Computer Security Incident Response Team
CSIRT
امروزه با توجه به گستردگی تهدیدات در منطقه و حملات روزافزون نیاز به یک تیم متخصص در زمینه رخداد و پاسخ مناسب به آن میباشد که در صورت به وقوع پیوستن یک حمله یا تخریب، این تیم بتواند با راهکارهای از قبل عملیاتی شده، بررسی حمله و کالبدشکافی آن، در کمترین زمان بهترین راهکار را ارایه دهد و بتواند ادله کافی در اختیار سازمان و مراجع قضایی قرار دهد. این تیم به صورت موازی با تیم CERT عمل میکند و در واقع در داخل خود یک تیم Forensic نیز دارد تا بتواند به اطلاعات مورد نیاز از حملات دسترسی پیدا کند.
گروه CSIRT میتواند اقدامات پیشگیرانه و واکنشی برای حفاظت و امنسازی داراییهای حیاتی سازمان انجام دهد. استانداردهای بسیاری برای اقدامات و خدمات قابل ارایهی CSIRT وجود دارد که از معروفترین آنها میتوان به SANS و NIST اشاره کرد. هر گروه خدمات خود را بر اساس نیازمندیهای حوزهی تحت مسئولیت خود تعریف میکند. مجموعه خدمات یک تیم CSIRT به هر صورتی که تعریف شود اهداف آن باید بر اساس اهداف کسبوکار سازمان تشکیل دهنده یا والد آن مشخص شود، حفاظت داراییهای حیاتی کلید موفقیت سازمانها و تیمCSIRT آن است. این تیم باید روالها و سیستمهای حیاتی کسبوکار حوزه مسئولیت خود را تحت پشتیبانی قرار دهد.CSIRT شبیه آتشنشانی است. همانطور که آتشنشانی برای اطفا و کنترل حریقی که به آن گزارش میشود اقدام میکند، یک تیم CSIRT نیز کنترل تهدیدات و رخنههای امنیتی را در سازمان مربوط کنترل و رفع میکند. روند انجام این کار توسط CSIRT را مدیریت رخداد (برخورد با رخداد) میگویند. اما آتشنشانی علاوه بر آن به عنوان خدمات پشگیرانه اقدام به آموزش ایمنی و برخورد با آتشسوزی نیز میکند؛ CSIRT نیز میتواند خدمات پیشگیرانه انجام دهد. این گونه خدمات میتوانند شامل آموزشهای نفوذپذیری، مستندسازی و حتی توسعهی نرمافزار باشد. این خدمات پیشگیرانه علاوه بر ممانعت از رخدادهای امنیتی، زمان پاسخگویی در صورت بروز یک رخداد را نیز کاهش میدهند.
شش مرحله مهم که در عملیات CSIRT وجود دارد به شرح زیر میباشد.
آمادهسازی. تعیین هویت. پیشگیری. نابودسازی. بازیابی . ثبت اسناد جهت جلوگیری از تکرار.