04.CERT Introduction_Rashti
Download
Report
Transcript 04.CERT Introduction_Rashti
گروه پاسخگوی ی به فوریتهای رایانه ای
Computer Emergency Response Team
)(CERT
سیدمحمدرضا رشتی
اسفندماه 1390
www.Certcc.ir
1
گروه پاسخگوی ی به فوریتهای رایانه ای
Computer Emergency Response Team
یک واحد خدماتی که مسئول دریافت ،مرور و پاسخگوی ی به گزارشات ارسالی،
مشکالت و رخدادهای کامپیوتری است.
سرعت در تشخیص ،تحلیل و پاسخگوی ی به مشکل امنیتی ،میزان خطر ،شدت تنش،
گستردگی حوزه تاثیر و هزینه ترمیم ان را کاهش می دهد.
www.Certcc.ir
2
اهداف اصلی از ایجاد CERT
• کمینه و کنترل کردن خسارت
• فراهم اوردن پاسخ و روش ترمیم مناسب
• یافتن روشهای ی برای جلوگیری از رخداد بعدی
www.Certcc.ir
3
)125( اتش نشانی
4
www.Certcc.ir
)125( اتش نشانی
5
www.Certcc.ir
خدمات CERT
سرویسهای پیشگیرانه
سرویسهای واکنشی
سرویسهای
مدیریت کیفی امنیت
اعالم اخطار و هشدار
اعالنها
تحلیل ریسک
رسیدگی به رخداد (تحلیل ,پاسخگوی ی در
محل ,پشتیبانی پاسخگوی ی ,هماهنگی در
پاسخگوی ی)
پایش فناوری
طرح ترمیم خرابی و تداوم کار
بررسی و ارزیابی امنیتی
مشاوره امنیتی
توسعه ابزارهای امنیتی
اگاه سازی
سرویسهای تشخیص نفوذ
اموزش
مدیریت اسیب پذیری (تحلیل ,پاسخگوی ی,
هماهنگی پاسخگوی ی)
انتشار اطالعات مربوط به امنیت
مدیریت اثار باقیمانده از حمله (تحلیل,
پاسخگوی ی ,هماهنگی پاسخگوی ی)
ارزیابی و تایید محصول
پیکربندی و نگهداری ابزارها ,برنامه های
کاربردی ,زیرساختها و سرویسهای امنیتی
www.Certcc.ir
6
امتیاز CERTنسبت به سایر نهادهای امنیتی
ورودی های CERT
• CERTبه عنوان منبع داده های معتبر درباره مخاطرات و عنصر اصلی و کلیدی در کاهش مخاطرات به حساب
می اید.
• CERTمی تواند تصویری کامل از وضعیت امنیتی سازمان را ارائه نماید .
• CERTمی تواند با اتکا به داشته های خود ارتباط بین حوادثی را که در ظاهر مرتبط نیستند ،کشف کند .
CERT
www.Certcc.ir
7
چرا به CERTنیاز داریم؟
ایا بدون ،CERTتدوام فعالیت ممکن نیست؟
• جلوگیری از دوباره کاری و صرفه جوی ی در زمان
• اطمینان از امکان پاسخگوی ی کامل و صحیح در کل حوزه عملیاتی
• اطمینان از امکان تکرار پاسخ کامل و صحیح و عدم وابستگی به یک فرد
CERTقبل ،حین و بعد از بروز یک رخداد ارائه خدمات می کند
www.Certcc.ir
8
مراحل دریافت گزارش رخداد و پاسخگوی ی به ان
در CERT
ایمیل
درخواست اطالعات
جمع اوری
اطالعات تماس و
اگاهی دادن به
سایرین
جمع اوری داده و تحلیل
اولیه
تریاژ
ورودی های دیگر
سیستم
تشخیص
نفوذ
تلفن
گزارش رخداد
گزارش
اسیب پذیری
هماهنگی اطالعات و
پاسخگوی ی
تحلیل فنی
www.Certcc.ir
9
مراحل سطح باالی تشکیل CERT
مبتدی
حرفه ای
مرحله پنجم همکاری
مرحله چهارم
عملیاتی کردن
مرحله سوم
پیاده سازی
www.Certcc.ir
مرحله دوم برنامه
ریزی
مرحله اول اموزش
10
گامهای تشکیل CERT
.A
.B
.C
.D
.E
.F
.G
.H
.I
.J
.K
.L
.M
.N
.O
.P
.Q
.R
شناساي ي ذينفعان و مشاركت كنندگان
اخذ تایید حمایتی مدیریت درخصوص ایجاد مرکز
ايجاد طرح پروژه ايجاد مركز
جمع اوري اطالعات
شناساي ي حوزه عملياتي
تعريف ماموريت
تامين بودجه
تعيين طيف سرويس هاي ارائه شده
تعيين ساختار گزارش دهي ،اختيارات و مدل سازي تيم
شناساي ي منابع الزم براي ايجا مركز
تعريف واسطها و تعامالت
تعيين نقشها و وظايف و اختيارات
مستندسازي گردش كار
توليد سياستها و روالهاي كاري
ايجاد برنامه پياده سازي و تعيين بازخوردها
معرفي رسمي مركز
تعيين روشهاي ارزيابي كاراي ي تيم
ايجاد برنامه پشتيبان
www.Certcc.ir
11
شناسای ی ذینفعان CERT
مدیریت ریسک
منابع انسانی
مشاور حقوقی
حراست
بازرسی
نمایندگان حوزه عملیانی
CERT
فناوری اطالعات
مدیریت بازرگانی
روابط عمومی
مخابرات
www.Certcc.ir
12
کسب پشتیبانی مدیریت
•
•
•
•
ایجاد ،CERTپروژه ای زمان بر است.
جمع اوری اطالعات برای این پروژه از اهمیت به سزای ی برخوردار است.
ایجاد و بهره برداری از CERTهزینه زیادی می طلبد.
نیاز به جابجای ی و انتقال نیروها جهت استقرار در تیم وجود خواهد داشت.
www.Certcc.ir
13
تصمیم گیری درباره ساختار گزارش دهی،
اختیارات و مدل سازمانی
• تصمیم گیری درباره میزان اختیار تیم
• تصمیم گیری درباره محل قرار گرفتن تیم در سازمان.
• ایجاد چارت سازمانی تیم
www.Certcc.ir
14
انتخاب اعضای CERT
ترکیب و تعداد اعضای تیم در گروههای مختلف متفاوت است و به پارامترهای مختلفی بستگی دارد؛ ازجمله:
• اهداف ان تیم
• طیف سرویسهای ارائه شده
• متخصصین در دسترس و موجود
• اندازه حوزه کاری و تکنولوژی پایه ان
• بار و حجم رخدادهای پیش بینی شده
• پیچیدگی گزارشهای رخدادها
• بودجه
www.Certcc.ir
15
انتخاب اعضای CERT
مهارتهای مورد نیاز
•
•
•
مهارتهای فردی
مهارتهای پایه فنی
مهارتهای رسیدگی به رخداد
www.Certcc.ir
16
انتخاب اعضای CERT
جایگاه نفرات
•
•
•
•
•
مدیر یا هماهنگ کننده
افراد فنی (مدیر رخداد یا تحلیلگر حفره امنیتی یا اثار باقیمانده از نفوذ)
اولین پاسخگویان
کارشناسان خبره
سایر نیروهای پشتیبانی حرفه ای یا اداری
www.Certcc.ir
17
مهمترین عامل موفقیت
• کسب مقبولیت یک تیم در حوزه فعالیت خود با کیفیت محصوالت و خدماتی که ارائه می کند ،ممکن می
شود اما نیازمند زمان است.
• یک تیم بوسیله اعتبار خود زنده می ماند و یا می میرد .اگر حوزه ای که تیم در ان فعالیت می کند به ان بی
اعتماد شود موفقیت برای او غیر ممکن خواهد بود.
• قابلیت اعتماد مهمترین عامل موفقیت است.
www.Certcc.ir
18
CERT اسامی مختلف
19
CSIRT
Computer Security Incident Response Team
CSIRC
Computer Security Incident Response Capability
CIRC
Computer Incident Response Capability
CIRT
Computer Incident Response Team
IHT
Incident Handling Team
IRC
Incident Response Center or Incident Response
Capability
IRT
Incident Response Team
SERT
Security Emergency Response Team
CERT
Computer Emergency Response Team
SIRT
Security Incident Response Team
تیم پاسخگوی ی به رخداد امنیتی کامپیوتری
توانای ی پاسخگوی ی به رخداد امنیتی کامپیوتری
توانای ی پاسخگوی ی به رخداد کامپیوتری
تیم پاسخگوی ی به رخداد کامپیوتری
تیم رسیدگی به رويداد
مرکز پاسخگوی ی به رخداد یا توانای ی پاسخگوی ی به رخداد
تیم پاسخگوی ی به رخداد
www.Certcc.ir
تیم پاسخگوی ی به فوریت های امنیتی
تیم پاسخگوی ی به فوریت های کامپیوتری
تیم پاسخگوی ی به رخداد امنیتی
اسامی مختلف CERTدر داخل کشور
• ماهر :مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای
• گوهر :گروه واکنش هماهنگ رخداد
• مهار :مرکز هماهنگی امداد رایانه ای
• اپا :اگاهی رسانی ،پشتیبانی و امداد
www.Certcc.ir
20
21
www.Certcc.ir