בדיקות ספורדיות, דוחות באקסל.
M1 אינסטרומנטלי: טלמטריה חלקית, חוקים חד פעמיים.
M2 Autodetect: בדיקות רציפות, SLOs בסיסיות והתראות.
M3 מתוזמר: SOAR, תיקון אוטומטי, ”ביקורת מוכנה” בכל יום.
M4 Continuous Assurance: Checks in SDLC/Sales + Auditor Self-Service.

18) מאמרים הקשורים לוויקי

ציות ודיווח אוטומציה

אחיזה חוקית והקפאת נתונים

פרטיות באמצעות עיצוב ומזעור נתונים

שמירת נתונים ולוחות זמנים למחיקה

PCI DSS/SOC 2 בקרה ואישור

ניהול אירוע וזיהוי פלילי

סך הכל

CCM הוא ”דופק הקונפורמיות” של ארגון: מדיניות מתבטאת בקוד, אותות זורמים ללא הרף, הפרות נראות לעין באופן מיידי, ראיות נאספות באופן אוטומטי, וביקורת הופכת לשגרה מבצעית, לא לשריפה.