آشنایی با معنا و تفاوت سه اصطلاح CERT، CSIRT و SOC
آشنایی با اصطلاحات مهم است چون استفاده نادرست از آنها باعث ایجاد سوءتفاهم در درک توضیحات و ایجاد ابهام برای تیم واکنش به حادثه میشود.
CERT ،CSIRT ،CIRT و SOC از جمله اصطلاحاتی هستند که در حوزه واکنش به حادثه زیاد به گوش میخورند. سه عبارت اول به عنوان مترادف هم و برای توصیف تیمهایی به کار میروند که متمرکز بر واکنش به حادثه هستند. SOC نیز کاربرد وسیعتری در حوزه امنیت و امنیت سایبری دارد.
در این مطلب نگاهی دقیقتر به این اصطلاحات داریم.
CERT، CSIRT و CIRT مخفف چه کلماتی هستند؟
ابتدا اصطلاحاتی را که رایجترین مدلهای سازمانی تیمهای واکنش به حادثه شرح میدهند را مورد بررسی قرار میدهیم. البته دقت کنید اینکه مثلاً دو سازمان به تیم واکنش خودشان CSIRT میگویند، به این معنا نیست که هر دو تیم اهداف یا روشهای مشابهی دارند یا با یک تعریف ایدهآلسازی شده همخوانی دارند.
CSIRT[1] مخفف تیم واکنش به حوادث امنیتی کامپیوتری است. CERT[2] مخفف تیم واکنش (یا آمادگی) برای شرایط اضطراری کامپیوتری است. CIRT هم میتواند مخفف تیم واکنش به حوادث کامپیوتری یا تیم واکنش به حوادث امنیت سایبری باشد (که حالت اول رایجتر است). از CSIRT، CERT و CIRT معمولاً به جای یکدیگر استفاده میشود. در واقع، CSIRT و CIRT تقریباً معادل و مترادف هم هستند. ممکن است یک سازمان بر اساس سبک یا زبان خاص خودش یا تفاوتهای جزئی در محدوده سازمانی، یکی از این موارد را ترجیح دهد.
CERT چیست؟
اگرچه سازمانها معمولاً از این اصطلاح به صورت عمومی استفاده میکنند اما از سال 1997 نشان تجاری آن برای دانشگاه کارنگی ثبت شد. شرکتها میتوانند درخواست استفاده از نشان تجاری CERT را ثبت کنند. شرکتهایی که این درخواست را ثبت نکنند اجازه استفاده از این اصطلاح را در نام خدمات مشاوره یا به عنوان ارائهدهنده خدمات امنیتی مدیریت شده ندارند. بنابراین اگر سازمانی قصد استفاده از اصطلاح CERT به عنوان بخشی از نام تیم واکنش خودش را دارد، بهتر است که در این رابطه با یک مشاور حقوقی گفتگو کند.
یکی از چالشهای استفاده از CERT به عنوان نام، احتمال گیجکننده بودن آن است. مثلاً ممکن است تصور شود که از CERT به عنوان مترادف CSIRT استفاده شده یا اینکه سازمان سعی در انتقال مفهومی متفاوت دارد. با توجه به شرایط، احتمال صحیح بودن هر دو حالت وجود دارد.
اصطلاح CERT مورد استفاده دانشگاه کارنگی ملون تمرکز و حوزه خاصی دارد و به عنوان یک همکار با نهادهای دولتی، صنعتی، مجریان قانون و دانشگاه عمل میکند تا امنیت و مقاومت شبکهها و سیستمهای کامپیوتری را تقویت کند. استفاده از این اصطلاح به معنای مطالعه درباره مسائلی با پیامدهای امنیتی گسترده و طراحی ابزارها و روشهای پیشرفته است.
برخی سازمانها این موضوع را در شیوه استفاده از این اصطلاح منعکس میکنند. به عبارتی این سازمانها از CERT استفاده میکنند تا نشان دهند که تمرکز تیم داخلیشان نسبت به تمرکز یک CSIRT معمولی متفاوت است. مثلاً ممکن است تیمی که مایل به همکاری با سایر سازمانها یا تیمهای داخلی یا خارجی است، تمرکز اصلی خود را بر توسعه ابزار و روشهای پیشبینی مشکلات و غیره یا مطالعه تهدیدات نوظهور از جمله اصول تجارت یا روشهای دشمنان بگزارد. بنابراین کاربرد اصطلاح CERT معمولاً در حوزه ارتقای واکنش به حادثه به عنوان یک رشته است.
همچنین سازمانهایی که از CERT استفاده میکنند اما از وضعیت CERT به عنوان یک نشان تجاری ثبت شده آگاه نیستند، بیشتر این اصطلاح را به عنوان مترادف CIRT یا CSIRT در نظر میگیرند.
تفاوت بین CERT، CSIRT و CIRT چیست؟
ممکن است گروههای CERT، CSIRT و CIRT با استفاده از کارمندانی دائم تشکیل شوند یا اینکه بر حسب شرایط و در واکنش به یک رویداد شکل بگیرند. در هر صورت همواره تمرکز این گروهها تقریباً چهار مرحله از واکنش به حادثه است که در «راهنمای رسیدگی به حوادث امنیت کامپیوتری» NIST معرفی شدهاند:
- آمادگی؛
- تشخیص و تحلیل؛
- مهار، ریشهکنی و بازیابی؛
- فعالیتهای پس از حادثه
این مراحل متمرکز بر تشخیص و مهار حوادث امنیتی هستند. همچینن شامل ساختارهای حاکمیتی هستند که یک سازمان با هدف آمادگی جهت مواجهه با حوادث امنیتی از آنها استفاده میکند و فعالیتهای پس از حادثهای که برای هموارسازی تلاشهای آینده طراحی شدهاند.
البته یکسری ظرافت در این زمینه وجود دارد. لزوماً هر گروهی در هر سازمانی کارهای مشابهی انجام نمیدهد. ممکن است نحوه استفاده برخی تیمها از CSIRT با راهنمای NIST همخوانی داشته باشد اما تغییرات و اصلاحاتی در عملکردشان اعمال کنند. مثلاً یک سازمان نقش CSIRT را متمرکز بر سیاست و دیگری بر مسائل عملیاتی بداند مثل بررسی فایلهای گزارش و پیگیری فعالیتها در شبکه.
SOC چیست و چه تفاوتی با CSIRT، CERT و CIRT دارد؟
مرکز عملیات امنیتی (SOC[3]) یکی دیگر از اصطلاحات پرکاربرد در حوزه واکنش به حادثه است اما به طور کلی SOC شامل چندین جنبه از عملیات امنیتی است در حالی که CSIRT، CERT و CIRT به طور ویژه متمرکز بر واکنش به حادثه هستند. محدوده عملکرد SOC میتواند واکنش به حادثه (کامل یا جزئی) و همچنین فعالیتهای دیگر را شامل شود. برای مثال، یک SOC میتواند:
- عملیات کنترل و نظارت را پوشش دهد (مثل سیستم تشخیص نفوذ، سیستم پیشگیری از تشخیص نفوذ، سیستم مدیریت اطلاعات امنیتی، سیستم مدیریت رویدادهای اطلاعات امنیتی)؛
- نظارت بر عملکرد امنیتی و عملیاتی و گردآوری اطلاعات؛
- مدیریت کارهایی مثل مجوزدهی و مدیریت هویت، نگهداری از مجموعه قوانین فیلترینگ و فایروال (هم نظارت و هم مدیریت تغییرات)، پشتیبانی از تحقیقات و جرمشناسی و سایر جنبههای امنیت عملیاتی.
CSIRT و CERT به طور ویژه متمرکز بر واکنش به حادثه هستند. از این دو اصطلاح معمولاً به عنوان مترادف استفاده میشود اما از لحاظ فنی متفاوت هستند. از جمله اینکه اصطلاح CERT به عنوان یک نشان تجاری ثبت شده اما CSIRT معمولاً با یک تیم تجاری دارای عملکرد متقابل سروکار دارد. محدوده عملکرد SOC هم بر خلاف دو مورد اول گستردهتر از واکنش به حادثه است و به سایر حوزههای امنیت هم گسترش پیدا میکند.
تلاشهای نظارتی SOC فراتر از واکنش به حادثه هستند. ممکن است SOC شاخصهای آماری لازم برای پشتیبانی از مشتریان یا ارائه خدمات را گردآوری کند (مثلاً در یک ارائهدهنده خدمات مدیریت شده) یا احتمال دارد از گزارشهای مدیریتی پشتیبانی کند مثل آمادهسازی معیارها و دادهها برای حمایت از ارزیابی ریسک یا جهت پشتیبانی از حسابرسیها. اگرچه معمولاً SOC در حوزه واکنش به حادثه فعالیت دارد اما تقریباً همیشه سایر حوزههای امنیت را هم پوشش میدهد. همچنین کاربرد و هدف عملیاتی SOC گستردهتر از CSIRT یا CIRT است. اگر در سازمانی یک SOC وجود داشته باشد، احتمالاً واکنش به حادثه جزو مسئولیتهای این بخش خواهد بود. همچنان جزئیات این مسئولیتها و تعریفها بستگی به سازمان مد نظر دارد.
CERT/CSIRT/CIRT یا SOC، کدامیک را پیادهسازی کنیم؟
سازمانها با داشتن درکی واضح از این اصطلاحات میتوانند تشخیص دهند که چه مدلی از تیم واکنش به حادثه برای آنها مناسب است و چگونه میتوانند این تیم را تشکیل دهند. این انتخاب باید با توجه به اهداف، ساختار و استفاده از منابع سازمان انجام شود. مثلاً اگر نیاز به نظارت الزامی است و ساختار سازمانی شما بنحوی است که امکان متمرکزسازی این فعالیتها را در یک محل فیزیکی یا منطقی فراهم میکند، احتمالاً تشکیل SOC برای شما مناسبتر است (مثلاً با توجه به اقتصاد مقیاس یا سادگی سلسله مراتب گزارشدهی). در مقابل اگر ساختار سازمان شما غیرمتمرکزتر است یا متمرکزسازی نظارت و سایر عملیات امنیتی برای شما مناسب و سازنده نیست، ممکن است CSIRT بیشتر مناسب شما باشد.
لازم است که با مزایای نسبی هر حالت و نیازهای سازمان خودتان آشنا باشید و بر این اساس گزینه بهینه را برای سازمان انتخاب کنید.
[1] computer security incident response team
[2] computer emergency response team
[3] security operations center
منبع: techtarget