تیم پاسخ به حوادث امنیتی یا CSIRT چیست؟ بررسی تفاوت آن با SOC و نحوه راه اندازی – قسمت سوم

در قسمت اول مقاله در مورد رهنمودهای مبتنی بر نتایج برای کسانی که به توسعه‌ی و مدرنیزه کردن یک CSIRT یا SOC به‌شیوه‌ای ساختارمند علاقه دارند، صحبت شد. همچنین توضیحاتی درباره واژه‌ی CSIRT و فعالیت ها، وظایف، اهداف و خدمات آن ارائه گشت. در قسمت دوم راهنمایی برای توسعه‌ی CSIRTها ارائه و همچنین چرخه‌ی عمر CSIRT در یک سازمان بررسی شد. در این قسمت به ادامه مطلب می پردازیم.

ساختار مدیریتی در ذینفع های یک تیم پاسخ به حوادث امنیتی یا CSIRT

ساختار مدیریتی مسئولیت‌های ‌ذینفع‌های CSIRT را تعریف می‌کند. این ساختار می‌تواند به‌عنوان یک سند برنامه‌ریزی یا حتی بخشی از تعهد ارائه شود. سند ساختار مدیریتی باید به چند سؤال پاسخ دهد.

1. چه کسی، بر چه اساسی برای توسعه و عملیات CSIRT بودجه فراهم می‌کند؟
2. چه کسی جهت‌دهی، مانیتورینگ و نظارت را روی CSIRT فراهم می‌کند؟
3. CSIRT باید چه نوع توافقاتی با کدام ذینفع‌ها داشته باشد، به عنوان مثال بخش اجرای قانونی، آژانس‌های اطلاعاتی، سازمان‌های بین‌المللی، شرکای تکنولوژی‌، دانشگاه؟  
4. CSIRT چند وقت یکبار و چگونه و به چه کسی گزارش می‌دهد؟

صاحب ساختار مدیریتی CSIRT معمولاً سازمان میزبان است. ساختار مدیریتی معمولاً در کارگاه‌هایی که برای توضیح تعهد به سهام‌داران مختلف وجود دارد تصریح می‌گردد.

بیشتر بخوانید: مفهوم اصول سرویس امنیتی SOC 2

ویدیوهای بیشتر در مورد امنیت

شناسایی سازمان میزبان در تیم پاسخ به حوادث امنیتی

معمولاً در تعهد اولیه، به سازمان میزبان CSIRT اشاره می‌شود، ممکن است سازمان میزبان از قبل وجود داشته باشد یا ممکن است نیاز باشد که ایجاد گردد. اگر  قرار است سازمان میزبان جدیدی ایجاد گردد، بودجه‌ی CSIRT می‌تواند پس‌ازاینکه سازمان از لحاظ تنظیم فرایندهای مدیریتی و قانونی کاربردی شد تصویب شود، بدین معنا که در این مرحله زمان بیشتری مورد نیاز است. در زمان انتخاب یک سازمان برای میزبانی CSIRT، اختیارات سازمان برای ارائه‌ی خدمات مطابق با تعهد CSIRT باید ارزیابی گردد.

بررسی میزان بودجه و مسیر در CSIRT

پس‌از اینکه تعهد تعریف شد، یک نقشه مسیر و بودجه در سطح بالا باید تصویب شود. نقشه‌ی باید شامل جدول زمانی مورد انتظار برای توسعه‌ی مراحل مختلف از جمله طراحی، پیاده‌سازی و عملیات و طرح‌های ابتکاری پیشرفتی برای آینده باشد.

معمولاً 2 تا 3 سال از توسعه‌ی تعهد اولیه تا تصویب تعهد اولیه، یعنی زمانی که تیم کاملاً عملیاتی می‌شود، زمان لازم است. در این مدت مراحل زیر طی می‌شوند:

1. تائید بودجه، تنظیم نهادها، تثبیت سازمان و استخدام اولیه می‌تواند حداکثر 1 سال زمان ببرد.
2. طراحی و پیاده‌سازی معمولاً 1 الی 2 سال زمان می‌برد، مخصوصاً اگر لازم باشد کمک مشاوران و تکنولوژی‌های خارجی از طریق مناقصه‌های عمومی بدست آید.

بودجه برای سال اول، که روی توسعه‌ی CSIRT و خدمات اولیه خرج می‌شود، باید حداقل موارد زیر را پوشش دهد:

1. دستمزدهای اولیه کارمندان – برای حداقل پرسنل موردنیاز مانند مدیر، مدیر پروژه‌ی توسعه‌ی و دستیاری مدیریتی.
2. هزینه‌های توسعه‌ی تسهیلات.
3. دستمزدها یا هزینه‌ی خدمات مشاوره‌ای برای ایجاد نتایج مرحله‌ی طراحی فرایندهای قانونی، تخصص مربوط به CSIRT، پیاده‌سازی تکنولوژی.
4. الزامات و آموزش کسب مهارت برای CSIRT.
5. تکنولوژی‌های و مجوزهای اولیه.

بودجه باید برمبنای نقشه‌ی مسیر، تعهد، تعهد ذینفع و الزامات در رابطه با سرعت لازم برای تثبیت CSIRT تنظیم شود. وقتی که مرحله‌ی طراحی تمام شد و برنامه‌های دقیق برای مراحل پیاده‌سازی و عملیات آماده‌سازی شدند، بودجه باید دوباره تنظیم شود. برای مثال اگر بودجه کافی نباشد، می‌توان برخی از جوانب را به مرحله‌ی بهبود‌های بیشتر در نقشه‌ی راه منتقل کرد.

در ادامه هزینه‌های شاخص مطرح می‌شوند. برآوردهای هزینه فقط جهت توضیح ثبت شده‌اند و نشانگر هیچ کشور به‌خصوصی نیستند.

1. در اتحادیه اروپا، هزینه‌های یکی از کارکنان CSIRT شامل مدیران، به‌طور متوسط چهل‌هزار تا شصت‌هزار یورو در سال است.
2. عملیات کوچک CSIRT که نیاز به سه عضو از کارکنان داشته باشد مدیر و دو رسیدگی‌کننده به حادثه باید سالیانه بودجه‌ای بین 120 تا 180 هزار یورو داشته باشد.
3. اگر لازم باشد که یک CSIRT عملیات خود را به‌صورت 24 ساعته در 365 روز سال انجام دهد، حداقل به 12 کارمند اضافه نیاز دارد، شش تیم، هر یک با دو عضو که 24 ساعت را پوشش دهند و هر شیفت 8 ساعت را پوشش می‌دهد. این امر 480 هزار یورو به بودجه‌ی سالیانه اضافه می‌کند.
4. CSIRTها معمولاً بسته به اندازه‌ی و تعهد خود از تعداد کارمندان زیر استفاده می‌کنند: کوچک (3-7)، متوسط (10-15)، بزرگ (30-60).
5. هزینه‌ی اجاره‌ی دفتر معمولاً حدود 3000 الی 4000 یورو به ازای هر یک از کارکنان در سال است.
6. متداول است که بین 3000 تا 1000 یورو برای آموزش کارکنان در سال هزینه شود. حضور در کنفرانس‌ها به شدت پیشنهاد می‌شود (یک رخداد به ازای هر نفر در سال).
7. بسته به حوزه‌ی CSIRT، خدمات مشاوره‌ای برای توسعه‌ی CSIRT، طراحی و پیاده‌سازی می‌تواند بین 75 هزار تا 1 میلیون یورو در یک دوره‌ی یک تا سه‌ساله هزینه داشته باشد.
8. متداول است که بین 100 هزار تا 300 هزار یورو برای تکنولوژی‌ خرج شود؛ این تکنولوژی‌ها شامل موارد زیر می‌باشد: سخت‌افزار، حداقل دو سرور با مجازی‌سازی، راهکارهای پشتیبان‌گیری، فایروال‌ها، رایانه‌ها و پرینترها)، تجهیزات شبکه و تجهیزات تخصصی برای انجام عملیات CSIRT به‌خصوص مانند جرم‌شناسی دیجیتال، مهندسی معکوس، ارزیابی آسیب‌پذیری و غیره. استفاده از خدمات Cloud می‌تواند شیوه‌ی کارآمدی برای محدود کردن سرمایه‌گذاری اولیه در سخت‌افزار باشد، زیرا هزینه‌ها فقط به مواردی که مورداستفاده قرار می‌گیرند، محدود می‌شوند.
9. در رابطه با اجزای نرم‌افزاری، CSIRTها می‌توانند اکثراً با استفاده از راهکارهای متن‌باز شروع به کار کنند و تنها درصورتی از ابزار تجاری استفاده کنند که هیچ جایگزینی وجود نداشته باشد یا تأثیرگذاری راهکارهای تجاری بالاتر باشد. دراین‌صورت، بودجه برای نرم‌افزار و خدمات نرم‌افزاری باید از 50 هزار یورو شروع شود. اگر CSIRTها روی تکنولوژی‌های تجاری تمرکز داشته باشند، بودجه‌ی آن‌ها باید افزایش پیدا کند؛ اما تمرکز روی تکنولوژی‌های تجاری می‌تواند منجر شود به بهره‌وری بالاتر و این یعنی کارکنان کمتری موردنیاز هستند.

مقدار اولیه بودجه و مدت‌زمانی که بودجه باید طی آن مصرف شود ممکن است در طول زمان تغییر کند. مرحله‌ی طراحی محدود به بودجه‌ی در دسترس و مصوب است. بودجه‌ی مصوب روی تعهد نهایی تأثیرگذار است، زیرا یک سازمان فقط زمانی می‌تواند به نتایج موردنظر خود برسد که یک بودجه‌ی کافی در دسترس‌ش قرار بگیرد. عدم تطابق بین تعهد و بودجه یکی از دلایل متداولی است که CSIRTها به تعهد خود عمل نمی‌کنند. ممکن است سه سال زمان ببرد تا یک CSIRT عملیاتی شود، پس بودجه باید نشان‌دهنده‌ی شدت مورد انتظار فرایند توسعه‌ی CSIRT باشد.

الزامات دقیق برای مرحله‌ی طراحی

فعالیت‌ها مرحله‌ی طراحی مبتنی خواهند بود بر الزامات و محدودیت‌های CSIRT، مثل:

1. تعهد موافقت شده.
2. نقشه‌ی راه و بودجه.
3. افراد، توانش‌ها و منابعی که به مرحله‌ی طراحی اختصاص داده می‌شود.

این موارد باید بررسی و تائید شوند. وقتی مشاوره‌ی خارجی در کار باشد، الزامات دقیق معمولاً درحالی بیان می‌شوند ‌که مشاور Terms of Reference یا ToR را برای یک مناقصه‌ی رقابتی ارائه می‌دهدمانند درخواست اطلاعات یا RFI درخواست طرح پیشنهادی یا RFP. در هنگام آماده‌سازی ToR برای چنین کاری، موارد زیر باید مطرح شوند:

1. تعریف تعهد CSIRT.
2. بیانیه‌ای واضح از نتایج مورد انتظار.
3. برنامه‌ی ارائه‌ی مورد انتظار.
4. تجربه‌ی لازمِ مشاوران از انجام فعالیت‌های مشابه.

طراحی برای بررسی میزان آمادگی CSIRT

پیش‌نیازهای مرحله‌ی طراحی، همگی نتایج مرحله‌ی ارزیابی آمادگی هستند. پیشنهادات مرحله‌ی طراحی با SIM3 یا مدل بلوغ مدیریت حوادث امنیتی همراستا می‌باشند که تخمین می‌زند یک تیم چطور وظایف خود را مدیریت و ثبت کرده، انجام می‌دهد و ارزیابی می‌کند؛ این پیشنهادات چهار بخش لازم (سازمان، افراد، ابزار و فرایندها) را همانطور که در پایین نمایش داده شده، به ترتیب پوشش می‌دهد. این راهنما توصیه‌های به‌خصوصی را در مورد نحوه‌ی رسیدن به سطح بلوغ ارائه نمی‌کند، زیرا این اطلاعات را می‌توان در ابزار ارزیابی SIM3 از ENISA یا Open CSIRT Foundation پیدا کرد.

در مرحله‌ی طراحی، نتایج زیر یا به شکل اسناد مورد تایید جداگانه یا یک سند مورد تایید، انتظار می‌رود.

1. تعهد دقیق مورد تایید
2. برنامه‌ی خدمات
3. برنامه‌ی جریان‌های کاری و فرایندهای
4. سازمان‌دهی، مهارت‌ها و برنامه‌ی ساختار آموزش
5. برنامه‌ی تسهیلات CSIRT
6. برنامه‌ی خودکارسازی فرایندها و تکنولوژی‌های CSIRT
7. برنامه‌ی همکاری CSIRT
8. برنامه‌ی مدیریت امنیت اطلاعات و فناوری اطلاعات CSIRT
9. الزامات دقیق برای مرحله‌ی پیاده‌سازی

به‌علاوه ساختار طراحی که حاصل می‌شود معمولاً در قالب RFC 2350 منتشر می‌گردد که قالبی کاربردی برای ارائه‌ی رسمی یک CSIRT است که نام تیم، اطلاعات تماس، منطقه‌ی زمانی، کلیدهای PGP یا حریم خصوصی خوب، تعهد یا منشور، سیاست‌ها و خدمات و غیره را در بر می‌گیرد. بسیار خوب است که یک CSIRT سند RFC 2350 را در وب‌سایت خود منتشر کند.

مقاله های مرتبط: