C omputer e mergency r esponse t eam cert
This presentation is the property of its rightful owner.
Sponsored Links
1 / 51

C omputer E mergency R esponse T eam ( CERT ) PowerPoint PPT Presentation


  • 65 Views
  • Uploaded on
  • Presentation posted in: General

C omputer E mergency R esponse T eam ( CERT ) . مقدمه:.

Download Presentation

C omputer E mergency R esponse T eam ( CERT )

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


C omputer e mergency r esponse t eam cert

Computer Emergency Response Team

(CERT)


C omputer e mergency r esponse t eam cert

مقدمه:

تامين امنيت اطلاعات سازمانها در محيط امروزي كه از شبكه هاي به هم پيوسته تشكيل شده، كاري مشكل است و با ورود هر محصول الكترونيكي و هر ابزار نفوذ اين كار صعب سخت تر نيز مي شود. اكثر سازمانها متوجه شده اند كه يك راهكار امنيتي واحد براي تامين امنيت سيستمها وجود ندارد بلكه بايد از استراتژي امنيتي چند لايه بهره گرفت. يكي از لايه هايي كه بيشتر سازمانها در استراتژي امنيتي خود در نظر مي گيرند، ايجاد يك تيم براي پاسخگويي به رويداد امنيتي كامپيوتر است كه اختصارا [1]CSIRT ناميده مي شود. البته این تیم نامهای دیگری مانند تیم پاسخگویی به فوریتهای کامپیوتری یا CERT[2] نیز دارد اما کارکرد مشابهی دارند که در ادامه به آن خواهیم پرداخت.

[1]Computer Security Incident Response Team

[2] Computer Emergency Response Team


C omputer e mergency r esponse t eam cert

گزارش آماری

در دهه‌ی گذشته گسترش بدافزارها روند شتابانی داشته ‌است. بنا به گزارش‌های ارایه شده از سوی آزمایشگاه‌های تحقیقاتی و نیز تولید کنندگان مطرح ضدبدافزار، در چهارماهه پایانی سال 2012 میلادی به طور متوسط روزانه چهارصد هزار نمونه‌ی جدید بدافزار در سطح جهان مشاهده گردیده‌است. این بدافزارها با اهداف گوناگون تجاری و سیاسی منتشر می‌گردند. بر پایه‌ی اطلاعات منتشر شده دسته‌ی بسیار مهمی از این ابزارها به شکل سازماندهی شده مشغول انجام حملات هدفدار می‌باشند. به این معنی که با گرفتن دستور از فرماندهان خود دست به اقدامات مخرب بر روی سامانه‌های قربانی می‌زنند.


C omputer e mergency r esponse t eam cert

گزارشات آماری


C omputer e mergency r esponse t eam cert

گزارشات آماری

روش های حمله2012


C omputer e mergency r esponse t eam cert

گزارشات آماری

Top-Level Domains Used by Malware


C omputer e mergency r esponse t eam cert

گزارشات آماری

Geo-Location of IP Addresses Used by Malware


C omputer e mergency r esponse t eam cert

گزارشات آماری

Observed Spam Themes (October-December 2012)


Cert csirt

تعريف CERT/CSIRT

واحد خدماتی است که مسئول دریافت، مرور و پاسخگویی به گزارشات ارسالی و فعالیتهای مربوط به مشکلات و رخدادهای کامپیوتری است. سرویس های این واحد معمولا برای محدوده مشخصی تعریف می شود که می تواند یک شرکت، اداره دولتی، سازمان آموزشی، یک منطقه یا کشور باشد.


C omputer e mergency r esponse t eam cert

اسامی مختلف CERT

11


C omputer e mergency r esponse t eam cert

اسامی مختلف CERT در داخل کشور

  • ماهر: مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای

  • گوهر: گروه واکنش هماهنگ رخداد

  • مهار: مرکز هماهنگی امداد رایانه ای

  • آپا: آگاهی رسانی، پشتیبانی و امداد


C omputer e mergency r esponse t eam cert

تاریخچه ايجادCERT


C omputer e mergency r esponse t eam cert

تاریخچه ايجادCERT

  • انگیزه اصلی برای ایجاد اولین CSIRT ، انتشار کرم موریس در سال1988

  • این کرم توسط یک دانشجوی 23 ساله نوشته شده بود.

  • با استفاده از حفره های امنیتی مختلف از یک کامپیوتر به کامپیوتردیگر منتشر می کرد.

  • بنابر مستندات تاریخی در آن زمان حدود 60000 تا 80000 سیستم بر روی شبکه اینترنت وجود داشت (این شبکه آرپانت نام داشت) و 10 درصد آن دستگاهها توسط این کرم آلوده شدند

  • مشکل اصلی آن بود که بسیاری از سیستمهایی که آلوده شده بودند، رله ایمیل و سرورهای زیرساخت اصلی اینترنت بودند


C omputer e mergency r esponse t eam cert

  • تاریخچه ايجادCERT(ادامه)

first:Forum of Incident Response and Security Teams

  • در آگوست سال 1989 کارگاهی توسط CERT/CC برگزار شد تا علاوه بر بررسی فعالیتهای گذشته، به گامهای آتی در هماهنگ کردن ارتباط بین تیمها بپردازد. این نقطه سرآغازی بود بر کنفرانسهای سالانه ای که در حال حاضر به عنوان انجمن تیمهای امنیتی و پاسخگویی رويدادیا FIRST شناخته می شود. در نوامبر سال 1990 ، 11 گروه، انجمن تیمهای امنیتی و پاسخگویی رويداد ( FIRST) را تاسیس نمودند. در آن زمان شبکه اینترنت حدود 340 هزار میزبان داشت. FIRST ابتدا یک شبکه از اعضای ثبت شده است که هریک CSIRT یا یک تیم امنیتی هستند. اعضا به صورت داوطلبانه با یکدیگر کار می کنند و بر روی جلوگیری از رويداد، اشتراک اطلاعات، اشتراک تحلیل حفره های امنیتی و هماهنگی فعالیتهای پاسخگویی در زمان بروز یک حادثه امنیتی تمرکز می کنند. اطلاعات بیشتر درباره این انجمن را می توان در سایت آن به نشانی www.first.org یافت.


C omputer e mergency r esponse t eam cert

  • ورود CERT به اروپا

  • تاسيس اولین CSIRT اروپایی در فرانسه و در شبکه تحلیلفیزیک فضا یا SPAN[1]

  • ايجادمرکز هماهنگی اروپایی با نام EuroCERT

[1]Space Physics Analysis Network


C omputer e mergency r esponse t eam cert

  • منطقه آسیای پاسیفیک

  • اولین CSIRT شناخته شده متعلق به کشور استرالیاست که AusCERT نام دارد

  • نمونه های ديگري از این تیمها می توان

  • CERTCC-KR در کشور کره،

  • JPCERT/CC در کشور ژاپن

  • SingCERT در کشور سنگاپور اشاره کرد که از اولین تیمها در منطقه آسیا پاسیفیک بودند

  • تشكيل گروه كاري جديد به نام APCERT در سال 2003

  • OIC-CERT : Cert كشورهاي اسلامي


C omputer e mergency r esponse t eam cert

  • تیم پاسخگویی به فوریتهای کامپیوتری ایران ( IRCERT )

  • اينترنت در اوايل دهه هفتاد وارد ايران شد.

  • در دهه هشتاد ايجاد يك CERT ‌ملي در دستور كار قرار گرفت

  • دلايل اين كار:

  • 29 مرداد 1381 - 180 سايت ايراني، يكجا هك شدند.

  • 11 آذر 1381- بيش از 200 سايـت ايراني توسط يك ايراني هک شدند.

  • 8 دي 1381 - سايت‌هايي كه از خدمات يك شركت ارائه دهنده سرويس ميزباني وب استفاده مي‌كردند، به وسيله يك گروه نفوذگر هك شده ‌اند.


C omputer e mergency r esponse t eam cert

تعداد و انواع تیمهای CSIRT

توزيع تيمهاي پاسخگويي به رخداد در سراسر دنيا


C omputer e mergency r esponse t eam cert

رشد تیمهای CSIRT

Growthin CSIRTs


C omputer e mergency r esponse t eam cert

مزایای ایجاد ‍ٍCERT

  • دارابودن واحدی متمرکز براي موارد امنيتي فناوري اطلاعات سازمان ها

  • پاسخگويي متمرکز و تخصصي به مسائل امنيتی در زمان‌هاي بحراني

  • آگاهي به مسائل حقوقيمرتبط در هنگام دادخواهي‌های حقوقی

  • همکاري با مراکز cert و اطلاع‌رساني همزمان به مراکزدر زمينه‌ امنيت فناوري اطلاعات


Csirt

اهداف CSIRT

اهداف مد نظر درپروژه های ایجاد مراکزCSIRTبه شرح ذیل می باشد:

افزايش آگاهي و شناخت نسبت به پديده‌هاي مرتبط با افتا؛

افزايش قدرت تشخيص تهديدات، وقايع نامطلوب، عوامل و راه‌هاي مواجهه؛

افزايش قدرت پيش‌بيني وقايع نامطلوب؛

افزايش آمادگي عناصر موجود در فضاي فتا براي واكنش در مقابل وقايع؛

كاهش زمان واكنش به وقايع؛

افزايش توان و كيفيت واكنش به وقايع؛

كاهش خسارات وارده؛

افزايش طيف حمايت‌ها از افراد درگير در وقايع

افزايش كيفيت خدمات در حوزه افتا.


Csirt1

وظایف‌ديگر مراکز CSIRT

  • ارزيابي امنيتي منابع فضاي تبادل اطلاعات

  • تحليل آسيب‌پذيري‌هاي امنيتي

  • آموزش و فرهنگ‌سازي در حوزه امنيت

  • پيش‌بيني تمهيدات لازم جهتآماده‌‌سازي،‌ امن‌سازي و ايمن‌سازي

  • رصد و تشخيص نفوذ

  • اعلام هشدار

  • امداد و هماهنگي‌هاي لازم براي واكنش به وقايع

  • آگاهي‌رساني (زمان واقعه و عمومي)

  • انتشار اخبار

  • ترميم و بازسازي

  • ارزيابي و تحليل حوادث و امدادها

  • کمک در رسيدگي به جرايم فتا يا در حوزه فتا


Information flow

Information Flow


C omputer e mergency r esponse t eam cert

امتیازCERT نسبت به سایر نهادهای امنیتی

ورودی های CERT

  • CERT به عنوان منبع داده های معتبر درباره مخاطرات و عنصر اصلی و کلیدی در کاهش مخاطرات به حساب می آید.

  • CERTمی تواند تصویری کامل از وضعیت امنیتی سازمان را ارائه نماید.

  • CERT می تواند با اتکا به داشته های خود ارتباط بین حوادثی را که در ظاهر مرتبط نیستند، کشف کند.

CERT

25


Csirt2

سلسله مراتب CSIRT

CSIRT(Computer Security Incident Response Team )

www.Certcc.ir


Csirt3

چرخه کار در مراکز CSIRT


Csirt4

ساختار سازمانيCSIRT

  • تقسيم بندي بر اساس حوزه عمليات

  • تقسيم بندي بر اساس هدف يا سرويس

  • تقسيم بندي بر اساس ساختار و مدل سازماني


C omputer e mergency r esponse t eam cert

ماموريت

  • ماموريت استاندارد واحدي براي اكثر تيمهاي csirt تعريف نشده است.

  • اكثر اين بيانيه ها به موارد زير اشاره دارد:

  • آگاهي‌رساني، فرهنگ‌سازي و آموزش در مورد مسائل افتا؛

  • پيشگيري، ايجاد آمادگی، ايمن‌سازي بسترها و مولفه‌ها؛

  • ارزيابي امنيتي و تحليل آسيب‌پذيري‌ها؛

  • رصد و تشخيص نفوذ؛

  • هشدار و آگاهي‌رساني در مورد وقايع؛

  • امداد؛

  • ترميم و بازسازي؛

  • کمک در رسيدگي به جرايم فتا؛

  • تحليل حوادث و امدادها


C omputer e mergency r esponse t eam cert

بیانیه ماموريت

براي شناسايي و تدوين ماموريت، اهداف و وظايف گروه واكنش هماهنگ رخداد (گوهر)، مراحل زير بايد اجرا شود:

  • شناسايي منابع مرتبط؛

  • پيمايش اسناد بالادستي و تبيين بيانيه‌ها


Csirt5

محل استقرار تيم CSIRT در سازمان

جایگاه استانداردی برای تیم های گوهر وجود ندارد:

  • برخی تیم ها بخشی از واحد IT

  • برخی دیگر بخشی از حراست و یا در کنار آن ها

  • واحد مستقل


C omputer e mergency r esponse t eam cert

میزان اختیار تیم

  • میزان اختیار نشان دهنده کنترلی است که تیم بر فعالیتهای خود و حوزه عمل خود در رابطه با امنیت کامپیوتر و پاسخگویی رویداد دارد.

  • اختيارات تيم به سه سطح تقسيم مي شود.

  • اختيار كامل:مستقيم به مدير شبكه دستور قطع شبكه ميدهد

  • اختيار اشتراكي:در تصميمات مشاركت مي‌كند ولي تصميم گير نيست

  • بدون اختيار:در قالب مشاور به سازمان فعاليت ميكند. CERT/CC تيمي است كه هيچ اختياري بر حوزه عمل خود كه اينترنت است ندارد


Csirt6

خدمات قابل ارائه توسط مراکز CSIRT

خدمات به سه دسته اصلی تقسیم می شوند :

  • خدمات پيشگيرانه :

    پيشگيري از حوادث از طريق آموزش و اطلاع رساني

  • خدمات واكنشي :

    اعمال کنترل حوادث و کاهش صدمات

  • خدمات مدیریت کیفیت امنیت :

    شامل اهداف بلند مدت جهت بهبود و توسعه سیستم

    مانند : سنجش دوره های آموزش و مشاوره


Csirt7

خدمات قابل ارائه توسط مراکز CSIRT(ادامه)


C omputer e mergency r esponse t eam cert

استانداردهاي امنيتي در مراكز CERT(ادامه)

  • تعاريف حوادث و رخدادهاي امنیت اطلاعات و مدیریت آنها

  • امنيت فيزيكي مركز CERT

  • امنيت تجهيزات پردازش اطلاعات

  • همکاری با دیگر تیمها

  • سياست ها و قوانين ملي، سازماني


C omputer e mergency r esponse t eam cert

تقسيم بندي بر اساس ساختار و مدل سازماني

تمركز اصلي اين بخش، مدل سازماني يا ساختار عملياتي اين تيم است.

  • تيم امنيتي

  • CSIRT توزيع شده داخلي

  • CSIRT متمركز داخلي

  • CSIRT تركيبي متمركز و توزيع شده داخلي

  • CSIRT هماهنگ كننده


C omputer e mergency r esponse t eam cert

شناسايي ذينفعان و مشاركت كنندگان

اخذ تایید حمایتی مدیریت درخصوص ایجاد مرکز

ايجاد طرح پروژه ايجاد مركز

جمع آوري اطلاعات

شناسايي حوزه عملياتي

تعريف ماموريت

تامين بودجه

تعيين طيف سرويس هاي ارائه شده

تعيين ساختار گزارش دهي، اختيارات و مدل سازي تيم

شناسايي منابع لازم براي ايجا مركز

تعريف واسطها و تعاملات

تعيين نقشها و وظايف و اختيارات

مستندسازي گردش كار

توليد سياستها و روالهاي كاري

ايجاد برنامه پياده سازي و تعيين بازخوردها

معرفي رسمي مركز

تعيين روشهاي ارزيابي كارايي تيم

ايجاد برنامه پشتيبان

گامهای تشکیل CERT

37


C omputer e mergency r esponse t eam cert

  • مرکز عملیات امنیت شبکه (SOC)

مرکز عمليات امنيت، مجموعه اي از ابزارها، فرآيندها و عوامل انساني است که امکان مانيتورينگ متمرکز امنيتي شبکه را فراهم نموده و به واسطه اطلاع رساني‌هاي خودکار حوادث و وقايع، توليد گزارشات جزئي و کلي، پاسخ‌دهي خودکار به حوادث و وقايع، رويکردي پيشگيرانه را در جهت  مديريت ريسـک‌هاي امنيتي ايجاد خواهد نمود.

سطح يكم، نقطه تماس Client‌ها و مسئول پاسخ گويي به اخطارهاي دريافتي ازClient‌هاست.

سطح دوم، در حقيقت مكمل سطح يكم است و مسئول پاسخ‌گويي به مشكلات پيچيده تر در سيستم‌هاي امنيتي شبكه مي‌باشد.

سطح سوم، در اين سطح كارشناسان ارشد و مشاوران امنيتي شبكه قرار دارند.


C omputer e mergency r esponse t eam cert

چرخه حیات سرویس در مرکز SOC

SOC


C omputer e mergency r esponse t eam cert

تجهیزات در SOC

POLLERها. تجهیزاتیاند که رویدادهای مربوط به خود را تولید می­کنند. کلیه تجهیزات امنیتی مانند دیواره آتش، IDS/IPS، آنتی­ویروس و UTM و تجهیزات غیرامنیتی مانند سوئیچ، روتر

سنسورها. آن دسته از تجهیزاتی که علاوه بر اینکه رویدادهای مربوط به خود را تولید می­کنند، قادرند ترافیک شبکه را نیز پایش و آنالیز کنند. صرفآ تجهیزات امنیتی در این گروه قرار دارند.


C omputer e mergency r esponse t eam cert

:MSSPچارچوب مركز عمليات امنيت

استاندارها و نمونه هاي برتر

(ITIL, BS7799/ISO17799, SANS, CERT)

پورتال

(Operational Reporting, Advisories)

ارائه خدمات ويندوز

(24x7, 8x5, 12x7 )

ابزار

(Helpdesk, Monitoring, Mgmt., Configuration, Automation/Workflow)

مركز رشد امنيت

(Test bed, Technology Innovation, Knowledge Mgmt., Trainings )

MSSP SOC

پايگاه دانش

(Incident & Problem Mgmt., Testing, Product evaluation)

مديريت زيرساخت

مديريت امنيت

نظارت تجهيزات

(كارايي, مانيتورينگ حوادث)

مانيتورينگ امنيت

مديريت برنامه

(Customer interface, Escalation mgmt., Strategic assistance, Operational supervision, quality control)

نيروي انساني

(cross skilling, rotation, training, ramp-up and scale down)

تغييرات امنيت

عمليات تجهيزات

(نصب ، پيكربندي، تغيير)

مشاوره امنيت

مدل هاي عملياتي

(SOC and ODC)

ارائه خدمات

(Onsite, Near Shore and Offshore)

مديريت حوادث

گزارش دهي


C omputer e mergency r esponse t eam cert

نحوه ارتباط بین SOCو CERT

ارتباط بین مرکز SOC و مرکزCERT، مطابق با شکل -در سه مرحله خلاصه می­شود:


C omputer e mergency r esponse t eam cert

تفاوت CERTوSOC

  • مرکز SOC براساس شواهد و مدارک دریافتی از تجهیزات شبکه (sensor و poller)، قادر به کشف و طبقه­بندی رویدادها، حوادث و مشکلات است؛

  • مرکز CERT، طبق اعلان­های رسیده از طرف کاربران شبکه، ذینفعان، تهدیدات نوظهور و آسیب­پذیری­های مرتبط، به دنبال ارائه راهکار برای مقابله با چنین تهدیدات و در نهایت اطلاع­رسانی به کلیه سازمان­های ذینفع می­باشد.


C omputer e mergency r esponse t eam cert

تعريف سرویس های امنیت مدیریت شده

سرویس های امنیت مدیریت شده (Managed Security Services) عبارت است از روشی است نظام‏مند برای مدیریت پاسخ به نیازهای امنیت سازمانی. این خدمات می تواند به صورت درون سازمانی انجام شود یا به بنگاه‏های تامین خدمات امنیت اطلاعات برون سپاری گردد.


C omputer e mergency r esponse t eam cert

خدماتMSSP

از جمله سرویس های امنیت مدیریت شده می توان به موارد زیر اشاره کرد:

  • خدمات مدیریت شده برای فایروالها، سیستمهای تشخیص نفوذ (IDS) و شبکه های خصوصی مجازی (VPN)

  • پایش و رصد وضعیت امنیت شبکه ها و سیستم ها

  • مدیریت رخدادهای امنیتی شامل پاسخگویی به فوریتها و تحلیل جرم شناسی

  • ارزیابی آسیب پذیری و تست نفوذ پذیری

  • ارزیابی مخاطرات امنیت اطلاعات

  • تحلیل های راهبردی، پیش بینی روندها و پیشنهاد تغییر در معماری یا تدوین طرح های جدید معماری ساختاری یا امنیتی


C omputer e mergency r esponse t eam cert

دلايل استفاده از MSSP

  • امنيت هسته اصلي كسب و كار برخي سازمان ها نمي باشد.

  • سازمان نياز به حفاظت بيشتري براي خنثي كردن حملات دارند زيرا حملات پيچيده، نياز به زمان و تلاش بيشتري دارد.

  • سازمان مي خواهند مهارت بيشتر و كاهش هزينه را داشته باشند زيرا پرسنل متخصص در زمينه امنيت شبكه هزينه بالايي دارند و اين از نظر اقتصادي براي همه شركت ها مناسب نيست.

  • سازمان ها نياز به پوشش 24ساعته در 7 روز هفته مي باشند و اين نياز با محدوديت منابع در سازمان ها امكانپذير نمي باشد.


C omputer e mergency r esponse t eam cert

سرويس هاي MSSPبر اساس مديريت ريسك IT

شناسايي تهديدات و

آسيب پذيري ها

كاهش ريسك

مانيتورينگ و تحليل

تحليل پيامد و تعيين ريسك

  • ارزیابی آسیب پذیري

  • تست نفوذ

  • سرویسارزیابی زیرساخت

  • تعيين کنترل هاي امنیتي پيشنهادي

  • پیاده سازی کنترل های امنیتی

  • مدیریت امنیت تجهيزات ( فايروال، IPS/IDS(

  • کنترل امنیتی كاربر نهايي

  • نظارت 24*7 حوادث امنيتي

  • پاسخگويي به حوادث

  • داشبورد ریسک

  • گزارش سازگاري با استاندارهاي امنيتي


C omputer e mergency r esponse t eam cert

چارچوب MSS


C omputer e mergency r esponse t eam cert

؟


C omputer e mergency r esponse t eam cert

منابع و مراجع

http://www.cert.org

http://www.enisa.europa.eu

http://www.first.org

http://www.APCert.org

http://www.Certcc.ir


C omputer e mergency r esponse t eam cert

با تشکر از توجه شما


  • Login