آشنایی با تیم پاسخگویی به حملات امنیت کامپیوتر (CSIRT)

یک تیم پاسخگویی به حوادث امنیت رایانه یا CSIRT، گروهی از متخصصان فناوری اطلاعات است که خدمات و پشتیبانی را در زمینه ارزیابی، مدیریت و پیشگیری از حوادث اضطراری مرتبط با امنیت سایبری و همچنین هماهنگی تلاش‌های واکنش به حادثه را به سازمان ارائه می‌کند.

هدف اصلی CSIRT پاسخگویی سریع و کارآمد به حوادث امنیتی رایانه است، در نتیجه کنترل مجدد را به دست آورده و آسیب را به حداقل می رساند. CSIRT شامل چهار مرحله پاسخگویی به حادثه از طرف موسسه ملی استاندارد و فناوری (NIST) است:

  1.  آماده سازی
  2. تشخیص و تجزیه و تحلیل
  3. مهار، ریشه کنی و بازیابی
  4. فعالیت پس از حادثه

برای انجام این کار، CSIRT ها ممکن است مسئولیت های زیادی را بر عهده بگیرند، از جمله:

  • ایجاد و به روز رسانی طرح های واکنش به حادثه
  • نگهداری و انتقال اطلاعات به نهادهای داخلی و خارجی
  • شناسایی، ارزیابی و تجزیه و تحلیل حوادث
  • هماهنگی و اطلاع رسانی تلاش های پاسخ
  • ترمیم حوادث
  • گزارش حوادث
  • مدیریت ممیزی
  • بررسی سیاست های امنیتی
  • پیشنهاد تغییرات برای جلوگیری از حوادث آینده.

ویژگی ها و فرآیندهای CSIRT

در حالی که هر CSIRT برای سازمان خود منحصر به فرد است، به طور کلی، CSIRT ها دارای سه ویژگی هستند که آنها را از سایر تیم های واکنش به حادثه متمایز می کند:

بیانیه ماموریت، حوزه انتخابیه و فهرست خدمات.

  • بیانیه ماموریت

ماموریت CSIRT بیانیه هدف یا دلیل وجود آن است. مأموریت CSIRT حوزه های مسئولیت آن را تعریف می کند و در خدمت تعیین انتظارات با حوزه انتخابیه خود است.

مثالی از بیانیه ماموریت CSIRT ممکن است این باشد: “ماموریت XYZ CSIRT حفاظت از XYZ Corp. با ایجاد و حفظ قابلیت شناسایی، پاسخگویی و حل و فصل حوادث رایانه ای و امنیت اطلاعات است.”

  • حوزه انتخابیه

یک حوزه انتخابیه CSIRT باید به وضوح تعریف شود. این پایگاه مشتری یا گیرندگان خدمات واکنش به حادثه است. فرض بر این است که حوزه انتخابیه برای یک CSIRT خاص منحصر به فرد است و اغلب سازمان مادر آن است.

  • لیست خدمات 

ماموریت CSIRT از طریق ارائه خدمات CSIRT به حوزه انتخابیه آن انجام می شود. CSIRT ممکن است چندین سرویس ارائه دهد، اما خدمات اساسی وجود دارد که یک CSIRT باید ارائه دهد تا به عنوان یک تیم رسمی واکنش به حادثه در نظر گرفته شود.



مدیریت CSIRT :

داشتن یک CSIRT پراکنده و با مدیریت خوب مهم است. اکثر CSIRT ها به گونه ای ساخته شده اند که نظارت 24/7 را حفظ کنند. این کار با تقسیم ساعات کار به سه شیفت انجام می شود که هر شیفت دارای یک شیفت تعیین شده است. در طول شیفت های خود، رهبران شیفت باید کار و یافته های خود را با سایر رهبران شیفت ارتباط برقرار کنند. سپس این اطلاعات باید به سرپرست تیم CSIRT یا کارمندان اجرایی برای حفظ شفافیت با بقیه سازمان منتقل شود.

شرکت های بزرگتر نه تنها باید کارکنان را بر اساس زمان، بلکه موقعیت جغرافیایی نیز از هم جدا کنند. شرکت‌های کوچک‌تر ممکن است برون‌سپاری فرآیندهای CSIRT را مقرون‌به‌صرفه‌تر بدانند.

تفاوت SOC و CSIRT و CERT

سازمان‌ها ممکن است یک یا چند مورد از سه نوع اصلی تیم واکنش به حادثه را به کار گیرند: CSIRT، SOC و CERT. گاهی اوقات، این اصطلاحات به صورت مترادف استفاده می شوند، اگرچه تفاوت هایی وجود دارد، بسته به استفاده سازمان از اصطلاح(ها).
منحصر به فرد ترین آنها SOC است. این مرکز اختصاصی فناوری و سخت افزار را رصد و از آن دفاع می کند و به عنوان یک مرکز فرماندهی و کنترل برای یک سازمان، منطقه یا کشور عمل می کند. از شبکه ها، سرورها، برنامه ها و نقاط پایانی محافظت می کند. با این حال، مسئولیت های یک SOC فراتر از پاسخ عادلانه به حادثه است.



CSIRT، CERT و تیم پاسخ به حوادث رایانه ای (CIRT) که کمتر مورد استفاده قرار می گیرند، اغلب به جای یکدیگر استفاده می شوند. به طور کلی، CSIRT ها، CERT ها و CIRT ها همه پاسخ حادثه را مدیریت می کنند، اگرچه وظایف خاص آنها ممکن است در سازمان متفاوت باشد. اصطلاحات استفاده شده توسط یک سازمان باید به اندازه کافی همراه با اهداف، ساختار و استفاده از منابع لازم برای پاسخگویی مناسب به حوادث تعریف شود.

مهم است که توجه داشته باشید که CERT یک علامت تجاری ثبت شده از دانشگاه کارنگی ملون (CMU) است. سازمان ها می توانند پس از کسب مجوز از علامت CERT استفاده کنند. با این حال، برخی از سازمان‌ها احتمالاً نمی‌دانند که علامت تجاری است و هنوز از آن برای تعریف تیم‌های واکنش به حادثه استفاده می‌کنند.

کارکنان CSIRT کجا باید مستقر شوند؟

یک چیز در مورد حوادث امنیتی صادق است: حوادث امنیت سایبری همیشه در نامناسب ترین زمان ها اتفاق می افتند .

آخر هفته ها، بعد از ساعات کاری، در تعطیلات و یا در زمان خریدهای قبل از تعطیلات، زمانی که کارمندان عجله دارند و مشتریان می توانند در بررسی خریدهای آنلاین خود دقت کمتری داشته باشند، نقض های بزرگی رخ داده است. برخی نظریه‌پردازی کرده‌اند که عوامل مخرب در تعطیلات آخر هفته یا تعطیلات ملی حمله می‌کنند، زیرا می‌دانند که کارکنان امنیتی نمی‌توانند آنها را دستگیری کنند.



به همین دلیل، مهم است که کارکنان CSIRT از نظر جغرافیایی پراکنده باشند. در حالت ایده آل، 24 ساعته در دسترس باشند.