مطالب

تیم پاسخگویی به حوادث کامپیوتری CSIRT

اکثر سازمان ها متوجه شده اند که یک راهکار امنیتی واحد برای تأمین امنیت سیستم ها وجود ندارد بلکه باید از استراتژی امنیتی چند لایه بهره گرفت. یکی از لایه هایی که بیشتر سازمان ها در استراتژی امنیتی خود در نظر می گیرند، ایجاد یک تیم برای پاسخگویی به رویدادهای امنیتی کامپیوتر است که اختصاراً CSIRT نامیده می شود. البته این تیم نام های دیگری مانند تیم پاسخگویی به فوریت های کامپیوتری(CERT)  نیز دارد اما کارکرد مشابهی دارند. واژه CERT كه مخفف Computer Emergency Response Teams مي باشد با هدف ايجاد امكان و مجموعه­اي براي كمك رساني و مشاوره مناسب به افرادي كه در استفاده از رايانه دچار مشكل شده­اند تعيين شده است و در اين رابطه سازماني نيز طراحي و متمركز می باشد.

ايده تهيه و تشكيل CERT تا اندازه­اي تقليد از ديگر محيط­هايي است که در آن محيط­ها نياز به امداد سريع و يا اقدام فوري مورد نياز می باشد.

سازمانهاي مشابه اين نوع ساختار در مجموعه هاي انساني جوامع مختلف بسيار تشكيل شده است. " امداد و نجات هلال احمر" " گروه واكنش سريع " " گروه ضربت " و... .

عدم آگاهي عمومي و تخصصي درخور و مناسب در سطوح "شخصي و يا عمومي" و در بعدي "خصوصي و ملي" مديران را به اتخاذ تدابيري وا مي دارد كه مانع از بروز معضلات گسترده و تاثيرگذار شود.

وجود CERT موجب مي شود افرادي كه در بهره برداري از رايانه يا شبكه­هاي رايانه­اي به مشكل برخورد مي­كنند بتوانند در حداقل زمان به منابعي براي رفع مشكل دسترسي پيدا كنند كه مشكل آنها را حل كند. و اين خود يكي از روش­هاي به روز و ارزشمندي است كه موانع و مشكلات را برطرف مي نمايد.

با وجود آنکه تیم های CSIRT از سال 1988 پای به عرصه وجود گذاشته اند اما در واقع توسعه CSIRT و موضوع پاسخگویی به رویداد در دوران ابتدایی فعالیت خود به سر می برد، به همین دلیل است که هنوز به یک موضوع استاندارد شده عملیاتی بدل نشده است اما به سرعت به این سمت در حال حرکت است.

تعریف  CSIRT

CSIRT یک سازمان خدماتی است که مسئول دریافت، مرور و پاسخگویی به گزارشات ارسالی و فعالیتهای مربوط به مشکلات و رویدادهای کامپیوتری است. سرویس های این سازمان معمولاً برای محدوده مشخص تعریف می شود که می تواند یک شرکت، اداره دولتی، سازمان آموزشی یا یک منطقه یا کشور باشد.

براساس تعریف ارائه شده در پروژه [1] CIFAC، یک رویداد کامپیوتری عبارتست از هر عمل یا رخداد عمدی یا سهوی که برروی منابع اطلاعات رخ دهد یا به گونه ای شامل آنها شود و بطور بالقوه باعث بی ثبات کردن، مختل کردن و یا تخریب منابع، سیاست ها، سرویس ها یا داده های اشخاص یا اجتماع شود.

بخشی از فعالیت های یک CSIRT را می توان با واحد آتش نشانی مقایسه نمود. زمانی که یک آتش سوزی رخ می دهد، واحد آتش نشانی وارد عمل شده، به محل حریق می روند و خسارات را برآورد می کنند، پس از بررسی الگوی حریق درباره شیوه برخورد با آن تصمیم گیری کرده و در نهایت با توجه به بررسی ها آتش را مهار می کنند. این روال کاملاً مشابه سرویس های واکنشی (Reactive) در یک CSIRT است.

یک CSIRT درخواست های کمک و گزارشات تهدید، حمله، اسکن، استفاده نامناسب از منابع یا دسترسی غیرمجاز به داده ها و اطلاعات را دریافت می نماید. سپس گزارش را تحلیل می نماید تا تعیین کند که چه اتفاقی در حال انجام است و تصمیم بگیرد که چه عکس العملی مناسب است. ارائه خدماتی نظیر آموزش، آگاهی و اطلاع رسانی امنیتی، مشاوره امنیتی، نگهداری پیکربندی و ارائه مستندات فنی و توصیه های امنیتی سیستم های کامپیوتری نیز از دیگر خدمات یک CSIRT می باشد.

اهداف یک CSIRT بر اساس اهداف مجموعه تحت پوشش آن تعریف می شود. محافظت از دارایی های مهم، کلید موفقیت یک سازمان و CSIRT آن است. هدف اصلی یک CSIRT کاهش و کنترل خسارت، فراهم آوردن پاسخ و ترمیم مناسب و اندیشیدن راهکارهایی برای جلوگیری از رویداد بعدی است. CSIRT برای ایفای این نقش، اطلاعات حوادث، نقاط ضعف امنیتی و حفره های امنیتی سیستم و نرم افزار را در زیرساخت سازمانی جمع آوری می نماید.

ساختار، وظایف و اسامی CSIRT ها با یکدیگر متفاوت می باشد. هر CSIRT با توجه به تفاوت های موجود در اهداف، مأموریت ها و حوزه کاری خود در تعاریف و ارائه سرویس های خود با دیگران تفاوت دارد.



 1. Computer Incident Factor Analysis and Categorization

محل قرارگیری:
DMC Firewall is developed by Dean Marshall Consultancy Ltd
DMC Firewall is developed by Dean Marshall Consultancy Ltd