تاريخچه تشکيل تيم­هاي مقابله با حوادث امنيتي کامپيوتري (CSIRT)

با بوجود آمدن اينترنت و گسترش فن­آوري اطلاعات، امنيت شبکه­هاي کامپيوتري نيز روز به روز اهميت بيشتري پیدا مي­کنند  .   مي­توان گفت بدون برقراري امنيت در شبکه­هاي کامپيوتري، توسعه IT   و تشکيل جامعه اطلاعاتي ناممکن خواهد بود.

در ماه نوامبر سال۱۹۸۸ يک کرم کامپيوتري به نام Morris Worm   يا   (Internet Worm)  ، که توسط يک دانشجوي 23 ساله تحصيلات تکميلي دانشگاه Cornell   طراحي شده بود، بخش­هاي اصلي شبکه­هاي اينترنت آن زمان را مورد حمله قرار داد و کارکرد آنها را دچار اختلال نمود  .   بنابر مستندات تاریخی در آن زمان حدود 60000 تا 80000 سیستم بر روی شبکه اینترنت وجود داشت (این شبکه آرپانت نام داشت) و 10 درصد آن دستگاه   ها توسط این کرم آلوده شدند. مشکل اصلی آن بود که بسیاری از سیستم هایی که آلوده شده بودند، رله ایمیل و سرورهای زیرساخت اصلی اینترنت بودند. بسیاری از سایت ها سیستم های خود را از شبکه خارج کردند تا آلوده نشوند. نتیجه حمله این کرم از کار افتادن بسیاری از مسیرهای ارتباطی اینترنت بود.

عکس­العملهاي صورت پذيرفته نسبت به اين حادثه امنيتي در سازمان­هاي مختلف به صورت مجزا و بدون همکاري و هماهنگي با سازمان­هاي ديگر صورت پذيرفت که منجر به انجام عمليات تکراري و دوباره کاري­هاي زياد و راه­حلهاي ناسازگار شد. اين امر نشان داد که شبکه در حال گسترش اينترنت تا چه حد نسبت به حملات آسيب­پذير است. پس از مهار اين حمله، يک سري نشست و همايش توسط مرکز ملی امنیت کامپیوتر آمریکا (بخشی از آژانس امنیت ملی) ترتيب داده شد تا در مورد چگونگي پيشگيري و پاسخ به چنين وقايعي در آينده بحث و تبادل نظر صورت پذيرد  .   مدتي پس از آن در روز 8 نوامبر 1988 جلسه کالبدشکافی این واقعه توسط آژانس پروژه های تحقیقات پیشرفته دفاعی  (DARPA) تشکیل شد و به بحث و بررسی درسهایی که از حمله این کرم آموخته شده بود، پرداخت.

در این جلسه مشاهدات زیر بدست آمد:

  •     در این بررسی مشخص شد که بسیاری از سایتها در تحلیل فعالیت کرم به کار تکراری و موازی مشغول بوده اند در حالیکه اگر همکاری و هماهنگی لازم صورت پذیرفته بود، زمان به شکل مفیدتری استفاده شده بود. همچنین مشخص شد که اگر تحلیل گران تمامی سایت های درگیر با یکدیگر ارتباط داشتند و به مقایسه نتایج حاصله می پرداختند؛ تحلیل کامل زود هنگامی به دست می آمد و در نتیجه فعالیت کرم سریعتر مهار می شد و فاز ترمیم و حفاظت نیز زودتر آغاز می شد.
  •     ابزارها و روش های اصلاحی حاصله از تحلیل می توانست از آلودگی های بیشتر جلوگیری کند. از آنجایی که وسایل ارتباطی در دسترس نبود، توزیع این ابزارها و روش ها برای تمامی کسانی که به این اطلاعات نیاز داشتند امکانپذیر نبود و بسیاری از سایتها به موقع به این اطلاعات دسترسی پیدا نکردند.
  •     از آنجاکه سازمانهای تحت تأثیر به فایلهای پشتیبان موجود اعتماد کرده بودند، ترمیم خرابی پر دردسر اما سرراست بود. البته بدلیل آنکه تمامی ابزارها و روش های اصلاحی برای همه توزیع نشده بود، بسیاری از سایتها پس از ترمیم، مجدداً آلوده شدند.

در این جلسه مشخص شد که مهم ترین مشکل در زمان پاسخگویی عدم وجود مکانیزم های ارتباطی سالم بوده است. بسیاری از سایتها به دلیل آلودگی از شبکه قطع شده بودند تا به ترمیم سیستم های خود بپردازند. سرویس ایمیل نیز به دلیل آلودگی سرورها و رله کننده های مربوطه از کار افتاده بود لذا راه سریع و مناسبی برای اطلاع رسانی جهت مقابله و پاسخگویی به حمله کرم وجود نداشت. در مجموع روش مشخصی برای مدیریت چنین حمله ای علیه امنیت کامپیوتر وجود نداشت.

با تشخیص این مشکل، DARPA [1] اعلام نمود قصد دارد برای تأسیس یک مرکز هماهنگی رویداد امنیتی در اینترنت
سرمایه گذاری کند و
تمايل خود به حمايت مالي از توسعه يک مرکز هماهنگي براي حوادث امنيتي اينترنتي را اعلام کرد. این مرکز تیم پاسخگویی به فوریت های کامپیوتری (CERT) [2] نامیده شد. دارپا، SEI [3] را که در دانشگاه Mellon Carnegie فعاليت مي­کند را به عنوان مکان اصلي اين مرکز انتخاب نمود.

DARPA ، SEI را موظف کرد که با ايجاد هماهنگي سريع و موثر ارتباطات بين متخصصين در حين حوادث امنيتي، از تکرار حوادث مشابه در آينده جلوگيري کند و همچنين آگاهي عمومي امنيتي در محيط اينترنت را بهبود بخشد. به اين صورت CERT/CC [4] يا مرکز هماهنگ کننده تيم­هاي مقابله با حوادث امنيتي کامپيوتري که نام جدید مرکز فوق بود بوجود آمد و مرکزي براي هماهنگي پاسخگويي به حوادث در طول سالهاي آينده گرديد. همچنين مراکز مشابه ديگري در سازمان ها يا ادارات مختلف بوجود آمد که در هماهنگي با CERT/CC به فعاليت ميپرداختند. CERT/CC در دسامبر 1988 آغاز بکار کرد. این مرکز در ابتدا 4 نفر متخصص فنی و یک مدیر داشت. بايد بدانيم تشکيل CERT، با پشتيباني وزارت دفاع آمريکا صورت پذيرفت و اين نهاد همچنان از طرف اين وزارتخانه پشتيباني ميشود.

نتایج حاصله از بررسی های DARPA نشان می داد که یک تیم، به تنهایی نمی تواند پاسخگوی نیاز باشد. طی سال بعد سازمان های دیگر مانند وزارت انرژی آمریکا، اداره ملی فضا و هوانوردی (NASA) ، موسسه ملی استاندارد و فناوری و نیروهای نظامی آمریکا هر یک تیم خود را مشابه CERT/CC اما با تمرکز بر روی حوزه کاری خود ایجاد نمودند. در عين حال در بخش­هاي مختلف وزارت دفاع آمريکا (نيروهاي هوايي، دريايي و زميني) مراکزي جهت مقابله با حملات کامپيوتري بوجود آمدند.

پـس از تشـکـيل CERT /CC در دانشـگاه Carnegie Mellon در سـال ۱۹۸۸، و در طـول سـالهاي پـس از آن تـعداد تيـم­هـاي پاسـخگويي بـه حـوادث امـنیتـی رایـانـه­ای تـحـت عـنـوان CSIRT  (Computer Security Incident Response Team) افزايش پيدا کرد. هر کدام از اين تيم­ها اهداف، بودجه، پيش نيازهاي گزارش­دهي و موسسان خاص خود را داشتند. تبادل اطلاعات بين اين تيم­ها به دليل تفاوت­هايي که در زبان، منطقه جغرافيايي و استانداردهاي بين المللي آنها وجود داشت، با مشکلاتي مواجه شد. در آگوست سال 1989 کارگاهی توسط CERT/CC برگزار شد تا علاوه بر بررسی های فعالیت های سال گذشته، به گام های آتی در هماهنگ کردن ارتباط بین تیم ها بپردازد.

در اکتبر سال۱۹۸۹ يک حادثه مهم امنيتي ناشي از Wank Worm نياز به ارتباط و هماهنگي بهتر بين تيم­هاي امنيتي را پررنگ­تر نمود. در سال۱۹۹۰، FIRST [5] جهت پاسخگويي به اين نياز بوجود آمد.

از آن زمان تاکنون FIRST به رشد خود ادامه داده است و در پاسخگويي به نيازهاي در حال تغيير تيم­هاي پيشگيري از حوادث امنيتي فعاليت موثري داشته است. FIRST  که در سال۱۹۹۰ با۱۱ عضو اوليه شروع به کار نمود، اکنون بيش از 200 تيم عضو دارد که در بسياري از نقاط دنيا پراکنده شده اند. فهرست کامل اعضاي فعلي FIRST در آدرس http://www.first.org/team-info  قابل دسترسي مي­باشد. از جمله اعضای صاحب نام آن می توان به نام های زیر اشاره نمود:

:شرکت های معتبر Verisign, AT&T, MSCERT (Microsoft CERT), ORACERT (Oracle CERT), IBM, Intel First Team, Japan Security Operation Center, Google, …

:سازمان ها و کشورها JPCERT/CC, KrCERT/CC, MyCERT (Malaysian Cert), Singapore Armed Force, Denmark, NASA SOC, Cyber Force Center, Sweden, Air Force Cert …

:دانشگاهها Ohio, Oxford,Michigan, Stanford, Chicago, Oslo, Catalunya, Wisconsin Madison, …

:بانک ها Royal Bank of Scotland, German Savings Banks, Robobank Nederland, National Australia Bank, …

وضعيت تيم­هاي امنيتي شبکه­هاي اينترنتي در مناطق مختلف جهان، منطقه آمريکاي شمالي بيشترين تعداد تيم­هاي CSIRT عضو FIRST را در طول زمان دارا بوده، و در طول فعاليت CERT/CC همواره يکي از معتبرترين منابع جهاني براي کسب اطلاع در مورد حوادث امنيتي CERT/CC بوده است. در منطقه آسيا، APCERT [6]، به عنوان يک CERT منطقه­اي در حال فعاليت است. فعالترين اعضاء اين CERT چهار کشور چين، هند، مالزي و ژاپن هستند.



[1] Defense Advanced Research Projects Agency

[2] Computer Emergency Response Team

[3] Software Engineering Institute

[4] CERT Coordination Center

[5] Forum of Incidenet Response and Security Teams

[6] Asia Pacific Computer Emergency Response Team

DMC Firewall is a Joomla Security extension!
DMC Firewall is developed by Dean Marshall Consultancy Ltd