رئوفه سادات هاشميان
دکتر مهدي برنجکوب
مرکز تخصصي آپا - دانشگاه صنعتي اصفهان
معرفي گروههاي امداد و جايگاه رسيدگي به حوادث در آنها
در اين بخش سازمانهاي امداد امنيت رايانهاي و انواع آنها را معرفي ميکنيم و خدمات قابل ارائه توسط اين گروهها را مورد بررسي قرار ميدهيم. رسيدگي به حوادث جايگاه ويژهاي در خدمات يک گروه امداد دارد. در ادامه پس از معرفي مفاهيم حادثه امنيتي و رسيدگي به حادثه به جايگاه سرويس رسيدگي به حوادث در فعاليتهاي يک گروه امداد امنيت ميپردازيم.
تعريف گروه امداد امنيت رايانهاي (CSIRT)
سازمانهاي فناوري اطلاعات همواره در معرض تهديدات خارجي قرار دارند. نرمافزارها و سختافزارهاي موجود در اين سازمانها ممکن است مورد حمله دشمنان تخريبگر و يا سارقان اطلاعات قرار گيرد. بنابرين هر سازمان فناوري اطلاعات نيازمند واحدي براي مقابله با اين تهديدات و حوادث است. در هنگام وقوع حادثه، عکسالعمل سريع و عملکرد صحيح اين واحد ميتواند ميزان خسارات وارده به سيستمها را تا حدود زيادي کاهش دهد.
گروه امداد امنيت (CSIRT) به تيم يا سازماني ميگويند که خدمات جلوگيري، رسيدگي و مقابله با حادثه را براي يک سازمان فناوري اطلاعات بر طبق ضوابط و قرارداد خاصي ارائه ميدهد.
مدلهاي سازماني گروههاي امداد امنيت
يگ گروه امداد امنيت را در مدلهايسازماني متفاوتي ميتوان ايجاد کرد. اين مدل ها عبارتند از:
1) تيم امنيتي: در اين مدل هيچ گروه خاصي مسؤول برقراري امنيت در سازمان نيست و در هنگام وقوع حادثه هر کس در حوزه کاري خود اقدامات لازم براي مقابله را انجام ميدهد.
2) گروه داخلي امداد امنيت: در اين مدل گروه ويژهاي مسؤوليت برخورد با حوادث امنيتي را بر عهده دارد. اين گروه به عنوان قسمتي از سازمان محسوب ميشود و حوزه خدماترساني آن فقط داخل آن سازمان است.
3) گروههاي امداد امنيت هماهنگ: در اين مدل يک مرکز هماهنگکننده گروه امداد امنيت وجود دارد که با انواع مراکز گروه امداد و امنيت ديگر، مراکز قضايي مرتبط با فناوري اطلاعات، مراکز تجاري و متخصصان امنيت ارتباط دارد.
انواع گروه امداد امنيت
مراکز امداد امنيت داراي انواع مختلفي هستند که از آن جمله ميتوان به گروه امداد امنيت مراکز تجاري متوسط، گروه امداد امنيت بخش دانشگاهي، گروه امداد امنيت بخش نظامي، گروه امداد امنيت بخش دولتي، گروه امداد امنيت ملي، گروه امداد امنيت تجاري، گروه امداد امنيت سازنده محصول اشاره کرد.
خدمات قابل ارائه توسط گروه امداد امنيت
خدمات قابل ارائه توسط يک گروه امداد امنيت را ميتوان در سه دسته کلي تقسيم بنديکرد:
خدمات کنشگرا: اين خدمات براي تقويت زيرساخت و فرايند امنيتي گروه قبل از وقوع حادثه طراحي شدهاند. هدف اصلي از ارائه اين نوع خدمات جلوگيري از حوادث و کاهش اثرات مخرب حوادث است. اين خدمات شامل: 1) اعلانات 2) پيگيري دستاوردهاي علمي 3) پيکربندي و پشتيباني ابزارها، کاربردها، زيرساختها و سرويسهاي امنيتي 5) توسعه ابزارهاي امنيتي 6) خدمات تشخيص نفوذ و 7) انتشار اطلاعات مربوط به امنيت ميشود.
خدمات مديريت کيفيت امنيت: اين خدمات مختص گروه امنيت نيستند و با هدف بالا بردن امنيت کلي سيستم فناوري اطلاعات طراحي شدهاند. اين خدمات شامل: 1)تحليل مخاطرات 2) تداوم فعاليت و طرح بازيابي حوادث 3) مشاوره امنيتي 4) آگاهيرساني 5) آموزش و 6) ارزيابي محصول ميشود.
جايگاه رسيدگي به حوادث
در قسمت قبل ديديم که يک گروه امداد امنيت خدمات مختلفي را براي مخاطبان که معمولاً سازمانهاي فناوري اطلاعات هستند ارائه ميکند. در اين قسمت قصد داريم ضمن ارائة تعريف دقيقتري از يکي از خدمات قابل ارائه توسط گروههاي امداد امنيت رايانهاي، کيفيت تعريفشده براي اين سرويس در انواع گروههاي امداد را بررسي کنيم. بنابراين، پس از شناخت مفهوم حادثه و رسيدگي به حادثه جايگاه آن را بين خدمات ديگر گروههاي امداد مشخص ميکنيم. سپس سطح سرويس قابل ارائه توسط انواع مختلف گروه امداد را بررسي ميکنيم.
مفهوم حادثه
در واژهنامه وب، حادثه امنيتي به صورت "نفوذ يا تلاش براي نفوذ به يک سيستم اطلاعاتي" تعريف شده است. در حالت کلي مفهوم "حادثه امنيتي" شامل تمام رخدادهايي در يک سيستم يا شبکه کامپيوتري است که باعث مختل شدن حداقل يکي از مؤلفههاي امنيتي آن سيستم شود. اين مؤلفه ميتواند يکي از مؤلفههاي اصلي مانند محرمانگي يا در دسترس بودن، يا يک سياست اتخاذ شده توسط مدير سازمان براي استفاده کاربران باشد. در يک حادثه امنيتي ممکن است امنيت سيستم و يا دادههاي موجود در سيستم به خطر بيفتد. از جمله حوادث امنيتي ميتوان به حملات جلوگيري از سرويس، دسترسي غيرمجاز به شبکه و يا انتشار يک بدافزار اشاره کرد.
مفهوم رسيدگي به حادثه
سازمانهاي پاسخگويي به حوادث امنيت شبکههاي کامپيوتري تعاريف مشابه و در عين حال متفاوتي از رسيدگي به حوادث امنيتي ارائه دادهاند. بر طبق تعريف آژانس امنيت شبکه و اطلاعات اروپا رسيدگي به حوادث مجموعه فعاليتهايي است که شامل دريافت گزارش حادثه امنيتي و درخواست کمک، تحليل حادثه وپاسخگويي به آن است.
سازمان ملي استاندارد فناوري آمريکا (NIST)رسيدگي به حوادث را مجموعهاي از عمليات ميداند که طي چهار مرحلة پيشگيري از حادثه، تشخيص و تحليل حادثه، ترميم حادثه و فعاليتهاي پس از حادثه انجام ميشود.
در مجموع و بر طبق تعاريف بالا، ريسدگي به حوادث روالي است که طي آن دريافت، اولويتبندي و تحليل حوادث صورت ميگيرد و تيم براي پاسخگويي به حادثه اقدام ميکند.
جايگاه سرويس رسيدگي به حادثه
در ابتداي فعاليت گروههاي امداد واژگان "رسيدگي به حادثه" و پاسخ گويي به حادثه " براي تعريف تنها وظيفه اين گروهها استفاده ميشد. با گذشت زمان دامنه فعاليتهاي گروههاي امداد گسترش يافت تا جايي که امروزه رسيدگي به حادثه تنها بخشي از وظايف يک گروه امداد را تشکيل ميدهد.
در تحقيق منتشرشده توسط يک گروه تحقيقاتي در مؤسسه مهندسي نرم افزار مفهوم "مديريت حادثه" براي تعريف مجموعه وظايف گروه امداد استفاده شده است. اين مفهوم انواع خدمات ارائهشده توسط گروههاي امداد را در بر ميگيرد. همانطور که در شکل 1 ملاحظه ميکنيد، در اين ديدگاه رسيدگي به حادثه زير مجموعة فرايند گستردة مديريت حادثه است. مفهوم پاسخگويي به حادثه نيز به عنوان يکي از مراحل فرايند رسيدگي به حادثه معرفي ميشود. با توجه به اين تعريف جايگاه رسيدگي به حادثه به عنوان يکي از سرويسهاي قابل ارائه توسط گروههاي امداد، مشخص ميگردد.
شکل 1- جايگاه مديريت حادثه، رسيدگي به حادثه و پاسخگويي به حادثه
سرويس رسيدگي به حادثه به عنوان يکي از خدمات اصلي قابل ارائه توسط گروه امداد تعريف شده است. بنابرين نحوة ارائة اين سرويس و سطح ارائة آن براي مخاطبين مختلف بايد به طور دقيق و با جزييات کامل در اسناد گروه امداد مشخص گردد. واضح است که نوع سرويسي که توسط هر گروه امداد ارائه ميشود به نوع و ساختار آن گروه بستگي دارد.
مراحل رسيدگي به حوادث
همانطور قبلاً اشاره شد، سرويس رسيدگي به حادثه يکي از مهمترين خدمات قابل ارائه در يک گروه امداد امنيت است. در طي عمليات رسيدگي به حادثه، گروه اقدامات مختلفي را انجام ميدهد. واضح است که در يک عمليات تيمي براي موفقيت هر چه بيشتر به هماهنگي، برنامهريزي و تقسيم وظايف نياز است. از طرفي روند فعاليت بايد به طور کامل مشخص باشد تا گروه بتواند طبق برنامه عمليات را انجام دهد و به نتيجه بهينه دست يابد. در اين بخش، يک دستور کار ارائهشده براي انجام موفق عمليات رسيدگي به حادثه را بررسي ميکنيم. اين دستور کار که توسط سازمان ملي فناوري آمريکا(NIST) و در مرجع [1] منتشر شده است رسيدگي به حادثه را عملياتي چهار مرحلهاي ميداند که عبارتند از: 1) آماده سازي و پيشگيري 2) تشخيص و تحليل 3) محدودسازي، ريشهکني و ترميم 4) فعاليتهاي پس از حادثه. در هر مرحله اعضاي گروه وظايفي را انجام ميدهند و در صورت موفقيت مرحله بعدي آغاز ميشود. اين ديدگاه ضعفهايي دارد که در فصل بعدي با معرفي ديدگاهي ديگر به آن ميپردازيم.
در ادامه اين بخش و قسمت دوم اين مطلب، هر يک از مراحل چهارگانة آمادگي، تشخيص، محدودسازي و فعاليتهاي پس از حادثه توضيح داده ميشوند و سپس پيشنهاداتي براي بهينهسازي عمليات رسيدگي ارائه ميشود.
| نظر |
|
