در قسمت اول مقاله در مورد رهنمودهای مبتنی بر نتایج برای کسانی که به توسعهی و مدرنیزه کردن یک CSIRT یا SOC بهشیوهای ساختارمند علاقه دارند، صحبت شد. همچنین توضیحاتی درباره واژهی CSIRT و فعالیت ها، وظایف، اهداف و خدمات آن ارائه گشت. در قسمت دوم راهنمایی برای توسعهی CSIRTها ارائه و همچنین چرخهی عمر CSIRT در یک سازمان بررسی شد. در قسمت سوم مقاله ساختار مدیریتی در ذینفع های یک تیم پاسخ به حوادث امنیتی یا CSIRT و اینکه چگونه بتوانیم سازمان میزبان در تیم پاسخ به حوادث امنیتی را شناسایی کنیم مورد بررسی قرار گرفت. در این قسمت به سازماندهی و ساختار آموزشی آن، یک نمونه کوچک و همچنین برنامه های راهکاری CSIRT خواهیم پرداخت.
سازماندهیCSIRT، برنامه ی مهارتها و ساختار آموزش
فرآیندهای CSIRT توسط کارمندان CSIRT، که در ساختارهای سازمانی خاصی سازمان یافته اند، اداره میشود.
نمونه ای از یک ساختار CSIRT کوچک
برای سازمانهای بزرگتر CSIRT با بیش از 10 کارمند، واحدهای ساختاری باید متناسب با ساختار خدمات یا فعالیت های اجرایی یا سایر اقدامات سازمانی طراحی شوند بعلاوه، NIST NICE37 ممکن است به عنوان یک نقطه شروع برای تعریف نقش کارمندان باشند. لازم به ذکر است که کار شیفتی در طول تمام روزهای هفته، ممکن است بسیار گران تمام شود، زیرا شش تیم ملزم به پوشش شیفت های 8 ساعته از جمله تعطیلات هستند. بنابراین، CSIRTها اغلب از یکی از مراحل زیر استفاده میکنند:
1. انجام کار فقط در ساعات عادی.
2. سپردن مسئولیت کنترل تماسهای اضطراری به یک فرد.
3. محول نمودن نظارت بر Register شبانه و آخر هفته، برای انجام کارهای اولیه به فردی خارج از سازمان.
4- اعتماد به عملیات شبکه ی کار شیفتی، برای پردازش تماس های اولیه مطابق با Standard Operating Procedures یا SOPs معمولی و تماس با کارشناسان در صورت نیاز.
ENISA حدود 50 دوره ی آموزشی در مورد موضوعات مرتبط با CSIRT برگزار کرده، این مطالب آموزشی جنبه های فنی و عملیاتی، تنظیم CSIRT، جنبه های حقوقی، همکاری و راهنمایی، برای مثال آموزش پیشگیرانه ی CSIRTها و روش های آموزشی را شامل میشود. تمام مطالب آموزشی دارای مجوز Creative Commons BY-NC-SA 4.0 می باشد. اگرچه، مطالب آموزشی غیرتجاری هستند، برای آموزشهای داخلی که توسط اعضای ارشد CSIRT ارائه میشود، بسیار مفید هستند. به همین ترتیب، FIRST.org با همین شرایط مجوز، تعداد زیادی دوره های آموزشی را ارائه میدهد.
برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید. |
آموزش های پیشنهاد شده برای توسعه ی مهارت های فنی به منظور انجام عملیات موفق توسط یک CSIRT کافی نیست. علاوه بر این آموزش ها، هر CSIRT باید مهارت های جامع حرف های، رهبری و عملیاتی را در مرحله ی اجرا با استفاده از روشهای زیر افزایش دهد.
1. انتقال دانش، توسط متخصصان اجرا در قالب کارگاه های آموزشی، آموزش، راهنمایی و پشتیبانی پس از اجرا.
2. بازدید از CSIRTهای دیگر برای آگاهی از عملکرد آنها. حداقل دو تا سه بازدید از CSIRT در کشورهای دیگر باید انجام شود. بازدیدها معمولاً با هدف به اشتراک گذاشتن تجربه عملیاتی، چند ساعت طول میکشند. برخی از CSIRTها برای ایجاد دانش، تبادل کارمند انجام میدهند. تمام کارمندان CSIRT باید مهارت های حرفه ای خود را همانطور که در چارچوب NIST NICE شرح داده شده است افزایش دهند.
مهارت های ضروری و حرفه ای برای کارمندان CSIRT
در جدول زیر، KSA مخفف Knowledge ،Skill و Ability است.
| مهارت | شرح |
| مدیریت اختلافات | شامل KSAهایی که با مدیریت و حل اختلافات، شکایات، تضادها، یا اختلاف نظرها با روشی سازنده، به منظور به حداقل رساندن تاثیرات منفی فردی سروکار دارند، با دیگران همکاری میکنند تا افراد را به همکاری و کار گروهی تشویق کنند. |
| تفکر انتقادی | شامل KSAهای مربوط به تجزیه و تحلیل عینی واقعیت ها برای شکل دادن به یک قضاوت. |
| مهارت های بین فردی | شامل KSAهای مربوط به گسترش و حفظ روابط موثر با دیگران و افراد دارای پیشینه و موقعیت متفاوت، پاسخ به نیازها، احساسات و توانمندی های اعضا، همکاران و کارمندان ارشد به طور مناسب. |
| ارتباط کلامی | شامل KSAهای مربوط به روند بیان اطلاعات یا ایده ها به صورت کلامی. |
| ارایهی موثر | شامل KSAهای مربوط به فعالیت هایی که یک فرد انجام می دهد. شرح و توضیح مسئله ای برای شنونده. |
| ارتباط نوشتاری | شامل KSAهای مربوط به روند بیان اطلاعات یا ایده ها به صورت کلامی. |
کارمندان اداری و مدیران CSIRT باید مهارتهای رهبری و عملیاتی خود را ارتقاء دهند.
مهارتهای اساسی رهبری برای مدیریت CSIRT و کارمندان اداری
| مهارت | شرح |
| مدیریت پروژه | شامل KSAهای مربوط به اصول، روشها یا ابزاری برای توسعه، برنامه ریزی، هماهنگ کردن و مدیریت پروژه و منابع. شامل کنترل و بررسی هزینه ها، کار و عملکرد پیمانکار. |
| برنامه ریزی استراتژیک | شامل KSAهای مربوط به فرمولبندی استراتژیهای سازگار با هدف و چشم انداز استراتژی رقابتی سازمان و یا واحد تجاری |
| آموزش دیگران | شامل KSAهای مربوط به انتقال دانش یا دادن اطلاعات یا آموزش در مورد یک موضوع یا مهارت. |
| مدیریت نیروی کار | شامل KSAهای مربوط به فعالیت های لازم برای حفظ نیروی کار مولد. |
مهارتهای عملیاتی ضروری برای مدیریت CSIRT و کارمندان اداری
| مهارت | شرح |
| تداوم کسب و کار | شامل KSAهای مربوط به برنامه ریزی و آمادهسازی که توسط یک شرکت برای اطمینان از غلبه بر رخدادها یا Disasterها اجرا میشوند، تا عملیات به صورت نرمال در مدت زمان کوتاه و قابل قبولی از سر گرفته شوند. |
| مدیریت ارتباط با کاربر | شامل KSAهای مربوط به مفاهیم، شیوه ها و تکنیک های مورد استفاده برای شناسایی، مشارکت، تأثیرگذاری و نظارت بر روابط با افراد و گروههای دارای پشتکار، شامل آنهایی که به صورت فعال درگیر هستند، آنهایی که در جریان روند و نتایج کار تلاش میکنند و آنهایی که به پیامد کار چه مثبت و چه منفی امیدوارند. |
| بستن قرارداد/ تهیه و تولید | شامل KSAهای مربوط به انواع قراردادها ، تکنیک های قرارداد یا خرید و مذاکره و مدیریت قرارداد. |
| مهارت | شرح |
| حریم خصوصی و حفاظت از دادهها | شامل KSAهای مربوط به روابط بین جمع آوری، ذخیره و انتشار داده ها و حفظ حریم خصوصی افراد به طور همزمان. |
| آگاهی بیرونی | شامل KSAهای مربوط به تشخیص و درک مسایل داخلی و بیرونی، مانند مسایل اقتصادی، سیاسی و فعالیت های اجتماعی. |
| قانون، دولت و حقوق | شامل KSAهای مربوط به قانون، مقررات، سیاست و اخلاقیات که بر فعالیت های سازمانی تاثیر می گذارند. |
| آگاهی سازمانی | شامل KSAهای مربوط به آگاهی از ماموریت و عملکرد یک سازمان، ساختار سیاسی و اجتماعی آن، و اینکه چگونه برنامه ها، سیاست ها، عملکرد، قوانین و مقررات بر کار و اهداف سازمان اثر میگذارند. |
| مدیریت پالیسی | شامل KSAهای مربوط به روند ابداع، ارتباط و حفظ پالسی ها و عملکرد در یک سازمان. |
| کنترل فرآیند | شامل KSAهای مربوط به تغییر فعال فرآیند، براساس نتایج مانیتورینگ فرآیند. |
| مدیریت ریسک | شامل KSAهای مربوط به روشها و ابزار مورد استفاده برای ارزیابی و کاهش ریسک |
| حذف Third-Party/ مدیریت اکتساب دادهها | شامل KSAهای مربوط به روند تجزیه و تحلیل و کنترل ریسکهای موجود در یک شرکت، داده ها، عملیات و موارد مالی طرفین. |
همهی این مهارت ها را میتوان از طریق شرکت در دورهه ای دانشگاهی یا آنلاین یا برنامه های یکپارچه به دست آورد.
طرح امکانات CSIRT
تسهیلات امن با فضای کار جداگانه و قوانین و مقررات فیزیکی مشخص برای عملکرد کارآمد CSIRT، ضروری است. حداقل امکانات CSIRT باید شامل یک اتاق داده برای قرار دادن هر گونه فناوری، یک اتاق اداری برای کارمندانی که به رخدادها رسیدگی می کنند و یک اتاق پذیرایی یا جلسات برای میهمانها باشد. برای تداوم کسب و کار، باید از تداوم زیرساخت CSIRT اطمینان حاصل شود. برای این منظور، سیستمهای اضافی و فضای کاری پشتیبان باید موجود باشند.
هنگام برنامه ریزی برای امکانات، موارد زیر باید مورد توجه قرار گیرند.
1. امنیت جسمی باید در نظر گرفته شود و کنترل و نظارت بر دسترسی مناسب ایجاد شود. علاوه بر این، ارزیابی ریسک باید بر اساس امکانات Neighbouring انجام شود.
2. اتاق داده باید سطحی از امنیت فیزیکی و محیطی متناسب با داده های تحت اختیار و مدیریت CSIRT را فراهم نماید.
3. اتاق کار برای کارمندان مسئول رسیدگی به رخدادها باید محیط کار مناسب، راحت و امنی را فراهم نماید و باید موارد اضافی حذف شوند.
CSIRTها باید به دلایل محرمانه بودن، اقدامات امنیتی فیزیکی مناسبی مانند اطمینان از کنترل محیطی محل و ارائه کنترل دسترسی برای ورود به اتاق های مختلف را اجرا نمایند.
منابع اضافی اطلاعات در مورد الزامات امنیتی فیزیکی استاندارد ISO 2700141 از International Organization For Standardization ،FM 3-19.3042 Field Manual و مقررات ملی هستند. سازمان ها برای مشاوره ی بیشتر در زمینه ی اجرای اقدامات امنیتی باید به تیم های امنیتی داخلی یا امنیت فیزیکی خود مراجعه کنند. CSIRTهای بزرگتر ممکن است دارای مناطق جداگانه ای برای آزمایشگاه جرم شناسی دیجیتال و واکنش به حوادث یا DFIR، اتاق مانیتورینگ امنیتی یا SOC، اتاق بحران و اتاق مراجعین باشند.
طرح نمونه ای از اتاقهای داخلی برای یک CSIRT
طرح خودکارسازی فناوری ها و فرآیندهای CSIRT
موفقیت CSIRT بستگی زیادی به خودکارسازی فرآیندهای آن دارد. فرآیندهای خودکارسازی Generic IT برای محل کار و کارهای اداری استفاده میشوند. همچنین، فرآیندهای خاص CSIRT مربوط به خودکارسازی نیز وجود دارند، یک CSIRT معمولی باید با توجه به زیرساخت های فنی خود از روش های زیر پیروی کند.
1. به عنوان راهکار On-Premises دیتاسنتر، یک CSIRT باید حداقل دو سرور مجازی سازی داشته باشد تا از دسترسی و بازیابی بالا اطمینان حاصل کند. در صورت عدم موفقیت، پشتیبانگیری در سرور سوم با استفاده از نوارها یا راهکار جایگزین، واقع در اتاق دیگری انجام میشود.
2. تقسیم بندی شبکه باید به گونه ای باشد تا اطمینان حاصل شود که سیستم های تولید دیتاسنتر، Local Area Network یا LAN، شبکهی Guest، آزمایشگاه و Demilitarised Zone یا DMZ، از طریق قوانین فایروال از هم جدا شده اند.
3. همانطور که در نظرسنجی ها مشخص شده، CSIRTها و SOCها اغلب در استفادهی گسترده از سیستمهای Cloud احتیاط می کنند، سرویس های Cloud حداقل برای سرویس های Software-aS-a-Service یا SaaS اجباری هستند، به عنوان مثال برای Data Feedها از ارائه دهندگان Dataset یا مجموعه داده های خارجی یا وب سایت هایی که برای تعامل از آنها استفاده می شود. استفاده از سرویس های Cloud اغلب منجر به دسترسی راحت، کاهش هزینه و کارایی عملیاتی با Data Governance کمتر میشود. بسته به نیازهای امنیتی دادهی CSIRT و ریسک، ممکن است از سرویس های مختلف Cloud استفاده شود.
بیشتر بخوانید: 5 مهارت مورد نیاز برای یک تحلیلگر مرکز عملیات امنیت SOC
موارد زیر، اغلب، نیاز به خودکارسازی دارند:
1. سیستم های Ticketing برای ثبت و رسیدگی به گزارش حادثه: به طور معمول، CSIRT ها از RTIR ،OTRS ،ServiceNow و Jira و سایر فناوری های Ticketing استفاده میکنند.
2. پردازش و مسیریابی Data Feed: از Feed routerها، برای پلتفرم های اطلاعات تهدید یا مخازن مجموعه داده مورد استفاده قرار میگیرند.
3. پلتفرم های اطلاع رسانی: این موارد شامل پورتال وب سایت ها، پلتفرم های انتشار خبر و کانال های رسانه های اجتماعی میباشد.
بررسی برنامه ی همکاری تیم پاسخ به حوادث امنیتی یا CSIRT
موفقیت CSIRT بستگی زیادی به اجرای مشارکت های کاری موثر با ذینفعان مختلف و جامعه ی بین المللی CSIRT دارد. پس از تأسیس، CSIRT ممکن است توسط همه ی ذینفعان و مؤسسات شناخته نشود. بنابراین، باید فعالانه خود را به ذینفعان و موسسات ثابت کند و ترتیب همکاری دهد. برخی از این موارد جدید همکاری منجر به امضای تفاهم نامه های رسمی، MoU، یا توافق نامه های مشارکت یا عضویت رسمی و غیررسمی در انجمن ها و جوامعِ اشتراک گذاری اطلاعات خواهد شد. مشارکت های مبتنی بر اعتماد و طولانی مدت نیاز به برنامه ریزی برای اهداف مشخص در هر مشارکت و استراتژی هایی برای چگونگی حفظ روابط دارند.
برای این منظور، دستورالعمل های ذکر شده در زیر باید دنبال شوند.
1. رویکرد فعال در ایجاد مشارکت با سازمان های اجرای قانون و سازمان های اطلاعاتی محلی و بین المللی ممکن است به رسیدگی موثرتر به حوادث و جرایم اینترنتی، تهدیدهای مداوم پیشرفته، Advanced Persistent threat یا APTها در شرایط بحرانی کمک کند.
2. برای بهبود همکاری، ابتکارات CSIRT منطقهای و ملی، در صورت وجود، باید مورد توجه قرار گیرند. وضعیتTrusted Introducer Listed، برای CSIRT که از قبل عملیاتی شده و توسط سایر CSIRTها پشتیبانی میشود و در رویدادها و کنفرانس های مربوط به CSIRT شرکت میکند، تقریباً آسان است. CSIRTها متعاقباً باید بر دستیابی به وضعیت معتبر یا حتی وضعیت تأیید شده تمرکز کنند، طرح Trusted Introducer تنها طرح صدور گواهینامه است که در حال حاضر برای CSIRT در دسترس است و خدمات Trusted Introducer بیشتر بر CSIRTهای فعال در اروپا متمرکز است.
3. اکیداً توصیه میشود CSIRTها به انجمن FIRST.org بپیوندند.
4- نزدیک شدن فعالانه به ISACهای مختلف برای مشارکت و درک ارزش چنین همکاری هایی، اغلب یک روش خوب برای تعیین ارزش این مشارکت ها است.
5- ساختار MoUها یا تفاهمنامه های رسمی و توافق نامه های همکاری معمولاً به سه قسمت تقسیم میشود:
الف. اهداف همکاری که میتواند منعکس کننده وظایف هر دو طرف باشد.
ب. مواردی که هر یک از طرفین در قبال دیگری انجام خواهد داد، به عنوان مثال یکدیگر را به جلسات آموزشی دعوت کنند، دانش خود را به اشتراک بگذارند، در کارگاه ها و تمرین ها شرکت کنند، شاخص ها را به اشتراک بگذارند، به سوالات مربوط به همکاری در مورد حوادث پاسخ دهند.
ج. یک برنامه ی اقدام اولیه و جدول زمانی، پس از امضای MoU یا توافقنامه اجرا میشود، که شامل ارزیابی مشترک توافقنامه و برنامه ریزی فعالیت های سال بعد است.
6. برای همکاری در کار، فعالیت های مرتبط، به عنوان مثال سازماندهی، مسافرت، میزبانی، کارگاه ها و معاشرت غیررسمی، باید بودجه اختصاصی، به عنوان بخشی از بودجه ی سالانه، در نظر گرفته شود.
