آشنایی با معنا و تفاوت سه اصطلاح CERT، CSIRT و SOC

آشنایی با اصطلاحات مهم است چون استفاده نادرست از آنها باعث ایجاد سوءتفاهم در درک توضیحات و ایجاد ابهام برای تیم واکنش به حادثه می‌شود.

CERT ،CSIRT ،CIRT و SOC از جمله اصطلاحاتی هستند که در حوزه واکنش به حادثه زیاد به گوش می‌خورند. سه عبارت اول به عنوان مترادف هم و برای توصیف تیم‌هایی به کار می‌روند که متمرکز بر واکنش به حادثه هستند. SOC نیز کاربرد وسیع‌تری در حوزه امنیت و امنیت سایبری دارد.

در این مطلب نگاهی دقیق‌تر به این اصطلاحات داریم.

CERT، CSIRT و CIRT مخفف چه کلماتی هستند؟

ابتدا اصطلاحاتی را که رایج‌ترین مدل‌های سازمانی تیم‌های واکنش به حادثه شرح می‌دهند را مورد بررسی قرار می‌دهیم. البته دقت کنید اینکه مثلاً دو سازمان به تیم واکنش خودشان CSIRT می‌گویند، به این معنا نیست که هر دو تیم اهداف یا روش‌های مشابهی دارند یا با یک تعریف ایده‌آل‌سازی شده همخوانی دارند.

CSIRT[1] مخفف تیم واکنش به حوادث امنیتی کامپیوتری است. CERT[2] مخفف تیم واکنش (یا آمادگی) برای شرایط اضطراری کامپیوتری است. CIRT هم می‌تواند مخفف تیم واکنش به حوادث کامپیوتری یا تیم واکنش به حوادث امنیت سایبری باشد (که حالت اول رایج‌تر است). از CSIRT، CERT و CIRT معمولاً به جای یکدیگر استفاده می‌شود. در واقع، CSIRT و CIRT تقریباً معادل و مترادف هم هستند. ممکن است یک سازمان بر اساس سبک یا زبان خاص خودش یا تفاوت‌های جزئی در محدوده سازمانی، یکی از این موارد را ترجیح دهد.

CERT چیست؟

اگرچه سازمان‌ها معمولاً از این اصطلاح به صورت عمومی استفاده می‌کنند اما از سال 1997 نشان تجاری آن برای دانشگاه کارنگی ثبت شد. شرکت‌ها می‌توانند درخواست استفاده از نشان تجاری CERT را ثبت کنند. شرکت‌هایی که این درخواست را ثبت نکنند اجازه استفاده از این اصطلاح را در نام خدمات مشاوره یا به عنوان ارائه‌دهنده خدمات امنیتی مدیریت شده ندارند. بنابراین اگر سازمانی قصد استفاده از اصطلاح CERT به عنوان بخشی از نام تیم واکنش خودش را دارد، بهتر است که در این رابطه با یک مشاور حقوقی گفتگو کند.

یکی از چالش‌های استفاده از CERT به عنوان نام، احتمال گیج‌کننده بودن آن است. مثلاً ممکن است تصور شود که از CERT به عنوان مترادف CSIRT استفاده شده یا اینکه سازمان سعی در انتقال مفهومی متفاوت دارد. با توجه به شرایط، احتمال صحیح بودن هر دو حالت وجود دارد.

اصطلاح CERT مورد استفاده دانشگاه کارنگی ملون تمرکز و حوزه خاصی دارد و به عنوان یک همکار با نهادهای دولتی، صنعتی، مجریان قانون و دانشگاه عمل می‌کند تا امنیت و مقاومت شبکه‌ها و سیستم‌های کامپیوتری را تقویت کند. استفاده از این اصطلاح به معنای مطالعه درباره مسائلی با پیامدهای امنیتی گسترده‌ و طراحی ابزارها و روش‌های پیشرفته‌ است.

برخی سازمان‌ها این موضوع را در شیوه استفاده از این اصطلاح منعکس می‌کنند. به عبارتی این سازمان‌ها از CERT استفاده می‌کنند تا نشان دهند که تمرکز تیم داخلی‌شان نسبت به تمرکز یک CSIRT معمولی متفاوت است. مثلاً ممکن است تیمی که مایل به همکاری با سایر سازمان‌ها یا تیم‌های داخلی یا خارجی است، تمرکز اصلی خود را بر توسعه ابزار و روش‌های پیش‌بینی مشکلات و غیره یا مطالعه تهدیدات نوظهور از جمله اصول تجارت یا روش‌های دشمنان بگزارد. بنابراین کاربرد اصطلاح CERT معمولاً در حوزه ارتقای واکنش به حادثه به عنوان یک رشته است.

همچنین سازمان‌هایی که از CERT استفاده می‌کنند اما از وضعیت CERT به عنوان یک نشان تجاری ثبت شده آگاه نیستند، بیشتر این اصطلاح را به عنوان مترادف CIRT یا CSIRT در نظر می‌گیرند.

تفاوت بین CERT، CSIRT و CIRT چیست؟

ممکن است گروه‌های CERT، CSIRT و CIRT با استفاده از کارمندانی دائم تشکیل شوند یا اینکه بر حسب شرایط و در واکنش به یک رویداد شکل بگیرند. در هر صورت همواره تمرکز این گروه‌ها تقریباً چهار مرحله از واکنش به حادثه است که در «راهنمای رسیدگی به حوادث امنیت کامپیوتری» NIST معرفی شده‌اند:

• آمادگی؛
• تشخیص و تحلیل؛
• مهار، ریشه‌کنی و بازیابی؛
• فعالیت‌های پس از حادثه

 

این مراحل متمرکز بر تشخیص و مهار حوادث امنیتی هستند. همچینن شامل ساختارهای حاکمیتی هستند که یک سازمان با هدف آمادگی جهت مواجهه با حوادث امنیتی از آنها استفاده می‌کند و فعالیت‌های پس از حادثه‌ای که برای هموارسازی تلاش‌های آینده طراحی شده‌اند.

البته یکسری ظرافت در این زمینه وجود دارد. لزوماً هر گروهی در هر سازمانی کارهای مشابهی انجام نمی‌دهد. ممکن است نحوه استفاده برخی تیم‌ها از CSIRT با راهنمای NIST همخوانی داشته باشد اما تغییرات و اصلاحاتی در عملکردشان اعمال کنند. مثلاً یک سازمان نقش CSIRT را متمرکز بر سیاست و دیگری بر مسائل عملیاتی بداند مثل بررسی فایل‌های گزارش و پیگیری فعالیت‌ها در شبکه.

SOC چیست و چه تفاوتی با CSIRT، CERT و CIRT دارد؟

مرکز عملیات امنیتی (SOC[3]) یکی دیگر از اصطلاحات پرکاربرد در حوزه واکنش به حادثه است اما به طور کلی SOC شامل چندین جنبه از عملیات امنیتی است در حالی که CSIRT، CERT و CIRT به طور ویژه متمرکز بر واکنش به حادثه هستند. محدوده عملکرد SOC می‌تواند واکنش به حادثه (کامل یا جزئی) و همچنین فعالیت‌های دیگر را شامل شود. برای مثال، یک SOC می‌تواند:

• عملیات کنترل و نظارت را پوشش دهد (مثل سیستم تشخیص نفوذ، سیستم پیشگیری از تشخیص نفوذ، سیستم مدیریت اطلاعات امنیتی، سیستم مدیریت رویدادهای اطلاعات امنیتی)؛
• نظارت بر عملکرد امنیتی و عملیاتی و گردآوری اطلاعات؛
• مدیریت کارهایی مثل مجوزدهی و مدیریت هویت، نگهداری از مجموعه قوانین فیلترینگ و فایروال (هم نظارت و هم مدیریت تغییرات)، پشتیبانی از تحقیقات و جرم‌شناسی و سایر جنبه‌های امنیت عملیاتی.

 

CSIRT و CERT به طور ویژه متمرکز بر واکنش به حادثه هستند. از این دو اصطلاح معمولاً به عنوان مترادف استفاده می‌شود اما از لحاظ فنی متفاوت هستند. از جمله اینکه اصطلاح CERT به عنوان یک نشان تجاری ثبت شده اما CSIRT معمولاً با یک تیم تجاری دارای عملکرد متقابل سروکار دارد. محدوده عملکرد SOC هم بر خلاف دو مورد اول گسترده‌تر از واکنش به حادثه است و به سایر حوزه‌های امنیت هم گسترش پیدا می‌کند.

تلاش‌های نظارتی SOC فراتر از واکنش به حادثه هستند. ممکن است SOC شاخص‌های آماری لازم برای پشتیبانی از مشتریان یا ارائه خدمات را گردآوری کند (مثلاً در یک ارائه‌دهنده خدمات مدیریت شده) یا احتمال دارد از گزارش‌های مدیریتی پشتیبانی کند مثل آماده‌سازی معیارها و داده‌ها برای حمایت از ارزیابی ریسک یا جهت پشتیبانی از حسابرسی‌ها. اگرچه معمولاً SOC در حوزه واکنش به حادثه فعالیت دارد اما تقریباً همیشه سایر حوزه‌های امنیت را هم پوشش می‌دهد. همچنین کاربرد و هدف عملیاتی SOC گسترده‌تر از CSIRT یا CIRT است. اگر در سازمانی یک SOC وجود داشته باشد، احتمالاً واکنش به حادثه جزو مسئولیت‌های این بخش خواهد بود. همچنان جزئیات این مسئولیت‌ها و تعریف‌ها بستگی به سازمان مد نظر دارد.

CERT/CSIRT/CIRT یا SOC، کدامیک را پیاده‌سازی کنیم؟

سازمان‌ها با داشتن درکی واضح از این اصطلاحات می‌توانند تشخیص دهند که چه مدلی از تیم واکنش به حادثه برای آنها مناسب است و چگونه می‌توانند این تیم را تشکیل دهند. این انتخاب باید با توجه به اهداف، ساختار و استفاده از منابع سازمان انجام شود. مثلاً اگر نیاز به نظارت الزامی است و ساختار سازمانی شما بنحوی است که امکان متمرکزسازی این فعالیت‌ها را در یک محل فیزیکی یا منطقی فراهم می‌کند، احتمالاً تشکیل SOC برای شما مناسب‌تر است (مثلاً با توجه به اقتصاد مقیاس یا سادگی سلسله مراتب گزارش‌­­دهی). در مقابل اگر ساختار سازمان شما غیرمتمرکزتر است یا متمرکزسازی نظارت و سایر عملیات امنیتی برای شما مناسب و سازنده نیست، ممکن است CSIRT بیشتر مناسب شما باشد.

لازم است که با مزایای نسبی هر حالت و نیازهای سازمان خودتان آشنا باشید و بر این اساس گزینه بهینه را برای سازمان انتخاب کنید.

[1] computer security incident response team

[2] computer emergency response team

[3] security operations center

منبع: techtarget