انواع CSIRT

برخی از گروه های CSIRT مانند مرکز هماهنگی تیم  پاسخگویی  فوریت های کامپیوتری ژاپن (JPCERT/CC) به یک کشور سرویس می دهند. برخی دیگر ممکن است یک دانشگاه (مانند آکسفورد)  یک سازمان تجاری (مانند ماکروسافت یا سان) یا یک دامنه یا محدوده IP (مانند Telia CERTCC) راپشتیبانی نمایند. همچنین شرکت ها و سازمان هایی نیز وجود دارند که سرویس های CSIRT را به مشتریان در برابر دریافت هزینه ارائه می دهند که برای نمونه می توان به خدمات امنیتی مدیریت شده IBM (IBM-MSS) یا تیم پاسخگویی فوریت های کامپیوتری (DCERT) debis  اشاره کرد.

در این بخش پنج مدل سازمانی متعارف برای یک CSIRT بطور خلاصه معرفی شده است؛ البته ممکن است برخی سازمان ها به این نتیجه برسند که بین دو مدل قرار دارند و یا اینکه سازمان آنها شامل چندین سطح از اعمال مربوط به CSIRT می باشد و در حقیقت بیش از یک مدل را شامل می شود.

مدل تیم امنیتی

در این مدل، هیچ گروه یا بخشی از سازمان، مسئولیت رسمی برای مدیریت وقایع رخ داده بر عهده ندارد. در حقیقت هیچ تیم CSIRT ایجاد و تأسیس نشده است. پرسنل در دسترس که معمولاً شامل مدیر سیستم یا مدیر شبکه یا مدیر امنیت می شوند، در سطح محلی یا بخش، مدیریت وقایع امنیتی را به صورت موردی و گاهی به عنوان یکی از وظایف و مسئولیتهایشان انجام می دهند. این تلاش ها برای کنترل و مدیریت وقایع امنیتی در سازمان لزوماً هماهنگ شده و استاندارد نیستند. ممکن است هیچ گروه یا افراد مشخصی برای جمع آوری اطلاعات از سازمان، تشخیص خرابی و شدت فعالیت های خرابکارانه، تحلیل روند کارها، ارائه گزارش به مدیر ارشد یا انجام عملیات ترمیم یا محافظت وجود نداشته باشد.

مدل CSIRT توزیع شده داخلی

در این مدل، سازمان از کارمندان موجودش برای ایجاد یک CSIRT مجازی استفاده می کند که معمولاً مجوز دارند که با وقایع و رخدادهای امنیتی درگیر شوند. یک مدیر تعیین می شود که فعالیت های این تیم توزیع شده را سرپرستی و هماهنگ کند. در سازمان، افراد بر اساس تخصصشان در سیستم عامل های مختلف، تکنولوژیها، و برنامه های کاربردی یا بر اساس موقعیت جغرافیایی آنها و یا مسئولیت های عملی به عنوان بخشی از این تیم توزیع شده تعریف می شوند. اعضای این تیم توزیع شده می توانند وظایف CSIRT را علاوه بر مسئولیتهای معمولشان انجام دهند و یا اینکه اساساً به طور تمام وقت به کار CSIRT تخصیص داده شوند.

مدل CSIRT متمرکز داخلی

این مدل شامل یک تیم اختصاصی است که عمل مدیریت وقایع را برای یک سازمان انجام می دهد. در بسیاری از شرایط اعضای تیم تمامی وقت خود را صرف کار برای CSIRT می کنند. البته این مدل می تواند با استفاده از کارمندان نیمه وقت بصورت چرخشی نیز پیاده سازی شود. یک مدیر برای CSIRT تعیین می شود که به مدیریت ارشد گزارش می دهد. تیم به صورت متمرکز در داخل سازمان واقع شده و در مقابل تمامی فعالیت های مدیریت وقایع در حوزه کاری خود یا کل مجموعه مسئول است.

مدل CSIRT ترکیبی متمرکز و توزیع شده داخلی

این مدل ترکیبی از مدل های CSIRT متمرکز و CSIRT توزیع شده را ارائه می دهد. این مدل استفاده بهینه از کارمندان موجود در موقعیتهای استراتژیک در سازمان را بیشینه می نماید. در واقع با انجام هماهنگی های لازم توسط تیم اختصاصی و از یک نقطه متمرکز، درک بهتر و وسیعتری از حملات امنیتی و فعالیت هایی که روی حوزه کاری در کل مجموعه اثر می گذارند فراهم می شود.

مدل CSIRT هماهنگ کننده

در این مدل CSIRT کنترل وقایع را در گستره وسیعی از سازمان های داخلی و خارجی که می تواند شامل CSIRT های دیگر هم بشود هماهنگ و ممکن می سازد. CSIRT می تواند نهاد هماهنگ کننده ای برای شاخه های فرعی یک شرکت، شاخه های چندگانه یک سازمان نظامی، موسسه های یک شبکه تحقیقاتی و یا برای سازمان های مختلفی که در یک کشور یا ایالت مشخص وجود دارند، باشد. هماهنگ کردن CSIRT ها معمولاً دامنه وسیعتر و حوزه کاری متفاوت تری را در بر دارد.

مجموعه سرویس های ارائه شده و اینکه چگونه این سرویس ها در جهت کمک به سایر سازمان ها در ارتباط با مسائل مدیریت وقایع به کار گرفته می شوند این مدل را یکسان می سازد. اغلب CSIRT های هماهنگ کننده قدرت کنترلی نسبت به اعضای حوزه کاری خود ندارند. کار اصلی آنها این است که وقایع و آسیب پذیری ها را تحلیل کنند و سرویس ها را هماهنگ و ارائه نمایند. آنها می توانند راهبردها و راه حل های بهبود و کم کردن مشکلات را توزیع کنند.

DMC Firewall is a Joomla Security extension!
DMC Firewall is a Joomla Security extension!