CERT/CSIRT چیست و چه مولفه هایی دارد؟ بخش دوم

مولفه‌های مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای CERT/CSIRT

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای ، تیمی است که به یک سازمان مشخص، خدمات و پشتیبانی لازم برای پیشگیری و پاسخ به رویدادهای امنیتی کامپیوتری ارائه می دهد. وظیفه اصلی یک مرکز CERT فرآیند بررسی یک رویداد امنیتی که به اصطلاح Incident Handling نامیده می شود، می باشد. در بخش قبل(مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای CERT/CSIRT) عناصر و مراحل توسعه یک CERT مورد بررسی قرار گرفت. در این بخش، مولفه‌های CERT را بررسی خواهیم کرد.

 مولفه های اصلی تشکیل‌دهنده CERT چشم انداز آن را مشخص کرده و در نتیجه دارای اهمیت زیادی هستند.

مولفه های CERT بر یکدیگر تاثیر مستقیم دارند. به عنوان مثال اهداف از سازمان دریافت‌کننده خدمات و نیازهای آن تاثیر می-پذیرد. منابع موجود و چگونگی توزیع آن‌ها بر مدل سازمانی موردنیاز، سرویس های قابل ارائه و در نهایت نحوه دستیابی به اهداف تاثیرگذار خواهد بود. بنابراین زمان تعریف چارچوب یا چشم انداز باید تمامی این مولفه ها و تعادل میان آن‌ها در نظر گرفته شود. در ادامه هر یک از این مولفه ها به تفصیل توضیح داده می شود.

سازمان دریافت کننده خدمات

درک سازمان مرجع از اهمیت زیادی برخوردار است زیرا در استخراج نیازمندی های سازمان، دارایی هایی که باید حفاظت شود و نیازمندی های CERT مرتبط با سازمان تاثیر مستقیم دارد. با استفاده از اطلاعات استخراج شده می توان در مورد سرویس‌های پیشنهادی و ساختار سازمانی موردنیاز برای تامین سرویس ها تصمیم گیری کرد. همچنین با شناخت سازمان مرجع می توان محدوده کار را هنگام عملیاتی شدن تیم های CERT تعیین کرد؛ در این حالت مشخص می شود هر درخواست باید توسط کدام تیم بررسی شود و یا به کدام تیم ارجاع داده شود.

هدف (ماموریت)

هدف از ایجاد یک مرکز CERT می‌تواند یک یا چند مورد از موارد زیر باشد:

  • کنترل و به حداقل رساندن آسیب های ناشی از یک رخداد امنیتی

  •  پشتیبانی کارآمد در زمان پاسخگویی به/ بازیابی از یک رخداد امنیتی

  • کمک به پیشگیری از وقوع حوادث آتی

سرویس ها

سرویس های CERT در راستای اهداف سازمان تعریف و منعکس کننده منابع در اختیار و سطح تکنیکی تیم CERT است.
مجموعه سرویس‌های قابل ارائه توسط CERT عبارت است از:

  • هوشمندی سایبری: مطالعه و توصیف رفتارها، ویژگی ها و شناسایی روش های عملکردی حمله های سایبری.
  •  توسعه مرکز سایبری: توسعه فعالیت های قابل تکرار برای آماده سازی تیم پاسخ به رخداد (CSIRT) و سایر سازمان های امنیتی عملیاتی.
  •  توسعه اپراتور سایبری: آموزش نیروهای خبره در زمینه امنیت سایبری جهت پاسخگویی به نیازهای سایبری سازمان.
  •  فورنسیک دیجیتال : فعال سازی و بهبود فعالیت های تحلیل و پاسخگویی به رویداد امنیتی مورد استفاده توسط سازمان، همزمان با گسترش فناوری و پیچیدگی به کار گرفته شده در اقدامات مخرب.
  • مدیریت ریسک سازمان: توسعه فعالیت ها و چارچوب هایی که سازمان را قادر به اندازه گیری و کاهش ریسک می‌سازد.
  •  تهدیدهای داخلی: تشخیص و کاهش تاثیر تهدیدهای داخلی و کاهش رویدادهای امنیتی در سازمان ها.
  •  آگاهی در مورد موقعیت در شبکه: تحلیل موقعیت سایبری در شبکه با توجه به اهمیت آن در ارزش گذاری دارایی ها هنگام تعیین ریسک، اندازه گیری فعالیت های مخرب و اولویت بندی پاسخ گویی به تهدیدها.
  •  مالکیت آگاه به امنیت: شناخت آسیب پذیری ها و برنامه ریزی برای مبارزه با تهدیدهای احتمالی در چرخه مالکیت.
  •  توسعه امن: ارزیابی پلتفرم از طریق تحلیل کد منبع برای کسب اطمینان از رعایت اصول امنیتی.
  •  ارزیابی پلتفرم و سیستم: ارزیابی نرم افزار، ابزارها، سیستم ها و پلتفرم های ناشناخته با هدف یافتن آسیب پذیری ها جهت مقابله در برابر حملات احتمالی.
  •  نگهداری سیستم ها: کاهش خطر افشا هنگام وجود آسیب پذیری های شناخته شده در سیستم.
    لازم به ذکر است که در آغاز کار بهتر است CERT کار خود را با زیرمجموعه کوچکی از سرویس های فوق شروع کرده و در ادامه با پذیرش CERT از سوی سازمان دریافت‌کننده خدمات از طریق ارائه سرویس های با کیفیت بالا، فعالیت های خود را توسعه بخشد.

مدل سازمانی

عملکرد و نحوه تعامل تیم CERT در ارتباط با سازمان دریافت‌کننده خدمات باید مشخص شود. در این راستا چندین مدل سازمانی وجود دارد که در ادامه توضیح داده می شوند.

  1.  تیم امنیتی: در این مدل، مسئولیت فعالیت های پاسخگویی به رویداد امنیتی به شکل رسمی، به هیچ گروه و یا بخشی از سازمان اختصاص داده نشده است، از این رو در حقیقت CERT در سازمان مستقر نشده است.
  2.  تیم داخلی توزیع‌شده: در این مدل سازمان از کارمندان موجود برای ایجاد تیم CERT که به صورت مجازی توزیع شده است، بهره می گیرد.
  3.  تیم داخلی متمرکز: در این مدل تیم CERT با حضور کارمندان حرفه ای شکل می گیرد که سرویس های پاسخگویی به رویداد امنیتی را در تمامی ساعات شبانه‌روز در اختیار سازمان دریافت‌کننده خدمات قرار می دهد.
  4.  تیم داخلی ترکیبی: این مدل ترکیبی از دو تیم متمرکز و توزیع‌شده فراهم می‌آورد.
  5. . تیم CERT همکاری: در این مدل، تیم CERT جهت انجام فعالیت های Incident Handling با سازمان‌های خارجی همکاری می کند.
    هر یک از این مدل ها نقاط ضعف و قوت مخصوص به خود را دارد. از این رو در انتخاب مدل باید مواردی مانند محل قرارگیری سازمان دریافت‌کننده خدمات، محل قرارگیری تیم CERT، سرویس هایی موردنیاز از طرف CERT، اطلاعات موردنیاز به اشتراک و … در نظر گرفته شود.

خط مشی ها و رویه ها

برای تمامی سرویس ها و عملیات CERT، باید خط مشی ها و رویه های جامع تعریف شده باشد. مجموعه مستند شده خط‌مشی ها و رویه ها، راهنمایی کامل برای نقش ها و مسئولیت ها، اولویت ها و نحوه پاسخگویی در اختیار کارمندان CERT قرار می دهد و برای موفقیت تیم CERT ضروری است.
در تدوین خط مشی ها، بهتر است در صورت امکان همبسته سازی موارد جدید با خط مشی های موجود انجام شود. به عنوان مثال، قانون امنیت فیزیکی یک سازمان می گوید زمان افشا اطلاعات سازمان باید مدیران امنیتی مجموعه، روابط عمومی، مدیریت رده بالا و متولیان اجرای قانون در سازمان، مطلع شوند؛ زمان نوشتن خط مشی های اطلاع رسانی CERT این قانون باید در نظر گرفته شود.
در حالیکه خط مشی ها می گویند چه کاری قرار است توسط CERT انجام شود، رویه ها دستورالعمل پیاده سازی گام به گام هر خط مشی را در سازمان توضیح می دهند. معمولا امکان توسعه رویه ها تا زمان پیاده سازی تیم CERT وجود ندارد.

هزینه‌ها

هزینه های معمول تیم CERT به شرح زیر است:

  •  هزینه کارمندان که شامل حقوق و هزینه آموزش است.
  •  سیستم رهگیری و گزارش رویداد امنیتی.
  •  مکانیزم های ارتباطی شامل خط تلفن و Helpdesk، وب سایت و یا سایت FTP، Mail List، موبایل و پیجر و ….
  •  هزینه های نصب و به روز رسانی نرم افزار.
  •  دسترسی امن به امکانات CERT.
  •  مکانیزم های ارتباطی امن شامل کلیدهای PGP و یا مجوزهای دیجیتال برای ثبت مستندات و میل های CERT، تلفن های امن، اینترانت و یا اکسترانت و …
  •  زیرساخت های لازم برای کنترل شبکه و لابراتوار تست.

    b. منابع موردنیاز

منابع موردنیاز CERT در دو دسته کلی منابع انسانی و زیرساخت ها قرار می گیرد. منابع انسانی CERT یک عنصر کلیدی در موفقیت تیم CERT می باشد. کارمندان این تیم، باید دارای مهارت های ارتباطی، تکنیکی و تخصصی در امر پاسخگویی به رویدادهای امنیتی باشند. منابع زیرساختی CERT شامل موارد زیر است:

  • شبکه ها، سیستم ها و ابزارهای دفاع داخلی و خارجی مانند IDS، فایروال ها و روترها.
  • پایگاه های داده و ابزارهای تحلیل داده برای ذخیره اطلاعات رویدادهای امنیتی و CERT.
  • ابزارها و برنامه های کاربردی CERT برای تامین سرویس های Incident Handling و سایر سرویس های موجود.
  • مکانیزم ها و برنامه های کاربردی برای ارتباط های ایمیلی و تلفنی امن.
  • مکان فیزیکی کارمندان و داده های CERT.
  • تجهیزات دفتر کارمندان.

سخن پایانی

همانطور که بیان شد CERT دارای انواع مختلفی است و CERT مناسب یک سازمان با توجه به نیازمندی‌ها، اهداف، منابع و … مشخص می‌شود. موفقیت در استفاده از خدمات CERT نیازمند شناسایی دقیق اهداف، شناسایی CERT متناسب با اهداف و تعیین سرویس‌های لازم است. عدم وجود تجربه و تخصص کافی در انجام این مراحل منجر به شکست CERT خواهد شد. در صورتی که سازمان شما علاقمند به استفاده از خدمات CERT است می‌توانید با ارتباط با ما از خدمات مشاوره و راه‌اندازی CERT شرکت امن‌پردازان کویر، به عنوان یکی از شرکت‌های پیشرو در ارائه خدمات امنیتی به سازمان‌های داخلی و خارجی، استفاده کنید.

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.