تیم پاسخگویی حوادث امنیتی کامپیوتری

امروزه یکی از مهمترین دغدغه های سازمانها و ادارات بزرگ برقراری امنیت شبکه و محیط کاری می باشد و یکی از مسائل مهم که در ایجاد یک تیم واکنش به حوادث امنیتی کامپیوتری (CSIRT) مورد توجه قرار می گیرد ، این است که چه خدماتی از CSIRT را در حوزه انتخابی خود ارائه دهند.تیم واکنش به حوادث امنیتی کامپیوتری کاری متفاوت از تیم SOC دارند.
تیم واکنش به حوادث امنیتی کامپیوتری (CSIRT) معمولا بخشی از واحد فناوری و واحد مخابرات یک سازمان یا ارگان میباشد همچنین برخی دیگر از آنها جزئی از گروه امنیت هستند و گاهی نیز به صورت مستقل عمل میکنند.بسیاری از شرکت ها CSIRT را به عنوان بخشی از برنامه تداوم کسب و کار خود و بازیابی از وقایع خود در نظر می گیرند.
آنچه که روشن است CSIRT باید در هر سایت توسط یک مدیر یا مشاور متخصص نظارت شود.تیم واکنش به حوادث امنیتی کامپیوتری (CSIRT) کمک میکند تا آسیب پذیری های یک سازمان یا ارگان مشخص شود و در برخی موارد برای سازمان ارزیابی آسیب پذیری و تشخیص رخداد را انجام می دهند.
همچنین واکنش به حوادث امنیتی کامپیوتری (CSIRT) میتواند با تحلیل پیش گیرانه که بر روی آسیب پذیری ها انجام میدهد به کاهش خطرات موجود در فضای سایبری و جلوگیری از جرم های سایبری کمک نماید.

این فرآیند همچنین شامل نامگذاری و تعریف هر یک از خدمات ارائه شده است که همیشه کار ساده ای نیست . تجربه نشان داده است که در مورد اسامی استفاده شده برای خدمات CSIRT اغلب سردرگمی بزرگی ایجاد می شود .
هدف از این مقاله ارائه فهرستی از خدمات CSIRT و تعاریف آنها است.
شایان ذکر است ممکن است گاهی بسیاری از این خدمات به همین صورت و توسط سیستم های شبکه و به عنوان بخشی از کار اداری عادی مدیران امنیتی که در هنگام واکنش به رخداد ایجاد شده ، انجام گیرد . این نوع تیم خاص تیم امنیتی یک سازمان می باشد .
CSIRT باید در انتخاب خدماتی که ارائه می دهد ، دقت نماید . مجموعه خدمات قابل ارائه ، منابع و مجموعه مهارت ها و مشارکت های تیم است که تعیین می کند آیا تیم قادر به ارائه آن خدمت خواهد بود یا نه . انتخاب خدمات اول و مهم باید موجب توانمندشدن اهداف حرفه ای سازمان در حوزه انتخابی CSIRT باشد .
خدمات قابل ارائه باید مواردی باشد که تیم با نگاهی واقع بینانه و صادقانه بتواند براساس اندازه و دامنه تخصص خود از عهده آن برآید . اگر چند خدمت را به خوبی ارائه دهیم ، بهتر از آن است که طیف وسیعی از خدمات بد و ناقص را ارائه دهیم .

CSIRT

دسته بندی خدمات
خدمات زیادی وجود دارد که یک CSIRT می تواند انتخاب و ارائه کند . این خدمات برای هر تیم واکنش به حوادث امنیتی کامپیوتری (CSIRT) متفاوت است و بستگی به ماموریت ، هدف و حوزه انتخابی تیم دارد .

خدمات تیم واکنش به حوادث امنیتی کامپیوتری (CSIRT) را می توان به سه دسته تقسیم کرد :
خدمات واکنش گر : این خدمات بوسیله یک رویداد یا درخواست ( مانند گزارش یک میزبان سازش شده ، کد مخرب گسترده ، آسیب پذیری نرم افزار یا هر چیزی که توسط سیستمِ تشخیص نفوذ یا ورود به سیستم ، شناسایی می شود ) ، فعال می شوند . خدمات واکنش گر جزء اصلی از کار CSIRT است .
خدمات پیشگیرانه : این نوع خدمات با فراهم کردن اطلاعات ، ضمن آماده سازی و حفاظت و ایمنی سیستم های سازمانی به آنها در پیش بینی حملات ، مشکلات یا حوادث امدادرسانی می کند . عملکرد این خدمات به طور مستقیم ، تعداد وقوع حوادث در آینده را کاهش می دهد .
خدمات مدیریت کیفیت امنیتی : این خدمات ، خدمات موجود و معتبری را که مستقل از اداره حوادث هستند و به شکل رایج توسط سایر بخش های سازمان مانند IT ، حسابرسی و یا بخش های آموزشی انجام می شوند تقویت می کنند . اگر CSIRT به این سرویس ها کمک کند ، دیدگاه و تخصص CSIRT می تواند بینش لازم را برای کمک به بهبود امنیت کلی سازمان و شناسایی خطرات ، تهدیدات و نقاط ضعف سیستم فراهم کند . این خدمات عمدتا پیشگیرانه هستند اما به طور غیر مستقیم به کاهش تعداد حوادث کمک می کنند .

 تیم CSIRT

باید گفت برخی از خدمات ، در هر دو سر طیف واکنشی و پیشگیرانه قرار می گیرند . برای مثال ، اقدام به رفع آسیب پذیری می تواند در واکنش به کشف یک آسیب پذیری نرم افزاری باشد که به طور فعال مورد سوء استفاده قرار می گیرد . اما می توان آن را با بررسی و تست کد به صورت فعالانه (غیر واکنشی) نیز انجام داد تا آسیب پذیری های موجود را شناسایی کرد . بنابراین قبل از اینکه آسیب پذیری ها به طور گسترده ای شناخته شده یا مورد استفاده قرار گیرند ، می توان آنها را شناسایی و برطرف کرد .

 

آخرین اخبار