
تیم پاسخگویی به رخدادهای امنیتی (CSIRT)
تیم پاسخگویی به رخداد (CSIRT) چیست
سرویسهای ارائه شده توسط تیم CSIRT به دو دسته Reactive Service و Proactive Service تقسیمبندی میشوند.
- Reactive Service: این سرویس نیاز به محرک بیرونی دارد و بهمنظور پاسخ به درخواست کمک، گزارشی از Incident و همه تهدیدات یا حملات علیه سیستمهای تحت پوشش CSIRT به کار گرفته میشود. بعضی از این سرویسها با هشدار نرمافزارهای Third-Party، مانیتورینگ و یا از لاگ ها و هشدارهای IDS آغاز میشود.
- Proactive Service: این سرویس بهطور پیوسته در حال اجرا بوده و به محرک خاصی نیاز ندارد. هدف اصلی این سرویس جلوگیری از Incident و کاهش میزان و فضای تحت تاثیر رخداد است. این هدف بهوسیله تیم پاسخگویی به رخداد (CSIRT) انجام میگیرد که به صورت مداوم در جست و جوی اعلانها و اطلاعیههای مراکز امنیتی و تکنولوژیهای جدید است. بهرهگیری از این سرویسها در کاهش تعداد رویدادهای امنیتی آتی تاثیر مستقیم دارد.
جدول زیر نمای کلی از این دو سرویس و زیرمجموعههای پیادهسازی CSIRT را بیان میکند.
مزایا
بهرهگیری از تیم پاسخ به رخداد چه مزایایی دارد
-
Incident Response Scope
تیم CSIRT در موارد ذکر شده در جدول زیر عملیات Incident Response انجام میدهد.
- Customer Size
هر سازمان بر اساس اطلاعات زیر به سه دسته اصلی در اندازههای مختلف تقسیم بندی میشود.
خدمات
سرویسهای CSIRT شامل چه مواردی است
Alerts and Warning
این سرویس شامل انتشار اطلاعاتی از یک حمله، آسیبپذیری امنیتی، هشدار نفوذ، ویروس رایانهای یا ارائه هرگونه توصیه کوتاه برای مقابله با مشکل است.
Alert ،Warning یا Advisory به عنوان واكنشی در قبال مشكل فعلی بهمنظور اطلاعرسانی و ارائه راهنمایی به سیستمهای تحت محافظت یا بازیابی هرگونه سیستم تحتتأثیر ارسال میشود. اطلاعات ممکن است توسط CSIRT ایجاد شده یا ممکن است از طریق Vendorها، سایر CSIRTها یا کارشناسان امنیتی توزیع شود.
Incident Handling
رسیدگی به حوادث شامل دریافت، پیگیری و پاسخ به درخواستها و گزارشها و تجزیه و تحلیل حوادث است. فعالیتهای خاص Incident Handling میتواند شامل موارد زیر باشد:
- اقدام در جهت محافظت از سیستمها و شبکههایی که تحت تأثیر فعالیت متجاوز قرار گرفته یا تهدید میشوند.
- ارائه راهحلها و استراتژیهای کاهش تاثیر بد Incidentها در قالب Advisory یا Alert
- جستجوی فعالیت متجاوز در سایر قسمتهای شبکه
- فیلتر کردن ترافیک شبکه
- داشتن برنامه Recovery برای سیستمها
- Patch یا Repair کردن سیستمها
- تدوین راهبردهای پاسخ یا راهحلهای دیگر
از آنجا که فعالیتهای مربوط به رسیدگی به حادثه به روشهای مختلفی توسط انواع مختلف تیم پاسخگویی به رخداد انجام میشود، این خدمات بر اساس نوع فعالیتهای انجام شده و نوع کمکهای ارائه شده به شرح زیر دستهبندی میشود:
-
Incident Analysis
سطوح مختلفی برای این سرویس وجود دارد. اساسا این سرویس به بررسی کلیه اطلاعات موجود، شواهد و Artifact مرتبط با یک Incident یا یک Event میپردازد. هدف از Incident Analysis شناسایی دامنه حادثه، میزان خسارت ناشی از حادثه، ماهیت حادثه، راهکارهای پاسخگویی و یا راهحلهای موجود است.
تیم پاسخگویی به رخداد در این قسمت ممکن است از نتایج آسیبپذیری و Artifact Analysis برای درک و ارائه کاملترین و بهروزترین تجزیه و تحلیل از آنچه در یک سیستم خاص روی داده، استفاده کند. همچنین تیم CSIRT به منظور شناسایی هرگونه ارتباط، روند، الگو یا امضا اقدام به همبستهسازی فعالیتهای درون Incident خواهد کرد.
-
Incident response on site
در این سطح سرویس، اعضای تیم CSIRT با حضور مستقیم و فیزیکی در سایت مشتری در کنار سیستمهای تحت تاثیر Incident، سعی در Recovery و Repair کردن بعد از حادثه دارند. برای ارائه این سرویس توسط تیم پاسخ به رخداد اشکال زیر وجود دارد:
- حضور دایمی در سایت مشتری
- حضور در صورت رخ دادن یک Incident
-
Incident Response Support
در این سرویس تیم پاسخگویی به رخداد سعی در کمک و راهنمایی به هدف حمله، به منظور Recovery بعد از رخ دادن Incident به صورت تلفنی، ایمیل، فکس یا گزارشات کتبی دارد. تیم پشتیبان با استفاده از ابزارهای فنی مانند جمعآوری اطلاعات، اطلاعات تماس یا منطبق بر راهنمایی برای Mitigation یا Recovery سعی در ارائه خدمات Incident Response از راه دور دارد.
Vulnerability Handling
این سرویس شامل دریافت اطلاعات و گزارش در مورد آسیبپذیریهای سختافزاری و نرمافزاری و سپس تجزیه و تحلیل ماهیت، مکانیزم و اثرات آسیبپذیری و تدوین استراتژیهای پاسخ برای تشخیص و ترمیم آسیبپذیریها است. فعالیتهای مربوط به آسیبپذیری توسط روشهای مختلف و به طرق متفاوتی توسط تیمهای CSIRT انجام میشود.
-
Vulnerability Response
این سرویس شامل تعیین پاسخ مناسب برای کاهش یا ترمیم آسیبپذیری است که ممکن است شامل توسعه یا جستجوی یک Patch، تعمیرکردن یا راه حلهای دیگر باشد. همچنین شامل اطلاعرسانی به دیگران برای استراتژی کاهش، احتمالاً با ایجاد و توزیع هشدار است. این سرویس می تواند شامل پاسخ با نصب Patchها یا راهحلهای دیگر باشد.
Artifact Handling
Artifact در واقع هر فایل یا هر Object موجود در سیستم است که در شناسایی یا حمله علیه سیستمها و شبکهها و یا برای شکستن تدابیر امنیتی ممکن است مورد استفاده قرار گیرد. Artifact میتواند شامل ویروسهای رایانهای، تروجان، کرمها، سوءاستفاده از اسکریپتها و ابزارهای جانبی شود.
Artifact handling شامل دریافت اطلاعات و یک کپی از Artifactهایی است که در حملات، شناسایی و سایر فعالیت های غیرمجاز یا مخرب مورد استفاده قرار میگیرد.
پس از دریافت، این Artifact مورد بررسی قرار میگیرد. این بررسی شامل
- تجزیه و تحلیل ماهیت، مکانیزم، نسخه و نحوه استفاده از Artifact است
- تدوین استراتژیهای پاسخ برای کشف، از بین بردن و دفاع در برابر این Artifact
-
Artifact response
این سرویس شامل تعیین اقدامات مناسب برای تشخیص و حذف Artifactها از یک سیستم و همچنین اقدامات برای جلوگیری از نصب Artifactها است. خروجی این مرحله ممکن است شامل Signatureی باشد که میتواند به آنتیویروس یا IDS اضافه شود.
Announcements
وظیفه این سرویس در Proactive Service اطلاع رسانی جدیدترین هشدارهای نفوذ، آسیبپذیریها و مشاورههای امنیتی میباشد. این اطلاعیهها به تیم CSIRT این امکان را میدهد که قبل از Exploit شدن سیستمها و شبکههای خود در برابر مشکلات جدید شناسایی شده، از آنها محافظت کنند.
Technology Watch
تیمهایCSIRT موظفند نسبت به پیشرفتهای فنی جدید، فعالیتهای متجاوزان و روندهای مرتبط، برای کمک به شناسایی تهدیدات آینده نظارت و مشاهده کنند. مباحث مورد بررسی میتواند گسترش یابد تا شامل احکام قانونی، تهدیدات اجتماعی، سیاسی و فنآوریهای نوظهور شود.
این سرویس شامل خواندن پستهای امنیتی، وب سایتهای امنیتی و مقالات جدید، اخبار و ژورنالها در زمینههای علمی، فناوری، سیاست و دولت برای استخراج اطلاعات مربوط به امنیت سیستمها و شبکهها میباشد.
این امر می تواند شامل برقراری ارتباط با سایر طرفین مخصص در این زمینه باشد تا از به دست آوردن بهترین و دقیقترین اطلاعات یا تفسیر اطمینان حاصل شود. نتیجه این سرویس ممکن است نوعی اعلامیه، دستورالعمل یا توصیههایی باشد که درمورد موضوعات امنیتی میان مدت و بلند مدت تمرکز دارند.
مشاوره و پشتیبانی



لیست قیمت
مایلید آخرین و بهروزترین قیمت محصولات یا خدمات مورد نیاز خود را داشته باشید؟