منو سایت

آشنایی با معنی و تفاوت سه اصطلاح CERT، CSIRT و SOC

 تاریخ انتشار :
/
  اخبار استارتاپ

دانستن اصطلاحات مهم است زیرا استفاده نادرست از آنها باعث سوء تفاهم در درک توضیحات و ایجاد ابهام برای تیم واکنش به حادثه می شود.

CERT، CSIRT، CIRT و SOC از جمله اصطلاحاتی هستند که در زمینه واکنش به حوادث زیاد شنیده می شود. سه عبارت اول به صورت مترادف برای توصیف تیم هایی استفاده می شود که بر واکنش به حادثه تمرکز می کنند. SOC همچنین کاربرد گسترده تری در امنیت و امنیت سایبری دارد.

در این مقاله نگاهی دقیق تر به این اصطلاحات خواهیم داشت.

CERT، CSIRT و CIRT مخفف چه کلماتی هستند؟

ابتدا، اصطلاحاتی را که رایج‌ترین مدل‌های سازمانی تیم‌های واکنش به حادثه را توصیف می‌کنند، مرور می‌کنیم. با این حال، توجه داشته باشید که فقط به این دلیل که، برای مثال، دو سازمان به تیم پاسخ‌دهی خود به عنوان CSIRT اشاره می‌کنند، به این معنا نیست که هر دو تیم اهداف یا روش‌های مشابهی دارند یا با یک تعریف ایده‌آل مطابقت دارند.

CSIRT[1] مخفف Computer Security Incident Response Team. CERT[2] مخفف تیم پاسخ (یا آمادگی) اضطراری کامپیوتری. CIRT همچنین می‌تواند مخفف عبارت Computer Incident Response Team یا Cyber’Security Incident Response Team باشد (تیم اولی رایج‌تر است). CSIRT، CERT و CIRT اغلب به جای یکدیگر استفاده می شوند. در واقع CSIRT و CIRT تقریباً معادل و مترادف هستند. یک سازمان ممکن است یکی از این موارد را بر اساس سبک یا زبان خاص خود یا تفاوت های جزئی در مرزهای سازمانی ترجیح دهد.

CERT چیست؟

اگرچه سازمان ها معمولاً از این اصطلاح به طور کلی استفاده می کنند، از سال 1997 این یک علامت تجاری برای دانشگاه کارنگی بوده است. شرکت ها می توانند برای استفاده از علامت تجاری CERT اقدام کنند. شرکت هایی که این درخواست را ارسال نمی کنند، مجاز به استفاده از این اصطلاح به نام خدمات مشاوره یا ارائه دهندگان خدمات امنیتی مدیریت شده نیستند. بنابراین، اگر سازمانی قصد دارد از عبارت CERT به عنوان بخشی از نام تیم پاسخگویی خود استفاده کند، بهتر است این موضوع را با مشاور حقوقی در میان بگذارید.

یکی از چالش های استفاده از CERT به عنوان نام، احتمال سردرگمی است. به عنوان مثال، ممکن است تصور شود که CERT به عنوان مترادف برای CSIRT استفاده می شود، یا اینکه سازمان در تلاش است مفهوم متفاوتی را منتقل کند. بسته به شرایط، ممکن است هر دو مورد درست باشد.

اصطلاح CERT که توسط دانشگاه کارنگی ملون استفاده می شود تمرکز و دامنه خاصی دارد و به عنوان شریکی با دولت، صنعت، مجری قانون و دانشگاه برای تقویت امنیت و انعطاف پذیری شبکه ها و سیستم های کامپیوتری کار می کند. استفاده از این اصطلاح به معنی مطالعه مسائل با مفاهیم امنیتی گسترده و طراحی ابزارها و روش های پیشرفته است.

برخی از سازمان ها این را در روشی که از این اصطلاح استفاده می کنند منعکس می کنند. به عبارت دیگر، این سازمان ها از CERT استفاده می کنند تا نشان دهند که تمرکز تیم داخلی آنها با تمرکز یک CSIRT معمولی متفاوت است. به عنوان مثال، تیمی که مایل به همکاری با سایر سازمان‌ها یا تیم‌های داخلی یا خارجی است، ممکن است در درجه اول بر توسعه ابزارها و روش‌هایی برای پیش‌بینی مشکلات و غیره تمرکز کند یا تهدیدهای نوظهور را مطالعه کند، از جمله اصول تجاری یا روش‌های حریف. بنابراین، کاربرد اصطلاح CERT معمولاً در زمینه ترویج واکنش به حوادث به عنوان یک رشته است.

علاوه بر این، سازمان‌هایی که از CERT استفاده می‌کنند اما از وضعیت علامت تجاری CERT بی‌اطلاع هستند، اغلب این اصطلاح را مترادف با CIRT یا CSIRT می‌دانند.

تفاوت بین CERT، CSIRT و CIRT چیست؟

CERT ها، CSIRT ها و CIRT ها ممکن است به طور دائم در پاسخ به یک حادثه به کار گرفته شوند یا بصورت موقت تشکیل شوند. در هر صورت، تمرکز این گروه ها تقریباً چهار مرحله واکنش به حادثه است که در راهنمای مدیریت حوادث امنیت رایانه ای NIST بیان شده است:

  • آماده سازی؛
  • تشخیص و تجزیه و تحلیل؛
  • مهار، ریشه کنی و بازیابی؛
  • فعالیت های پس از فاجعه

 

تفاوت بین CERT، CSIRT و CIRT چیست؟

این مراحل با هدف شناسایی و کنترل حوادث امنیتی است. آنها همچنین شامل ساختارهای حاکمیتی هستند که سازمان برای آماده شدن برای حوادث امنیتی و فعالیت های پس از حادثه طراحی شده برای تسهیل تلاش های آینده استفاده می کند.

البته در این زمینه ظرافت هایی وجود دارد. لزوماً هر گروهی در هر سازمانی این کارها را انجام نمی دهد. روشی که برخی از تیم‌ها از CSIRT استفاده می‌کنند ممکن است با دستورالعمل‌های NIST سازگار باشد، اما تغییرات و اصلاحاتی در عملکرد خود ایجاد می‌کند. به عنوان مثال، یک سازمان نقش CSIRT را بر روی خط مشی متمرکز می‌کند و سازمانی دیگر روی مسائل عملیاتی، مانند بررسی فایل‌های گزارش و ردیابی فعالیت شبکه.

SOC چیست و چه تفاوتی با CSIRT، CERT و CIRT دارد؟

مرکز عملیات امنیتی (SOC[3]) یکی دیگر از اصطلاحات پرکاربرد در زمینه واکنش به حادثه است، اما SOC به طور کلی چندین جنبه از عملیات امنیتی را در بر می گیرد، در حالی که CSIRT، CERT و CIRT به طور خاص بر روی پاسخ به حادثه متمرکز هستند. دامنه عملکرد SOC ممکن است شامل پاسخ حادثه (کامل یا جزئی) و همچنین فعالیت های دیگر باشد. به عنوان مثال، یک SOC می تواند:

  • پوشش عملیات کنترل و نظارت (مانند سیستم تشخیص نفوذ، سیستم پیشگیری از نفوذ، سیستم مدیریت اطلاعات امنیتی، سیستم مدیریت رویداد اطلاعات امنیتی).
  • نظارت بر عملکرد امنیتی و عملیاتی و جمع آوری اطلاعات؛
  • مدیریت وظایفی مانند مجوز و مدیریت هویت، حفظ فیلترینگ و مجموعه قوانین فایروال (هم نظارت و هم مدیریت تغییر)، پشتیبانی از تحقیقات و پزشکی قانونی، و سایر جنبه های امنیت عملیاتی.

 

SOC چیست و چه تفاوتی با CSIRT، CERT و CIRT دارد؟

CSIRT ها و CERT ها به طور خاص بر روی واکنش به حادثه متمرکز هستند. این دو اصطلاح معمولاً مترادف استفاده می شوند، اما از نظر فنی متفاوت هستند. به عنوان مثال، عبارت CERT به عنوان یک علامت تجاری ثبت شده است، اما یک CSIRT معمولاً با یک تیم تجاری متقابل کار می کند. بر خلاف دو مورد اول، دامنه اجرای SOC گسترده تر از واکنش به حادثه است و به سایر حوزه های امنیتی گسترش می یابد.

تلاش‌های نظارتی SOC فراتر از واکنش به حادثه است. یک SOC ممکن است شاخص‌های آماری لازم برای حمایت از مشتریان یا ارائه خدمات (مثلاً در یک ارائه‌دهنده خدمات مدیریت شده) را جمع‌آوری کند یا ممکن است از گزارش‌های مدیریتی مانند تولید معیارها و داده‌ها برای حمایت از ارزیابی ریسک یا پشتیبانی از ممیزی‌ها پشتیبانی کند. اگرچه یک SOC معمولاً با پاسخ به حادثه سر و کار دارد، تقریباً همیشه سایر حوزه های امنیتی را نیز پوشش می دهد. علاوه بر این، کاربرد و هدف عملیاتی SOC گسترده تر از CSIRT یا CIRT است. اگر سازمانی دارای SOC باشد، پاسخگویی به حادثه احتمالاً مسئولیت بخش خواهد بود. علاوه بر این، جزئیات این مسئولیت ها و تعاریف به سازمان مورد نظر بستگی دارد.

CERT/CSIRT/CIRT یا SOC کدام را باید پیاده سازی کنیم؟

با داشتن درک روشنی از این اصطلاحات، سازمان ها می توانند تشخیص دهند که کدام مدل تیم واکنش به حادثه برای آنها مناسب است و چگونه می توانند آن تیم را بسازند. این انتخاب باید متناسب با اهداف، ساختار و استفاده از منابع سازمان صورت گیرد. برای مثال، اگر نظارت لازم است و ساختار سازمانی شما به گونه‌ای است که اجازه می‌دهد این فعالیت‌ها در یک مکان فیزیکی یا منطقی متمرکز شوند، تشکیل یک SOC احتمالاً برای شما مناسب‌تر است (مثلاً به دلیل صرفه‌جویی در مقیاس یا سادگی گزارش‌دهی سلسله مراتب). از سوی دیگر، اگر ساختار سازمان شما غیرمتمرکزتر است، یا نظارت متمرکز و سایر عملیات امنیتی برای شما مناسب و سازنده نیست، CSIRT ممکن است برای شما مناسب تر باشد.

لازم است با مزیت های نسبی هر حالت و نیازهای سازمان خود آشنا باشید و بر اساس آن گزینه بهینه را برای سازمان خود انتخاب کنید.

[1] تیم پاسخگویی به حوادث امنیتی کامپیوتری

[2] تیم واکنش اضطراری کامپیوتری

[3] مرکز عملیات امنیتی

منبع: techtarget