الزامات اجرای CSIRT
به طور خلاصه، اهداف و ماموریت های CSIRT عبارتند از:
- کنترل و مديريت رخداد
- ارزيابی به موقع از شدت رخداد
- بازيابی به موقع وضعيت و کاهش يا رفع اثرات مخرب رخداد
- اطلاع رسانی به موقع به مديريت و ديگر سطوح سازمان در خصوص رخداد امنيتی
- انجام اقدامات پيشگيرانه برای جلوگيری از وقوع رخداد در آينده
- پايش فناوری های روز
خدمات CSIRT
خدمات CSIRT معمولا به سه دسته زیر تقسیم می کنند:
- خدمات واکنشی (Reactive) شامل هشدارها و آلارم ها، مديريت رخداد، مديريت آسيب پذيری و غيره
- خدمات پيشگيرانه (Proactive) شامل اطلاعيه ها، مميزی ها، تشخيص نفوذ، توسعه ابزارها و غيره
- خدمات مديريت کيفيت شامل تحليل مخاطرات، تداوم کسب و کار، آگاهی رسانی، مشاوره و غيره
بديهی است که برخی از خدمات فوق ممکن است توسط ديگر بخش های امنيت سازمان انجام شوند. آنچه مهم است اين است که مهمترين وظيفهCSIRT انجام خدمات مربوط به مديريت رخداد امنيتی است.
همانطور که ذکر شد مهم ترین وظیفه CSIRT مدیریت رخداد امنیتی می باشد. در نتیجه مطابق استاندارد موجود، گروه برای مدیریت رخداد به صورت زیر عمل می کند:
- آماده سازی دائمی
- پایش و شناسایی رخداد
- محدود سازی اثر رخداد
- پاکسازی و رفع خطر
- بازیابی سیستم
- مستندسازی
گروه CSIRT نیاز به ملزومات سخت افزاری، نرم افزاری و فیزیکی ویژه ای دارد. بخش عمده ای از این ملزومات عبارتند از سخت افزار و نرم افزار، ایجاد یک آزمایشگاه فنی برای تحلیل بد افزارها و آسیب پذیری ها. این آزمایشگاه طبعاً باید در یک محیط کاملاً ایزوله از شبکه سازمان ایجاد شود و در آن برخی موارد زیر تعبیه گردد:
- سرورها و کلاینت های لازم
- تجهیزات شبکه در حد معمول
- تجهیزات پاور در حد معمول
- تجهیزات پشتیبان گیری
- بانک نرم افزارهای متن- باز در حوزه تحلیل آسیب پذیری، تحلیل بد افزار، تشخیص نفوذ، مهندسی معکوس و غیره
- انواع سیستم عامل ها و نرم افزارهای زیرساختی مورد استفاده در سازمان
- نرم افزارهای تجاری اسکنر یا تحلیل گر در صورت نیاز
در نتیجه باید دانست که بررسی و پاسخگویی به رخدادها یک زمینه تقریباً جدید در امنیت کامپیوتر است و پیاده سازی پروژه CSIRT در سازمان ها مزایای زیر را در بر دارد:
- ایجاد واحدی متمرکز برای مدیریت موارد امنیتی
- ایجاد یک مرکز تماس امنیت کامپیوتری و دسترسی سریع و بدون واسطه کابران
- پاسخ گویی متمرکز و تخصصی به مسائل امنیتی
- کمک رسانی و امداد به موقع توسط متخصصان سازمان، در زمان بحرانی
- پیگیری، توسعه و پیشرفت سیاست های امنیتی سازمان
- همکاری و آگاهی رسانی هم زمان به کاربران در زمینه امنیت
بنابراین، پیاده سازی CSIRT در سازمان هایی که کسب و کار آن ها در ارتباط با صنعت های مختلف و یا فناوری اطلاعات و ارتباط است بسیار امری مهم می باشد.