1 / 51

C omputer E mergency R esponse T eam ( CERT )

C omputer E mergency R esponse T eam ( CERT ) . مقدمه:.

rianne
Download Presentation

C omputer E mergency R esponse T eam ( CERT )

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Computer Emergency Response Team (CERT)

  2. مقدمه: تامين امنيت اطلاعات سازمانها در محيط امروزي كه از شبكه هاي به هم پيوسته تشكيل شده، كاري مشكل است و با ورود هر محصول الكترونيكي و هر ابزار نفوذ اين كار صعب سخت تر نيز مي شود. اكثر سازمانها متوجه شده اند كه يك راهكار امنيتي واحد براي تامين امنيت سيستمها وجود ندارد بلكه بايد از استراتژي امنيتي چند لايه بهره گرفت. يكي از لايه هايي كه بيشتر سازمانها در استراتژي امنيتي خود در نظر مي گيرند، ايجاد يك تيم براي پاسخگويي به رويداد امنيتي كامپيوتر است كه اختصارا [1]CSIRT ناميده مي شود. البته این تیم نامهای دیگری مانند تیم پاسخگویی به فوریتهای کامپیوتری یا CERT[2] نیز دارد اما کارکرد مشابهی دارند که در ادامه به آن خواهیم پرداخت. [1]Computer Security Incident Response Team [2] Computer Emergency Response Team

  3. گزارش آماری در دهه‌ی گذشته گسترش بدافزارها روند شتابانی داشته ‌است. بنا به گزارش‌های ارایه شده از سوی آزمایشگاه‌های تحقیقاتی و نیز تولید کنندگان مطرح ضدبدافزار، در چهارماهه پایانی سال 2012 میلادی به طور متوسط روزانه چهارصد هزار نمونه‌ی جدید بدافزار در سطح جهان مشاهده گردیده‌است. این بدافزارها با اهداف گوناگون تجاری و سیاسی منتشر می‌گردند. بر پایه‌ی اطلاعات منتشر شده دسته‌ی بسیار مهمی از این ابزارها به شکل سازماندهی شده مشغول انجام حملات هدفدار می‌باشند. به این معنی که با گرفتن دستور از فرماندهان خود دست به اقدامات مخرب بر روی سامانه‌های قربانی می‌زنند.

  4. گزارشات آماری

  5. گزارشات آماری روش های حمله2012

  6. گزارشات آماری Top-Level Domains Used by Malware

  7. گزارشات آماری Geo-Location of IP Addresses Used by Malware

  8. گزارشات آماری Observed Spam Themes (October-December 2012)

  9. تعريف CERT/CSIRT واحد خدماتی است که مسئول دریافت، مرور و پاسخگویی به گزارشات ارسالی و فعالیتهای مربوط به مشکلات و رخدادهای کامپیوتری است. سرویس های این واحد معمولا برای محدوده مشخصی تعریف می شود که می تواند یک شرکت، اداره دولتی، سازمان آموزشی، یک منطقه یا کشور باشد.

  10. اسامی مختلف CERT 11

  11. اسامی مختلف CERT در داخل کشور • ماهر: مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای • گوهر: گروه واکنش هماهنگ رخداد • مهار: مرکز هماهنگی امداد رایانه ای • آپا: آگاهی رسانی، پشتیبانی و امداد

  12. تاریخچه ايجادCERT

  13. تاریخچه ايجادCERT • انگیزه اصلی برای ایجاد اولین CSIRT ، انتشار کرم موریس در سال1988 • این کرم توسط یک دانشجوی 23 ساله نوشته شده بود. • با استفاده از حفره های امنیتی مختلف از یک کامپیوتر به کامپیوتردیگر منتشر می کرد. • بنابر مستندات تاریخی در آن زمان حدود 60000 تا 80000 سیستم بر روی شبکه اینترنت وجود داشت (این شبکه آرپانت نام داشت) و 10 درصد آن دستگاهها توسط این کرم آلوده شدند • مشکل اصلی آن بود که بسیاری از سیستمهایی که آلوده شده بودند، رله ایمیل و سرورهای زیرساخت اصلی اینترنت بودند

  14. تاریخچه ايجادCERT(ادامه) first:Forum of Incident Response and Security Teams • در آگوست سال 1989 کارگاهی توسط CERT/CC برگزار شد تا علاوه بر بررسی فعالیتهای گذشته، به گامهای آتی در هماهنگ کردن ارتباط بین تیمها بپردازد. این نقطه سرآغازی بود بر کنفرانسهای سالانه ای که در حال حاضر به عنوان انجمن تیمهای امنیتی و پاسخگویی رويدادیا FIRST شناخته می شود. در نوامبر سال 1990 ، 11 گروه، انجمن تیمهای امنیتی و پاسخگویی رويداد ( FIRST) را تاسیس نمودند. در آن زمان شبکه اینترنت حدود 340 هزار میزبان داشت. FIRST ابتدا یک شبکه از اعضای ثبت شده است که هریک CSIRT یا یک تیم امنیتی هستند. اعضا به صورت داوطلبانه با یکدیگر کار می کنند و بر روی جلوگیری از رويداد، اشتراک اطلاعات، اشتراک تحلیل حفره های امنیتی و هماهنگی فعالیتهای پاسخگویی در زمان بروز یک حادثه امنیتی تمرکز می کنند. اطلاعات بیشتر درباره این انجمن را می توان در سایت آن به نشانی www.first.org یافت.

  15. ورود CERT به اروپا • تاسيس اولین CSIRT اروپایی در فرانسه و در شبکه تحلیلفیزیک فضا یا SPAN[1] • ايجادمرکز هماهنگی اروپایی با نام EuroCERT [1]Space Physics Analysis Network

  16. منطقه آسیای پاسیفیک • اولین CSIRT شناخته شده متعلق به کشور استرالیاست که AusCERT نام دارد • نمونه های ديگري از این تیمها می توان • CERTCC-KR در کشور کره، • JPCERT/CC در کشور ژاپن • SingCERT در کشور سنگاپور اشاره کرد که از اولین تیمها در منطقه آسیا پاسیفیک بودند • تشكيل گروه كاري جديد به نام APCERT در سال 2003 • OIC-CERT : Cert كشورهاي اسلامي

  17. تیم پاسخگویی به فوریتهای کامپیوتری ایران ( IRCERT ) • اينترنت در اوايل دهه هفتاد وارد ايران شد. • در دهه هشتاد ايجاد يك CERT ‌ملي در دستور كار قرار گرفت • دلايل اين كار: • 29 مرداد 1381 - 180 سايت ايراني، يكجا هك شدند. • 11 آذر 1381- بيش از 200 سايـت ايراني توسط يك ايراني هک شدند. • 8 دي 1381 - سايت‌هايي كه از خدمات يك شركت ارائه دهنده سرويس ميزباني وب استفاده مي‌كردند، به وسيله يك گروه نفوذگر هك شده ‌اند.

  18. تعداد و انواع تیمهای CSIRT توزيع تيمهاي پاسخگويي به رخداد در سراسر دنيا

  19. رشد تیمهای CSIRT Growthin CSIRTs

  20. مزایای ایجاد ‍ٍCERT • دارابودن واحدی متمرکز براي موارد امنيتي فناوري اطلاعات سازمان ها • پاسخگويي متمرکز و تخصصي به مسائل امنيتی در زمان‌هاي بحراني • آگاهي به مسائل حقوقيمرتبط در هنگام دادخواهي‌های حقوقی • همکاري با مراکز cert و اطلاع‌رساني همزمان به مراکزدر زمينه‌ امنيت فناوري اطلاعات

  21. اهداف CSIRT اهداف مد نظر درپروژه های ایجاد مراکزCSIRTبه شرح ذیل می باشد: افزايش آگاهي و شناخت نسبت به پديده‌هاي مرتبط با افتا؛ افزايش قدرت تشخيص تهديدات، وقايع نامطلوب، عوامل و راه‌هاي مواجهه؛ افزايش قدرت پيش‌بيني وقايع نامطلوب؛ افزايش آمادگي عناصر موجود در فضاي فتا براي واكنش در مقابل وقايع؛ كاهش زمان واكنش به وقايع؛ افزايش توان و كيفيت واكنش به وقايع؛ كاهش خسارات وارده؛ افزايش طيف حمايت‌ها از افراد درگير در وقايع افزايش كيفيت خدمات در حوزه افتا.

  22. وظایف‌ديگر مراکز CSIRT • ارزيابي امنيتي منابع فضاي تبادل اطلاعات • تحليل آسيب‌پذيري‌هاي امنيتي • آموزش و فرهنگ‌سازي در حوزه امنيت • پيش‌بيني تمهيدات لازم جهتآماده‌‌سازي،‌ امن‌سازي و ايمن‌سازي • رصد و تشخيص نفوذ • اعلام هشدار • امداد و هماهنگي‌هاي لازم براي واكنش به وقايع • آگاهي‌رساني (زمان واقعه و عمومي) • انتشار اخبار • ترميم و بازسازي • ارزيابي و تحليل حوادث و امدادها • کمک در رسيدگي به جرايم فتا يا در حوزه فتا

  23. Information Flow

  24. امتیازCERT نسبت به سایر نهادهای امنیتی ورودی های CERT • CERT به عنوان منبع داده های معتبر درباره مخاطرات و عنصر اصلی و کلیدی در کاهش مخاطرات به حساب می آید. • CERTمی تواند تصویری کامل از وضعیت امنیتی سازمان را ارائه نماید. • CERT می تواند با اتکا به داشته های خود ارتباط بین حوادثی را که در ظاهر مرتبط نیستند، کشف کند. CERT 25

  25. سلسله مراتب CSIRT CSIRT(Computer Security Incident Response Team ) www.Certcc.ir

  26. چرخه کار در مراکز CSIRT

  27. ساختار سازمانيCSIRT • تقسيم بندي بر اساس حوزه عمليات • تقسيم بندي بر اساس هدف يا سرويس • تقسيم بندي بر اساس ساختار و مدل سازماني

  28. ماموريت • ماموريت استاندارد واحدي براي اكثر تيمهاي csirt تعريف نشده است. • اكثر اين بيانيه ها به موارد زير اشاره دارد: • آگاهي‌رساني، فرهنگ‌سازي و آموزش در مورد مسائل افتا؛ • پيشگيري، ايجاد آمادگی، ايمن‌سازي بسترها و مولفه‌ها؛ • ارزيابي امنيتي و تحليل آسيب‌پذيري‌ها؛ • رصد و تشخيص نفوذ؛ • هشدار و آگاهي‌رساني در مورد وقايع؛ • امداد؛ • ترميم و بازسازي؛ • کمک در رسيدگي به جرايم فتا؛ • تحليل حوادث و امدادها

  29. بیانیه ماموريت براي شناسايي و تدوين ماموريت، اهداف و وظايف گروه واكنش هماهنگ رخداد (گوهر)، مراحل زير بايد اجرا شود: • شناسايي منابع مرتبط؛ • پيمايش اسناد بالادستي و تبيين بيانيه‌ها

  30. محل استقرار تيم CSIRT در سازمان جایگاه استانداردی برای تیم های گوهر وجود ندارد: • برخی تیم ها بخشی از واحد IT • برخی دیگر بخشی از حراست و یا در کنار آن ها • واحد مستقل

  31. میزان اختیار تیم • میزان اختیار نشان دهنده کنترلی است که تیم بر فعالیتهای خود و حوزه عمل خود در رابطه با امنیت کامپیوتر و پاسخگویی رویداد دارد. • اختيارات تيم به سه سطح تقسيم مي شود. • اختيار كامل:مستقيم به مدير شبكه دستور قطع شبكه ميدهد • اختيار اشتراكي:در تصميمات مشاركت مي‌كند ولي تصميم گير نيست • بدون اختيار:در قالب مشاور به سازمان فعاليت ميكند. CERT/CC تيمي است كه هيچ اختياري بر حوزه عمل خود كه اينترنت است ندارد

  32. خدمات قابل ارائه توسط مراکز CSIRT خدمات به سه دسته اصلی تقسیم می شوند : • خدمات پيشگيرانه : پيشگيري از حوادث از طريق آموزش و اطلاع رساني • خدمات واكنشي : اعمال کنترل حوادث و کاهش صدمات • خدمات مدیریت کیفیت امنیت : شامل اهداف بلند مدت جهت بهبود و توسعه سیستم مانند : سنجش دوره های آموزش و مشاوره

  33. خدمات قابل ارائه توسط مراکز CSIRT(ادامه)

  34. استانداردهاي امنيتي در مراكز CERT(ادامه) • تعاريف حوادث و رخدادهاي امنیت اطلاعات و مدیریت آنها • امنيت فيزيكي مركز CERT • امنيت تجهيزات پردازش اطلاعات • همکاری با دیگر تیمها • سياست ها و قوانين ملي، سازماني

  35. تقسيم بندي بر اساس ساختار و مدل سازماني تمركز اصلي اين بخش، مدل سازماني يا ساختار عملياتي اين تيم است. • تيم امنيتي • CSIRT توزيع شده داخلي • CSIRT متمركز داخلي • CSIRT تركيبي متمركز و توزيع شده داخلي • CSIRT هماهنگ كننده

  36. شناسايي ذينفعان و مشاركت كنندگان اخذ تایید حمایتی مدیریت درخصوص ایجاد مرکز ايجاد طرح پروژه ايجاد مركز جمع آوري اطلاعات شناسايي حوزه عملياتي تعريف ماموريت تامين بودجه تعيين طيف سرويس هاي ارائه شده تعيين ساختار گزارش دهي، اختيارات و مدل سازي تيم شناسايي منابع لازم براي ايجا مركز تعريف واسطها و تعاملات تعيين نقشها و وظايف و اختيارات مستندسازي گردش كار توليد سياستها و روالهاي كاري ايجاد برنامه پياده سازي و تعيين بازخوردها معرفي رسمي مركز تعيين روشهاي ارزيابي كارايي تيم ايجاد برنامه پشتيبان گامهای تشکیل CERT 37

  37. مرکز عملیات امنیت شبکه (SOC) مرکز عمليات امنيت، مجموعه اي از ابزارها، فرآيندها و عوامل انساني است که امکان مانيتورينگ متمرکز امنيتي شبکه را فراهم نموده و به واسطه اطلاع رساني‌هاي خودکار حوادث و وقايع، توليد گزارشات جزئي و کلي، پاسخ‌دهي خودکار به حوادث و وقايع، رويکردي پيشگيرانه را در جهت  مديريت ريسـک‌هاي امنيتي ايجاد خواهد نمود. سطح يكم، نقطه تماس Client‌ها و مسئول پاسخ گويي به اخطارهاي دريافتي ازClient‌هاست. سطح دوم، در حقيقت مكمل سطح يكم است و مسئول پاسخ‌گويي به مشكلات پيچيده تر در سيستم‌هاي امنيتي شبكه مي‌باشد. سطح سوم، در اين سطح كارشناسان ارشد و مشاوران امنيتي شبكه قرار دارند.

  38. چرخه حیات سرویس در مرکز SOC SOC

  39. تجهیزات در SOC POLLERها. تجهیزاتیاند که رویدادهای مربوط به خود را تولید می­کنند. کلیه تجهیزات امنیتی مانند دیواره آتش، IDS/IPS، آنتی­ویروس و UTM و تجهیزات غیرامنیتی مانند سوئیچ، روتر سنسورها. آن دسته از تجهیزاتی که علاوه بر اینکه رویدادهای مربوط به خود را تولید می­کنند، قادرند ترافیک شبکه را نیز پایش و آنالیز کنند. صرفآ تجهیزات امنیتی در این گروه قرار دارند.

  40. :MSSPچارچوب مركز عمليات امنيت استاندارها و نمونه هاي برتر (ITIL, BS7799/ISO17799, SANS, CERT) پورتال (Operational Reporting, Advisories) ارائه خدمات ويندوز (24x7, 8x5, 12x7 ) ابزار (Helpdesk, Monitoring, Mgmt., Configuration, Automation/Workflow) مركز رشد امنيت (Test bed, Technology Innovation, Knowledge Mgmt., Trainings ) MSSP SOC پايگاه دانش (Incident & Problem Mgmt., Testing, Product evaluation) مديريت زيرساخت مديريت امنيت نظارت تجهيزات (كارايي, مانيتورينگ حوادث) مانيتورينگ امنيت مديريت برنامه (Customer interface, Escalation mgmt., Strategic assistance, Operational supervision, quality control) نيروي انساني (cross skilling, rotation, training, ramp-up and scale down) تغييرات امنيت عمليات تجهيزات (نصب ، پيكربندي، تغيير) مشاوره امنيت مدل هاي عملياتي (SOC and ODC) ارائه خدمات (Onsite, Near Shore and Offshore) مديريت حوادث گزارش دهي

  41. نحوه ارتباط بین SOCو CERT ارتباط بین مرکز SOC و مرکزCERT، مطابق با شکل -در سه مرحله خلاصه می­شود:

  42. تفاوت CERTوSOC • مرکز SOC براساس شواهد و مدارک دریافتی از تجهیزات شبکه (sensor و poller)، قادر به کشف و طبقه­بندی رویدادها، حوادث و مشکلات است؛ • مرکز CERT، طبق اعلان­های رسیده از طرف کاربران شبکه، ذینفعان، تهدیدات نوظهور و آسیب­پذیری­های مرتبط، به دنبال ارائه راهکار برای مقابله با چنین تهدیدات و در نهایت اطلاع­رسانی به کلیه سازمان­های ذینفع می­باشد.

  43. تعريف سرویس های امنیت مدیریت شده سرویس های امنیت مدیریت شده (Managed Security Services) عبارت است از روشی است نظام‏مند برای مدیریت پاسخ به نیازهای امنیت سازمانی. این خدمات می تواند به صورت درون سازمانی انجام شود یا به بنگاه‏های تامین خدمات امنیت اطلاعات برون سپاری گردد.

  44. خدماتMSSP از جمله سرویس های امنیت مدیریت شده می توان به موارد زیر اشاره کرد: • خدمات مدیریت شده برای فایروالها، سیستمهای تشخیص نفوذ (IDS) و شبکه های خصوصی مجازی (VPN) • پایش و رصد وضعیت امنیت شبکه ها و سیستم ها • مدیریت رخدادهای امنیتی شامل پاسخگویی به فوریتها و تحلیل جرم شناسی • ارزیابی آسیب پذیری و تست نفوذ پذیری • ارزیابی مخاطرات امنیت اطلاعات • تحلیل های راهبردی، پیش بینی روندها و پیشنهاد تغییر در معماری یا تدوین طرح های جدید معماری ساختاری یا امنیتی

  45. دلايل استفاده از MSSP • امنيت هسته اصلي كسب و كار برخي سازمان ها نمي باشد. • سازمان نياز به حفاظت بيشتري براي خنثي كردن حملات دارند زيرا حملات پيچيده، نياز به زمان و تلاش بيشتري دارد. • سازمان مي خواهند مهارت بيشتر و كاهش هزينه را داشته باشند زيرا پرسنل متخصص در زمينه امنيت شبكه هزينه بالايي دارند و اين از نظر اقتصادي براي همه شركت ها مناسب نيست. • سازمان ها نياز به پوشش 24ساعته در 7 روز هفته مي باشند و اين نياز با محدوديت منابع در سازمان ها امكانپذير نمي باشد.

  46. سرويس هاي MSSPبر اساس مديريت ريسك IT شناسايي تهديدات و آسيب پذيري ها كاهش ريسك مانيتورينگ و تحليل تحليل پيامد و تعيين ريسك • ارزیابی آسیب پذیري • تست نفوذ • سرویسارزیابی زیرساخت • تعيين کنترل هاي امنیتي پيشنهادي • پیاده سازی کنترل های امنیتی • مدیریت امنیت تجهيزات ( فايروال، IPS/IDS( • کنترل امنیتی كاربر نهايي • نظارت 24*7 حوادث امنيتي • پاسخگويي به حوادث • داشبورد ریسک • گزارش سازگاري با استاندارهاي امنيتي

  47. چارچوب MSS

  48. ؟

  49. منابع و مراجع http://www.cert.org http://www.enisa.europa.eu http://www.first.org http://www.APCert.org http://www.Certcc.ir

More Related