تیم واکنش به رخدادهای امنیتی یا CSIRT میتواند به کاهش تهدیدات امنیتی برای هر سازمانی کمک کند. همراه با رشد تعداد و پیچیدگی تهدیدات سایبری، ساختن یک تیم امنیتی برای پاسخ به حادثه یا ضروری است. در این مقاله، در مورد نحوهی تنظیم و مدیریت یک تیم واکنش به رخدادهای امنیتی یا CSIRT صحبت خواهد شد و توصیههایی برای کارآمدتر کردن تیم پاسخ به حادثه مطرح میگردد. اولاً بیایید نقش و حوزهی CSIRT را تعریف کنیم. بهتر است در ابتدا با فرایند چهارمرحلهای که در ادامه مطرح میشود شروع کنیم تا بتوانیم تیم خود را تنظیم و مدیریت کنیم.
شکل ۱: این فرایند چهارمرحلهای به افراد کمک میکند تیم واکنش به رخدادهای امنیتی (CSIRT) را تنظیم و مدیریت کنند.
تیم واکنش به رخدادهای امنیتی یا CSIRT چیست؟
تیم پاسخ به رخداد (CSIRT) متشکل از گروهی از متخصصان امنیت است که در هنگام رخ دادن رویدادهای امنیتی به آنها پاسخ میدهند. مسئولیتهای کلیدی CSIRT شامل موارد زیر هستند:
- ایجاد و حفظ یک برنامه پاسخ به حادثه یا Incident Response Plane
- بررسی و تجزیهوتحلیل حوادث
- مدیریت ارتباطات داخلی و بروزرسانیها درطول رخدادها یا بلافاصله پس از رخ دادن آنها
- ارتباط برقرار کردن با کارمندان، سهامداران، مشتریان و رسانهها در مورد حوادث بر طبق نیاز
- اصلاح حوادث
- پیشنهاد تغییراتی در تکنولوژی، پالیسی، نظارت و آموزش پس از حوادث امنیتی
بهطورکلی یک تیم واکنش به رخدادهای امنیتی دادههای حادثهی امنیتی را تجزیهوتحلیل میکند، در مورد مشاهدات بحث میکند و اطلاعات را در کل شرکت به اشتراک میگذارد. ممکن است برخی از این مسئولیتها با سازمانهای دیگر نیز به اشتراک گذاشته شوند، که در ادامه مطرح خواهند شد.
تفاوت CSIRTها با CERTها و SOCها
مسئولیتهای مشترکی بین مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (CERT)، تیم واکنش به رخدادهای امنیتی (CSIRT) و مرکز عملیات امنیت (SOC) وجود دارد. آنچه این پیچیدگی را افزایش میدهد این است که عبارات CERT و CSIRT به جای هم مورد استفاده قرار میگیرند، با وجود اینکه تفاوتهای مهمی دارند. برای اینکه معنای این واژگان واضحتر شود، بیایید نقش هر تیم را با پیشزمینهای در مورد شکلگیری آنها تعریف کنیم.
مرکز عملیات امنیت (SOC) مکانی است که در آن شبکه، برنامههای کاربردی و Endpointهای یک سازمان مانیتور شده و از آنها دفاع میگردد. این واژه از مرکز عملیات شبکه (NOC) الگوبرداری شده است که در آن شبکههای مخابراتی یا سازمانی بزرگ مانیتور میشوند. وقتیکه امنیت شبکه به نگرانی بزرگتری تبدیل شد، تیمهای امنیتی درون NOCها تشکیل شدند و در نهایت با پیچیدهتر و تخصصیتر شدن مسئولیتهای تیمهای امنیت به سازمانهای مستقل و بزرگتری تبدیل شدند. کارمندان امنیتی که در مرکز عملیات امنیت کار میکنند، معمولاً تیم SOC نامیده میشوند.
شکل ۲: درک نقشهای اصلی و وِیژگیهای تیم واکنش به رخدادهای امنیتی (CSIRT)، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (CERT) و مرکز عملیات امنیت (SOC)
عبارت «تیم مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای » در سال ۱۹۸۸ ابداع شد. سازمان پروژههای پژوهشی پیشرفتهی دفاعی یا DARPA در پاسخ به حمله کرم موریس که روی هزاران سرور در اینترنت تأثیر گذاشت، بودجهی لازم برای شکلگیری مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای در دانشگاه Carnegie Mellon را فراهم کرد. هدف CERT-CC کمک در حفاظت از اینترنت با جمعآوری و انتشار اطلاعات در مورد آسیبپذیریهای امنیت حیاتی بود. چندین کشور دیگر هم با استفاده از سرواژهی مشابهی مراکز مشابهی را تشکیل دادهاند، باوجوداینکه Carnegie Mellon تهدیداتی را مبنی بر نقض قوانین علامت تجاری انجام داده است. اکنون واژهی CERT به هر تیم پاسخ اضطراری اشاره دارد که با تهدیدات سایبری سروکار داشته باشد. افراد زیادی به جای CERT-CC از CSIRT استفاده میکنند، هرچند منشور یک CERT اشتراک اطلاعات است با این هدف که به تیمهای پاسخدهی دیگر کمک شود به تهدیدات زیرساخت خود پاسخ دهند.
اما تیم واکنش به رخداد (CSIRT) مسئول پاسخدهی به حوادث امنیتی است. یک پاسخ جامع هم شامل اقدامات فنی برای اصلاح حادثه و هم تغییرات پیشنهادی در سیستمها برای حفاظت از خود در مقابل حوادث آینده است. پاسخ به حادثه چندین جنبهی غیرفنی نیز دارد، از جمله ارتباط با مشتری، پاسخ به سؤالات رسانهها، رسیدگی به مسائل قانونی و رسیدگی به مشکلات کارمندان درصورتیکه خطر داخلی وجود داشته باشد. نامهای دیگر برای CSIRT شامل تیم پاسخ به حادثه رایانهای (CIRT) و تیم پاسخ به حادثه (IRT) است.
پس اگر بخواهیم از تعاریف دقیق استفاده کنیم، مرکزCERT اطلاعات امنیتی را جمعآوری و منتشر میکند که معمولاً به سود کشور یا یک صنعت است.CSIRT یک تیم با چندین عملکرد است که از طرف یک کشور یا یک سازمان به حوادث پاسخ میدهد. SOC جایی است که یک کشور یا سازمان در آن شبکه، سرورها، برنامههای کاربردی و Endpointهای خود را مانیتور میکند.
انتخاب بین CSIRT،CERT یا SOC: کدام برای سازمان شما مناسبتر است
با استفاده از تعاریف دقیق بالا، انتخاب بین یک CSIRT و CERT بسیار ساده است. اگر هدف شما جمعآوری و انتشار اطلاعات در مورد آسیبپذیریهای امنیتی از طرف یک کشور یا صنعت نیست (کاری که احتمالاً از قبل برایش برنامهریزی شده است)، انتخاب شما بین CSIRT و SOC خواهد بود.
اگر نقشهای تیم پاسخ به حادثه شما شامل مانیتورینگ و دفاع از سازمان در مقابل حملات سایبری است، بهتر است یک مرکز SOC را ساخته و آمادهسازی کنید. اگر سازمان شما آنقدر کوچک است که توانایی مالی لازم برای SOC را ندارد یا مثل بسیاری از سازمانهای کوچکتر، SOC خود را برونسپاری کردهاید، به یک تیم واکنش به رخداد یا CSIRT نیاز خواهید داشت تا به حوادث امنیتی که اتفاق میافتند، رسیدگی کنید. شاید پاسخ شما فنی نباشد، اما نیازمند تخصص در روابط عمومی است.
| هدف اصلی | نوع سازمان | منطق |
| جمعآوری و انتشار اطلاعات امنیتی | CERT | CERT تجهیزات لازم را برای جمعآوری و اطلاعات امنیتی از چندین منبع ترتیبدهی به آنها دارد، اما نه با هدف دفاع از یک شبکه یا پاسخ به حوادث مجزا |
| مانیتور کردن و دفاع از زیرساخت سازمان | SOC | SOC سازمانی است که در تکنولوژی و کارمندان ماهر در مانیتورینگ و دفاع از شبکهها، Endpointها، سرورها و زیرساختهای دیگر سرمایهگذاری میکند |
| پاسخ به حوادث امنیتی | CSIRT | CSIRT یک سازمان با چندین عملکرد است که هدفش پاسخ به حوادث امنیتی است. شاید برخی از اعضای تیم تماموقت کار نکنند اما در زمان نیاز فراخوانده میشوند. |
جدول ۱: نحوهی تصمیمگیری در مورد استفاده از تیم CERT، CSIRT یا SOC.
نحوهی سازماندهی یک تیم واکنش به رخدادهای امنیتی (CSIRT)
سازماندهی تیم واکنش به رخداد یا CSIRT شامل موارد زیر است: تعیین اینکه چه کسی در تیم خواهد بود، نقشها و مسئولیتهای آنها چیست، چه عملکردی باید برونسپاری شود و اعضای تیم کجا قرار خواهند داشت.
استخدام پرسنل برای تیم واکنش به رخدادهای امنیتی
همانطور که اشاره شد، CSIRT یک تیم با چندین عملکرد است که اعضای آن در طول حوادث امنیتی با هم هماهنگ میشوند. اعضای تیم واکنش به رخدادهای امنیتی باید بهطور منظم با هم جلسه داشته باشند تا حوادث گذشته را بررسی کرده و در مورد تغییرات در پالیسی، آموزش و تکنولوژی پیشنهاداتی را ارائه کنند. در نهایت، تیم باید حداقل دو بار در سال در تمرینها شرکت داشته باشد. این تمرینات «حوادث Table-Top» محسوب میشوند که در آنها اعضای تیم واکنش به رخدادهای امنیتی نشان میدهند که درصورت رخ دادن یک حادثهی واقعی چه کاری انجام خواهند داد؛ با این هدف که مهارتهای تیم تضعیف نشده و اگر مشکلی وجود داشته باشد در تمرینات برطرف گردد.
برای ساختن تیم واکنش به رخدادهای امنیتی ، در اینجا لیستی از استعدادهایی که به آنها نیاز دارید، همراه با نقشها و مسئولیتهای مختلف CSIRT آورده شده است:
حامی اجرایی یا رهبر تیم: این فرد معمولاً مدیر ارشد امنیت اطلاعات (CISO) یا عضوی از کارمندان اجرایی است. نقش کلیدی رهبر تیم این است که حوادث را به کارکنان اجرایی و هیئت مدیره منتقل کند و اطمینان حاصل کند که تیم واکنش به رخداد یا CSIRT توجه و بودجه مناسب را دریافت میکند.
مدیر حوادث: این مدیر یا مدیر اجرایی میتواند در کل سازمان کار کند و مسئول تنظیم جلسات است و از اعضای تیم برای کارهایشان حسابرسی میکند مدیر حوادث همچنین یافتهها و هر گونه تأثیری بر ارتباطات در سراسر شرکت را قبل از تشدید مسائل به سطوح بالاتر مدیریت خلاصه میکند.
بازرس ارشد: این منبع فنی که یک تحلیلگر امنیتی یا پاسخدهنده به حادثهی اختصاصی در SOC است، مسئولیت بررسی رویدادها درطول یک حادثهی امنیتی را برعهده دارد. ممکن است بازرس ارشد با یک تیم گسترده متشکل از تحلیلگران امنیتی و بازرسان فارنزیک کار کند.
روابط عمومی: ایدهآل است که این فرد در تیم بازاریابی مسئول روابط عمومی باشد، بر طبق نیاز به سؤالات یا اظهارات رسانهها پاسخ دهد و ارتباطات را تدوین کند تا به کارمندان، شرکا و مشتریان ارسال شوند. این فرد همچنین باید مسئول مانیتورینگ رسانههای اجتماعی باشد.
مسئول حقوقی: مشاور عمومی یا عضو معاون تیم حقوقی، این فرد در موردنیاز به آشکارسازی حوادث امنیتی مثل یک نقض امنیتی مشاوره میدهد و به عواقب ناشی از حادثه، مثل شکایت کردن کارمند یا سهامداران رسیدگی میکند.
نمایندهی منابع انسانی: معمولاً رئیس بخش منابع انسانی این نقش را ایفا میکند، فردی که میتواند هر مشکل مرتبط با پرسنل را مدیریت کند، بهخصوص اگر مسئلهی سرقت داخلی نیز مطرح باشد. نماینده منابع انسانی همچنین در مورد ارتباطات داخلی با کارمندان در حوزهی حوادث امنیتی مشاوره میدهد.