Transcript CERT

1
Computer
Emergency
Response Team
(CERT)
2
‫مقدمه‪:‬‬
‫تامين امنيت اطالعات سازمانها در محيط امروزي كه از شبكه هاي به هم پيوسته تشكيل شده‪،‬‬
‫كاري مشكل است و با ورود هر محصول الكترونيكي و هر ابزار نفوذ اين كار صعب سخت تر نيز مي‬
‫شود‪ .‬اكثر سازمانها متوجه شده اند كه يك راهكار امنيتي واحد براي تامين امنيت سيستمها وجود‬
‫ندارد بلكه بايد از استراتژي امنيتي چند اليه بهره گرفت‪ .‬يكي از اليه هايي كه بيشتر سازمانها در‬
‫استراتژي امنيتي خود در نظر مي گيرند‪ ،‬ايجاد يك تيم براي پاسخگويي به رويداد امنيتي كامپيوتر‬
‫است كه اختصارا [‪ CSIRT]1‬ناميده مي شود‪ .‬البته این تیم نامهای دیگری مانند تیم پاسخگویی‬
‫به فوریتهای کامپیوتری یا ]‪ CERT[2‬نيز دارد اما کارکرد مشابهی دارند که در ادامه به آن خواهیم‬
‫پرداخت‪.‬‬
‫‪Computer Security Incident Response Team‬‬
‫‪Computer Emergency Response Team‬‬
‫]‪[1‬‬
‫]‪[2‬‬
‫‪3‬‬
‫گزارش آماری‬
‫در دههی گذشته گسترش بدافزارها روند شتابانی داشته است‪ .‬بنا به گزارشهای‬
‫ارایه شده از سوی آزمایشگاههای تحقیقاتی و نیز تولید کنندگان مطرح ضدبدافزار‪،‬‬
‫در چهارماهه پایانی سال ‪ 2012‬میالدی به طور متوسط روزانه چهارصد هزار‬
‫نمونهی جدید بدافزار در سطح جهان مشاهده گردیدهاست‪ .‬این بدافزارها با اهداف‬
‫گوناگون تجاری و سیاسی منتشر میگردند‪ .‬بر پایهی اطالعات منتشر شده دستهی‬
‫بسیار مهمی از این ابزارها به شکل سازماندهی شده مشغول انجام حمالت هدفدار‬
‫میباشند‪ .‬به این معنی که با گرفتن دستور از فرماندهان خود دست به اقدامات‬
‫مخرب بر روی سامانههای قربانی‬
‫میزنند‪.‬‬
‫‪4‬‬
‫گزارشات آماری‬
‫‪5‬‬
‫گزارشات آماری‬
‫روش های حمله‪2012‬‬
‫‪6‬‬
‫گزارشات آماری‬
Top-Level Domains Used by Malware
7
‫گزارشات آماری‬
Geo-Location of IP Addresses Used by Malware
8
‫گزارشات آماری‬
Observed Spam Themes (October-December 2012)
9
‫تعريف ‪CERT/CSIRT‬‬
‫واحد خدماتی است که مسئول دریافت‪ ،‬مرور و پاسخگویی به گزارشات ارسالی و فعالیتهای‬
‫مربوط به مشکالت و رخدادهای کامپیوتری است‪ .‬سرویس های این واحد معموال برای‬
‫محدوده مشخص ی تعریف می شود که می تواند یک شرکت‪ ،‬اداره دولتی‪ ،‬سازمان آموزش ی‪،‬‬
‫یک منطقه یا کشور باشد‪.‬‬
‫‪10‬‬
CERT ‫اسامی مختلف‬
11
CSIRT
Computer Security Incident Response Team
CSIRC
Computer Security Incident Response Capability
CIRC
Computer Incident Response Capability
CIRT
Computer Incident Response Team
IHT
Incident Handling Team
IRC
Incident Response Center or Incident Response
Capability
IRT
Incident Response Team
SERT
Security Emergency Response Team
CERT
Computer Emergency Response Team
SIRT
Security Incident Response Team
‫تیم پاسخگویی به رخداد امنیتی کامپیوتری‬
‫توانایی پاسخگویی به رخداد امنیتی کامپیوتری‬
‫توانایی پاسخگویی به رخداد کامپیوتری‬
‫تیم پاسخگویی به رخداد کامپیوتری‬
‫تیم رسیدگی به رويداد‬
‫مرکززز پاسززخگویی بززه رخززداد یززا توانززایی پاسززخگویی بززه‬
‫رخداد‬
‫تیم پاسخگویی به رخداد‬
‫تیم پاسخگویی به فوریت های امنیتی‬
‫تیم پاسخگویی به فوریت های کامپیوتری‬
‫تیم پاسخگویی به رخداد امنیتی‬
‫اسامی مختلف ‪ CERT‬در داخل کشور‬
‫• ماهر‪ :‬مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای‬
‫• گوهر‪ :‬گروه واکنش هماهنگ رخداد‬
‫• مهار‪ :‬مرکز هماهنگی امداد رایانه ای‬
‫• آپا‪ :‬آگاهی رسانی‪ ،‬پشتیبانی و امداد‬
‫‪12‬‬
‫تاریخچه ايجاد ‪CERT‬‬
‫تاریخچه ايجاد ‪CERT‬‬
‫‪‬انگيزه اصلی برای ایجاد اولين ‪ ، CSIRT‬انتشار کرم موریس در سال ‪1988‬‬
‫‪ ‬این کرم توسط یک دانشجوی ‪ 23‬ساله نوشته شده بود‪.‬‬
‫‪‬با استفاده از حفره های امنیتی مختلف از یک کامپیوتر به کامپیوتردیگر منتشر می کرد‪.‬‬
‫‪‬بنابر مستندات تاریخی در آن زمان حدود ‪ 60000‬تا ‪ 80000‬سیستم بر روی شبکه اینترنت‬
‫وجود داشت (این شبکه آرپانت نام داشت) و ‪ 10‬درصد آن دستگاهها توسط این کرم آلوده‬
‫شدند‬
‫‪‬مشکل اصلی آن بود که بسیاری از سیستمهایی که آلوده شده بودند‪ ،‬رله ایمیل و سرورهای‬
‫زیرساخت اصلی اینترنت بودند‬
‫تاریخچه ايجاد ‪( CERT‬ادامه)‬
‫‪Forum of Incident Response and Security Teams:first‬‬
‫در آگوست سال ‪ 1989‬کارگاهی توسط ‪ CERT/CC‬برگزار شد تا عالوه بر بررس ی فعالیتهای گذشته‪ ،‬به گامهای آتی در‬
‫هماهنگ کردن ارتباط بين تیمها بپردازد‪ .‬این نقطه سرآغازی بود بر کنفرانسهای ساالنه ای که در حال حاضر به عنوان انجمن‬
‫تیمهای امنیتی و پاسخگویی رويدادیا‬
‫‪FIRST‬شناخته می شود‪ .‬در نوامبر سال ‪ 11 ، 1990‬گروه‪ ،‬انجمن تیمهای امنیتی و‬
‫پاسخگویی رويداد ( ‪ )FIRST‬را تاسیس نمودند‪ .‬در آن زمان شبکه اینترنت حدود ‪ 340‬هزار ميزبان داشت‪ FIRST.‬ابتدا‬
‫یک شبکه از اعضای ثبت شده است که هریک ‪ CSIRT‬یا یک تیم امنیتی هستند‪ .‬اعضا به صورت داوطلبانه با یکدیگر کار‬
‫می کنند و بر روی جلوگيری از رويداد‪ ،‬اشتراک اطالعات‪ ،‬اشتراک تحلیل حفره های امنیتی و هماهنگی فعالیتهای پاسخگویی در‬
‫زمان بروز یک حادثه امنیتی تمرکز می کنند‪ .‬اطالعات بیشتر درباره این انجمن را می توان در سایت آن به نشانی‬
‫‪ www.first.org‬یافت‪.‬‬
‫‪15‬‬
‫ورود ‪ CERT‬به اروپا‬
‫‪ ‬تاسيس اولين‪ CSIRT‬اروپایی در فرانسه و در شبکه تحلیل‬
‫فيزیک فضا یا]‪SPAN[1‬‬
‫‪‬ايجادمرکز هماهنگی اروپایی با نام ‪EuroCERT‬‬
‫‪Space Physics Analysis Network‬‬
‫]‪[1‬‬
‫‪16‬‬
‫منطقه آسیای پاسیفیک‬
‫‪‬اولين ‪ CSIRT‬شناخته شده متعلق به کشور استرالیاست که‬
‫‪ AusCERT‬نام دارد‬
‫‪‬نمونه های ديگري از این تیمها می توان‬
‫‪ CERTCC-KR ‬در کشور کره‪،‬‬
‫‪ JPCERT/CC ‬در کشور ژاپن‬
‫‪ SingCERT ‬در کشور سنگاپور اشاره کرد که از اولين تیمها در منطقه‬
‫آسیا پاسیفیک بودند‬
‫‪‬تشكيل گروه كاري جديد به نام ‪ APCERT‬در سال ‪2003‬‬
‫‪ Cert : OIC-CERT‬كشورهاي اسالمي‬
‫‪17‬‬
‫تیم پاسخگویی به فوریتهای کامپیوتری ایران ( ‪) IRCERT‬‬
‫•اينترنت در اوايل دهه هفتاد وارد ايران شد‪.‬‬
‫•در دهه هشتاد ايجاد يك ‪CERT‬ملي در دستور كار قرار گرفت‬
‫•داليل اين كار‪:‬‬
‫‪ 29‬مرداد ‪ 180 - 1381‬سايت ايراني‪ ،‬يكجا هك شدند‪.‬‬
‫‪ 11‬آذر ‪ -1381‬بيش از ‪ 200‬سايزت ايراني توسط يك ايراني هک شدند‪.‬‬
‫‪ 8‬دي ‪ - 1381‬سايتهايي كه از خدمات يك شركت ارائه دهنده سرويس ميزباني‬
‫وب استفاده ميكردند‪ ،‬به وسيله يك گروه نفوذگر هك شده اند‪.‬‬
‫‪18‬‬
‫تعداد و انواع تیمهای ‪CSIRT‬‬
‫توزيع تيمهاي پاسخگويي به رخداد در سراسر دنيا‬
‫‪19‬‬
CSIRT ‫رشد تیمهای‬
Growth in CSIRTs
20
‫مزایای ایجاد ٍ‪CERT‬‬
‫• دارابودن واحدی متمرکز براي موارد امنيتي فناوري اطالعات سازمان ها‬
‫• پاسخگويي متمرکز و تخصص ي به مسائل امنيتی در زمانهاي بحراني‬
‫• آگاهي به مسائل حقوقي مرتبط در هنگام دادخواهيهای حقوقی‬
‫• همکاري با مراکز ‪ cert‬و اطالعرساني همزمان به مراکزدر زمينه امنيت فناوري اطالعات‬
‫‪21‬‬
‫اهداف ‪CSIRT‬‬
‫اهداف مد نظر درپروژه های ایجاد مراکز‪CSIRT‬به شرح ذیل می باشد‪:‬‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫افزايش آگاهي و شناخت نسبت به پديدههاي مرتبط با افتا؛‬
‫افزايش قدرت تشخيص تهديدات‪ ،‬وقايع نامطلوب‪ ،‬عوامل و راههاي مواجهه؛‬
‫افزايش قدرت پيشبيني وقايع نامطلوب؛‬
‫افزايش آمادگي عناصر موجود در فضاي فتا براي واكنش در مقابل وقايع؛‬
‫كاهش زمان واكنش به وقايع؛‬
‫افزايش توان و كيفيت واكنش به وقايع؛‬
‫كاهش خسارات وارده؛‬
‫افزايش طيف حمايتها از افراد درگير در وقايع‬
‫افزايش كيفيت خدمات در حوزه افتا‪.‬‬
‫‪22‬‬
‫وظایفديگر مراکز ‪CSIRT‬‬
‫‪‬ارزيابي امنيتي منابع فضاي تبادل اطالعات‬
‫‪‬تحليل آسيبپذيريهاي امنيتي‬
‫‪‬آموزش و فرهنگسازي در حوزه امنيت‬
‫‪‬پيشبيني تمهيدات الزم جهت آمادهسازي‪ ،‬امنسازي و ايمنسازي‬
‫‪‬رصد و تشخيص نفوذ‬
‫‪‬اعالم هشدار‬
‫‪‬امداد و هماهنگيهاي الزم براي واكنش به وقايع‬
‫‪‬آگاهيرساني (زمان واقعه و عمومي)‬
‫‪‬انتشار اخبار‬
‫‪‬ترميم و بازسازي‬
‫‪‬ارزيابي و تحليل حوادث و امدادها‬
‫‪‬کمک در رسيدگي به جرايم فتا يا در حوزه فتا‬
‫‪23‬‬
Information Flow
‫امتیاز ‪ CERT‬نسبت به سایر نهادهای امنیتی‬
‫ورودی های ‪CERT‬‬
‫•‪ CERT‬به عنوان منبع داده های معتبر درباره مخاطرات و عنصر اصلی و کلیدی در کاهش‬
‫مخاطرات به حساب می آید‪.‬‬
‫•‪ CERT‬می تواند تصویری کامل از وضعیت امنیتی سازمان را ارائه نماید ‪.‬‬
‫•‪ CERT‬می تواند با اتکا به داشته های خود ارتباط بين حوادثی را که در ظاهر مرتبط نیستند‪،‬‬
‫کشف کند ‪.‬‬
‫‪CERT‬‬
‫‪25‬‬
CSIRT ‫سلسله مراتب‬
CSIRT (Computer Security Incident Response Team )
26
www.Certcc.ir
‫چرخه کار در مراکز ‪CSIRT‬‬
‫ارزيابي وضعيت کنونی کاربران‬
‫جمع آوري اطالعات آسيب پذيري‬
‫ها‬
‫تحليل اطالعات و ارزيابي ريسک‬
‫کنترل و مديريت حوادث‬
‫ايجاد هشدار ‪ ،‬اخطار و اطالع‬
‫رساني و ارائه خدمات مشاوره‬
‫‪27‬‬
‫ساختار سازماني ‪CSIRT‬‬
‫• تقسيم بندي بر اساس حوزه عمليات‬
‫• تقسيم بندي بر اساس هدف يا سرويس‬
‫• تقسيم بندي بر اساس ساختار و مدل سازماني‬
‫‪28‬‬
‫ماموريت‬
‫ماموريت استاندارد واحدي براي اكثر تيمهاي ‪ csirt‬تعريف نشده است‬
‫‪.‬‬
‫اكثر اين بيانيه ها به موارد زير اشاره دارد‪:‬‬
‫•آگاهيرساني‪ ،‬فرهنگسازي و آموزش در مورد مسائل افتا؛‬
‫•پيشگيري‪ ،‬ايجاد آمادگی‪ ،‬ايمنسازي بسترها و مولفهها؛‬
‫•ارزيابي امنيتي و تحليل آسيبپذيريها؛‬
‫•رصد و تشخيص نفوذ؛‬
‫•هشدار و آگاهيرساني در مورد وقايع؛‬
‫•امداد؛‬
‫•ترميم و بازسازي؛‬
‫•کمک در رسيدگي به جرايم فتا؛‬
‫•تحليل حوادث و امدادها‬
‫‪29‬‬
‫بیانیه ماموريت‬
‫بز ز زراي شناس ز ززايي و ت ز ززدوين ماموري ز ززت‪ ،‬اه ز ززداف و وظ ز ززايف گ ز ززروه واك ز ززنش‬
‫هماهنگ رخداد (گوهر)‪ ،‬مراحل زير بايد اجرا شود‪:‬‬
‫•شناسايي منابع مرتبط؛‬
‫•پيمايش اسناد باالدستي و تبيين بيانيهها‬
‫‪30‬‬
‫محل استقرار تيم ‪ CSIRT‬در سازمان‬
‫جایگاه استانداردی برای تیم های گوهر وجود ندارد‪:‬‬
‫• برخی تیم ها بخش ی از واحد ‪IT‬‬
‫• برخی دیگر بخش ی از حراست و یا در کنار آن ها‬
‫• واحد مستقل‬
‫‪31‬‬
‫ميزان اختیار تیم‬
‫میزان اختیار نشان دهنده کنترلی است که تیم بر فعالیتهای خود و حوزه عمل خود در‬
‫رابطه با امنیت کامپیوتر و پاسخگویی رویداد دارد‪.‬‬
‫اختيارات تيم به سه سطح تقسيم مي شود‪.‬‬
‫‪‬اختيار كامل‪:‬مستقيم به مدير شبكه دستور قطع شبكه ميدهد‬
‫‪‬اختيار اشتراكي‪:‬در تصميمات مشاركت ميكند ولي تصميم گیر نيست‬
‫‪‬بدون اختيار‪:‬در قالب مشاور به سازمان فعاليت ميكند‪ CERT/CC .‬تيمي است كه‬
‫هيچ اختياري بر حوزه عمل خود كه اينترنت است ندارد‬
‫‪32‬‬
‫خدمات قابل ارائه توسط مراکز ‪CSIRT‬‬
‫خدمات به سه دسته اصلی تقسیم می شوند ‪:‬‬
‫‪ ‬خدمات پيشگیرانه ‪:‬‬
‫پيشگيري از حوادث از طريق آموزش و اطالع رساني‬
‫‪ ‬خدمات واكنش ي ‪:‬‬
‫اعمال کنترل حوادث و کاهش صدمات‬
‫‪ ‬خدمات مدیریت کیفیت امنیت ‪:‬‬
‫شامل اهداف بلند مدت جهت بهبود و توسعه سیستم‬
‫مانند ‪ :‬سنجش دوره های آموزش و مشاوره‬
‫‪33‬‬
‫خدمات قابل ارائه توسط مراکز ‪(CSIRT‬ادامه)‬
‫خدمات واکنشي‬
‫•‬
‫•‬
‫•‬
‫•‬
‫اعالم اخطار و هشدار‬
‫رسيدگي به رخداد‬
‫–تحليل رخداد‬
‫–پاسخگويي به رخداد در محل‬
‫–پشتيباني پاسخگويي به رخداد‬
‫–هماهنگي پاسخگويي به رخداد‬
‫مديريت آسيب پذيريها‬
‫–تحليل آسيب پذيريها‬
‫–پاسخگويي به آسيب پذيريها‬
‫–هماهنگي پاسخگويي‬
‫آسيبپذيريها‬
‫مديريت آثار باقيمانده از حمله‬
‫–تحليل آثار باقيمانده از حمله‬
‫–پاسخگويي آثار باقيمانده از حمله‬
‫–هماهنگي پاسخگويي به آثار‬
‫باقيمانده از حمله‬
‫خدمات پيشگيرانه‬
‫مديريت کيفيت امنيت‬
‫• تحليل ريسک‬
‫• اعالن‬
‫• طرح استمرار کسب و کار و پشتيباني از‬
‫• مشاهده و بررس ي تكنولوژي‬
‫حوادث‬
‫• بررس ي و ارزيابي امنيتي‬
‫• پيکربندي و نگهداري ابزارها‪ ،‬برنامه • مشاوره امنيتي‬
‫هاي كاربردي‪ ،‬زيرساختها و سرويسهاي • آگاه سازي‬
‫• آموزش‬
‫امنيتي‬
‫• ارزيابي امنيتي و تاييد محصوالت‬
‫• توسعه ي ابزار امنيتي‬
‫• سرويس هاي تشخيص نفوذ‬
‫• انتشار اطالعات مرتبط با امنيت‬
‫‪34‬‬
‫استانداردهاي امنيتي در مراكز ‪( CERT‬ادامه)‬
‫‪ ‬تعاريف حوادث و رخدادهاي امنیت اطالعات و مدیریت آنها‬
‫‪ ‬امنيت فیزيكي مركز ‪CERT‬‬
‫‪ ‬امنيت تجهیزات پردازش اطالعات‬
‫‪ ‬همکاری با دیگر تیمها‬
‫‪ ‬سياست ها و قوانین ملي‪ ،‬سازماني‬
‫‪35‬‬
‫تقسيم بندي بر اساس ساختار و مدل سازماني‬
‫تمركز اصلي اين بخش‪ ،‬مدل سازماني يا ساختار عملياتي اين تيم است‪.‬‬
‫‪ .1‬تيم امنيتي‬
‫‪ CSIRT .2‬توزيع شده داخلي‬
‫‪ CSIRT .3‬متمركز داخلي‬
‫‪ CSIRT .4‬تركيبي متمركز و توزيع شده داخلي‬
‫‪ CSIRT .5‬هماهنگ كننده‬
‫‪36‬‬
‫گامهای تشکیل ‪CERT‬‬
‫‪.A‬‬
‫‪.B‬‬
‫‪.C‬‬
‫‪.D‬‬
‫‪.E‬‬
‫‪.F‬‬
‫‪.G‬‬
‫‪.H‬‬
‫‪.I‬‬
‫‪.J‬‬
‫‪.K‬‬
‫‪.L‬‬
‫‪.M‬‬
‫‪.N‬‬
‫‪.O‬‬
‫‪.P‬‬
‫‪.Q‬‬
‫‪.R‬‬
‫شناسايي ذينفعان و مشاركت كنندگان‬
‫اخذ تایید حمایتی مدیریت درخصوص ایجاد مرکز‬
‫ايجاد طرح پروژه ايجاد مركز‬
‫جمع آوري اطالعات‬
‫شناسايي حوزه عملياتي‬
‫تعريف ماموريت‬
‫تامين بودجه‬
‫تعيين طيف سرويس هاي ارائه شده‬
‫تعيين ساختار گزارش دهي‪ ،‬اختيارات و مدل سازي تيم‬
‫شناسايي منابع الزم براي ايجا مركز‬
‫تعريف واسطها و تعامالت‬
‫تعيين نقشها و وظايف و اختيارات‬
‫مستندسازي گردش كار‬
‫توليد سياستها و روالهاي كاري‬
‫ايجاد برنامه پياده سازي و تعيين بازخوردها‬
‫معرفي رسمي مركز‬
‫تعيين روشهاي ارزيابي كارايي تيم‬
‫ايجاد برنامه پشتيبان‬
‫‪37‬‬
‫مرکز عملیات امنیت شبکه (‪)SOC‬‬
‫مرکز عمليات امنيت‪ ،‬مجموعه اي از ابزارها‪ ،‬فرآيندها و عوامل انساني است که امکان‬
‫مانيتورينگ متمرکز امنيتي شبکه را فراهم نموده و به واسطه اطالع رسانيهاي خودکار حوادث و‬
‫وقايع‪ ،‬توليد گزارشات جزئي و کلي‪ ،‬پاسخدهي خودکار به حوادث و وقايع‪ ،‬رويکردي پيشگيرانه را‬
‫در جهت مديريت ريسزکهاي امنيتي ايجاد خواهد نمود‪.‬‬
‫سطح يكم‪ ،‬نقطه تماس ‪Client‬ها و مسئول پاسخ گويي به اخطارهاي دريافتي از ‪Client‬هاست‪.‬‬
‫سطح دوم‪ ،‬در حقيقت مكمل سطح يكم است و مسئول پاسخگويي به مشكالت پيچيده تر در سيستمهاي امنيتي‬
‫شبكه ميباشد‪.‬‬
‫سطح سوم‪ ،‬در اين سطح كارشناسان ارشد و مشاوران امنيتي شبكه قرار دارند‪.‬‬
‫‪38‬‬
‫چرخه حیات سرویس در مرکز ‪SOC‬‬
‫‪SOC‬‬
‫‪39‬‬
‫تجهیزات در ‪SOC‬‬
‫‪POLLER‬ها‪ .‬تجهيزاتی اند که رویدادهای مربوط به خود را تولید میکنند‪ .‬کلیه تجهيزات امنیتی مانند دیواره آتش‪،‬‬
‫‪ ،IDS/IPS‬آنتیویروس و ‪ UTM‬و تجهيزات غيرامنیتی مانند سوئیچ‪ ،‬روتر‬
‫سنسورها‪ .‬آن دسته از تجهيزاتی که عالوه بر اینکه رویدادهای مربوط به خود را تولید میکنند‪ ،‬قادرند ترافیک شبکه را‬
‫نيز پایش و آناليز کنند‪ .‬صرفآ تجهيزات امنیتی در این گروه قرار دارند‪.‬‬
‫‪Equipment‬‬
‫‪Service‬‬
‫‪Mail‬‬
‫‪NO‬‬
‫‪SENSOR‬‬
‫‪NO‬‬
‫‪POLLER‬‬
‫‪Active‬‬
‫‪1‬‬
‫‪Firewall‬‬
‫‪24‬‬
‫‪Switch L2‬‬
‫‪Directory‬‬
‫‪Internet‬‬
‫‪Anti Virus‬‬
‫‪Paperless‬‬
‫‪Yes‬‬
‫‪1‬‬
‫)‪Switch L3 (3750‬‬
‫‪4‬‬
‫‪Router‬‬
‫‪6‬‬
‫‪Server‬‬
‫‪Domai‬‬
‫‪n‬‬
‫‪Dolat‬‬
‫‪Inte‬‬
‫‪rnet‬‬
‫‪AV‬‬
‫‪Mail‬‬
‫‪P‬‬
‫‪a‬‬
‫‪Contro‬‬
‫‪p‬‬
‫‪ller‬‬
‫‪er‬‬
‫‪le‬‬
‫‪ss‬‬
‫‪40‬‬
‫چارچوب مركز عمليات امنيت‬:MSSP
‫استاندارها و نمونه هاي برتر‬
‫پورتال‬
(ITIL, BS7799/ISO17799,
SANS, CERT)
(Operational Reporting,
Advisories)
‫ارائه خدمات ويندوز‬
(24x7, 8x5, 12x7 )
MSSP SOC
‫مركز رشد امنيت‬
(Test bed, Technology
Innovation, Knowledge Mgmt.,
Trainings )
‫مديريت برنامه‬
(Customer interface,
Escalation mgmt., Strategic
assistance, Operational
supervision, quality control)
(Helpdesk, Monitoring, Mgmt.,
Configuration,
Automation/Workflow)
‫پايگاه دانش‬
(Incident & Problem Mgmt.,
Testing, Product evaluation)
‫مديريت زيرساخت‬
‫مديريت امنيت‬
‫نظارت تجهيزات‬
‫مانيتورينگ امنيت‬
‫نیروي انساني‬
‫تغييرات امنيت‬
(cross skilling, rotation,
training, ramp-up and scale
down)
(‫كارايي‬,
‫)مانيتورينگ حوادث‬
‫عمليات تجهيزات‬
(‫ تغيير‬،‫ پيكربندي‬، ‫)نصب‬
‫مدل هاي عملياتي‬
‫ابزار‬
‫مشاوره امنيت‬
‫مديريت حوادث‬
(SOC and ODC)
‫گزارش دهي‬
‫ارائه خدمات‬
(Onsite, Near Shore and
Offshore)
‫نحوه ارتباط بين ‪SOC‬و‪CERT‬‬
‫ارتباط بين مرکز ‪ SOC‬و مرکز‪ ،CERT‬مطابق با شکل ‪-‬در سه مرحله خالصه می‪-‬‬
‫شود‪:‬‬
‫‪42‬‬
‫تفاوت ‪CERT‬و‪SOC‬‬
‫‪ ‬مرکز ‪ SOC‬براساس شواهد و مدارک دریافتی از تجهيزات شبکه‬
‫(‪ sensor‬و ‪ ،)poller‬قادر به کشف و طبقهبندی رویدادها‪ ،‬حوادث‬
‫و مشکالت است؛‬
‫‪ ‬مرکز ‪ ،CERT‬طبق اعالنهای رسیده از طرف کاربران شبکه‪،‬‬
‫ذینفعان‪ ،‬تهدیدات نوظهور و آسیبپذیریهای مرتبط‪ ،‬به دنبال ارائه‬
‫راهکار برای مقابله با چنين تهدیدات و در نهایت اطالعرسانی به کلیه‬
‫سازمانهای ذینفع میباشد‪.‬‬
‫‪43‬‬
‫تعريف سرویس های امنیت مدیریت شده‬
‫سرویس های امنیت مدیریت شده (‪) Managed Security Services‬‬
‫عبارت است از روش ی است نظاممند برای مدیریت پاسخ به نیازهای امنیت‬
‫سازمانی ‪.‬این خدمات می تواند به صورت درون سازمانی انجام شود یا به‬
‫بنگاههای تامين خدمات امنیت اطالعات برون سپاری گردد‪.‬‬
‫‪44‬‬
‫خدمات ‪MSSP‬‬
‫از جمله سرویس های امنیت مدیریت شده می توان به موارد زیر اشاره کرد‪:‬‬
‫• خدمات مدیریت شده برای فایروالها‪ ،‬سیستمهای تشخیص نفوذ (‪ )IDS‬و شبکه های‬
‫خصوص ی مجازی (‪)VPN‬‬
‫• پایش و رصد وضعیت امنیت شبکه ها و سیستم ها‬
‫• مدیریت رخدادهای امنیتی شامل پاسخگویی به فوریتها و تحلیل جرم شناس ی‬
‫• ارزیابی آسیب پذیری و تست نفوذ پذیری‬
‫• ارزیابی مخاطرات امنیت اطالعات‬
‫• تحلیل های راهبردی‪ ،‬پیش بینی روندها و پیشنهاد تغیير در معماری یا تدوین طرح های‬
‫جدید معماری ساختاری یا امنیتی‬
‫‪45‬‬
‫داليل استفاده از ‪MSSP‬‬
‫• امنيت هسته اصلي كسب و كار برخي سازمان ها نمي باشد‪.‬‬
‫• سازمان نياز به حفاظت بيشتري براي خنثي كردن حمالت دارند زيرا حمالت‬
‫پيچيده‪ ،‬نياز به زمان و تالش بيشتري دارد‪.‬‬
‫• سازمان مي خواهند مهارت بيشتر و كاهش هزينه را داشته باشند زيرا پرسنل‬
‫متخصص در زمينه امنيت شبكه هزينه بااليي دارند و اين از نظر اقتصادي‬
‫براي همه شركت ها مناسب نيست‪.‬‬
‫• سازمان ها نياز به پوشش ‪24‬ساعته در ‪ 7‬روز هفته مي باشند و اين نياز با‬
‫محدوديت منابع در سازمان ها امكانپذير نمي باشد‪.‬‬
‫‪46‬‬
‫سرويس هاي ‪ MSSP‬بر اساس مديريت ريسك ‪IT‬‬
‫مانيتورينگ و‬
‫تحليل‬
‫كاهش ريسك‬
‫تحليل پيامد و تعيین‬
‫ريسك‬
‫شناسايي تهديدات و‬
‫آسيب پذيري ها‬
‫‪‬ارزیابی آسیب پذیري‬
‫‪‬تست نفوذ‬
‫‪ ‬سرویس ارزیابی زیرساخت‬
‫‪‬تعيین کنترل هاي امنیتي پيشنهادي‬
‫‪‬پیاده سازی کنترل های امنیتی‬
‫‪‬مدیریت امنیت تجهیزات ( فايروال‪( IPS/IDS،‬‬
‫‪‬کنترل امنیتی كاربر نهايي‬
‫‪‬نظارت ‪ 7*24‬حوادث امنيتي‬
‫‪‬پاسخگويي به حوادث‬
‫‪‬داشبورد ریسک‬
‫‪‬گزارش سازگاري با استاندارهاي امنيتي‬
‫‪47‬‬
‫چارچوب ‪MSS‬‬
‫‪48‬‬
49
‫منابع و مراجع‬
50
1.
2.
3.
4.
http://www.cert.org
http://www.enisa.europa.eu
http://www.first.org
http://www.APCert.org
5.
http://www.Certcc.ir
‫با تشکر از توجه شما‬
‫‪51‬‬