Transcript CERT
1
Computer
Emergency
Response Team
(CERT)
2
مقدمه:
تامين امنيت اطالعات سازمانها در محيط امروزي كه از شبكه هاي به هم پيوسته تشكيل شده،
كاري مشكل است و با ورود هر محصول الكترونيكي و هر ابزار نفوذ اين كار صعب سخت تر نيز مي
شود .اكثر سازمانها متوجه شده اند كه يك راهكار امنيتي واحد براي تامين امنيت سيستمها وجود
ندارد بلكه بايد از استراتژي امنيتي چند اليه بهره گرفت .يكي از اليه هايي كه بيشتر سازمانها در
استراتژي امنيتي خود در نظر مي گيرند ،ايجاد يك تيم براي پاسخگويي به رويداد امنيتي كامپيوتر
است كه اختصارا [ CSIRT]1ناميده مي شود .البته این تیم نامهای دیگری مانند تیم پاسخگویی
به فوریتهای کامپیوتری یا ] CERT[2نيز دارد اما کارکرد مشابهی دارند که در ادامه به آن خواهیم
پرداخت.
Computer Security Incident Response Team
Computer Emergency Response Team
][1
][2
3
گزارش آماری
در دههی گذشته گسترش بدافزارها روند شتابانی داشته است .بنا به گزارشهای
ارایه شده از سوی آزمایشگاههای تحقیقاتی و نیز تولید کنندگان مطرح ضدبدافزار،
در چهارماهه پایانی سال 2012میالدی به طور متوسط روزانه چهارصد هزار
نمونهی جدید بدافزار در سطح جهان مشاهده گردیدهاست .این بدافزارها با اهداف
گوناگون تجاری و سیاسی منتشر میگردند .بر پایهی اطالعات منتشر شده دستهی
بسیار مهمی از این ابزارها به شکل سازماندهی شده مشغول انجام حمالت هدفدار
میباشند .به این معنی که با گرفتن دستور از فرماندهان خود دست به اقدامات
مخرب بر روی سامانههای قربانی
میزنند.
4
گزارشات آماری
5
گزارشات آماری
روش های حمله2012
6
گزارشات آماری
Top-Level Domains Used by Malware
7
گزارشات آماری
Geo-Location of IP Addresses Used by Malware
8
گزارشات آماری
Observed Spam Themes (October-December 2012)
9
تعريف CERT/CSIRT
واحد خدماتی است که مسئول دریافت ،مرور و پاسخگویی به گزارشات ارسالی و فعالیتهای
مربوط به مشکالت و رخدادهای کامپیوتری است .سرویس های این واحد معموال برای
محدوده مشخص ی تعریف می شود که می تواند یک شرکت ،اداره دولتی ،سازمان آموزش ی،
یک منطقه یا کشور باشد.
10
CERT اسامی مختلف
11
CSIRT
Computer Security Incident Response Team
CSIRC
Computer Security Incident Response Capability
CIRC
Computer Incident Response Capability
CIRT
Computer Incident Response Team
IHT
Incident Handling Team
IRC
Incident Response Center or Incident Response
Capability
IRT
Incident Response Team
SERT
Security Emergency Response Team
CERT
Computer Emergency Response Team
SIRT
Security Incident Response Team
تیم پاسخگویی به رخداد امنیتی کامپیوتری
توانایی پاسخگویی به رخداد امنیتی کامپیوتری
توانایی پاسخگویی به رخداد کامپیوتری
تیم پاسخگویی به رخداد کامپیوتری
تیم رسیدگی به رويداد
مرکززز پاسززخگویی بززه رخززداد یززا توانززایی پاسززخگویی بززه
رخداد
تیم پاسخگویی به رخداد
تیم پاسخگویی به فوریت های امنیتی
تیم پاسخگویی به فوریت های کامپیوتری
تیم پاسخگویی به رخداد امنیتی
اسامی مختلف CERTدر داخل کشور
• ماهر :مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای
• گوهر :گروه واکنش هماهنگ رخداد
• مهار :مرکز هماهنگی امداد رایانه ای
• آپا :آگاهی رسانی ،پشتیبانی و امداد
12
تاریخچه ايجاد CERT
تاریخچه ايجاد CERT
انگيزه اصلی برای ایجاد اولين ، CSIRTانتشار کرم موریس در سال 1988
این کرم توسط یک دانشجوی 23ساله نوشته شده بود.
با استفاده از حفره های امنیتی مختلف از یک کامپیوتر به کامپیوتردیگر منتشر می کرد.
بنابر مستندات تاریخی در آن زمان حدود 60000تا 80000سیستم بر روی شبکه اینترنت
وجود داشت (این شبکه آرپانت نام داشت) و 10درصد آن دستگاهها توسط این کرم آلوده
شدند
مشکل اصلی آن بود که بسیاری از سیستمهایی که آلوده شده بودند ،رله ایمیل و سرورهای
زیرساخت اصلی اینترنت بودند
تاریخچه ايجاد ( CERTادامه)
Forum of Incident Response and Security Teams:first
در آگوست سال 1989کارگاهی توسط CERT/CCبرگزار شد تا عالوه بر بررس ی فعالیتهای گذشته ،به گامهای آتی در
هماهنگ کردن ارتباط بين تیمها بپردازد .این نقطه سرآغازی بود بر کنفرانسهای ساالنه ای که در حال حاضر به عنوان انجمن
تیمهای امنیتی و پاسخگویی رويدادیا
FIRSTشناخته می شود .در نوامبر سال 11 ، 1990گروه ،انجمن تیمهای امنیتی و
پاسخگویی رويداد ( )FIRSTرا تاسیس نمودند .در آن زمان شبکه اینترنت حدود 340هزار ميزبان داشت FIRST.ابتدا
یک شبکه از اعضای ثبت شده است که هریک CSIRTیا یک تیم امنیتی هستند .اعضا به صورت داوطلبانه با یکدیگر کار
می کنند و بر روی جلوگيری از رويداد ،اشتراک اطالعات ،اشتراک تحلیل حفره های امنیتی و هماهنگی فعالیتهای پاسخگویی در
زمان بروز یک حادثه امنیتی تمرکز می کنند .اطالعات بیشتر درباره این انجمن را می توان در سایت آن به نشانی
www.first.orgیافت.
15
ورود CERTبه اروپا
تاسيس اولين CSIRTاروپایی در فرانسه و در شبکه تحلیل
فيزیک فضا یا]SPAN[1
ايجادمرکز هماهنگی اروپایی با نام EuroCERT
Space Physics Analysis Network
][1
16
منطقه آسیای پاسیفیک
اولين CSIRTشناخته شده متعلق به کشور استرالیاست که
AusCERTنام دارد
نمونه های ديگري از این تیمها می توان
CERTCC-KR در کشور کره،
JPCERT/CC در کشور ژاپن
SingCERT در کشور سنگاپور اشاره کرد که از اولين تیمها در منطقه
آسیا پاسیفیک بودند
تشكيل گروه كاري جديد به نام APCERTدر سال 2003
Cert : OIC-CERTكشورهاي اسالمي
17
تیم پاسخگویی به فوریتهای کامپیوتری ایران ( ) IRCERT
•اينترنت در اوايل دهه هفتاد وارد ايران شد.
•در دهه هشتاد ايجاد يك CERTملي در دستور كار قرار گرفت
•داليل اين كار:
29مرداد 180 - 1381سايت ايراني ،يكجا هك شدند.
11آذر -1381بيش از 200سايزت ايراني توسط يك ايراني هک شدند.
8دي - 1381سايتهايي كه از خدمات يك شركت ارائه دهنده سرويس ميزباني
وب استفاده ميكردند ،به وسيله يك گروه نفوذگر هك شده اند.
18
تعداد و انواع تیمهای CSIRT
توزيع تيمهاي پاسخگويي به رخداد در سراسر دنيا
19
CSIRT رشد تیمهای
Growth in CSIRTs
20
مزایای ایجاد ٍCERT
• دارابودن واحدی متمرکز براي موارد امنيتي فناوري اطالعات سازمان ها
• پاسخگويي متمرکز و تخصص ي به مسائل امنيتی در زمانهاي بحراني
• آگاهي به مسائل حقوقي مرتبط در هنگام دادخواهيهای حقوقی
• همکاري با مراکز certو اطالعرساني همزمان به مراکزدر زمينه امنيت فناوري اطالعات
21
اهداف CSIRT
اهداف مد نظر درپروژه های ایجاد مراکزCSIRTبه شرح ذیل می باشد:
•
•
•
•
•
•
•
•
•
افزايش آگاهي و شناخت نسبت به پديدههاي مرتبط با افتا؛
افزايش قدرت تشخيص تهديدات ،وقايع نامطلوب ،عوامل و راههاي مواجهه؛
افزايش قدرت پيشبيني وقايع نامطلوب؛
افزايش آمادگي عناصر موجود در فضاي فتا براي واكنش در مقابل وقايع؛
كاهش زمان واكنش به وقايع؛
افزايش توان و كيفيت واكنش به وقايع؛
كاهش خسارات وارده؛
افزايش طيف حمايتها از افراد درگير در وقايع
افزايش كيفيت خدمات در حوزه افتا.
22
وظایفديگر مراکز CSIRT
ارزيابي امنيتي منابع فضاي تبادل اطالعات
تحليل آسيبپذيريهاي امنيتي
آموزش و فرهنگسازي در حوزه امنيت
پيشبيني تمهيدات الزم جهت آمادهسازي ،امنسازي و ايمنسازي
رصد و تشخيص نفوذ
اعالم هشدار
امداد و هماهنگيهاي الزم براي واكنش به وقايع
آگاهيرساني (زمان واقعه و عمومي)
انتشار اخبار
ترميم و بازسازي
ارزيابي و تحليل حوادث و امدادها
کمک در رسيدگي به جرايم فتا يا در حوزه فتا
23
Information Flow
امتیاز CERTنسبت به سایر نهادهای امنیتی
ورودی های CERT
• CERTبه عنوان منبع داده های معتبر درباره مخاطرات و عنصر اصلی و کلیدی در کاهش
مخاطرات به حساب می آید.
• CERTمی تواند تصویری کامل از وضعیت امنیتی سازمان را ارائه نماید .
• CERTمی تواند با اتکا به داشته های خود ارتباط بين حوادثی را که در ظاهر مرتبط نیستند،
کشف کند .
CERT
25
CSIRT سلسله مراتب
CSIRT (Computer Security Incident Response Team )
26
www.Certcc.ir
چرخه کار در مراکز CSIRT
ارزيابي وضعيت کنونی کاربران
جمع آوري اطالعات آسيب پذيري
ها
تحليل اطالعات و ارزيابي ريسک
کنترل و مديريت حوادث
ايجاد هشدار ،اخطار و اطالع
رساني و ارائه خدمات مشاوره
27
ساختار سازماني CSIRT
• تقسيم بندي بر اساس حوزه عمليات
• تقسيم بندي بر اساس هدف يا سرويس
• تقسيم بندي بر اساس ساختار و مدل سازماني
28
ماموريت
ماموريت استاندارد واحدي براي اكثر تيمهاي csirtتعريف نشده است
.
اكثر اين بيانيه ها به موارد زير اشاره دارد:
•آگاهيرساني ،فرهنگسازي و آموزش در مورد مسائل افتا؛
•پيشگيري ،ايجاد آمادگی ،ايمنسازي بسترها و مولفهها؛
•ارزيابي امنيتي و تحليل آسيبپذيريها؛
•رصد و تشخيص نفوذ؛
•هشدار و آگاهيرساني در مورد وقايع؛
•امداد؛
•ترميم و بازسازي؛
•کمک در رسيدگي به جرايم فتا؛
•تحليل حوادث و امدادها
29
بیانیه ماموريت
بز ز زراي شناس ز ززايي و ت ز ززدوين ماموري ز ززت ،اه ز ززداف و وظ ز ززايف گ ز ززروه واك ز ززنش
هماهنگ رخداد (گوهر) ،مراحل زير بايد اجرا شود:
•شناسايي منابع مرتبط؛
•پيمايش اسناد باالدستي و تبيين بيانيهها
30
محل استقرار تيم CSIRTدر سازمان
جایگاه استانداردی برای تیم های گوهر وجود ندارد:
• برخی تیم ها بخش ی از واحد IT
• برخی دیگر بخش ی از حراست و یا در کنار آن ها
• واحد مستقل
31
ميزان اختیار تیم
میزان اختیار نشان دهنده کنترلی است که تیم بر فعالیتهای خود و حوزه عمل خود در
رابطه با امنیت کامپیوتر و پاسخگویی رویداد دارد.
اختيارات تيم به سه سطح تقسيم مي شود.
اختيار كامل:مستقيم به مدير شبكه دستور قطع شبكه ميدهد
اختيار اشتراكي:در تصميمات مشاركت ميكند ولي تصميم گیر نيست
بدون اختيار:در قالب مشاور به سازمان فعاليت ميكند CERT/CC .تيمي است كه
هيچ اختياري بر حوزه عمل خود كه اينترنت است ندارد
32
خدمات قابل ارائه توسط مراکز CSIRT
خدمات به سه دسته اصلی تقسیم می شوند :
خدمات پيشگیرانه :
پيشگيري از حوادث از طريق آموزش و اطالع رساني
خدمات واكنش ي :
اعمال کنترل حوادث و کاهش صدمات
خدمات مدیریت کیفیت امنیت :
شامل اهداف بلند مدت جهت بهبود و توسعه سیستم
مانند :سنجش دوره های آموزش و مشاوره
33
خدمات قابل ارائه توسط مراکز (CSIRTادامه)
خدمات واکنشي
•
•
•
•
اعالم اخطار و هشدار
رسيدگي به رخداد
–تحليل رخداد
–پاسخگويي به رخداد در محل
–پشتيباني پاسخگويي به رخداد
–هماهنگي پاسخگويي به رخداد
مديريت آسيب پذيريها
–تحليل آسيب پذيريها
–پاسخگويي به آسيب پذيريها
–هماهنگي پاسخگويي
آسيبپذيريها
مديريت آثار باقيمانده از حمله
–تحليل آثار باقيمانده از حمله
–پاسخگويي آثار باقيمانده از حمله
–هماهنگي پاسخگويي به آثار
باقيمانده از حمله
خدمات پيشگيرانه
مديريت کيفيت امنيت
• تحليل ريسک
• اعالن
• طرح استمرار کسب و کار و پشتيباني از
• مشاهده و بررس ي تكنولوژي
حوادث
• بررس ي و ارزيابي امنيتي
• پيکربندي و نگهداري ابزارها ،برنامه • مشاوره امنيتي
هاي كاربردي ،زيرساختها و سرويسهاي • آگاه سازي
• آموزش
امنيتي
• ارزيابي امنيتي و تاييد محصوالت
• توسعه ي ابزار امنيتي
• سرويس هاي تشخيص نفوذ
• انتشار اطالعات مرتبط با امنيت
34
استانداردهاي امنيتي در مراكز ( CERTادامه)
تعاريف حوادث و رخدادهاي امنیت اطالعات و مدیریت آنها
امنيت فیزيكي مركز CERT
امنيت تجهیزات پردازش اطالعات
همکاری با دیگر تیمها
سياست ها و قوانین ملي ،سازماني
35
تقسيم بندي بر اساس ساختار و مدل سازماني
تمركز اصلي اين بخش ،مدل سازماني يا ساختار عملياتي اين تيم است.
.1تيم امنيتي
CSIRT .2توزيع شده داخلي
CSIRT .3متمركز داخلي
CSIRT .4تركيبي متمركز و توزيع شده داخلي
CSIRT .5هماهنگ كننده
36
گامهای تشکیل CERT
.A
.B
.C
.D
.E
.F
.G
.H
.I
.J
.K
.L
.M
.N
.O
.P
.Q
.R
شناسايي ذينفعان و مشاركت كنندگان
اخذ تایید حمایتی مدیریت درخصوص ایجاد مرکز
ايجاد طرح پروژه ايجاد مركز
جمع آوري اطالعات
شناسايي حوزه عملياتي
تعريف ماموريت
تامين بودجه
تعيين طيف سرويس هاي ارائه شده
تعيين ساختار گزارش دهي ،اختيارات و مدل سازي تيم
شناسايي منابع الزم براي ايجا مركز
تعريف واسطها و تعامالت
تعيين نقشها و وظايف و اختيارات
مستندسازي گردش كار
توليد سياستها و روالهاي كاري
ايجاد برنامه پياده سازي و تعيين بازخوردها
معرفي رسمي مركز
تعيين روشهاي ارزيابي كارايي تيم
ايجاد برنامه پشتيبان
37
مرکز عملیات امنیت شبکه ()SOC
مرکز عمليات امنيت ،مجموعه اي از ابزارها ،فرآيندها و عوامل انساني است که امکان
مانيتورينگ متمرکز امنيتي شبکه را فراهم نموده و به واسطه اطالع رسانيهاي خودکار حوادث و
وقايع ،توليد گزارشات جزئي و کلي ،پاسخدهي خودکار به حوادث و وقايع ،رويکردي پيشگيرانه را
در جهت مديريت ريسزکهاي امنيتي ايجاد خواهد نمود.
سطح يكم ،نقطه تماس Clientها و مسئول پاسخ گويي به اخطارهاي دريافتي از Clientهاست.
سطح دوم ،در حقيقت مكمل سطح يكم است و مسئول پاسخگويي به مشكالت پيچيده تر در سيستمهاي امنيتي
شبكه ميباشد.
سطح سوم ،در اين سطح كارشناسان ارشد و مشاوران امنيتي شبكه قرار دارند.
38
چرخه حیات سرویس در مرکز SOC
SOC
39
تجهیزات در SOC
POLLERها .تجهيزاتی اند که رویدادهای مربوط به خود را تولید میکنند .کلیه تجهيزات امنیتی مانند دیواره آتش،
،IDS/IPSآنتیویروس و UTMو تجهيزات غيرامنیتی مانند سوئیچ ،روتر
سنسورها .آن دسته از تجهيزاتی که عالوه بر اینکه رویدادهای مربوط به خود را تولید میکنند ،قادرند ترافیک شبکه را
نيز پایش و آناليز کنند .صرفآ تجهيزات امنیتی در این گروه قرار دارند.
Equipment
Service
Mail
NO
SENSOR
NO
POLLER
Active
1
Firewall
24
Switch L2
Directory
Internet
Anti Virus
Paperless
Yes
1
)Switch L3 (3750
4
Router
6
Server
Domai
n
Dolat
Inte
rnet
AV
Mail
P
a
Contro
p
ller
er
le
ss
40
چارچوب مركز عمليات امنيت:MSSP
استاندارها و نمونه هاي برتر
پورتال
(ITIL, BS7799/ISO17799,
SANS, CERT)
(Operational Reporting,
Advisories)
ارائه خدمات ويندوز
(24x7, 8x5, 12x7 )
MSSP SOC
مركز رشد امنيت
(Test bed, Technology
Innovation, Knowledge Mgmt.,
Trainings )
مديريت برنامه
(Customer interface,
Escalation mgmt., Strategic
assistance, Operational
supervision, quality control)
(Helpdesk, Monitoring, Mgmt.,
Configuration,
Automation/Workflow)
پايگاه دانش
(Incident & Problem Mgmt.,
Testing, Product evaluation)
مديريت زيرساخت
مديريت امنيت
نظارت تجهيزات
مانيتورينگ امنيت
نیروي انساني
تغييرات امنيت
(cross skilling, rotation,
training, ramp-up and scale
down)
(كارايي,
)مانيتورينگ حوادث
عمليات تجهيزات
( تغيير، پيكربندي، )نصب
مدل هاي عملياتي
ابزار
مشاوره امنيت
مديريت حوادث
(SOC and ODC)
گزارش دهي
ارائه خدمات
(Onsite, Near Shore and
Offshore)
نحوه ارتباط بين SOCوCERT
ارتباط بين مرکز SOCو مرکز ،CERTمطابق با شکل -در سه مرحله خالصه می-
شود:
42
تفاوت CERTوSOC
مرکز SOCبراساس شواهد و مدارک دریافتی از تجهيزات شبکه
( sensorو ،)pollerقادر به کشف و طبقهبندی رویدادها ،حوادث
و مشکالت است؛
مرکز ،CERTطبق اعالنهای رسیده از طرف کاربران شبکه،
ذینفعان ،تهدیدات نوظهور و آسیبپذیریهای مرتبط ،به دنبال ارائه
راهکار برای مقابله با چنين تهدیدات و در نهایت اطالعرسانی به کلیه
سازمانهای ذینفع میباشد.
43
تعريف سرویس های امنیت مدیریت شده
سرویس های امنیت مدیریت شده () Managed Security Services
عبارت است از روش ی است نظاممند برای مدیریت پاسخ به نیازهای امنیت
سازمانی .این خدمات می تواند به صورت درون سازمانی انجام شود یا به
بنگاههای تامين خدمات امنیت اطالعات برون سپاری گردد.
44
خدمات MSSP
از جمله سرویس های امنیت مدیریت شده می توان به موارد زیر اشاره کرد:
• خدمات مدیریت شده برای فایروالها ،سیستمهای تشخیص نفوذ ( )IDSو شبکه های
خصوص ی مجازی ()VPN
• پایش و رصد وضعیت امنیت شبکه ها و سیستم ها
• مدیریت رخدادهای امنیتی شامل پاسخگویی به فوریتها و تحلیل جرم شناس ی
• ارزیابی آسیب پذیری و تست نفوذ پذیری
• ارزیابی مخاطرات امنیت اطالعات
• تحلیل های راهبردی ،پیش بینی روندها و پیشنهاد تغیير در معماری یا تدوین طرح های
جدید معماری ساختاری یا امنیتی
45
داليل استفاده از MSSP
• امنيت هسته اصلي كسب و كار برخي سازمان ها نمي باشد.
• سازمان نياز به حفاظت بيشتري براي خنثي كردن حمالت دارند زيرا حمالت
پيچيده ،نياز به زمان و تالش بيشتري دارد.
• سازمان مي خواهند مهارت بيشتر و كاهش هزينه را داشته باشند زيرا پرسنل
متخصص در زمينه امنيت شبكه هزينه بااليي دارند و اين از نظر اقتصادي
براي همه شركت ها مناسب نيست.
• سازمان ها نياز به پوشش 24ساعته در 7روز هفته مي باشند و اين نياز با
محدوديت منابع در سازمان ها امكانپذير نمي باشد.
46
سرويس هاي MSSPبر اساس مديريت ريسك IT
مانيتورينگ و
تحليل
كاهش ريسك
تحليل پيامد و تعيین
ريسك
شناسايي تهديدات و
آسيب پذيري ها
ارزیابی آسیب پذیري
تست نفوذ
سرویس ارزیابی زیرساخت
تعيین کنترل هاي امنیتي پيشنهادي
پیاده سازی کنترل های امنیتی
مدیریت امنیت تجهیزات ( فايروال( IPS/IDS،
کنترل امنیتی كاربر نهايي
نظارت 7*24حوادث امنيتي
پاسخگويي به حوادث
داشبورد ریسک
گزارش سازگاري با استاندارهاي امنيتي
47
چارچوب MSS
48
49
منابع و مراجع
50
1.
2.
3.
4.
http://www.cert.org
http://www.enisa.europa.eu
http://www.first.org
http://www.APCert.org
5.
http://www.Certcc.ir
با تشکر از توجه شما
51