در قسمت اول مقاله در مورد رهنمودهای مبتنی بر نتایج برای کسانی که به توسعهی و مدرنیزه کردن یک CSIRT یا SOC بهشیوهای ساختارمند علاقه دارند، صحبت شد. همچنین توضیحاتی درباره واژهی CSIRT و فعالیت ها، وظایف، اهداف و خدمات آن ارائه گشت. حال به ادامه مقاله در قسمت دوم می ردازیم.
ارائه راهنمایی برای توسعهی CSIRTها
راهنماییها برای توسعهی CSIRTها بر طبق مراحل مختلف فرایند توسعهی تیم پاسخ به حوادث امنیتی یا CSIRTها سازماندهی شده و به صورت زیر می باشد:
- ارزیابی آمادگی
- طراحی
- پیادهسازی
- عملیات
- بهبود.
بررسی چرخهی عمر CSIRT در یک سازمان
توسعهی یک CSIRT جدید با ارزیابی آمادگی شروع میشود؛ این ارزیابی با بحث در مورد دلایل و ضرورت ایجاد یک CSIRT آغاز شده و با تائید یک بودجهی اولیه و مشخص کردن الزامات مرحلهی طراحی به پایان میرسد. در مرحلهی طراحی، برنامههای پرجزئیاتی برای مرحلهی پیادهسازی توسعه داده میشوند. مرحلهی پیادهسازی، به مسائل سازمانی از جمله مدیریت، افراد، فرایندها، خدمات و تکنولوژیها میپردازد، و نهایتا در مرحلهی عملیات یک CSIRT، خدمات را ارائه میدهد. CSIRTهای کنونی میتوانند به جای راهنماییهای مرحلهی ارزیابی آمادگی، راهنماییهای مرحلهی بهبود را دنبال کنند، در مرحلهی بهبود، یک CSIRT درخواستهای بهبود را شکل میدهد، طرحهای ابتکاری را اولویتبندی میکند و یک بودجهی تأییدشده را برای دنبال کردن چرخهی «طراحی – پیادهسازی – عملیات – بهبود» دریافت مینماید. این رهنمودها براساس نتیجهی هر مرحله، سازماندهی شدهاند.
ارزیابی آمادگی یک تیم پاسخ به حوادث امنیتی یا CSIRT
- تعهد اولیه
- ساختار مدیریتی
- شناسایی سازمان میزبان CSIRT
- بودجه و نقشه راه در سطح بالا
- الزامات دقیق برای مرحلهی طراحی
برای مشاوره رایگان و یا راه اندازی Splunk/SIEM و مرکز عملیات امنیت SOC با کارشناسان شرکت APK تماس بگیرید |
بررسی چگونگی طراحی برای یک تیم
- تعهد دقیق تأییدشده
- برنامهی خدمات
- برنامهی جریانهای کاری و فرایندها
- سازماندهی، مهارتها و برنامهی ساختار آموزش
- برنامهی تسهیلات
- برنامهی خودکارسازی فرایندها و تکنولوژیهای
- برنامهی همکاری
- برنامهی مدیریت امنیت اطلاعات و فناوری اطلاعات
- الزامات دقیق برای مرحلهی پیادهسازی
نحوه پیادهسازی تیم پاسخ به حوادث امنیتی
- ساختار سازمانی تائید و پیادهسازی شده
- افراد استخدام شده و منصوب
- برنامهی آموزشی برای نقش کارکنان
- تسهیلات آمادهسازیشده
- فرایندها و رویههای ایجادشده و پیادهسازیشدهی پر از جزئیات
- تکنولوژی پیادهسازیشده برای خودکارسازی فرایندها
- فرایندهای مدیریت امنیت اطلاعات و فناوری اطلاعات پیادهسازی شده
- افراد آموزش دیده برای عملیات CSIRT
- توافقات امضاشده با ذینفعها، سهامداران و شرکا
- تست خدمات CSIRT و تنظیم نتایج
- ارتباطات و جشنهای شروع به کار
بررسی عملیات یک تیم پاسخ به حوادث امنیتی یا CSIRT
- KPIهای اندازهگیری شده
- بررسی سالیانهی عملکرد عملیات
- بررسی سالیانهی نیازهای سهامداران
- بودجهی سالیانهی تائید شده
- الزامات جمعآوریشده برای بهبود
چگونه می توان تیم پاسخ به حوادث امنیتی را بهبود بخشید
- فهرست طرحهای ابتکاری منتخب برای بهبود
- الزامات دقیق برای بهبود در مرحلهی طراحی
- بودجهی اولیه برای بهبود
خلاصهی نتایج توسعهی CSIRT
شکل پایین نشاندهندهی یک جدول زمانی برای توسعهی یک تیم پاسخ به حوادث امنیتی، منابع داخلی و خارجی مورد نیاز و شدت کار لازم برای نقشهای مختلف در هر مرحله است. درصدهای شکل نشاندهندهی بار Workload / زمان موردنیاز برای نقشهای مختلف است. برای مثال 1 x مدیر پروژه 50% یعنی یک مدیر پروژه لازم است و وظایف ضروری را تا 50 درصد از Workload یا زمانش را اشغال میکند.
ارزیابی آمادگی
در مرحلهی ارزیابی آمادگی، نتایج زیر انتظار میرود.
- تعهد اولیه
- ساختار مدیریتی
- شناسایی سازمان میزبان CSIRT
- بودجه و نقشه راه در سطح بالا
- الزامات دقیق برای مرحلهی طراحی
مراحل پیادهسازی
منظور از تعهد اولیه در تیم پاسخ به حوادث امنیتی یا CSIRT
CSIRT با یک هدف شروع میشود؛ یعنی ایدهی اولیه و دلایل نیاز به CSIRT. توسعهی CSIRT باید توجیهشده باشد بدین صورت که پیش از تصمیمگیری برای ایجاد آن، باید انتظارات ذینفعان بهدقت مدنظر قرار گیرد. در عمل، این بدان معناست که تمام جوانب هرچند ریز هم سنجیده می شود.
شناسایی تمام سهامداران کلیدی و درک نیازهای آنها از یک CSIRT: بسته به هر سهامدار، نیازهای او میتواند شامل شناسایی حوادث، آگاهی از امنیت، حل کردن حوادث و تطبیقپذیری با استانداردهایی بهخصوص باشد.
شناسایی ذینفعها: این افراد میتوانند گروه کوچکی از شرکتها برای یک CSIRT بخشی، ساکنین یک شهر یا حتی کل کشور باشند. ارزیابی و پاسخ به نیازها و انتظارات یک گروه ذینفع بهخصوص برای موفقیت یک CSIRT بسیار مهم است.
مجموعهای از کارگاهها باید با سهامداران اصلی و نمایندگان ذینفعها برگزار شود تا حمایت آنها برای ایجاد یک CSIRT بهدست آید و گفتگویی در مورد ارزش حقیقی یک CSIRT شروع شود. سپس میتوان از این گفتگو بهعنوان اطلاعاتی برای توجیه توسعهی CSIRT و تعهد و بودجهی آن استفاده کرد.
توجیهات متداول برای توسعهی یک CSIRT
1. نیاز به سازماندهی پاسخ حرفهای به حوادث مربوط به امنیت سایبری جهت به حداقل رساندن تأثیر حوادث.
2. نیاز به داشتن یک تیم حرفهای برای پاسخ به حوادث امنیت سایبری با استفاده از روشهای رسیدگی به حوادث که بهطور بینالمللی پذیرفته شدهاند.
3. نیاز به اعتماد CSIRTهای دیگر در سراسر جهان در طول بررسیهای حوادث.
4. نیاز به هماهنگسازی یک تیم برای رسیدگی به حوادث امنیت سایبری، رسیدگی به آسیبپذیریها، افزایش آگاهی موقعیتی و امنیتی و تجزیهوتحلیل تهدیدات. هدف یک تیم در تعهد یک تیم پاسخ به حوادث امنیتی مشخص میشود که باید شامل اختیارات و مسئولیتهایی که به تیم داده میشود باشد.
یک تعهد معمولاً شامل موارد زیر است:
1. اختیاری که به یک تیم پاسخ به حوادث امنیتی داده میشود تا به ذینفعها خدمات ارائه کنند.
2. مسئولیتهای تیم پاسخ به حوادث امنیتی.
3. الزامات، اهداف و وظایف.
برای یک CSIRT که در یک سازمان یا یک ارائهکنندهی خدمات امنیتی، Managed Security Service Provider یا MSSP فقط دارای ذینفعهای داخلی است، تعهد معمولاً به یکی از شکلهای زیر، در یک سند بیان میگردد:
1. یک دستور اداری.
2. یک تصمیم توسط هیئت مدیره یا مدیریت اجرایی (در یک سازمان خصوصی).
برای تیم های پاسخ به حوادث امنیتی بخشی یا ملی، تعهد معمولاً در حداقل دو سند بیان میشود، که عبارتاند از:
- استراتژی امنیت سایبری، قانون یا آییننامه یا دستور دولتی که اختیارات و مسئولیت کلی را تعیین میکنند (تنها راه برای ایجاد اختیار روی سازمانهای مختلف یک کشور).
- یک دستور دفتری از سازمان میزبان تیم پاسخ به حوادث امنیتی که نشانگر جزئیات الزامات، اهداف و وظایف و فهرستی از خدمات باشد.
همچنین می توان گفت راهنماییهای اضافهی زیر در مورد تعهد باید اجرا شوند.
1. مسئولیتهای تیم پاسخ به حوادث امنیتی باید بیان شوند. فقط بیان اینکه یک CSIRT در حال ایجاد شدن است کافی نیست؛ تعهد باید بیان کند که CSIRT چه مسئولیتهایی دارد و چرا به آن نیاز است.
بیشتر بخوانید: بررسی رویکردهای مختلف در پلتفرمهای امنیتی، مزایا و معایب هرکدام – قسمت اول
2. مسئولیتها باید نشان دهد که یک CSIRT بهطورکلی به کدام ذینفعان خدمت میکند، مثلاً یک CSIRT برای بخش مالی برای مدیریت تهدیدات سایبری، اشتراک اطلاعات تهدید و هماهنگسازی حوادث حیاتی یا یک CSIRT برای بخشهای کسبوکار داخلی برای مانیتورینگ امنیت سایبری و رسیدگی به حوادث.
3. یک نهاد مجاز باید مجوزی را برای یک CSIRT صادر کند. برای CSIRTهای بخشی یا ملی این نهاد ممکن است دولت ملی، مجلس یا یک وزارتخانه باشد.
4. برای توسعهی یک CSIRT، باید یک سازمان یا نهاد کسبوکار مشخص گردد. گاهی اوقات این نهاد میتواند سازمان جدیدی باشد.
برای دولتهای ملی یا تنظیمکنندگان بخشی، ایجاد یک تعهد معمولاً با تدوین یک قانون، لایحه، استراتژی امنیت سایبری یا برنامهی امنیت سایبری شروع میشود. برای CSIRTهای سازمانی، ایجاد یک تعهد معمولاً پس از دریافت تأییدیه برای توسعهی CSIRT از هیئت مدیره یا مدیران اجرایی شرکت شروع میشود و ابتدا باید هدف توسعهی CSIRT بیان شود. یک تعهد تأییدشدهی اختیارات و مسئولیت معمولاً یک شخص، واحد یا سازمان را برای رهبری توسعهی CSIRT مشخص میکند. عبارتهایی که معمولاً در اسناد تعهدها مورداستفاده قرار میگیرند، شامل موارد زیر هستند:
1. امنیت سایبری اهمیت بسیار زیادی پیدا کرده است؛ درنتیجه قرار است برای افزایش تابآوری سیستمهای اطلاعاتی در مقابل حملات سایبری، مدیریت تهدیدات سایبری، تلاش برای کاهش هزینههای تأثیر حوادث از طریق ایجاد کنترلهای مدیریت حادثهی قدرتمند، افزایش دانش کاربردی، تقویت همکاری بین سهامداران و اطمینان حاصل کردن از آگاهی از موقعیت سایبری و قابلیت دید موقعیتی سایبری، یک CSIRT ایجاد شود.
بیشتر بخوانید: راهکار SOAR چیست و چه اهمیتی در دنیای امنیت سایبری دارد – قسمت اول
2. با مدرنیزه کردن واحد امنیتی IT کنونی برای فراهم کردن تابآوری سایبری کارآمد، سازماندهی پاسخ به حادثه، فعالسازی آگاهی موقعیتی و توسعهی کانالهای تبادل اطلاعات سایبری با سازمانهای شریک، یک CSIRT (ملی یا سازمانی) در حال ایجاد شدن است.
مثالهایی از تعهدها برای توسعهی یک CSIRT شامل موارد زیر است:
- btCIRT یا CIRT ملی کشور بوتان که به دستور دولت ساخته شده است.
- BGD e-GOV CIRT یا CSIRT بخشی دولتی بنگلادش که به دستور اداری ساخته شده است.
