دانستن اصطلاحات مهم است زیرا استفاده نادرست از آنها باعث سوء تفاهم در درک توضیحات و ایجاد ابهام برای تیم واکنش به حادثه می شود.
CERT، CSIRT، CIRT و SOC از جمله اصطلاحاتی هستند که در زمینه واکنش به حوادث زیاد شنیده می شود. سه عبارت اول به صورت مترادف برای توصیف تیم هایی استفاده می شود که بر واکنش به حادثه تمرکز می کنند. SOC همچنین کاربرد گسترده تری در امنیت و امنیت سایبری دارد.
در این مقاله نگاهی دقیق تر به این اصطلاحات خواهیم داشت.
CERT، CSIRT و CIRT مخفف چه کلماتی هستند؟
ابتدا، اصطلاحاتی را که رایجترین مدلهای سازمانی تیمهای واکنش به حادثه را توصیف میکنند، مرور میکنیم. با این حال، توجه داشته باشید که فقط به این دلیل که، برای مثال، دو سازمان به تیم پاسخدهی خود به عنوان CSIRT اشاره میکنند، به این معنا نیست که هر دو تیم اهداف یا روشهای مشابهی دارند یا با یک تعریف ایدهآل مطابقت دارند.
CSIRT[1] مخفف Computer Security Incident Response Team. CERT[2] مخفف تیم پاسخ (یا آمادگی) اضطراری کامپیوتری. CIRT همچنین میتواند مخفف عبارت Computer Incident Response Team یا Cyber’Security Incident Response Team باشد (تیم اولی رایجتر است). CSIRT، CERT و CIRT اغلب به جای یکدیگر استفاده می شوند. در واقع CSIRT و CIRT تقریباً معادل و مترادف هستند. یک سازمان ممکن است یکی از این موارد را بر اساس سبک یا زبان خاص خود یا تفاوت های جزئی در مرزهای سازمانی ترجیح دهد.
CERT چیست؟
اگرچه سازمان ها معمولاً از این اصطلاح به طور کلی استفاده می کنند، از سال 1997 این یک علامت تجاری برای دانشگاه کارنگی بوده است. شرکت ها می توانند برای استفاده از علامت تجاری CERT اقدام کنند. شرکت هایی که این درخواست را ارسال نمی کنند، مجاز به استفاده از این اصطلاح به نام خدمات مشاوره یا ارائه دهندگان خدمات امنیتی مدیریت شده نیستند. بنابراین، اگر سازمانی قصد دارد از عبارت CERT به عنوان بخشی از نام تیم پاسخگویی خود استفاده کند، بهتر است این موضوع را با مشاور حقوقی در میان بگذارید.
یکی از چالش های استفاده از CERT به عنوان نام، احتمال سردرگمی است. به عنوان مثال، ممکن است تصور شود که CERT به عنوان مترادف برای CSIRT استفاده می شود، یا اینکه سازمان در تلاش است مفهوم متفاوتی را منتقل کند. بسته به شرایط، ممکن است هر دو مورد درست باشد.
اصطلاح CERT که توسط دانشگاه کارنگی ملون استفاده می شود تمرکز و دامنه خاصی دارد و به عنوان شریکی با دولت، صنعت، مجری قانون و دانشگاه برای تقویت امنیت و انعطاف پذیری شبکه ها و سیستم های کامپیوتری کار می کند. استفاده از این اصطلاح به معنی مطالعه مسائل با مفاهیم امنیتی گسترده و طراحی ابزارها و روش های پیشرفته است.
برخی از سازمان ها این را در روشی که از این اصطلاح استفاده می کنند منعکس می کنند. به عبارت دیگر، این سازمان ها از CERT استفاده می کنند تا نشان دهند که تمرکز تیم داخلی آنها با تمرکز یک CSIRT معمولی متفاوت است. به عنوان مثال، تیمی که مایل به همکاری با سایر سازمانها یا تیمهای داخلی یا خارجی است، ممکن است در درجه اول بر توسعه ابزارها و روشهایی برای پیشبینی مشکلات و غیره تمرکز کند یا تهدیدهای نوظهور را مطالعه کند، از جمله اصول تجاری یا روشهای حریف. بنابراین، کاربرد اصطلاح CERT معمولاً در زمینه ترویج واکنش به حوادث به عنوان یک رشته است.
علاوه بر این، سازمانهایی که از CERT استفاده میکنند اما از وضعیت علامت تجاری CERT بیاطلاع هستند، اغلب این اصطلاح را مترادف با CIRT یا CSIRT میدانند.
تفاوت بین CERT، CSIRT و CIRT چیست؟
CERT ها، CSIRT ها و CIRT ها ممکن است به طور دائم در پاسخ به یک حادثه به کار گرفته شوند یا بصورت موقت تشکیل شوند. در هر صورت، تمرکز این گروه ها تقریباً چهار مرحله واکنش به حادثه است که در راهنمای مدیریت حوادث امنیت رایانه ای NIST بیان شده است:
- آماده سازی؛
- تشخیص و تجزیه و تحلیل؛
- مهار، ریشه کنی و بازیابی؛
- فعالیت های پس از فاجعه
این مراحل با هدف شناسایی و کنترل حوادث امنیتی است. آنها همچنین شامل ساختارهای حاکمیتی هستند که سازمان برای آماده شدن برای حوادث امنیتی و فعالیت های پس از حادثه طراحی شده برای تسهیل تلاش های آینده استفاده می کند.
البته در این زمینه ظرافت هایی وجود دارد. لزوماً هر گروهی در هر سازمانی این کارها را انجام نمی دهد. روشی که برخی از تیمها از CSIRT استفاده میکنند ممکن است با دستورالعملهای NIST سازگار باشد، اما تغییرات و اصلاحاتی در عملکرد خود ایجاد میکند. به عنوان مثال، یک سازمان نقش CSIRT را بر روی خط مشی متمرکز میکند و سازمانی دیگر روی مسائل عملیاتی، مانند بررسی فایلهای گزارش و ردیابی فعالیت شبکه.
SOC چیست و چه تفاوتی با CSIRT، CERT و CIRT دارد؟
مرکز عملیات امنیتی (SOC[3]) یکی دیگر از اصطلاحات پرکاربرد در زمینه واکنش به حادثه است، اما SOC به طور کلی چندین جنبه از عملیات امنیتی را در بر می گیرد، در حالی که CSIRT، CERT و CIRT به طور خاص بر روی پاسخ به حادثه متمرکز هستند. دامنه عملکرد SOC ممکن است شامل پاسخ حادثه (کامل یا جزئی) و همچنین فعالیت های دیگر باشد. به عنوان مثال، یک SOC می تواند:
- پوشش عملیات کنترل و نظارت (مانند سیستم تشخیص نفوذ، سیستم پیشگیری از نفوذ، سیستم مدیریت اطلاعات امنیتی، سیستم مدیریت رویداد اطلاعات امنیتی).
- نظارت بر عملکرد امنیتی و عملیاتی و جمع آوری اطلاعات؛
- مدیریت وظایفی مانند مجوز و مدیریت هویت، حفظ فیلترینگ و مجموعه قوانین فایروال (هم نظارت و هم مدیریت تغییر)، پشتیبانی از تحقیقات و پزشکی قانونی، و سایر جنبه های امنیت عملیاتی.
CSIRT ها و CERT ها به طور خاص بر روی واکنش به حادثه متمرکز هستند. این دو اصطلاح معمولاً مترادف استفاده می شوند، اما از نظر فنی متفاوت هستند. به عنوان مثال، عبارت CERT به عنوان یک علامت تجاری ثبت شده است، اما یک CSIRT معمولاً با یک تیم تجاری متقابل کار می کند. بر خلاف دو مورد اول، دامنه اجرای SOC گسترده تر از واکنش به حادثه است و به سایر حوزه های امنیتی گسترش می یابد.
تلاشهای نظارتی SOC فراتر از واکنش به حادثه است. یک SOC ممکن است شاخصهای آماری لازم برای حمایت از مشتریان یا ارائه خدمات (مثلاً در یک ارائهدهنده خدمات مدیریت شده) را جمعآوری کند یا ممکن است از گزارشهای مدیریتی مانند تولید معیارها و دادهها برای حمایت از ارزیابی ریسک یا پشتیبانی از ممیزیها پشتیبانی کند. اگرچه یک SOC معمولاً با پاسخ به حادثه سر و کار دارد، تقریباً همیشه سایر حوزه های امنیتی را نیز پوشش می دهد. علاوه بر این، کاربرد و هدف عملیاتی SOC گسترده تر از CSIRT یا CIRT است. اگر سازمانی دارای SOC باشد، پاسخگویی به حادثه احتمالاً مسئولیت بخش خواهد بود. علاوه بر این، جزئیات این مسئولیت ها و تعاریف به سازمان مورد نظر بستگی دارد.
CERT/CSIRT/CIRT یا SOC کدام را باید پیاده سازی کنیم؟
با داشتن درک روشنی از این اصطلاحات، سازمان ها می توانند تشخیص دهند که کدام مدل تیم واکنش به حادثه برای آنها مناسب است و چگونه می توانند آن تیم را بسازند. این انتخاب باید متناسب با اهداف، ساختار و استفاده از منابع سازمان صورت گیرد. برای مثال، اگر نظارت لازم است و ساختار سازمانی شما به گونهای است که اجازه میدهد این فعالیتها در یک مکان فیزیکی یا منطقی متمرکز شوند، تشکیل یک SOC احتمالاً برای شما مناسبتر است (مثلاً به دلیل صرفهجویی در مقیاس یا سادگی گزارشدهی سلسله مراتب). از سوی دیگر، اگر ساختار سازمان شما غیرمتمرکزتر است، یا نظارت متمرکز و سایر عملیات امنیتی برای شما مناسب و سازنده نیست، CSIRT ممکن است برای شما مناسب تر باشد.
لازم است با مزیت های نسبی هر حالت و نیازهای سازمان خود آشنا باشید و بر اساس آن گزینه بهینه را برای سازمان خود انتخاب کنید.
[1] تیم پاسخگویی به حوادث امنیتی کامپیوتری
[2] تیم واکنش اضطراری کامپیوتری
[3] مرکز عملیات امنیتی
منبع: techtarget