پاسخ به رخدادهای امنیتی
اکثر سازمان ها متوجه شده اند که یک راهکار امنیتی واحد برای تأمین امنیت سیستم ها وجود ندارد بلکه باید از استراتژی امنیتی چند لایه بهره گرفته شود. یکی از لایه هایی که بیشتر سازمان ها در استراتژی امنیتی خود در نظر می گیرند، ایجاد یک تیم برای پاسخگویی به رویدادهای امنیتی کامپیوتر است که اختصاراً CSIRT نامیده می شود. در این مطلب قصد داریم به معرفی این تیم بپردازیم.
واژه CSIRT مخفف Computer Security Incident Response Team می باشد. البته این تیم نام های دیگری مانند تیم پاسخگویی به فوریت های کامپیوتری که به اختصارCERT نامیده می شود، نیز دارد. واژه CERT مخفف Computer Emergency Response Teams مي باشد.
تیم پاسخگویی به رخدادهای امنیتی کامپیوتر یا به اصطلاح CSIRT يک گروه خدماتی است که مسئول دريافت، پردازش و تحليل اطلاعات حوادث امنيتی و پاسخگويی به آن ها است. با توجه به اينکه امنيت صد در صد و به طور کامل قابل حصول نيست و ماهيت تهديد ها نيز به طور روز افزون در حال پيچيده تر شدن است، سازمان نياز به تجهيز گروهی مجرب برای تمرکز بر حوادث و رخدادهای امنيتی دارد تا بتواند در زمان مناسب بهترين برخورد را با حوادث امنيتی داشته باشد و از اثر مخرب آن ها بر منافع سازمان، بکاهد.
پاسخ و واکنش به رخدادها
درواقع رخدادهای امنیتی رویدادهایی هستند که کسبوکار سازمان را تحت تأثیر قرار میدهند و شامل موارد زیر می شوند:
- حملات: هر نوع اقدام در جهت از کار اندازی و یا تخریب سرویسهای فناوری اطلاعات سازمان.
- دسترسی غیرمجاز: هر نوع اقدام جهت دسترسی غیرمجاز به اطلاعات یا سامانههای اطلاعاتی و گردآوری اطلاعات.
- خرابیها: هرگونه اختلال و خرابی در سیستمها و سامانههای اطلاعاتی که ممکن است باعث قطعی در کسبوکار سازمان گردد.
برای روشنتر شدن این دستهبندی در ادامه میتوان به مثالهایی برای رخدادهای امنیتی اشاره نمود:
- تلاش برای اسکن سیستمهای داخلی.
- حملات نفوذی یا عدم سرویسدهی یا توزیع عدم سرویسدهی تأثیرگذار بر روی عملیات.
- ویروسهای جدید کامپیوتری که آنتیویروس قادر به از بین بردن آنها نیست.
- ازکارافتادن سرویسها و نرمافزارهای حیاتی شرکت
- رویدادهایی که کارشناسان پشتیبانی قادر به برطرف نمودن آنها نبودهاند.
- تلاش برای دستیابی به توپولوژی شبکه و سعی در شناسایی آسیبپذیریها.