در قسمت اول مقاله در مورد رهنمودهای مبتنی بر نتایج برای کسانی که به توسعهی و مدرنیزه کردن یک CSIRT یا SOC بهشیوهای ساختارمند علاقه دارند، صحبت شد. همچنین توضیحاتی درباره واژهی CSIRT و فعالیت ها، وظایف، اهداف و خدمات آن ارائه گشت. در قسمت دوم راهنمایی برای توسعهی CSIRTها ارائه و همچنین چرخهی عمر CSIRT در یک سازمان بررسی شد. در قسمت سوم مقاله ساختار مدیریتی در ذینفع های یک تیم پاسخ به حوادث امنیتی یا CSIRT و اینکه چگونه بتوانیم سازمان میزبان در تیم پاسخ به حوادث امنیتی را شناسایی کنیم مورد بررسی قرار گرفت. در قسمت چهارم نمونه ای از یک ساختار CSIRT کوچک معرفی شده و ساختارهای بزرگ تیم هم مورد بررسی قرار گرفته است. همچنین مهارتهایی که در این مسیر نیاز دارید به صورت جدول تهییه شده است.
نگاهی به طرح مديريت IT و امنيت اطلاعات CSIRT
CSIRTها می بايست يا یک طرح مدیریت IT و امنيت اطلاعات اجرا کنند یا چارچوب امنیتی IT را از سازمان Hosting اتخاذ كرده و تطبيق دهند. توصیه می شودCSIRTها به روشهای خوب صنعت مانند سیستمهای مدیریت امنیت اطلاعات مبتنی بر استاندارد ISO 27001 یا ISMS پايبند باشند. طرح مدیریت IT می تواند از COBIT (48)که اهداف کنترلی برای اطلاعات و فناوری مرتبط می باشد و اصول و روشهای ITIL پيروی كند.
الزامات دقیق برای مرحله اجرا در طرح مدیریت
نتایج برنامههای طراحی باید در الزامات مربوط به اجرا گنجانده شود و موارد زير را با دقت بيشتر بررسی كرده و پاسخ دهد:
1. چه الزاماتی وجود دارد و اين الزامات چطور بايد اجرا شوند.
2. دقيقا به چه نتايجی بايد دست يافت.
الزامات دقیق را مي توان به عنوان ToR در طرح گنجاند.
پيادهسازی: مرحله پیاده سازی بر ارائه کلیه خدمات، امکانپذیر کردن فرآیندها، آماده سازی مراحل دقیق و آموزش پرسنل متمرکز است. CSIRT در پایان مرحله اجرا، آماده ارائه خدمات به حوزه انتخابیه خود و شروع مرحله عملیاتی خواهد بود.
در مرحله اجرا، نتایج زیر مورد انتظار است:
1. تصویب و اجرای ساختار سازمانی.
2. استخدام و انتصاب پرسنل.
3. اجرای برنامهای آموزشی برای نقشهای مختلف پرسنل.
4. فراهم نمودن امکانات.
5. طراحی و اجرای فرآیندها و رویههای دقیق.
6. پيادهسازی تكنولوژی برای خودكارسازی فرآیندها.
7. اجرای رویههای مدیریت IT و امنيت اطلاعات.
8. آموزش پرسنل برای عملیات CSIRT
9. بستن قراردادهای مربوط با حوزه مورد انتخاب، سهامداران و شرکا.
10. اجرای آزمایشی خدمات CSIRT و هماهنگسازی نتایج.
11. راهاندازی ارتباطات و مراسمهای CSIRT
تصویب و اجرای ساختار سازمانی: برای آن كه CSIRT عملياتی شود، ساختار سازمانی طراحی شده باید تصویب شود و موقعیتهای مختلف تعریف گردد. اين فرآيند ممكن است گاهی ماهها به طول انجامد. بنابراین، یک سازمان ممکن است کار خود را با استفاده از یک ساختار موقت آغاز کند تا بتواند کار را بدون وابستگی به روند ايجاد CSIRT پيش ببرد. مثلا، می توان استخدام را با استفاده از ساختار موجود و با برنامهای مشخص نسبت به نحوه انتقال منابع در آينده آغاز نمود، يا اگر تعداد كمی از پرسنل در دسترس باشند، می توان اين كار را با تعديل خدمات اوليه شروع كرد.
برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید. |
استخدام و انتصاب پرسنل: ساختار جدید باید با پرسنل شایسته و ماهر پر شود. به احتمال زیاد فقط چند موقعيت شغلي به كارمندان فعلی خواهد رسيد و بنابراین بايد كارمندان ديگری را نيز استخدام نمود. معمولاً افراد زيادی هستند كه مشتاقاند برای CSIRT تازهتأسیس کار کنند و به تجربه حرفهای برسند؛ با این حال، نيروهای بالقوه اغلب فاقد صلاحيت لازم هستند. در اين حوزه نيز همچون ساير مشاغل، مهم است كارمنداني استخدام شوند كه خود را مشتاق و علاقهمند به ارائه خدمات حرفهای نشان می دهند.
اجرای برنامهای آموزشی برای نقشهای مختلف پرسنل: همه کارمندان CSIRT باید دارای مهارتهای اولیه لازم برای نقش های خود باشند. به منظور مهارتافزایی کارکنان، برنامه آموزشی طراحیشده باید از اجراي جلسات، كنفرانسها و كارگاههای آموزشی و همچنين شركت كارمندان در آنها پشتيبانی كند. نياز است برنامههای آموزشی ديگری نيز براي عمليات و فرآيندهای CSIRT وSOPها اجرا گردد.
فراهم نمودن امکانات: تسهیلات CSIRT باید با توجه به امنیت فیزیکی و حقوق دسترسی مناسب، طبق برنامه مصوب فراهم گردد. برخی از تیمها تصمیم میگیرند که امکانات خود را با لوگوها و علائم قابل تشخیص برجسته كنند، در حالی كه تيمهاي ديگر به خصوص اگر در منطقه امنیت ملی باشند، هیچ گونه علامتی بر ساختمانهای خود نمی گذارند و CSIRT فقط در داخل محل قابل مشاهده است.
طراحی و اجرای فرآیندها و رویههای دقیق: فرآیندهای برنامهریزیشده CSIRT در قالب رویههای معين اجرا می گردد. برخی از فعالیتهای معمولی و مكرر در SOPها تعریف شده و با استفاده از تكنولوژی به صورت خودکار انجام میشوند.
پيادهسازی تكنولوژی برای خودكارسازی فرآیندها: پیادهسازی تكنولوژی با نصب، تنظیم، مستندسازی و آزمايش تكنولوژی انجام میشودCSIRT .ها به طور گسترده از نرم افزار منبع باز استفاده میکنند که اغلب، اعضای ديگر اين تيم آنها را نوشته يا فراهم كردهاند.
اجرای رویههای مدیریت IT و امنيت اطلاعات: CSIRTها باید رويههای دقیق مدیریت IT و امنیت اطلاعات را تعریف و اجرا کنند. يكی از چالشهای رايج این است که سرويسها و فرآیندهای اصلی CSIRT در مرحله پیادهسازی در اولویت هستند، در حالی که معمولاً در ابتدا به رويهها و فرآيندهای پشتيبانی IT و مديریت امنيت داخلی کمتر توجه میشود. بنابراین انتظار میرود که این فرآیندها و رویهها به اصلاحات بیشتری نیاز داشته باشند. اگر CSIRT بخشی از یک سازمان بزرگتر باشد، فرآیندهای IT و سيستم مديريت امنيت اطلاعات سازمان Hosting می توانند به صورت عملی به كار گرفته شوند.
آموزش پرسنل برای عملیات CSIRT: انتقال گسترده دانش نظری و عملی به اعضای CSIRT با توجه به تكنولوژی ها و رویههای پیادهسازیشده برای موفقيت تاسيس بسيار مهم است. فعالیتهای انتقال دانش معمولاً به صورت کارگاههای عملی صورت می گيرد كه در آنها تمام فرآیندها و رویهها توضيح داده شده و تمرين می گردد. آموزش همچنين می تواند از اين حد فراتر رود و می توان با استفاده از تمرين وضعيت بحران و تمرينات گروهي تيمهای آبی – قرمز – بنفش، نقصانهای مهارتهای كسبشده را شناسايی نمود.
بستن قراردادهای مربوط به حوزهمورد انتخاب، سهامداران و شرکا: در طول اجرای یک طرح مشارکتCSIRT ، ممکن است نياز باشدپالیسی ها و رويههاي ديگری نيز اجرا شوند. درخواستهای عضویت FIRST.org و Trusted Introducer باید به محض آماده شدن و برطرف شدن نيازهای آمادگی عملكردی و عملیاتی، ارسال گردند. ممکن است چند ماه طول بکشد تا درخواستهای عضویت تأیید شود. ایجاد و حفظ شراکتها مستلزم مشاركت و ارتباط فعالانه است و مدیرCSIRT يا در ارتباط با CSIRTهای بزرگتر، مدير سازمان بايد بر آن نظارت داشته باشد.
اجرای آزمایشی خدمات CSIRT و هماهنگسازی نتایج
پس از پيادهسازی فرآیندها و تكنولوژی ها، مهم است كه حداقل به مدت يك روز، آزمايشاتی انجام شود و هرگونه نقص در فرآیندها و تكنولوژی ها در گزارش اجرای آزمايشی اعلام گردد. سپس نوبت به اقدامات تنظيمی ميرسد، یعنی نياز است تنظیمات لازم برای فرآیندها، جريانهای كاری و اجرای تكنولوژی به طور مناسب انجام شود. صرف نظر از آمادهسازی و برنامهریزی اولیه، نتایج اغلب نشان میدهد که برخی از پیش فرضهای طراحی صحیح نبوده و برخی از فعالیتهای پيادهسازی باید اصلاح شوند.
راهاندازی ارتباطات و مراسمهای تجليل CSIRT
پس از اتمام پيادهسازی، می توان عملیات CSIRT را آغاز نمود. برقراری ارتباط صحیح در خصوص خدمات جدیدCSIRT، نحوه عملکردCSIRT، ارزش عملی ارائهشده آن و مسئولیتهای حوزه مورد انتخاب و خود CSIRT بسیار مهم است. به طور معمول، این مفاهيم از طريق مراسم افتتاحيه CSIRT و بیانیه مطبوعاتی منتقل می گردد. در مراسم افتتاحيه معمولاً ارائهای كوتاه صورت می گيرد، حوزه انتخابی، افراد ذینفع و خبرنگاران از تسهيلات و امكانات بازديد می كنند و مطالبی به صورت چاپشده ارائه ميگردد. افتتاحيهای موفق می تواند الهامبخش كل CSIRT باشد و آن را به نتايج مثبت برساند.
بررسی عملیات برای اجرای CSIRT
مرحله عملیاتی بر ارائه موثر و کارآمد خدمات، یعنی اجرای مأموریت CSIRT به صورت روزانه متمرکز است. در مرحله اجرا، نتایج زیر انتظار می رود:
1. سنجشKPIها
2. بررسی سالانه عملکرد فاز عملياتی
3. بررسی سالانه احتياجات ذينفعان
4. تصویب بودجه سالانه
5. جمعآوری پيشرفتهای حاصلشده در طرحها
سنجش شاخصهای کلیدی عملكرد در جهت اهداف مدیریتی تیم CSIRT
KPIها برای اهداف مدیریتی و نظارتی و مانيتورينگ کیفیت استفاده میشوند. همهCSIRT ها مبتنی بر KPI نیستند. مشاهده شده است که بسیاری ازCSIRTها متحمل بار زياد از حد هستند و بدون آن كه بر مديريت كيفيت خدمات CSIRT به جديت تمركز كنند، امور خود را به پيش می برند. دستورالعملهای زیر برای استفاده از KPI ارائه شده است:
1. KPIها باید هر ماه سنجيده شوند. در سازمانهای بالغ، شاخصهای هفتگی نیز ممكن است حائز اهميت باشند. KPI سالانه معمولاً برابر با مجموعKPIهای ماهانه است.
2. KPIها باید با ارائه خدمات مرتبط باشند، یعنی باید به هر سرويس مرتبط باشند و باید بتوان به كمك آنها دريافت كه آيا سرويس از كيفيت خوبی برخوردار است و اهداف را برآورده می كند يا خير.
3. برخی از KPIها فقط برای تجزیه و تحلیل آماری و برخی دیگر برای انجام اقدامات اصلاحی استفاده میشوند. به عنوان مثال، تعداد حوادث كه ماهانه مورد تجزیه و تحلیل قرار میگیرد، برای تجزیه و تحلیل آماری مفید است. اگر اين تعداد كم يا زياد شوند به ندرت اقدامات اصلاحی ايجاد خواهند كرد؛ در حالی که تعداد بازدید کنندگان از وب سایتCSIRT، که در آن هشدارها و اطلاعيهها به اشتراک گذاشته میشود، نشاندهنده ميزان مرتبط بودن است و ممكن است منجربه اقدامات اصلاحی گردد.
بررسی سالانه عملکرد فاز عملياتی عملکرد تیم پاسخ
تیم مدیریت CSIRT عملیاتی باید به طورسالانه، عملكرد CSIRT را بررسي كند تا موفقيتهای شايسته تجليل و زمينههای نيازمند بهبود را شناسایی نمايد. در طی مرحله داخلی بررسی، مهارتهای كارمندان و عملکردهای فردی سنجيده، فرآیندهای CSIRT بررسی، اتوماسیون ارزیابی و KPI تجزیه و تحلیل میگردد. بررسی عملیات معمولاً در گزارش سالانه CSIRT ارائه میشود.
بررسی سالانه احتياجات ذينفعان CSIRT
يكی از روشهای خوب، برگزاری سالانه كارگاه يا جلسهای با ذینفعان CSIRT است که در آن عملکرد CSIRT و اولویتهای ذینفعان برای CSIRT و انتظاراتشان از اين تيم ارائه می گردد. این اولویتها به برنامهریزی برای اصلاحات بعدی CSIRT کمک میکند.
تصویب بودجه سالانه برای یک تیم پاسخ به حوادث امنیتی
CSIRTها همچون همه سازمانها، باید هرساله بودجه سالانه خود را تهیه كرده و آن را به تصويب برسانند. بودجه مشخص می کند که در كدام طرحها بيشتر سرمايهگذاری می شود. بودجه باید مطابق با قوانین و مقررات عمومی و محلی تهيه گردد.
جمعآوری پيشرفتهای حاصلشده در طرحها
بررسی داخلی سالانه، تجزیه و تحلیل نیازهای ذینفعان و عملیات روزانه، امكان شناسایی پيششرطهای CSIRT را که ممکن است نیاز به بهبود داشته باشد فراهم میکند. تجزيه و تحليل اين موارد، بخشی از مرحله اصلاح است. بازبينی و بررسی عمليات ممكن است ايدههايی برای پيشرفت نيز به دست دهد. تمام طرحهای پيشرفت اعم از توجيه و توضيح نيازها بايد در جدولی ارائه گردد.
