CERT/CSIRT چیست و چه مولفه هایی دارد؟ بخش اول

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای CERT/CSIRT

 

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای ، تیمی است که به یک سازمان مشخص، خدمات و پشتیبانی لازم برای پیشگیری و پاسخ به رویدادهای امنیتی کامپیوتری ارائه می دهد. وظیفه اصلی یک مرکز CERT فرآیند بررسی یک رویداد امنیتی که به اصطلاح Incident Handling نامیده می شود، می باشد. CERT از مجموعه‌ای از مولفه‌ها تشکیل شده که اطلاعات لازم در این باره در اینجا (مولفه‌های مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای CERT/CSIRT) فراهم شده است. در ادامه این مطلب، به دسته‌بندی CERT پرداخته، انواع آن را بازبینی کرده، عناصر آن را بررسی کرده و مراحل توسعه یک CERT :

انواع CERT  :

CERT می تواند خدمات خود را در شکل‌ها و اندازه های مختلف و به سازمان های متفاوت ارائه دهد. به عنوان نمونه مرکز CERT ژاپن انواع خدمات CERT را به کل کشور ژاپن ارائه می دهد. بسیاری از دانشگاه ها و یا شرکت های تجاری نظیر دانشگاه آکسفورد، Boeing و یا Sun Microsystems از خدمات تخصصی CERT خود بهره می برند. برخی از شرکت ها نیز خدمات CERT خود را در برابر هزینه ای در اختیار مشتریان قرار می دهند. بنابراین CERT با توجه به نوع خدماتی که ارائه می کند، دارای دسته بندی زیر است:

  1.  تیم داخلی : بخشی از یک سازمان بزرگ مانند بانک، دانشگاه و یا شهرداری هستند که خدمات خود را در اختیار سازمان مادر و زیرمجموعه هایش قرار می دهند.
  2.  مراکز هماهنگی : وظیفه هماهنگی و تسهیل ارتباطات میان CERTهای متفاوت هنگام ارائه خدمت به یک کشور، استان و یا شبکه تحقیقاتی را بر عهده دارد.
  3. مراکز تحلیل : کار آنالیز و ترکیب داده های منابع مختلف برای تشخیص روندها و الگوهای یک رخداد را انجام می دهد.
  4. تیم های آسیب پذیری : با هدف اطلاع رسانی و رفع مشکل آسیب پذیری ها، وظیفه هماهنگی با سازمان های متولی گزارش و رهگیری آسیب پذیری و پیگیری اطلاعات و روش های ارائه شده برای حل مشکل بر عهده این تیم قرار دارد.
  5.  تیم های پاسخگویی به رویداد امنیتی : ارائه سرویس پاسخگویی به رویداد امنیتی به سایر سازمان ها از وظایف این تیم است.

عناصر CERT :

یک مرکز CERT به چهار عنصر اصلی نیازمند است تا کارآیی قابل قبولی داشته باشد:

• چارچوب عملیاتی

  • ماموریتی که به شکل واضح تعریف شده است
  •  حوزه کاری مشخص
  • سازمان مادر
  • چگونگی ارتباط با سایر تیم‌های سازمانی.

• چارچوب سرویس و خط مشی

  •  سرویس‌های تعریف شده
  •  جریان اطلاعات تعریف شده
  •  فرآیندهای تعریف شده برای جمع‌آوری، ثبت، رهگیری و بایگانی اطلاعات
  •  خط‌مشی‌های واضح و جامع

• فعالیت های تضمین کیفیت کارآمد

  •  تعریف یک سیستم کیفی
  •  معیارهای مشخص و بررسی پارامترهای کیفیت
  •  گزارش‌دهی و ممیزی فعالیت‌ها و رویه‌ها
  •  رویه‌های متعادل‌سازی، انطباق و تشدید برای اطمینان از سطوح کیفیت
  •  بازخوردهای مشتریان

• انطباق و انعطاف پذیری

  • توان انطباق با تهدیدهای بلادرنگ و موارد پر خطر آتی
  •  تجربه و پشتیبانی قانونی

برای افزایش کارایی CERT باید هر یک از این بخش ها به شکل جامع تعیین و تبیین شود. این عناصر برای تعریف نیازمندی-ها و معیارهای اصلی CERT استفاده می شود و متفاوت از معیارهایی است که CERT برای ارزیابی عملیات خود و کارآیی آن ها به کار می برد.

مراحل توسعه CERT :

یک مرکز CERT در فرایند توسعه خود از 5 مرحله زیر گذر می‌کند:

  1.  آموزش سازمان: یکی از عوامل اساسی در توسعه موفق CERT در سازمان، میزان دانش سازمان و ذی نفعانش درباره CERT و دلایل پیاده سازی آن در مجموعه می باشد. بنابراین گام آموزش با هدف معرفی روش های متفاوت برای پیاده-سازی تیم CERT در سازمان برگزار می شود.
  2.  برنامه ریزی: در این مرحله سازمان از دانش کافی در مورد CERT برخوردار است، بنابراین شروع به شناسایی و تحلیل موارد ضروری جهت برنامه ریزی پیاده سازی CERT می نماید.
  3.  پیاده سازی اولیه: CERT پس از ساخت آماده ارائه سرویس است. برای عملیاتی شدن، CERT باید موارد زیر را با شفافیت نسبی شناسایی کند: حوزه فعالیت، ماموریت و سرویس ها، کارمندان اولیه و آموزش های لازم، درفت استاندارد از رویه های عملیاتی و زیر ساخت فیزیکی امن.
  4.  فاز عملیاتی: در پایان این گام CERT به مدت 6 ماه تا یک سال عملیاتی بوده و در حال انجام پاسخگویی به رویدادهای امنیتی است.
  5.  همکاری با سایر تیم ها : در این گام CERT به بلوغ نسبی رسیده است، به مدت دو سال و یا بیشتر در حال کار بوده و از تجربه کافی جهت پاسخگویی به رویدادهای امنیتی برخوردار است؛ بنابراین می تواند فعالیت های خود را با همکاری با سایر تیم های CERT گسترش و بهبود بخشد.


شروین جعفرزاده