اشتراک مقالات

تیم پاسخ به حوادث امنیتی یا CSIRT چیست؟ بررسی تفاوت آن با SOC و نحوه راه اندازی – قسمت اول

4552 مشاهده 3 24 فروردین, 1400

CSIRT

همچنان که تهدیدات امنیت سایبری در حال افزایش و پیچیده‌تر شدن هستند، یکی از مؤثرترین راه‌ها برای مقابله با این تهدیدات ایجاد یک اکوسیستم سراسری از تیم‌های پاسخ به حوادث امنیت رایانه‌ای، Computer Security Incident Response Teams یا CSIRTها و مراکز عملیات امنیتی یا SOCها است که بتوانند ارتباط برقرار کنند، اطلاعات را به اشتراک بگذارند و پاسخ کارآمدی به تهدیدات سایبری بدهند. می‌توان با فراهم کردن چارچوب‌های کارآمد و افزایش تعداد CSIRTها و SOCها در سراسر جهان و بلوغ CSIRTها و SOCهای موجود، این فرایند را تسهیل کرد.

در اروپا، ENISA به کشورهای عضو کمک می‌کند که قابلیت پاسخ به حوادث خود را بهبود بخشند و برای این هدف منابع مختلفی مثل اسناد، ابزار، مواد و راهنمایی را برای این کشورها فراهم می‌کند. برای مثال ENISA میزبان یک European CSIRT Inventory است؛ یک نقشه‌ی تعاملی روی وب‌سایت ENISA که نمایی کلی را از CSIRTهای عمومی در اروپا ارائه می‌دهد. به‌علاوه، مطالعه روی چشم‌انداز CSIRT و قابلیت‌های IR در Europe 2025 به وضعیت کلی ‌قابلیت‌های رسیدگی و پاسخ CSIRTها به حوادث نگاه می‌کند، درحالی‌که گزارش وضعیت توسعه‌ی پاسخ به حوادث در کشورهای عضو EU اطلاعاتی را در مورد NIS Directive یا Directive (EU) 2016/1148 و مشخصاً در رابطه با قابلیت‌های پاسخ به حوادث بخشی امنیت شبکه و سیستم‌های اطلاعاتی فراهم می‌کند. ENISA همچنین کارهایی را در حوزه‌ی قابلیت‌های CSIRTهای ملی و دولتی و قابلیت‌های پاسخ به حوادث انجام داده و مواد آموزشی را فراهم کرده است که برخی از جوانب توسعه‌ی CSIRTها را پوشش می‌دهند.

مفهوم Security Operations Center یا SOC

ویدیوهای بیشتر درباره SOC

اهداف کار

در این سری از مقاله که در چندین قسمت تهیه شده است رهنمودهای مبتنی بر نتایج را برای کسانی که به توسعه‌ی یک CSIRT یا SOC یا مدرنیزه کردن یک CSIRT یا SOC به‌شیوه‌ای ساختارمند علاقه دارند، ارائه می‌دهیم. یک رویکرد مبتنی بر نتایج در این مقاله اتخاذ شده است تا راهنمایی‌هایی در مورد مراحل مختلف توسعه‌ی یک سازمان CSIRT که عبارت‌اند از: ارزیابی آمادگی، طراحی، پیاده‌سازی، عملیات و بهبود ارائه شود .

شرح کلی روش‌ها

اسناد موجود در مورد تثبیت CSIRT روی فعالیت‌هایی که باید انجام شود، بدون اینکه دقت زیادی روی نتیجه‌ی نهایی داشته باشندتمرکز می‌کند. در این مقاله هدف این است که یک فرایند تکرارشونده برای بهبود و مسائل مربوط به آن در طول رشد و توسعه‌ی CSIRT ایجاد گردد.

تعریف CSIRT و SOC

متداول‌ترین واژگانی که برای توصیف تیم‌های مسئولِ پاسخ به حوادث مورد استفاده قرار می‌گیرند CSIRT ،CERT و SOC هستند.

بیشتر بخوانید: ویژگی و امکانات FortiSIEM به همراه تحلیل و بررسی پکپارچه سازی NOC و SOC

واژه‌ی CSIRT که مخفف تیم‌ پاسخ به حوادث امنیت رایانه‌ای است در دهه‌ی 1990 ساخته شد. CSIRTها به‌عنوان CIRTها تیم‌های پاسخ به حوادث رایانه‌ای، CERTها، تیم‌های پاسخ به اضطرار رایانه‌ای، SIRTها، تیم‌های پاسخ به حوادث امنیتی و غیره نیز شناخته می‌شوند. تیم‌های ملی نیز ممکن است مراکز امنیت سایبری ملی یا NCSCها نامیده شوند که معمولاً به‌صورت قانونی نقش CSIRT را برعهده می‌گیرند و همچنین خدمات اضافه‌ای، به عنوان مثال رسیدگی به برنامه‌های دسته‌بندی اطلاعاتی یک کشور را برای آن کشور ارائه می‌دهند، هر تیم نام خود برمبنای ترجیحات سازمانش انتخاب می‌کند.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5
برای مشاوره رایگان و یا راه اندازی Splunk/SIEM و مرکز عملیات امنیت SOC با کارشناسان شرکت APK تماس بگیرید

به عبارت ساده‌تر CSIRT تیمی است که وظیفه‌ی رسیدگی به حوادث امنیت رایانه‌ای و درنتیجه معمولاً امنیت سایبری را برعهده دارد. معمولاً این تیم شامل مسئولیت‌های بیشتری از شناسایی گرفته تا تجزیه‌و‌تحلیل و حتی تعمیر دستی و همچنین آگاهی از موقعیت، انتقال دانش و فعالیت‌های مدیریت آسیب‌پذیری است. در طول چندین سال، نقش CSIRT از فراهم کردن مانیتورینگ حادثه و رسیدگی به سرویس‌ها به هماهنگ‌سازی و ارتباط برقرار کردن با ذینفع‌ها، کشورها و بخش‌های به‌خصوص مختلف تغییر کرده است.

CSIRT تبدیل شده است به نامی کلی برای تیمی که مجموعه‌ای از خدمات، از جمله: رسیدگی به حوادث مربوط به اطلاعات و امنیت سایبری یا خدمات بنیادی، مانیتورینگ امنیتی، مدیریت آسیب‌پذیری، آگاهی موقعیتی و مدیریت دانش امنیت سایبری را ارائه می‌دهد.

در حال حاضر، FIRST.org میزبان یک چارچوب خدمات CSIRT است و به‌صورت مداوم آن را بهبود می‌بخشد؛ این چارچوب یک سند در سطح بالا است که فعالیت‌های انجام شده توسط CSIRTها را توصیف می‌نماید.

فعالیت های CSIRT

این فعالیت‌ها در پنج بخش از خدمات اصلی تقسیم‌بندی شده‌اند که هر کدام به چند سرویس، عملکرد و عملکرد جانبی تقسیم می‌شوند. یک CSIRT می‌تواند انتخاب کند که کدام خدمات و عملکردها مناسب تعهدش است و آن‌ها را در ساختار خدماتی خود تقسیم‌بندی نماید. هرچند در این چارچوب، چارچوبی برای SOC تعریف نشده است، خدمات از بعضی از بخش‌ها می‌تواند به تیم‌های SOC نیز اعمال گردد. چارچوب خدمات CSIRT توسط ENISA، اتحادیه بین‌المللی ارتباطات از راه دور یا ITU و بسیاری از سازمان‌های دیگر پشتیبانی می‌شود.

معمولاً مجموعه‌ای حداقلی از خدمات CSIRTها، طبق چارچوب خدمات FIRST شامل مواردی است که در ادامه نام برده شده است.

CSIRT و SOC

چارچوب خدمات FIRST – خدمات متداول CSIRT

مراکز عملیات امنیتی

یک مرکز عملیات امنیتی یا SOC با مشاهده‌ی رخدادهای فنی در شبکه‌ها و سیستم‌ها سرویس شناسایی حادثه را فراهم می‌کند و همچنین می‌تواند مسئول پاسخ و رسیدگی به حادثه باشد. در سازمان‌های بزرگ، SOCها گاهی اوقات تنها روی خدمات مانیتورینگ و شناسایی تمرکز می‌کنند و بعد رسیدگی به حوادث را به یک CSIRT جداگانه تحویل می‌دهند. در سازمان‌های کوچک‌تر، CSIRTها و SOCها معمولاً مترادف هم در نظر گرفته می‌شوند. تیم‌های SOC معمولاً از تیم‌های امنیت IT شکل می‌گیرند که با استفاده از مدیریت رخداد و اطلاعات امنیت یا SIEM و خودکارسازی‌های امنیتی دیگر و تکنولوژی‌ تنظیم برای مانیتورینگ امنیتی کار خود را خودکارسازی می‌نمایند. تیم‌های SOC معمولاً شاخص‌های کلیدی عملکرد یا KPIهای خود را حول شاخص‌های کیفیت مانند سرعت شناسایی، وسعت تشخیص، میزان پوشش، میزان خطا در اعلام هشدار و همچنین حوادثی که به آن‌ها رسیدگی شده، نسبت هشدارها/رخدادها/حوادث، تعداد تشدیدها و بارهای کاری به ازای هر رخداد شکل داده اند.

بیشتر بخوانید: راه اندازی مرکز عملیات امنیت یا SOC با اسپلانک – قسمت اول

SOCها علاوه بر عملیات فیزیکی، می‌توانند شامل کارکنان مجازی و برون‌سپاری شده، یا یک مدل ترکیبی از کارکنان داخلی و برون‌سپاری‌شده باشند. متداول است که در طول زمان SOCها بین عملیات برون‌سپازی‌شده و داخلی تغییر وضعیت دهند. از آنجایی که هم سازمان‌های CSIRT و هم SOC به چارچوب خدمات CSIRT یکسانی پایبند هستند، در این گزارش هم CSIRTها و هم SOCها، CSIRT نامیده می‌شوند. معمولاً مجموعه‌ای حداقلی از خدمات SOCها طبق چارچوب خدمات FIRST شامل مواردی است که در ادامه نام برده شده است.

سند بنیادی درمورد توسعه‌ی CSIRTها  CSIRT Setting up Guide نام دارد که در سال 2006 به چاپ رسیده است. این سند به بیش از 20 زبان از جمله چینی و هندی ترجمه شده است. این سند 86 صفحه‌ای فرایند قدم‌به‌قدم ایجاد CSIRT را پوشش می‌دهد و امروز هم هنوز معتبر می‌باشد. راهنمای عملی ENISA برای مدیریت رخدادها که در سال 2010 به چاپ رسید، رهنمودهایی را برای توسعه‌ی ساختارها و قابلیت‌های مدیریت رسیدگی به حوادث فراهم می‌کند؛ می‌توان از آن به‌عنوان مرجعی برای توسعه‌ی مورادی مثل فرایندها و جریان‌های کاری رسیدگی به حوادث استفاده نمود. بسته‌ی آموزشی ENISA براساس فلسفه‌ی «آموزشِ آموزش‌دهنده» موارد آموزشی آنلاین، دوره‌های آنلاین و تمرین‌هایی را برای متخصصان امنیت سایبری فراهم می‌کند. ENISA همچنین بدنه‌ای از دانش را برای CSIRTهای ملی و دولتی، مثلاً قابلیت‌های مبنایی و پروفایل‌های بلوغ و همچنین ابزار ارزیابی خود فراهم می‌کند. در سال‌های گذشته، ENISA یک سند آموزشی را در مورد CSIRT و شراکت‌ها در اجرای قانون منتشر کرده است که شامل تجزیه‌و‌تحلیل مدل‌های شراکت، همکاری فنی، تجزیه‌و‌تحلیل شواهد الکترونیک و ماژول‌های آموزشی است. به‌علاوه اطلاعات بیشتری از نحوه‌ی انتخاب مدل همکاری CSIRT و پیاده‌سازی فنی مدل‌های همکاری از وب‌سایت ENISA قابل‌دسترسی است.

مقاله های مرتبط:

SOC چیست | نحوه کاربرد و پیاده سازی موفق آن چگونه است؟
Security Operations Center یا مرکز عملیات امنیت چیست و چه مزایایی دارد
تیم پاسخ به حوادث امنیتی یا CSIRT چیست؟ بررسی تفاوت آن با SOC و نحوه راه اندازی – قسمت دوم
تیم پاسخ به حوادث امنیتی یا CSIRT چیست؟ بررسی تفاوت آن با SOC و نحوه راه اندازی – قسمت سوم
تیم پاسخ به حوادث امنیتی یا CSIRT چیست؟ بررسی تفاوت آن با SOC و نحوه راه اندازی – قسمت پنجم (پایانی)
تیم پاسخ به حوادث امنیتی یا CSIRT چیست؟ بررسی تفاوت آن با SOC و نحوه راه اندازی – قسمت چهارم
مزیت‌های اصلی داشتن یک مرکز عملیات امنیت (SOC) چیست؟
برچسب ها : تعریف SOCبررسی CSIRTتعریف CSIRT و SOCتیم پاسخ به حوادث امنیتیتعریف CSIRTCSIRT چیست

مطلب مفید بود؟

 
بیشتر بخوانید