نگرشی از جنس امنیت

پشتیبانی
صفحه اصلیمقالاتراهنمای کامل CSIRT

راهنمای کامل CSIRT

زمان مطالعه: 5 دقیقه راهنمای کامل CSIRT: چگونه یک تیم واکنش به رخدادهای امنیتی بسازیم   یک تیم واکنش به رخدادهای امنیتی (CSIRT) می تواند به کاهش تأثیر تهدیدات امنیتی برای هر سازمان کمک کند. با افزایش تعداد و پیچیدگی تهدیدات سایبری، ایجاد یک تیم امنیتی اختصاص یافته پاسخگویی به رخداد (IR) یک واقعیت ضروری است.برای کمک به سازماندهی ...

5 دقیقه
0 دیدگاه
Hadi Moghimi
زمان مطالعه: ۵ دقیقه

راهنمای کامل CSIRT: چگونه یک تیم واکنش به رخدادهای امنیتی بسازیم

 

یک تیم واکنش به رخدادهای امنیتی (CSIRT) می تواند به کاهش تأثیر تهدیدات امنیتی برای هر سازمان کمک کند. با افزایش تعداد و پیچیدگی تهدیدات سایبری، ایجاد یک تیم امنیتی اختصاص یافته پاسخگویی به رخداد (IR) یک واقعیت ضروری است.برای کمک به سازماندهی و مدیریت تیم خود، با دنبال کردن فرآیند چهار مرحله ای که در زیر نشان داده شده است، شروع می شود.

شکل ۱: این فرآیند چهار مرحله ای به سازماندهی و مدیریت یک تیم واکنش به رخدادهای امنیتی (CSIRT) کمک می کند.

 

CSIRT چیست؟

CSIRT گروهی است که به حوادث امنیتی در صورت وقوع پاسخ می دهد. مسئولیت های کلیدی CSIRT عبارتند از:

  • ایجاد و حفظ یک طرح واکنش به حادثه (IRP)
  • بررسی و تجزیه و تحلیل حوادث
  • مدیریت ارتباطات داخلی و به روز رسانی در طول یا بلافاصله پس از وقوع حوادث
  • برقراری ارتباط با کارکنان، سهامداران، مشتریان و مطبوعات در مورد حوادث در صورت لزوم
  • اصلاح حوادث (جهت اجرای راه‌حل‌ها تا بتوانید عملیات خود را به مسیر درست برگردانید)
  • پیشنهاد تغییرات تکنولوژی، سیاست، حاکمیت و آموزش پس از حوادث امنیتی

به طور کلی، یک CSIRT داده های حوادث امنیتی را تجزیه و تحلیل می کند، مشاهدات را مورد بحث قرار می دهد و اطلاعات را در سراسر شرکت به اشتراک می گذارد. برخی از این مسئولیت ها ممکن است با سازمان های دیگر به اشتراک گذاشته شود که در ادامه به آنها خواهیم پرداخت.

 

تفاوت CSIRT با CERT و SOC

بین یک تیم پاسخگویی به رخدادهای امنیتی (CERT)، تیم واکنش به رخدادهای امنیتی (CSIRT) و مرکز عملیات امنیت (SOC) مسئولیت‌های همپوشانی وجود دارد. علی رغم تفاوت های مهم، اغلب، اصطلاحات CERT و CSIRT به جای یکدیگر استفاده می شوند. برای شفاف‌تر شدن این اصطلاحات، با تعریف نقش هر تیم با پیش‌زمینه‌ای که از کجا منشأ می‌گیرد، شروع کنیم.

SOC امکانی است که در آن شبکه، برنامه‌ها و نقاط پایانی سازمان نظارت و دفاع می‌شوند. این اصطلاح از مراکز عملیات شبکه (NOCs) اقتباس شده است، که در آن شبکه های مخابراتی یا شرکتی بزرگ نظارت می شوند. هنگامی که امنیت شبکه بیشتر مورد توجه قرار گرفت، تیم‌های امنیتی در NOC تشکیل شدند و در نهایت با پیچیده‌تر شدن و تخصصی شدن مسئولیت‌های تیم‌های امنیتی، به سازمان‌های بزرگ‌تری تبدیل شدند. کارکنان امنیتی که در یک مرکز عملیات امنیت کار می کنند اغلب تیم SOC نامیده می شوند.

شکل ۲: نقش ها و ویژگی های اولیه CERT، CSIRT و SOC را درک کنید.

اصطلاح CERT در سال ۱۹۸۸ ابداع شد. در پاسخ به حمله کرم موریس که هزاران سرور در اینترنت را تحت تاثیر قرار داد، DARPA بودجه تشکیل مرکز هماهنگی تیم پاسخگویی به رخدادهای امنیتی (CERT-CC) در دانشگاه کارنگی ملون را تامین کرد. . هدف CERT-CC کمک به محافظت از اینترنت با جمع‌آوری و انتشار اطلاعات در مورد آسیب‌پذیری‌های امنیتی حیاتی بود. چندین کشور دیگر با استفاده از همین نام اختصاری مراکز مشابهی را تشکیل دادند (علیرغم تهدیدات قانونی کارنگی ملون برای نقض علامت تجاری). اکنون اصطلاح CERT به هر تیم واکنش اضطراری که با تهدیدات سایبری سر و کار دارد اطلاق می شود. بسیاری از مردم از CERT-CC به جای CSIRT استفاده می کنند، اگرچه منشور CERT به اشتراک گذاری اطلاعات است تا به سایر تیم های پاسخ کمک کند تا به تهدیدات علیه زیرساخت خود پاسخ دهند.

از سوی دیگر، یک CSIRT مسئول پاسخگویی به رخداد امنیتی است. یک پاسخ جامع شامل اقدامات فنی انجام شده برای اصلاح حادثه و تغییرات توصیه شده در سیستم ها برای محافظت در برابر حوادث آینده است. چندین جنبه غیرفنی برای پاسخ به حادثه وجود دارد، از جمله ارتباطات کارکنان، پاسخ به سؤالات مطبوعاتی، رسیدگی به مسائل حقوقی، و رسیدگی به هر گونه مسائل پرسنلی در صورت اقدام داخلی. نام‌های دیگر CSIRT شامل تیم پاسخگویی به حوادث رایانه‌ای (CIRT) و تیم پاسخگویی به رخداد (IRT) است.

بنابراین، با استفاده از تعاریف دقیق، CERT اطلاعات امنیتی را جمع‌آوری و منتشر می‌کند، معمولاً به نفع یک کشور یا یک صنعت. CSIRT یک تیم متقابل است که از طرف یک کشور یا یک سازمان به حوادث پاسخ می دهد. SOC جایی است که یک کشور یا سازمان شبکه، سرورها، برنامه ها و نقاط پایانی خود را نظارت و از آنها دفاع می کند.

 

انتخاب CSIRT، CERT یا SOC

با استفاده از تعاریف دقیق بالا، انتخاب بین CSIRT و CERT ساده است. مگر اینکه هدف شما جمع آوری و انتشار اطلاعات در مورد آسیب پذیری های امنیتی از طرف یک کشور (که احتمالاً قبلاً پوشش داده شده است) یا صنعت (که احتمالاً قبلاً وجود دارد) باشد، انتخاب شما بین CSIRT و SOC است.

اگر نقش های IRT شما شامل نظارت و دفاع از سازمان شما در برابر حملات سایبری است، شما به دنبال ایجاد و کارمندان SOC هستید. اگر سازمان شما برای استطاعت هزینه SOC بسیار کوچک است، یا مانند بسیاری از سازمان های کوچکتر، SOC خود را برون سپاری کرده اید، در این صورت باید یک CSIRT برای رسیدگی به حوادث امنیتی در صورت وقوع داشته باشید.

نوع سرویسهدف اصلیبنیاد
CERTجمع آوری و تقسیم اطلاعات امنیتییک گواهی برای جمع آوری و نظارت بر اطلاعات امنیتی از چندین منبع مجهز است، اما نه برای دفاع از شبکه یا پاسخگویی به حوادث فردی
SOCنظارت و دفاع از زیرساخت های سازمانییک SOC ساختاری است که در فناوری سرمایه گذاری می کند و در نظارت و دفاع از شبکه ها، نقاط پایانی، سرور و سایر زیرساخت ها مورد بهره برداری قرار می گیرد.
CSIRTبه رخدادهای امنیتی پاسخ می دهدیک CSIRT یک سازمان متقابل است که برای پاسخگویی به رخدادهای امنیتی شکل گرفته است، برخی از اعضای تیم ممکن است تمام وقت نباشند اما در صورت نیاز فراخوانده شوند.

جدول ۱: نحوه تصمیم گیری در مورد استفاده از تیم CERT،CSIRT، یا SOC.

نحوه سازماندهی تیم پاسخ به رخداد یا CSIRT

سازماندهی CSIRT شامل تعیین اینکه چه کسی در تیم خواهد بود، نقش ها و مسئولیت های آنها، وظایف برون سپاری  و محل استقرار اعضای تیم خلاصه می شود.

پرسنل CSIRT

همانطور که گفته شد، CSIRT یک تیم متقابل است که در هنگام حوادث امنیتی هماهنگ خواهد شد. CSIRT همچنین باید هر سه ماه یکبار تشکیل جلسه دهد تا حوادث گذشته را بررسی کند و تغییراتی را در سیاست، آموزش و فناوری توصیه کند. در نهایت، تیم باید حداقل دو بار در سال در تمرینات شرکت کند. این تمرین‌ها به عنوان “table-top incidents” (برگزاری تمرینها و مانورهای غیر عملی) در نظر گرفته می‌شوند که در آن اعضای CSIRT آنچه را که در صورت وقوع یک حادثه انجام می‌دهند، انجام می‌دهند تا مهارت‌های تیم را آماده نگه دارند و هر مشکلی را حل کنند.

برای ایجاد تیم CSIRT لیستی از افرادی که به آنها نیاز دارید، همراه با نقش ها و مسئولیت های مختلف CSIRT آورده شده است:
رهبر تیم یا حامی اجرایی (Team Leader or Executive Sponsor)
نقش کلیدی رهبر تیم این است که حوادث را به کارکنان اجرایی و هیئت مدیره منتقل کند و اطمینان دهد که CSIRT توجه  و بودجه مناسب را دریافت می کند.

مدیر رخداد (Incident Manager)
این مدیر یا مدیر اجرایی می‌تواند در سراسر سازمان کار کند و مسئول فراخوانی جلسات و پاسخگویی اعضای تیم در مورد اقدامات خود است. مدیر رخداد همچنین یافته‌ها و هرگونه تأثیر بر ارتباطات در سراسر شرکت را قبل از تشدید مسائل به سطوح بالاتر مدیریت خلاصه می‌کند.

محقق اصلی Lead Investigator
این منبع فنی، مانند یک تحلیلگر امنیتی یا واکنش دهنده حوادث اختصاصی در SOC، مسئول بررسی وقایع در طول یک رخداد امنیتی است. محقق اصلی ممکن است با یک تیم گسترده از تحلیلگران امنیتی و محققان شناسایی تهدیدات (forensics) کار کند.

ارتباطات و روابط عمومی  Communications and PR
هرگونه درخواست یا بیانیه مطبوعاتی را در صورت نیاز ارائه می‌کند و پیش‌نویس ارتباطات را برای ارسال به کارمندان، شرکا و مشتریان تهیه می‌کند. این فرد باید مسئولیت نظارت بر رسانه های اجتماعی را نیز بر عهده داشته باشد.

حقوقی Legal
مشاور عمومی یا یکی از اعضای معاون تیم حقوقی، این فرد در مورد نیاز به افشای حوادث امنیتی، مانند رخنه، مشاوره می دهد و با هر یک از پیامدهای ناشی از حادثه، مانند دعاوی حقوقی سهامداران یا کارکنان برخورد می کند.

نماینده منابع انسانی Human Resources (HR) Representative
این سمت معمولاً توسط رئیس منابع انسانی پر می شود، که می تواند هر گونه مسائل مربوط به پرسنل را که رخ می دهد مدیریت کند. نماینده منابع انسانی همچنین در مورد ارتباطات داخلی به کارکنان در مورد حوادث امنیتی توصیه می کند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *