سرویس‌های CSIRT شامل چه مواردی است

• Alerts and Warning

این سرویس شامل انتشار اطلاعاتی از یک حمله، آسیب­‌پذیری امنیتی­، هشدار نفوذ­، ویروس رایانه‌ای یا ارائه هرگونه توصیه کوتاه برای مقابله با مشکل است.

Alert ،Warning یا Advisory به عنوان واكنشی در قبال مشكل فعلی به‌­منظور اطلاع‌­رسانی و ارائه راهنمایی به سیستم­‌های تحت محافظت یا بازیابی هرگونه سیستم تحت‌تأثیر ارسال می‌شود. اطلاعات ممکن است توسط CSIRT ایجاد شده یا ممکن است از طریق Vendorها، سایر CSIRTها یا کارشناسان امنیتی توزیع شود.

• Incident Handling

رسیدگی به حوادث شامل دریافت، پیگیری و پاسخ به درخواست­‌ها و گزارش‌­ها و تجزیه و تحلیل حوادث است. فعالیت­‌های خاص Incident Handling می‌تواند شامل موارد زیر باشد:

• اقدام در جهت محافظت از سیستم­‌ها و شبکه­‌هایی که تحت تأثیر فعالیت متجاوز قرار گرفته یا تهدید می‌شوند.
• ارائه راه‌حل‌­ها و استراتژی­‌های کاهش تاثیر بد Incidentها در قالب Advisory یا Alert
• جستجوی فعالیت متجاوز در سایر قسمت­‌های شبکه
• فیلتر کردن ترافیک شبکه
• داشتن برنامه Recovery برای سیستم­ها
• Patch یا Repair کردن سیستم­‌ها
• تدوین راهبردهای پاسخ یا راه­‌حل­‌های دیگر

از آنجا که فعالیت‌های مربوط به رسیدگی به حادثه به روش‌های مختلفی توسط انواع مختلف تیم پاسخ‌گویی به رخداد انجام می‌شود، این خدمات بر اساس نوع فعالیت‌های انجام شده و نوع کمک‌های ارائه شده به شرح زیر دسته‌بندی می‌شود:

• Incident Analysis

سطوح مختلفی برای این سرویس وجود دارد. اساسا این سرویس به بررسی کلیه اطلاعات موجود، شواهد و Artifact مرتبط با یک Incident یا یک Event می­‌پردازد. هدف از Incident Analysis شناسایی دامنه حادثه، میزان خسارت ناشی از حادثه، ماهیت حادثه، راهکارهای پاسخگویی و یا راه‌حل­‌های موجود است.

تیم پاسخ‌گویی به رخداد در این قسمت ممکن است از نتایج آسیب‌پذیری و Artifact Analysis برای درک و ارائه کامل­ترین و به‌­روزترین تجزیه و تحلیل از آنچه در یک سیستم خاص روی داده، استفاده کند. همچنین تیم CSIRT به منظور شناسایی هرگونه ارتباط، روند، الگو یا امضا اقدام به هم­بسته‌­سازی فعالیت‌­های درون Incident خواهد کرد.

• Incident response on site

در این سطح سرویس، اعضای تیم CSIRT با حضور مستقیم و فیزیکی در سایت مشتری در کنار سیستم‌های تحت تاثیر Incident، سعی در Recovery و Repair کردن بعد از حادثه دارند. برای ارائه این سرویس توسط تیم پاسخ‌ به رخداد اشکال زیر وجود دارد:

1. حضور دایمی در سایت مشتری
2. حضور در صورت رخ دادن یک Incident

• Incident Response Support

در این سرویس تیم پاسخ‌گویی به رخداد سعی در کمک و راهنمایی به هدف حمله، به منظور Recovery بعد از رخ دادن Incident به صورت تلفنی، ایمیل، فکس یا گزارشات کتبی دارد. تیم پشتیبان با استفاده از ابزارهای فنی مانند جمع‌آوری اطلاعات، اطلاعات تماس یا منطبق بر راهنمایی برای Mitigation یا Recovery سعی در ارائه خدمات Incident Response از راه دور دارد.

• Vulnerability Handling

این سرویس شامل دریافت اطلاعات و گزارش در مورد آسیب­‌پذیری­‌های سخت‌­افزاری و نرم­‌افزاری و سپس تجزیه و تحلیل ماهیت، مکانیزم و اثرات آسیب­‌پذیری و تدوین استراتژی­‌های پاسخ برای تشخیص و ترمیم آسیب‌­پذیری­‌ها است. فعالیت­‌های مربوط به آسیب‌­پذیری توسط روش‌­های مختلف و به طرق متفاوتی توسط تیم­‌های CSIRT انجام می‌­شود.

• Vulnerability Response

 این سرویس شامل تعیین پاسخ مناسب برای کاهش یا ترمیم آسیب‌پذیری است که ممکن است شامل توسعه یا جستجوی یک Patch، تعمیرکردن یا راه حل‌های دیگر باشد. همچنین شامل اطلاع‌رسانی به دیگران برای استراتژی کاهش، احتمالاً با ایجاد و توزیع هشدار است. این سرویس می تواند شامل پاسخ با نصب Patchها یا راه‌حل‌های دیگر باشد.

• Artifact Handling

Artifact در واقع هر فایل یا هر Object موجود در سیستم است که در شناسایی یا حمله علیه سیستم‌­ها و شبکه­‌ها و یا برای شکستن تدابیر امنیتی ممکن است مورد استفاده قرار گیرد. Artifact می­تواند شامل ویروس‌­های رایان‌ه­ای، تروجان، کرم­‌ها، سوءاستفاده از اسکریپت‌­ها و ابزارهای جانبی شود.

Artifact handling شامل دریافت اطلاعات و یک کپی از Artifactهایی است که در حملات، شناسایی و سایر فعالیت های غیرمجاز یا مخرب مورد استفاده قرار می‌گیرد.

پس از دریافت، این Artifact مورد بررسی قرار می­گیرد. این بررسی شامل

1. تجزیه و تحلیل ماهیت، مکانیزم، نسخه و نحوه استفاده از Artifact است
2. تدوین استراتژی­‌های پاسخ برای کشف، از بین بردن و دفاع در برابر این Artifact

• Artifact response

این سرویس شامل تعیین اقدامات مناسب برای تشخیص و حذف Artifactها از یک سیستم و همچنین اقدامات برای جلوگیری از نصب Artifactها است. خروجی این مرحله ممکن است شامل Signatureی باشد که می­‌تواند به آنتی­‌ویروس یا IDS اضافه شود.

• Announcements

وظیفه این سرویس در Proactive Service اطلاع رسانی جدیدترین هشدارهای نفوذ، آسیب­پذیری­ها و مشاوره­های امنیتی می­باشد. این اطلاعیه­ها به تیم CSIRT این امکان را می­دهد که قبل از Exploit شدن سیستم­ها و شبکه­های خود در برابر مشکلات جدید شناسایی شده، از آنها محافظت کنند.

• Technology Watch

تیم­هایCSIRT  موظفند نسبت به پیشرفت­های فنی جدید، فعالیت­های متجاوزان و روندهای مرتبط، برای کمک به شناسایی تهدیدات آینده نظارت و مشاهده کنند. مباحث مورد بررسی می‌تواند گسترش یابد تا شامل احکام قانونی، تهدیدات اجتماعی، سیاسی و فن‌آوری­های نوظهور شود.

این سرویس شامل خواندن پست­های امنیتی، وب سایت­های امنیتی و مقالات جدید، اخبار و ژورنال­ها در زمینه‌های علمی، فناوری، سیاست و دولت برای استخراج اطلاعات مربوط به امنیت سیستم­ها و شبکه­ها می­باشد.
این امر می تواند شامل برقراری ارتباط با سایر طرفین مخصص در این زمینه باشد تا از به دست آوردن بهترین و دقیق­ترین اطلاعات یا تفسیر اطمینان حاصل شود. نتیجه این سرویس ممکن است نوعی اعلامیه، دستورالعمل یا توصیه­هایی باشد که درمورد موضوعات امنیتی میان مدت و بلند مدت تمرکز دارند.