آشنایی با پیاده‌سازی مدیریت حوادث سایبری در سازمان (CERT)

در . منتشر شده در مقالات آموزشی

تامین امنیت اطلاعات سازمان ها در محیط امروزی که از شبکه های به هم پپوسته تشکیل شده، کاری مشکل است و با ورود هر محصول الکترونیکی و هر ابزار نفوذ جدید این کار صعب، سخت تر نیز می شود. اكثر سازمان ها متوجه شده اند که یک راهکار امنیتی واحد برای تامین امنیت سیستم ها وجود ندارد بلکه باید از استراتژی امنیتی چند لایه بهره گرفت. یکی از لایه هایی که بیشتر سازمان ها در استراتژی امنیتی خود در نظر می گیرند، ایجاد یک تیم برای پاسخگویی به رویدادهای امنیتی مرتبط با کامپیوتر است که اختصاراً CSIRT نامیده می شود. البته این تیم نام های دیگری مانند تیم پاسخگو یی به فوریت های کامپیوتری (CSIRT) نیز دارد اما کارکرد مشابهی دارند که در ادامه به آن خواهیم پرداخت.

با وجود آنکه تیم های CSIRT از سال1988 ‏پای به عرصه وجود گذاشته­اند اما در واقع توسعه CSIRT و موضوع پاسخگویی به رویداد در دوران ابتدایی فعالیت خود به سر می برد، به همین دلیل است که هنوز به یک موضوع استاندارد شده عملیاتی بدل نشده است، اما به سرعت به این سمت در حال حرکت است. بسیاری از سازمان ها سعی دارند تا به متدولوژی ها، پردازه ها و ساختار سازمانی پاسخگویی به رویدادهای امنیتی رسمیت بخشند.

 

تعريف CSIRT

CSIRT یک سازمان خدماتی است که مسئول دریافت، مرور و پاسخگویی به گزارشات ارسالی و فعالیت های مربوط به مشکلات و رویدادهای کامپیوتری است. سرویس­های این سازمان معمولا برای محدوده ‏مشخص تعریف می­شود که می تواند یک شرکت، اداره ‏دولتی، سازمان آموزشی یا یک منطقه یا کشور باشد. در حقیقت CSIRTها گروههایی هستند که هدف اصلی آنها پاسخگویی مناسب به رویدادهای امنیتی کامپیوتری می­باشد و ذیل هدف می­تواند آموزش به افراد در محافظت از سیستم­­های خود در دنیای ارتباطات باشد. بدنبال شناخت و توسعه این گروهها(CSIRT) نیاز به هماهنگی و برنامه­ریزی درون و برون سازمانی ضرورت پیدا کرد و مراکزی تحت نام(CERT) بنیان گذاشته شد.

‏براساس تعریف ارائه شده در پروژه CSIRT، یک رویداد کا مپیوتری عبارتست از هر عمل یا رخداد عمدی یا سهوی که برروی منابع اطلاعات رخ دهد یا به گونه ای شامل آنها شود و بطور بالقوه ‏باعث بی­ثبات کردن، مختل­کردن و یا تخریب منابع، سیاست ها، سرویس­ها یا داده­هاي اشخاص یا اجتماع شود.

‏بخشی از فعالیت های یک CSIRT را می­توان با واحد آتش­نشانی مقایسه نمود. زمانی که یک آتش­سوزی رخ می­دهد، واحد آتش­نشانی وارد عمل شده‏، به محل حریق می­روند و خسارات را برآورد می­کنند، پس از بررسی الگوی حریق درباره ‏شیوه ‏برخورد با آن تصمیم­گیری کرده ‏و در نهایت با توجه به بررسی­ها آتش را مهار می­کنند. این روال کاملا مشابه سرویس­های واکنشی (REACTIVE ‏) در یکCSIRT است.

‏یک CSIRT درخواست­های کمک و گزارشات تهدید، حمله، پویش(اسکن)، استفاده نامناسب از منابع یا دسترسی غیر مجاز به داده ‏ها و اطلاعات را دریافت می­نماید. سپس گزارش را تحلیل می­نماید تا تعیین کند که چه اتفاقی در حال انجام است و تصمیم بگیرد که چه عکس­العملی مناسب است. ارائه خدماتی نظیر آموزش، آگاهی و اطلاع­رسانی امنیتی، مشاوره ‏امنیتی، نگهداری پیکربندی و ارائه مستندات فنی و توصیه های امنیتی سیستم های کامپیوتری نیز از دیگر خدمات یک CSIRT می باشد.

‏اهداف یک CSIRT بر اساس اهداف، چشم­اندازها و ارزشهای مجموعه تحت پوشش آن تعریف می شود. شناسایی و محافظت از دارایی­ها و ارزشهای مهم و انتصاب ارزشها به اعضاء گروه و همچنین اطمینان از تداوم فعالیت­های اقتصادی همسو با ارزشها، کلید موفقیت یک سازمان و CSIRT ‏ آن است. هدف اصلی یک CSIRT کاهش و کنترل خسارت، فراهم آوردن پاسخ و ترمیم مناسب و اندیشیدن راهکا­رهایی برای جلوگیری از رویداد بعدی است. CSIRT برای ایفای این نقش، اطلاعات حوادث، نقاط ضعف امنیتی و حفره ‏های امنیتی سیستم و نرم افزار را در زیرساخت سازمانی جمع آوری می نماید.

ساختار، وظایف و اسامي CSIRT ها با یکدیگر متفاوت می باشد. هر CSIRT با توجه به تفاوت های موجود در اهداف ماموریت ها و حوزه كاری خود در تعاریف و ارائه سرویس های خود با دیگران تفاوت دارد. جدول زیر اسامي متفاوت با معنای مشابه را برای CSIRT نشان می دهد. با وجود آنکه اسامي متفاوت هستند، تمامی این تیم ها به پاسخگویی به رویدادهای امنیتی می­پردازند.

دانلود ادامه مطلب

با ما به‌روز باشید!

 با ما به‌روز باشید!
it@raja.ac.ir

آدرس:تهران - بلوار کریمخان - آبان جنوبی - شماره 41

تلفن:88918136,63-021