telescam.info · web viewازآنجایی که فعالیت های رسیدگی به آسیب...

سازمان دهی یک تیمCSIRT

Martijn van der Heide نوشته Telescam.ir

( 2017 )نوامبر 1.2نسخه مترجم : علی رضا نیک فرجام

ا

فهرست مطالب عنوان

صفحه

1..............................................................................................مقدمه1....................................................................................مخاطبین هدف

1.......................................................................................واژه شناسی2...............................................................................ساختار این کتابچه

3...................................................................................تاریخچه بازبینی3.....................................................................- مدیریت چرخه عمر تیم1

4.....................................................................(PLANفاز برنامه ریزی)5...............................................................................(:DOفاز اجرا )

5........................................................................(:Checkفاز بررسی )6.............................................................................(ACTفاز اقدام )

6.......................................................- اندازه گیری و پیشرفت بلوغ1-17................................................................................بنیان و اساس

7.......................................................................................سازمان7........................................................................................انسانی7.........................................................................................ابزارها

7.......................................................................................فرآیندها1-1-1 -SIM37...................................: مدل بلوغ مدیریت حوادث امنیتیCSIRT..........................................................8- خودارزیابی بلوغ 1-1-2

CSIRT...........................................................9- پیش نویس یک چارچوب 29......................................................................- بیانیه مأموریت2-19.......................................................................- هیئت مؤسسان2-2

10........................................................................................اختیار10............................................................................- مسئولیت2-311...................................................................- ساختار سازمانی2-4

11......................................................- مدل کسب وکار مستقل2-4-111...................................................................- مدل تعبیه شده2-4-212......................................................................- مدل پردیس2-4-3

ا

TELESCAM.IR

13.......................................................................- خدمات اصلی2-513...................................................................- الزامات کارکنان2-6

13...........................................................................- گنجایش2-6-114..........................................................................- توانایی ها2-6-215........................................................- منشور اخالقی / عملی2-6-315..........................................................................- آموزش2-6-4

16..................................................................- زیرساخت و ابزار2-717...........................................................- روابط درونی و بیرونی2-817................................................................- مدل سرمایه گذاری2-9

19.........................................................- دریافت مجوز از مدیریت ارشد3 - توافق روی ساختار گزارش برای درگیر نگاه داشتن و عالقمندساختن3-1

19...............................................................................................آن ها20.............................................................- راه اندازی تیم و محیط کاری4

20..........................................- مروری بر منابع اطالعاتی ایجاد کنید4-120....................................- یک خط مشی رسیدگی به حادثه ایجاد کنید4-221..................................- ایجاد یک سیاست بررسی و تبادل اطالعات4-3

21...............................................................- قوانین و مقررات4-3-1PGP.............................................................22- ارتباط امن با 4-3-2

23..................................................- ارزیابی مبنای هیئت مؤسسان4-4CSIRT...............................23- برقراری ارتباط برای اعالم موجودیت 4-524................- ایجاد شبکه مورد اعتماد، رفتن به کنفرانس ها و سمینارها4-625.....................................................................- تمرین فرآیندها4-7

25..................................................................- فرآیند رسیدگی به حادثه526.......................................................................- گزارش حادثه5-1

26.....................................................................- اطالع رسانی5-1-127......................................................................- ثبت موضوع5-1-2

28..................................................................................- تریاژ5-228...............................................................- طبقه بندی حوادث5-2-1

30..............................................................- برطرف سازی حادثه5-330.....................................................................- تحلیل داده ها5-3-1

[Author Name] ب

TELESCAM.IR

31....................................................................- کاوش راه حل5-3-231...............................................- مطرح کردن پیشنهاد اقدامات5-3-332.............................................................- اقدامات انجام شده5-3-432.............................................- ریشه کن سازی و بازیابی بهبودی5-3-5

32.........................................................................- خاتمه حادثه5-432..................................................................- اطالعات نهایی5-4-133.................................................................- طبقه بندی نهایی5-4-233....................................................................- بایگانی حادثه5-4-3

33...........................................................................- پسا تحلیل5-534........................................................- افزودن بر خدمات به هنگام نیاز6

35........................................................................- شرح خدمات6-135.................................................................- خدمات واکنشی6-1-139..............................................................- خدمات پیشگیرانه6-1-241...............................................- خدمات مدیریت کیفیت امنیت6-1-3

CSIRT.........................................................44: الگوی چارچوب Aضمیمه 44................................................: نمونه ای از فرم گزارش حادثهBضمیمه 46..................................................................: ابزارهای امنیتیCضمیمه 48....................................................................: منابع اطالعاتیDضمیمه

[Author Name] ج

TELESCAM.IR

[Author Name] د

مقدمه با توجه به اینکه این روزها اینترنت همیشه در حال گسترش است و این واقعیت که سازمان های حیاتی بیشتر و پرشمارتری نیازمند به دسترسی اینترنت هستند، ثبkkات،

استحکام و دسترس پذیری آن اهمیت بیشتری پیدا کرده است. زیرساخت های حیاتی )همانند بخش های مالی، انرژی، حمل ونقل یا دولت( بیشتر و بیشتر به امکان پذیر بودن دسترسی شهروندان از طریkkق اینkkترنت وابسkkته هسkkتند. درعین حال، این زیرسkkاخت ها خودشkkان هkkرروز بیشkkتر از گذشkkته از اینkkترنت بkkرای فراهم کردن خkkدمات بین یکkkدیگر اسkkتفاده می کننkkد. همچkkنین فرآینkkدهای عمkkده و

اصلی بسیاری از سازمان ها نیز به دسترس پذیر بودن اینترنت وابسته است. دیگر یkkک قطعی چندسkkاعته اینkkترنت قابل پkkذیرش پنداشkkته نمی شkkود و در صkkورت طوالنی تر شkkدن مkkدت زمان این قطkkع دسترسkkی، عمالً مkkوجب بی ثبkkاتی اقتصkkادی می شود. سkkازمان هایی کkkه از فروشkkگاه های تحت وب اسkkتفاده می کننkkد، حkkتی در

وقفه های کوتاه مدت نیز با تأثیرات ناگوار شدیدی مواجه می شوند. دقیقه ای15اگر نگاهی به گزارش رسانه ها بینkkدازیم، می بینم کkkه حkkتی یkkک قطعی

فیس بوک به سر تیتر خبرها تبدیل می شود. جدای از این وقفه ها، هرروزه رخنه های سایبری در سkkازمان های سراسkkر دنیkkا گkkزارش می شkkوند و داده هkkای مشkkتریان یkkا مالکیت معنوی آن ها به سرقت رفته و در بسیاری از مkkوارد به عنkkوان خرابکkkاری یkkا

جاسوسی شرکتی مورد تخریب قرار می گیرند. حوادث پرهزینه هستند. هزینه مستقیم آن ها مربوط به از دست رفتن درآمد و سود شامل خاتمه دادن حادثه بوده اما هزینه های غیرمسkkتقیم نkkیز احتمkkاالً آسkkیب دیkkدن اعتبار نام تجاری، از دست دادن مشتریان، مطالبه های حقوقی از سوی مشتریان و

یا جریمه شدن توسط یک سازمان تنظیم کننده مقررات است. مkkوارد مسkkتند مختلفی وجkkود دارد کkkه حkkوادث امنیkkتی منجkkر بkkه ورشکسkkتی یkkک

سازمان شده است چراکه آن ها قادر به بهبود و بازگشت پس ازآن نبوده اند. هرگاه یک حادثkه امkنیت اطالعkات رخ دهkد، پاسkkخ سkkریع و متناسkkب کلیkد حkل آن

) امنیkkتی کkkامپیوترچالش است و این جایی است که تیم های پاسخگویی به حkkوادثCSIRT)1.وارد موضوع می شوند

است که به حوادث یا تهدیدات امkkنیتITتیمی از متخصصین امنیت CSIRTدرواقع اطالعkات واکنش نشkان می دهنkkد. این تیم هkا دارای ظkkرفیت و توانkایی تشkخیص و رسیدگی به حkkوادث بkkوده و بkkه مkkوکالن و حامیkkان خkkود کمkkک می کننkkد تkkا نقص هkkا

برطرف شده و رخنه ها ترمیم یابند. می تواند به گونه ای فعاالنه خدمات متنوعی را برای کمک به کاهش دادن CSIRTتیم

ریسک ها و آسیب پذیری ها، افزایش آگاهی و آموزش انتخاب کنندگان خود در توسkkعهو بهبود خدمات امنیتی ارائه دهد.

مخاطبین هدف1 Computer Security Incident Response Team

1

TELESCAM.IR

این کتابچه برای سازمان هایی تدوین شده است که مایل اند بیشتر راجع به تیم هkkایCSIRT .بیاموزند و یکی از این تیم ها را برای خود راه بیندازند

این کتابچه هردو بخش فرآیند سازمان دهی و ملزومات متنوع آن را شkkرح می دهkkد. هر جا امکان پذیر بوده مثالی ارائه شده است تا نشان دهد که هر گkkام چگونkkه بایkkد

تکمیل شود.ً مخاطبین هدف، سطح مدیریت سkkازمان اسkkت امkkا این کتابچkkه می توانkkد مسkتقیما

کارکنان عملیاتی به عنوان یک راهنمای مرجع مورداستفاده قرار گیرد.توسط

واژه شناسی اصطالحات متعددی وجود دارد که مرتبط با تیم های امنیتی است و هنگامی که شkkما بیشkkتر در رابطkkه بkkا این موضkkوع در اینkkترنت پkkژوهش می کنیkkد، بkkا آن هkkا برخkkورد

می کنید. ما تالش می کنیم تا متداول ترین آن ها را در اینجا شرح دهیم:CERT: Computer Emergency Response Team

تیم پاسخگویی به حوادث اضطراری کامپیوتریاسkkت ) CERT” یkkک عالمت تجkkاری ثبت شkkده از مرکkkز همkkاهنگی CERT“اصkkطالح CERT/CC)1( زارkkی نرم افkkتیتو مهندسkkکه زیرمجموعه انس SEIارنگیkkگاه کkkاز دانش )

( در ایاالت متحده است.CMUملون ) این اولین تیم رسمی پاسخگویی به حوادث بود کkkه در پاسkkخ بkkه قطعی و وقفkkه بkkا

تشکیل شد.1998 در سال 2مقیاس بزرگ مربوط به کرم موریس ” به عنوان بخشی از نامش استفاده کنkkد،CERTاگر تیم جدیدی بخواهد از اصطالح “

.3نیاز به یک مجوز توافقنامه داردCSIRT: Computer Security Incident Response Team

تیم پاسخگویی/ واکنش به حوادث امنیت کامپیوتری این یک نام عمومی برای توصیف تیم های پاسخگویی به حوادث اسkkت. عملکkkرد آن

یkkک CERT است اما همان گونkkه کkkه در بkkاال گفتkkه شkkد، واژه ”CERTمشابه با یک “عالمت تجاری ثبت شده است.

ISAC: Information Sharing and Analysis Center مرکز تحلیل و به اشتراک گذاری اطالعات

یک پلتفرم همکاری برای تیم های امنیتی در بخش مشابه یا بkkا اهkkداف مشkkترک کkkه ارائkkه می دهkkد را ارائkkه دهنkkد امkkا CSIRTمی توانند بسیاری از خkkدماتی کkkه یkkک تیم

توانایی یا اجازه بررسی و رفع و رجوع حوادث را ندارند.SOC: Security Operation Center

مرکز عملیات امنیت یک فضای فیزیکی یا اتاق در یک ساختمان که نظارت بالدرنگ در آن متمرکزشده و مخابره و هماهنگی در رابطه با حوادث در آنجkkا شkkکل می گkیرد، مشkkابه چkیزی کkه1 CERT/CC: <https://www.cert.org/> موریس 2 <https://en.wikipedia.org/wiki/Morris_worm> :کرمبیابید 3 آن ها وب سایت در می توانید را مجوز یک برای درخواست فرآیند و بیشتر اطالعات<https://www.cert.org/incident-management/csirt-development/cert-authorized.cfm>

[Author Name] 2

TELESCAM.IR

دارنkkد بkkا این2(NOC )نیز( بنام مرکز عملیات شبکه)1فراهم کنندگان خدمات اینترنتمختص حوادث امنیتی است. SOCتفاوت که

بسkkیار IT پیشرفته یا سازمان های بزرگ بkkا دارائی هkkای CSIRTعموماً، تنها تیم های مختص به خkkود SOCکه در تعداد زیادی منطقه جغرافیایی توزیع شده اند، نیاز به یک

دارند. وجkkود نkkدارد و همین طkkور SOCو یkkک CSIRTتمkkایز واضkkحی میkkان فعالیت هkkای

CSIRTهمپوشانی زیادی در عملکرد خkkود دارنkkد، همچkkنین الزم بkkه ذکkkر اسkkت کkkه CSIRTبه عنوان خط مقدم SOCقرار گیرد و بعضی از تیم ها از SOCمی تواند درون

خود بهره می گیرند. هرکدام از این اصطالحات مورداستفاده قرار گیرند، و هkkر نkkامی کkkه بkkه این تیم هkkا اطالق شود )اگر نامی بخواهند داشته باشند(، چیزی که مهم است قابلیت، توانkkایی

و صالحیت آن هاست.ساختار این کتابچه

، یک راهبرد ساختاریافته را برای راهنمایی در رابطه با چرخه عمر و مkkیزان1فصل بلوغ تیم ارائه می کند.

، گام هkkای متنkkوع موردنیkkاز بkkرای برنkkامه ریزی، تائیkkد مkkدیریت ارشkkد و4 تا 2فصل شرح می دهد. CSIRTشروع به کار

اگرچه بهتر است مدیریت ارشkkد در طkkول فرآینkkد حضورداشkkته و درگkkیر آن باشkkد، ازآنجایی که دریافتیم مدیریت معموالً خواهان دریافت یک طkkرح پیشkkنهادی واضkkح و کامل پیش از صرف زمان روی ایkkده ی پیشkkنهادی اسkkت، مkkا تصkkمیم گرفkkتیم تائیkkد

قطعی وی را در مرحله دوم اضافه کنیم.، نمای کلی مهم ترین خدمات تیم، رسیدگی به حادثه را شرح می دهد.5فصل در رابطه بkkا گام هkkای بعkkدی اسkkت: افkkزودن خkkدمات اضkkافی بkkه کاتkkالوگ6فصل CSIRT.

تاریخچه بازبینینس��

خهمالحظاتتاریخ

اولین انتشار2016ژوئن 1.0تعداد کمی تغییر پس از بازبینی دقیق2016ژوئیه 1.1 به روزرسkkkkانی بیشkkkkتر و توسkkkkعه و بسkkkkط بلkkkkوغ2017نوامبر 1.2

(1.1تیم)پاراگراف جدید - مدیریت چرخه عمر تیم1

شkkاخص ها و جنبه هkkای زیkkادی جهت لحkkاظ کkkردن و CSIRTراه انkkدازی یkkک تیم پیاده سkkازی دارد. بسkkیار توصkkیه می شkkود کkkه از یkkک راهkkبرد مkkدیریت پkkروژه و1 ISP2 Network Operation Center

[Author Name] 3

TELESCAM.IR

بkkرای بهبkود پیوسkkته1)برنامه، اجkرا، بررسkkی، اقkدام( PDCAپیاده سازی یک چرخه استفاده شود.

)یا چرخه دمینگ(. بهبود کیفیت پیوسته با تکرار از طریق PDCA: به تصویر کشیدن چرخه 1شکل Johannes)چرخه به دست می آید و استحکام پیشرفت های به دست آمده از طریkkق استانداردسkkازی

Vietze)

تیم مدیریت پروژه به طور ایدئال باید شامل یک نقش مشاوره از اسپانسر اجkkرایی باشkkد، یعkkنی کسkkی کkkه بkkا مkkدیریت سkkطح بkkاالی سkkازمان، اهkkداف کسkkب وکار و استراتژی آن آشناست و ممکن است بتواند به جمع آوری حمایت از برنامه هkkا کمkkک

نماید. موجود در دسترس است که مسیرشان را بkkا CSIRTبررسی های موردی از تیم های

هدف کمک به تیم های آینده با نحوه سازمان دهی خود شرح می دهنkkد کkkه عبارت انkkداز:AusCERT2

3یک موسسه مالی

مرکزCERT 4لهستان

Royal)شرکت KPNبه عنوان مرجع بعدی، Dutch Telecomت گذاریkkچارچوب سیاس ) که این سند نیز می تواند به عنوان5امنیتی خود را به طور کامالً آنالین منتشر کرده اند

یک نقطه آغاز بکار مورداستفاده قرار گیرد.1 Plan, Do, Check, Action2 <https://www.auscert.org.au/render.html?it=2252>3 <http://www.cert.org/incident-management/publications/case-studies/afi-case-study.cfm>4 CERT Polska: <https://www.terena.org/activities/tf-csirt/meeting9/jaroszewski-assistance-csirt.pdf>5 KPN Security Policy Framework: <https://github.com/KPN-CISO/kpn-security-policy>

[Author Name] 4

TELESCAM.IR

(PLANفاز برنامه ریزی)CSIRTایجاد چارچوب

شرح داده خواهد شد و همین طور در ضمیمه 2این مرحله در فصل Aقالب : CSIRTچارچوب

فراهم کردن بودجهرمایه گذاریkkای سkkاتی و هزینه هkkبودجه چندساله بریزید، میان هزینه های عملی

تمایز قائل شوید.ه راkkت بودجkkد و درخواسkkر نگیریkkه در نظkkازمان بودجkkالی سkkبیش از توان م

فراتر از تخمین های واقعی هزینه های پروژه، مطرح نکنید.اییkkا جkkهود، تkkدر رابطه با تمام دارایی های قابل مشاهده و ملموس و یا نامش

که امکان دارد مختصر و صادق باشید.

ایجاد یک طرح کسب وکار.مثال ها و سایت های راهنما را برای طرح های کسب وکار بررسی کنید.حامی اجرایی شما، باید قادر به کمک به شما باشد طرح کسب وکار باید اهدافCSIRT رد اینkkرا برای سازمان و چگونگی عملک

اهداف در رابطه با بودجه را بازتاب دهد.( در رابطه با بازگشت سرمایهROI.توضیح دهید )

بودجه و طرح خود را ارائه دهید آورده شده است.3همان گونه که در فصل ودkkزوم وجkkود و لkkبه گونه ای پژوهش کنید تا قادر باشید از بودجه پیشنهادی خ

هر فقره درج شده در آن دفاع کنید.دهkkع حمایت کننkkک منبkkا از یkkد تkkه کنیkkرایی ارائkkطرح خود را ابتدا به حامی اج

بازخوردهایی را دریافت کنید.سپس طرح را به دیگران، یعنی کسانی که باید طرح و بودجه پیشنهادی شما

را به تائید برسانند، ارائه کنید.

(:DOفاز اجرا )

طرح را پیاده سازی کنید شرح داده شده است.4همان گونه که در فصل

[Author Name] 5

TELESCAM.IR

یک بازبینی از منابع اطالعاتی ایجاد کنیدیک سیاست گذاری برای رسیدگی به حوادث تدوین و تعیین نماییدیک خط مشی برای بررسی و تبادل اطالعات تعیین نماییداساس تصویب شده حامیان را برآورد نمایید ارتباط موجودیتCSIRT را برقرار کنیدشبکه های قابل اعتماد ایجاد کرده، به کنفرانس ها و سمینارها برویدفرآیندها را تمرین کنید

فصل(ل 5برای رسیدگی به حوادثkkفص(لیkkو سایر خدمات اص )ات6kkعملی ) روزانه انجام دهید.

(:Checkفاز بررسی )

کارایی تیم را تحلیل نماییدروی گردش های کاری، فرآیندها و وظایف مهم تمرکز کنید

به صورت متداول انجام می شوندمتناقض اجرا می شوندتحت کنترل شما برای بهبود قرار دارند

از اندازه گیری ها و معیارهای مناسب استفاده کنیده آن راkkد کkkت می آوریkkه دسkkیزی را بkkما چkkه "شkkپارید کkkاطر بسkkبه خ

اندازه گیری کنید"معیارها باید منتج به انگیزه های متناسب شوند

اعضای تیم را درگیر کنیدشامل بودن و درگیر بودن در مسائل منجر به اشتراک تعهد می شودودkkد بهبkkه می تواننkkچیزی که آن ها آن را خوب انجام می دهند و جایی ک

یابند را به اشتراک بگذاریددر صورت در دسترس بودن، با دپارتمان تضمین کیفیت همکاری کنیداستفاده از یک مشاور و تسهیل کننده بیرونی را در نظر داشته باشید

با حامیان خود مصاحبه کنید تیمCSIRTچه کارهایی را به خوبی انجام می دهد فضای کلیدی بهبود

مدیریت کیفیت عمومیآیا تیم مطابق فرآیندها و استانداردها کار می کند؟آیا همه چیز مستند شده است؟آیا همه می دانند که مستندات را کجا می توانند بیابند؟دی درkkات بعkkرای ارجاعkkده و بkkاد شkkات ایجkkام مالقkkانی از تمkkا زمkkآی

دسترس است؟وادثkkهرکس چگونه با شخص دیگر کار می کند و یکدیگر را در مورد ح

پیش رو به روز نگه می دارند؟

[Author Name] 6

TELESCAM.IR

ردهkkرکت کkkمینارهایی را شkkا و سkkچه کسی چه آموزش ها، کنفرانس ه است؟

(ACTفاز اقدام )

روی ضمایم و بهبودها تصمیم گیری کنیدبهبودها و عملیاتی که می تواند به عنوان نتیجه فاز بررسی ساخته شود،ودkkهمان طور که تیم بالغ تر می شود، چه خدماتی که ممکن است خواسته ش

شرح داده شده است6که در فصل رkkه دیگkkک چرخkkروع یkkا و شkازی آن هkkرای پیاده سkkیک فاز برنامه ریزی جدید ب

برای بهبود پیوسته

همزمkان بkkا سkkال PDCAبعدازاینکه تیم سازمان دهی شد، متداول است کkه چرخkه مالی )در صورت وجود( به طور سالیانه انجkkام شkkود تkkا تضkkمین دهkkد کkkه ملزومkkات

CSIRT .در تمام مذاکرات و چک وچانه زدن های بودجه ای شامل شده باشد

- اندازه گیری و پیشرفت بلوغ1-1 متغkkیر از ،CSIRTیkkک شkkیوه نگkkاه بkkه انتخkkاب خkkدمات به صkkورت سkkطح بلkkوغ

واکنش پذیری شدید به پیاده سازی فعاالنه خدمات و مدیریت کیفیت است. این رویهطراحی شده است. ThaiCERTتوسط

2که توصkkیف می کkkنیم یkkک سkkازمان )مبتkkدی( سkkطح CSIRTدر این کتابچه، کمینه است.

تعریفسطح بلوغ ( برای هماهنگی و حkkلPoCبه عنوان نقطه تماس ) CSIRTتیم مقدماتی.1

حوادث وجود دارد. همچنین این تیم دارای قوانین و مقkkرراتیبرای اطالع رسانی به مسئولین مربوطه است

، فرآینkkد دیگkkری پیاده سkkازی شkkده اسkkت تkkا بkkه1عالوه بkkر ابتدایی.2 تهدیدات جدید رسیدگی نماید. یک سیستم پشتیبانی مبتنی بkkر تیکت بkkkرای رسkkkیدگی بkkkه تمkkkام حkkkوادث گزارش شkkkده و

مشاوره ها برای سازمان پیاده سازی شده است. ، یک ابزار تحلیل تهدیدات پیاده سازی شده است و2عالوه بر فعال.3

فرآیندهایی برای دسته بندی و رده بنkkدی اطالعkkات و رسkkیدگیبه آن ها وجود دارد.

پیش��گیران.4ه

، انتشار اطالعات امنیتی انجام می شود، ابزارهایی3عالوه بر بkkرای بررسkkی منظم و نگه داری وضkkعیت امنیkkتی پیاده سkkازی

[Author Name] 7

TELESCAM.IR

شkkده اسkkت و آموزش هkkایی کkkه بایkkد بkkرای اعضkkای تیم دادهشود، برنامه ریزی شده است.

، پkkردازش بالدرنkkگ حkkوادث و تهدیkkدات انجkkام4عالوه بkkر فراگیر.5 می شود. راهنمایی هایی بkkرای تهدیkkدات جدیkkد و پیشkkگیری از حkkوادث پیش نkkویس شkkده اسkkت و هم درون و هم بkkیرون از

سازمان برای ایجاد آگاهی به اشتراک گذاشته می شود.

ارجاع دارد: CSIRT رکن بلوغ 5به CSIRTطرح های بلوغ بنیان و اساس

طرح کسب وکار، درک محدودیت های قانونیسازمان

مجوز و سایر ساختارهای داخلی سازمانی درون سkkازمان والkkد و همکkkاری وهاCSIRTهماهنگی با دیگر

انسانیکارکنان تیم، ساختار، تخصص، منشور اخالقی و گزینه های آموزشی

ابزارهاهر چیزی که برای انجام وظایف محول شده موردنیاز است

فرآیندهابرای رسیدگی به حوادث و تهدیدات یا تعامل با رسانه ها

توسعه داده CSIRT سطح برای بلوغ 3استانداردی را در Trusted Introducerوب سایت است:

نام نویسی شدهبه رسمیت شناخته شدهتصدیق شده

است که در پاراگراف بعدی شرح داده می شود. SIM3فرآیند گواهی ها مبتنی بر

1-1-1 -SIM31: مدل بلوغ مدیریت حوادث امنیتی

4این مدل در حمایت از اندازه گیری بلوغ تیم امنیتی یkkا پاسkkخگویی بkkه حkkوادث در حوزه توسعه داده شده است: سkkازمان، مسkkائل انسkkانی، ابزارهkkا و فرآینkkدها. این

استفاده شده و توسط اعضای Trusted Introducerمدل در حمایت از چارچوب گواهی پذیرفته شده است.Nippon CSIRT (NCA)و انجمن FIRSTمختلف سازمانی از قبیل

روی سه عنصر اساسی ساخته شده است: 2SIM3مدل بلوغ 1 Security Incident Management Maturity Model2 SIM3 model: <https://www.trusted-introducer.org/SIM3-Reference-Model.pdf>

[Author Name] 8

TELESCAM.IR

پارامترهای بلوغ.1چهارگوشه بلوغ.2سطوح بلوغ.3

چهkkل و–پارامترها، کمیت هایی هستند که در ارتباط با بلkkوغ انkkدازه گیری می شkkوند خرده ای هستند و در ادامه جزئیات آن ها آمده است. هر پkkارامتر متعلkkق بkkه یکی از

بنابراین چهارگوشه ها چهار رده اصلی پارامترها هستند:–چهارگوشه است O – Organization (11) سازمان H – Human (7) انسانی T – Tools (10) ابزارها P – Processes (17) فرآیندها

این چهارگوشه به گونه ای انتخاب شده اند که پارامترهkkای موجkkود در آن هkkا تkkا حkkدامکان متقابالً مستقل هستند.

چkkیزی کkkه در حقیقت انkkدازه گیری می شkkود، سkkطوح بkkرای هkkر پkkارامتر اسkkت. با مشخص کkkردن مجمkkوعه ی یکتkkایی از سkkطوح کkkه SIM3سادگی موردنظر در

برای همه پارامترها در تمام چهارگوشه معتبر هستند به دست می آید: = در دسترس نبودن / تعریف نشده / بی اطالع0 = به طkkور ضkkمنی )شناخته شkkده/ محسkkوب شkkده امkkا نوشته نشkkده، "بین1

گوش ها"( = آشکار)صریح( داخلی )نوشته شده اما به هر صورت رسمی نشده(2 = صریحاً رسمی شده )مهر و تصدیق شده یا منتشرشده(3

= تحت فرآیند کنترل / ممیزی و حسابرسی / اجرا و تأکید4

CSIRT- خودارزیابی بلوغ 1-1-2

از راه های زیر در دسترس است: SIM3ارزیابی آنالین بر اساس یا مشابه با GCCS وNCSC-NL 1

ENISA2

1 CSIRT Maturity Quick Scan: <https://check.ncsc.nl/>2 CSIRT Maturity - Self-assessment Survey: <https://www.enisa.europa.eu/topics/csirts-in-europe/csirt-capabilities/csirt-maturity/csirt-maturity-self-assessment-survey>

[Author Name] 9

TELESCAM.IR

CSIRTپیش نویس یک چارچوب - 2

قرار است چه کkkاری CSIRTبه جزئیات شرح می دهد که اصوالً تیم CSIRTچارچوب انجام دهد، برای چه کسی کار انجkام دهkد و بkرای بkه انجkام رسkاندن خkدمات چkه

منابعی موردنیاز است؟ متفاوت خواهد بkkود، تمkkامی عناصkkر متفkkاوت بkkرای هkkر تیمی CSIRTاگرچه هر تیم

: قkkالبAکkkاربرد خواهkkد داشkkت. یkkک الگkkو بkkرای تمkkامی این عناصkkر در ضkkمیمه آورده شده است. CSIRTچارچوب

ما از بهترین روش هایی که به صورت بین المللی پذیرفته شده اند پkkیروی می کkkنیم، تkkا عضویت و همکاری جهانی که بعدها رخ خواهد داد را ساده تر کkkنیم؛ درخواسkkت های عضویت این سازمان های جهkkانی عمومkkاً نیkkاز بkkه پkkر کkkردن عناصkkر مشkkابهی دارد، بنابراین آماده داشتن آن ها از پیش، طی کردن این فرآیند را بسیار سkkاده تر خواهkkد

ساخت. با توجه به گستره کامل آن، می تkkوان از این چkkارچوب بkkرای اعالم و انتشkkار اخبkkار

CSIRT .به سازمان مؤسس و دنیای بیرون نیز بهره برد را به عنوان مثkالی بkرای هkر بخش ThaiCERTهر جا که امکان پذیر باشد، ما وضعیت

خواهیم افزود.

- بیانیه مأموریت2-1 را بkkه شkkیوه ای CSIRTمأموریت تیم باید مستند شkkود. این بیانیkkه هkkدف و عملکkkرد

بسیار واضح بیان می کند و باید بررسی اجمالی مختصر از اهkkداف اصkkلی و اهkkدافتشکیل تیم را فهرست کند.

جملkkه( امkkا خیلی3 الی 2بهتر است که بیانیه مأموریت را فشkkرده نوشkkت)در حkkد کوتاه نباشد تا از ابهام جلوگیری شده و برای چند سال به صورت کلی یکسان بkاقی

بماند.مأموریت اهداف نهایی آینده ی تیم را شرح می دهد.

- هیئت مؤسسان2-2هستند. CSIRTهیئت مؤسسان یا موکالن، دریافت کنندگان خدمات

[Author Name] 10

شده CERTیک ThaiCERTتیم تأسیس مأموریت این انجام برای است، تایلند کشور ملیبرای بودن رسمی تماس نقطه با را الکترونیکی تراکنش های و سایبری فضای تا است

سازد امن تر تایلند اینترنت جامعه در کامپیوتری امنیت .حوادث

TELESCAM.IR

به تیم کمک می کند تا نیازهایی که آن ها دارنkkدCSIRTدرک و فهم سازمان مؤسس را مشخص کرده، از چه منابع و دارایی هایی بایkد محkkافظت شkود و چkه تعkاملی بkا

CSIRT .خواهند داشت هر تیم باید سازمان مؤسس واضح تعریف شده ای داشته باشkkد. اگkkر همپوشkkانی بkkا دیگر تیم ها وجود دارد باید کامالً شناخته شود و سازمان مؤسس نیز بایkkد به صkkورت

واضح مشخص کنند که در چه مواقعی چه تیمی را بکار می گیرند. تصدیق سازمان مؤسس را می توان در هر منشور، بیانیه مأموریت، اسناد عملیkkاتی

را شرح می دهند پیدا کرد. CSIRTیا دیگر اسناد مشابه که اهداف و عملکرد ENISA1 بخش های متمایز زیر را برای CSIRT :پیشنهاد می کند

موکالن یا حامیانتمرکزبخشنوعی

CSIRTبخش دانشگاهی

مؤسسات آموزشی و دانشگاهی، از قبیل دانشگاه ها و مراکز پژوهشی و اینترنت

محیط های پردیس کارکنان دانشگاه و

دانشجویانCSIRT

بازرگانی وتجاری

خدمات تجاری. می تواند سازمانی مستقل یا فراهم کننده خدماتISPباشد، یک

مدیریت شده مشتریانی که پرداخت

انجام می دهند

CSIRTبخش CIP/CIIP

محافظت از اطالعات حیاتی و/یا محافظت از اطالعات و زیرساخت های حیاتی. این گروه

تمام بخش های حیاتی فناوری اطالعات موجوددر یک کشور را پوشش می دهد

دولت، بخش های حیاتی وشهروندان

CSIRTبخش آژانس های دولتیخود دولتدولتی

CSIRTکارکنان داخلی و دپارتمانسازمان میزبان گروه داخلی IT

CSIRTبخش نظامی

سازمان های نظامی دارای مسئولیت درزیرساخت فناوری اطالعات

کارکنان انستیتوهای نظامی و موجودیت های

کامالً مرتبط همانندوزارتخانه ها

CSIRTتمرکز ملی، به عنوان نقطه ارتباط امنیتی ملی مرکزی در نظر گرفته می شود

موکل مستقیمی ندارد، ملیCERTاگرچه یک

CERTگاهی اوقات با دولتی ادغام می شود

CSIRT تشکیالت اقتصادی کوچک ومتوسط

خودسازمان ده هستند تا برایCSIRTاین ها کسب وکار خود یا گروه های کاربری مشابه

خدماتی را فراهم کنند بنگاه های اقتصادی کوچکو متوسط و کارکنان آن ها

CSIRT صاحبان محصول محصوالت اختصاصی فروشندگان، معموالً برای

1 https://www.enisa.europa.eu/publications/csirt-setting-up-guide/at_download/fullReport , Page 8

[Author Name] 11

https://www.enisa.europa.eu/publications/csirt-setting-up-guide/at_download/fullReport

TELESCAM.IR

فروشندگان

حل آسیب پذیری ها یا توصیه هایی برای کاهشاثر حمالت خاص

مخفف متداولی که برای آن بکار برده می شودPSIRT است، که Pابتدای آن از Product.محصول( گرفته شده است(

اختیار اختیkkارات تیم شkkرح کارهkایی اسkkت کkkه اجkازه انجkkام آن هkkا داده شkkده اسkkت. این اختیارات می توانkkد از داشkkتن صkkرفاً نقش مشkkاوره ای تkkا یkkک وظیفkkه کامkkل بkkرای

غیرفعال کردن خدمات در معرض خطر و آسیب پذیر متغیر باشد. تنها مسئول جنبه های فنی باشد و هرگز برای CSIRTبه طورکلی، توصیه می شود که

سرکوب، مجازات و تنبیه بکار گرفته نشود، چون ممکن است بkkاعث شkkود حامیkkاناز ترس، دیگر حوادث را به آن ها گزارش نکنند.

- مسئولیت2-3 برای انجام نقش خود در قبال سازمان مؤسس خkkود چkkه CSIRTانتظار می رود که

اقدامی انجام دهد؟ وجkkود دارد CSIRTعموماً این خدمات شامل خدمات نkkوعی اسkkت کkkه در کاتkkالوگ

ممکن اسkkت خkkدمات CSIRT شرح داده شده است(، اما 6)همان طور که در فصل دیگری از قبیل ارتباطات و وظایف خkkاص بkkا مراکkkز قانون گkkذاری و تنظیم کننkkدگان

مقررات داشته باشد. هنگامی که چنین کارکردهایی به آن ها افزوده می شود، مراقبت زیادی بایkkد شkkود تkkا

وظkkایف عملیkkاتی داده شkkده CSIRTتضاد منافع رخ ندهد، برای مثال هنگامی که بkkه است درحالی که در آنجا نقش نظارت بر همان وظایف نیز برعهده دارد.

های ملی و دولتی، این وظایف و مسئولیت ها عموماً بایkkد در شkkکل یkkکCSIRTبرای قانون لحاظ شود.

[Author Name] 12

ThaiCERT ، CERT مشابه است تایلند مردم، CSIRTملی تمام بنابراین دولتی،می دهند تشکیل را آن حامیان و موکالن تایلند درون سازمان های و .شبکه ها

ThaiCERT بیشتری وظیفه ی و کرده تعدیل را خود موکالن به مربوط امنیتی حوادث.ندارد

ThaiCERT نماید اقدام اطالعات امنیت حوادث از نوعی هر رسیدگی به .می توانداین، بر آگاهی، ThaiCERTافزون افزایش فنی، و عملیاتی توصیه های و نصیحت ها

دارد خود کار دستور در را مشاوره و .آموزش

TELESCAM.IR

- ساختار سازمانی2-4این اصل گاهی اوقات حمایت یا وابستگی نیز نامیده می شود.

جایگkkاه تیم را در سkkازمان والkkد یkkا حامیkkان نشkkان می دهkkد. CSIRTخانه سkkازمانی بسیاری از تیم های ملی در سازمان های دولتی قرارگرفته اند، درحالی که دیگر تیم هkkاممکن است مرتبط با سازمان های تجاری، شبکه های تحقیقاتی یا دانشگاهی باشند.

- مدل کسب وکار مستقل2-4-1 خود یک سازمان مستقل است که دارای مدیریت، کارمنkkدان و CSIRTدر این مدل،

هkkایCSIRTکارکنان پشتیبانی مربوط بkkه خkkود اسkkت. این مkkدل ممکن اسkkت بkkرای تجاری قابل اجرا باشد.

- مدل تعبیه شده2-4-2 موجkود قkرار ITهای داخلی متداول است که آن هkا را در دپارتمان هkای CSIRTبرای

انجkkام می دهkkد، مسkkتقیماً بkkه CSIRTمی دهنkkد. زیkkرا تkkا حkد زیkkادی از کارهkkایی کkه مرتبط اسkkت. بkkرای سkkازمان های بزرگ تkkر ممکن اسkkت این مکkkان ITسیستم های

بkkه هkkدف محkkافظت از تمkkام دارایی هkkای CSIRTانتخkkاب بهینه ای نباشkkد، یkkک تیم .IT)اطالعاتی( سازمان ایجاد شده است و نه تنها

را در چkkارت سkkازمانی بسkkیار پkkایین قkkرار دهیم، به طkkور مkkؤثری آن را CSIRTاگkر " مجزا نشانده ایم و دیگر پشkkتیبان بقیه ی سkkازمان نخواهkkدITبه عنوان "اسباب بازی

بود. برعکس، اگkkر آن را بسkkیار بkkاال قkkرار دهیم، کارکنkkان سkkازمان آن را به عنkkوانیک گوشه خلوت تصور کرده و همگی با یکدیگر آن را نادیده می گیرند.

در حال شروع به قkkرار CSIRTدر حال حاضر ما یک تغییر کوچک می بینیم و تیم های گرفتن در موقعیت های باالتر هستند تا بهتر به سازمان خدمات دهند.

باید در چkkارت، دیkkاگرام سkkازمانی یkkا هkkر اعالمیه ای از سkkوی CSIRTخانه سازمانی مدیریت ظاهر شود.

در هرجایی از سلسله مراتب قرار گرفت، ضروری اسkkت کkkه در ارتبkkاط CSIRTتیم نزدیک با سایر دپارتمان ها قرار گیرد.

بسته به ساختار سازمانی چندین مدل امکان پذیر CSIRTبرای سازمان دهی فیزیکی وجود دارد:

متمرکز: همه ی اعضای تیمCSIRT .در یک دفتر کاری یکسان قرارگرفته اند

[Author Name] 13

TELESCAM.IR

توزیع شده: اعضای تیمCSIRT ال1در بیش ازkkمکان پخش شده اند، برای مث اگر چندین واحد عملیاتی وجود دارد. این باعث می شود که اعضای تیم بkkرای اینکه بتوانند باهم کار کنند بر اساس یkkک برنامkkه روزانkkه بkkا یکkkدیگر هماهنkkگ

شوند.خهkkک نسkkالت یkkتوزیع شده بر اساس منطقه زمانی: برای چندملیتی ها. این ح

پیشرفته از مدل توزیع شده است که برخی اوقkkات آن را "خورشkkید را دنبkkال بسته بkkه روشkkنایی روز در CSIRTکن" می نامند. در این مدل، اداره عملیاتی

سراسkkر جهkkان، تعkkویض می شkkود. بkkرای هkkر اداره عملیkkاتی، سkkاعت کkkاری می تواند ساعات کاری معمول باشد، بعدازآن یک دفتر در کشور دیگر کkkار را

به عهده می گیرد.- مدل پردیس2-4-3

های دانشگاهیCSIRTهمان طور که از نام آن برمی آید، این مدل به طور عمده برای هkkای بخشCSIRTو پژوهشی مورداستفاده قرار می گیرد، امkkا می تkkوان آن را بkkرای

هkkای سkkازمان های کوچkkک و متوسkkط نkkیز بکkkار بkkرد. در این مkkورد،CSIRTنظامی و اعضای شرکت کننده )دانشگاه ها یا سازمان ها( ممکن است بسته به اندازه و بودجه

های خود را داشته یا نداشته باشند و یک مؤسسه اختصاصی "مادر" یا CSIRTآن ها، CSIRT ت وkkده اسkkدازی شkkرای این بخش راه انkkاصلی که برای هماهنگی تالش ها ب

اصلی نkkیز CSIRTبه عنوان نقطه تماس برای بیرون سازمان عمل می کند. خود این می تواند یک سازمان مستقل یا تعبیه شده باشد.

اصkkلی می توانkkد تمkkام خkkدمات CSIRTاختصاصkkی خkkود، CSIRTبرای اعضای بدون CSIRT .را برای آن ها فراهم کند

[Author Name] 14

TELESCAM.IR

: ساختار سازمانی مدل پردیس2شکل

دسترس پذیری1.1 تا حد زیادی به ساعات کار سازمان والkkد بسkkتگی CSIRTدر دسترس بودن خدمات

، مقkkررات و تkkدارکاتی بkkرایx7 24در دسkkترس به صkkورت CSIRTدارد. به غkkیراز گزارش موارد حادثه خارج از ساعت اداری باید ایجkاد شkود. این درواقkع به سkkادگی می تواند این گونه باشد کkkه تمkkام ایمیل هkkای دریkkافتی در روز کkkاری بعkkدی برداشkkته شود، راه دیگر داشتن یک عضو تیم آماده باش بkkرای پkkایش گزارش هkkای دریkkافتی و تصمیم گیری در این رابطه است کkkه آیkkا می تkkوان آن را بkkرای روز کkkاری بعkkد نگkkاه

داشت یا نیاز به اقدام فوری است. مهم است کkه محیkkط سkkازمان را در CSIRTهنگام تعیین دسترس پذیری به خدمات

نظر بگیرید. به عنوان مثال، اگر بخش فناوری اطالعات فقط در طول ساعات اداری 7x24به صkkورت CSIRTدر دسترس باشد، ممکن است سودمند نباشد کkkه خkkدمات

ارائه شود، زیرا مشکالت را نمی توان خارج از ساعت اداری برطرف کرد. توجه داشkkته باشkkید کkkه داشkkتن اعضkkای تیم در خkkارج از سkkاعت کkkار ممکن اسkkت

موجب هزینه اضافی به صورت فوق العاده ی حقوق شود.

- خدمات اصلی2-5 می تواند ارائه دهkkد، امkkا در هنگkkام شkkروع تیم CSIRTخدمات زیادی وجود دارند که

مورد نیست؛ خدمات اضافی می توانند بعداً در صورت2 یا 1نیازی به ارائه بیش از پوشش خواهیم داد. 6لزوم اضافه شوند. ما این را در فصل

نامیده شود، پاسخگویی به حkkوادث یkkک خkkدمت ضkkروری CSIRTبرای اینکه یک تیم 5ًموردنیkkاز اسkkت کkkه در فصkkل پوشkkش داده خواهkkد شkkد. خkkدمت دوم معمkkوال

اطالعیه ها است.

- الزامات کارکنان2-6[Author Name] 15

ThaiCERT کار آژانس ها از یکی دفاتر از یکی در و است تایلند دولت از بخشیاست ThaiCERTهمین طور، . می کند تعبیه شده متمرکز تیم .یک

اوایل فقط ThaiCERT، 2015تا اضطراری اوقات و حاالت اعضای تعدادی داشتن بابه صورت اکنون و بود دسترس در اداری ساعات است 7x24 در دسترس .در

ThaiCERT فصل در شده داده پوشش خدمات می دهد 6اغلب ارائه .را

TELESCAM.IR

- گنجایش2-6-1 چیز روشن و در دسترسی CSIRTتعداد کارکنان فنی موردنیاز برای تشکیل یک تیم

متفاوت اسkkت، در محیط هkkای مختلkkف کkkار می کنkkد و CSIRTنیست، چراکه هر تیم ،CSIRTدارای یک حوزه متفاوت است. بااین حال، بkkا توجkkه بkkه تجربkkه جمعی انجمن

ارزش های زیر ثابت کرده اند که یک رویکرد خوب عبارت است از: هkkkور ارائkkkتی و2به منظkkkوادث امنیkkkه حkkkخگویی بkkkلی، پاسkkkدمت اصkkkخ

نفر4اطالع رسانی ها، حداقل دماتkل خkkه کامkرای ارائkبCSIRT د وkkار می کنkاعات اداری کkkا در سkه تنهkک

نفر8 تا 6سیستم های خود را نگه داری می کند: حداقل 7برای داشتن کارکنان عملیاتیx24( 3 حداقل )نفر12نوبت در روز

این تعداد نفرات ذکرشده دارای مقداری افزونگی جهت بیماری احتمالی کارکنان ویا روزهای تعطیل رسمی است.

- توانایی ها2-6-2 CSIRTدر ادامه، مkkروری کوتkkاه بkkر صkkالحیت کلیkkدی بkkرای کارشناسkkان فkkنی بkkرای

پیشنهاد شده اسkkت. گواهینامه هkkا وENISA151خواهیم داشت، همان طور که توسط دانشنامه هایی برای اثبات این صالحیت ها ممکن است موردنیاز باشد.

بسته به خدماتی که ارائه می شود، مهارت هkkای تخصصkkی خاصkkی موردنیkkاز خواهkkدبود.

شرح آیتم های عمومی شغل کارکنان فنی:شایستگی های فردی

انعطاف پذیر، خالق و دارای روحیه خوب همکاری تیمیمهارت تحلیلی قویتوانایی توضیح مسائل فنی دشوار به زبان سادهحس خوب برای حفظ محرمانگی و کار در یک شیوه ی روال مندمهارت های سازمانی خوببادوام در مقابل استرسمهارت های ارتباطی و نوشتاری قویروشنفکر و مشتاق به یادگیری توانایی های فنی

1 https://www.enisa.europa.eu/publications/csirt-setting-up-guide/at_download/fullReport

[Author Name] 16

تیم از ThaiCERTکارکنان است 30متشکل .عضو

https://www.enisa.europa.eu/publications/csirt-setting-up-guide/at_download/fullReport

TELESCAM.IR

شایستگی های فنیدانش گسترده ای از فناوری اینترنت و پروتکل ها)دانش سیستم های لینوکس و یونیکس )بسته به تجهیزات موکالن و حامیان)دانش سیستم های ویندوز )بسته به تجهیزات موکالن و حامیان ،وئیچ هاkkیریاب، سkkبکه )مسkkاخت شkkیزات زیرسkkاهی و دانش از تجهkkآگDNS،

پروکسی، ایمیل و غیره(( دانش برنامه های کاربردی اینترنتSMTP، HTTP ،)اkkه(FTP، telnet، SSH و

غیره(( تیkkدات امنیkkآگاهی از تهدیDDoSاریkkینگ، خرابکkتادن1، فیشkkوش ایسkkو2، گ

غیره(آگاهی از ارزیابی ریسک و پیاده سازی عملیات صالحیت های فرعی

صالحیت های فرعی ارkkه کkkل بkkاعته در 24تمایkkاده7 سkkورت آمkkدمت به صkkا خkkه یkkروز هفت

تماس)بسته به مدل ارائه خدمات(انkkداکثر زمkkحداکثر فاصله سفر )در صورت دسترسی اضطراری در دفتر؛ ح

سفر(سطح تحصیالتتجربه کار در زمینه امنیت فناوری اطالعات

- منشور اخالقی / عملی2-6-3 CSIRTمنشور اخالقی / عملی مجموعه ای از قوانین یا دستورالعمل ها برای اعضkkای

در مورد نحوه رفتار حرفه ای به طور خاص در خارج از محیط کار است. رفتار خارج انتظkkار CSIRTاز محیط کار کامالً بkkه تیم مرتبkkط اسkkت، زیkkرا می تkkوان از اعضkkای

داشت که آن ها در حریم خصوصی خود، جایی که نگرانی هkkای کkkامپیوتری و امنیkkتیوجود ندارد نیز مسئوالنه رفتار کنند.

.3است Trusted Introducerتمرینی از CSIRTیک مثال خوب اطمینان حاصkkل کنیkkد کkkه کارمنkkدان قابل اعتمkkاد هسkkتند و از اسkkتخدام خرابکkkاران

اعتماد CSIRTسابق خودداری کنید. پس ازآن، حداقل یک سال طول می کشد تا تیم خkkود را ایجkkاد کننkkد و می تواننkkد آن را یک شkkبه از دسkkت بدهنkkد. آزمkkایش و پkkایش

کارکنان می تواند راه حل خوبی باشد.1 Defacing2 Sniffing3 Trusted Introducer CSIRT Code of Practice: <https://www.trusted-introducer.org/CCoPv21.pdf>

[Author Name] 17

TELESCAM.IR

- آموزش2-6-4 برنامه آموزش کارکنان شامل دو مرحله یkkا آمkkوزش می شkkود: آموزش هkkای داخلی

و همچنین آموزش خارجی CSIRTبرای کارمندان جدید برای یادگیری نحوه عملکرد برای بهبود مستمر مهارت ها و به روز بودن با پیشرفت تکنولوژی )ازجملkkه تهدیkدات

جدید و روش های حمله(. را می تkkوان بkkرای مثkkال در CSIRTآموزش های خارجی با کیفیت باال بkkرای کارکنkkان

منابع زیر یافت:TRANSITS1

CERT/CC2

موسسهSANS3

FIRST4

در صورت امکان اطمینان حاصل کنیkkد کkkه بخشkkی از بودجkkه نkkیز بkkرای شkkرکت در مراجعه4.6کنفرانس ها و سمینارها به عنوان آموزش رزرو شده است )همچنین به

شود(

- زیرساخت و ابزار2-7 و زیرساخت های شبکه و ارتباطات مخkkابراتی بایkkد بkkا مراقبت هkkای CSIRTامکانات

CSIRTزیkkادی طراحی شkkده تkkا نه تنهkkا از اطالعkkات حسkkاس جمع آوری شkkده توسkkط نیز حفkاظت بkه عمkل آیkد. منkاطق CSIRTمحافظت شود بلکه همچنین از کارکنان

نگه داری اطالعات و حضور کارکنان باید به همkkان شkkیوه ملزومkkات یkkک مرکkز دادهساخته و محافظت شود.مالحظات امنیت فیزیکی

1 TRANSITS: <https://www.terena.org/activities/transits/> 2 CERT/CC: <http://cert.org/training/> 3 SANS Institute: <https://www.sans.org/> 4 FIRST: <https://www.first.org/>

[Author Name] 18

ThaiCERT تمرینی راهنمای مجموعه می کند Trusted Introducerاز . استفاده

ThaiCERT می کند استفاده باال موارد همه . از

TELESCAM.IR

( اتاق های امن یا مرکز عملیات امنیتیSOCازنkkرور و مخkkر سkkبرای محل ه ) CSIRTداده

ا وkkورد فعالیت هkkرای بحث در مkkدا بkkاتاق های امن و مقاوم در برابر نشت ص CSIRTتحقیقات

ایمن برای ذخیره داده های غیر الکترونیکی و یادداشت ها الkkبه عنوان مث( انه هاkkردن رسkkرای از بین بkkاتی بkkده و امکانkkریز کننEMPهkkک )

دیگر موردنیاز نیستند تفکیک فیزیکی کارکنانCSIRT وعیkkه نkkازمان، ازجملkkای سkkایر بخش هkkاز س

کنترل دسترسیسیاست گذاری برای در نظر گرفتن بازدیدکنندگان اگر در سیاست های کنترل

دسترسی عمومی قرار نگیردمالحظات تجهیزات فناوری اطالعات

مکانیسم های ارتباطی امن مانند تلفن ها، دورنگارها و ایمیل های امنارkkخت کkkرایط سkkه در شkkایی کkkه کامپیوترهkkده، ازجملkkسیستم های مقاوم ش

می کنندCSIRT شبکه متعلق به خود را دارد که از شبکه اداره مجزاستامکاناتی برای راه اندازی مجدد سیستم هایی که خارج از محدوده امن بوده اند

یا برای تحلیل بدافزار و نرم افزارهای مخرب مورداستفاده قرار می گیردCSIRTمالحظات ابزارهای ویژه

سامانه پشتیبانی مبتنی برTicketپایگاه داده تماس از اعضای تیم، حامیان و دیگر نقاط تماسهرگونه مواد دیگر موردنیاز برای ارائه خدمات اصلی تیم ضمیمهCابزارهای امنیتی، یک انتخاب از ابزارهای معمول را نشان می دهد :

، مانند جرم شناسی دیجیتال، ممکن است ملزومات فیزیکیCSIRTبرخی از خدمات خاصی را طلب کنند. ITو

- روابط درونی و بیرونی2-8 برای به دست آوردن حمایت و شناخته شدن در سازمان خkkود، مهم اسkkت کkkه یkkک رابطه کاری خوب ایجاد کنیم. هنگامی کkkه حkkوادث اتفkkاق می افتkkد، شkkما بkkرای حkkل مشکل و یا مشورت در مورد اقدامات احتمkkالی بkkه یکkkدیگر نیkkاز خواهیkkد داشkkت و شناختن و درک یکدیگر از پیش، این رونkkد را بسkkیار سkkریع تر و همkkوارتر می سkkازد.

[Author Name] 19

ThaiCERT دارد اختیار در را باال موارد . همه

TELESCAM.IR

، شبکه( مفید است، اما نباید به عنوان مثال از بخشITروابط با بخش های عملیاتی )امنیت فیزیکی، بخش ارتباطات، مشاور حقوقی و منابع انسانی غافل شد.

ملی شما و به طور بالقوه CSIRTروابط بیرونی محلی که می تواند به نفع تیم باشد، مبتkنی بkر بخش یkا CSIRTمجری قانون یا یک تنظیم کننده مقررات است. اگkر یkک

ISAC تهkkر داشkkد در نظkkه آن را بایkkتن بkkد، پیوسkkته باشkkبرای بخش شما وجود داش باشید. همچنین برای برخی از نمونه های ابتکارات همکkkاری بین المللی کkkه می توانkkد

را نیز مشاهده کنید.4.6به نفع تیم باشد،

- مدل سرمایه گذاری2-9 مستلزم یک مدل بودجkkه اسkkت کkkه تkkأمین CSIRTبرای اطمینان از ثبات درازمدت،

به سازمان خود را CSIRTمنابع مالی برای تأمین فعالیت مداوم تیم و ارائه خدمات فراهم می کند.

( و نkkیزCAPEXسkkرمایه گذاری، بایkkد سkkرمایه گذاری های اولیkkه بkkرای شkkروع تیم ) ( بkkkرای کارکنkkkان، تسkkkهیالت و مجوزهkkkایOPEXهزینه هkkkای عملیkkkاتی تکkkkراری )

نرم افkkزاری، و نkkیز هزینه هkkای موردنیkkاز بkkرای ارائkkه و نگهkkداری خkkدمات فkkردی راپوشش دهد.

مدل سرمایه گذاری می تواند مانند موارد زیر باشد:ا راkkه هزینه هkkد همkkا والkkان یkkه میزبkkایی کkkیک مرکز هزینه در یک سازمان )ج

پوشش می دهد و از آن درآمد دریافت نمی کند(، یارار دادkkالی قkkایت مkkایی موردحمkkای کمک هزینه هkkا اعطkkوان بkkتیم را می ت

درصورتی که:چه کسی اهداکننده کمک های مالی است؟هدف از دادن چنین کمک هزینه ای چیست؟ایkkیزان از هزینه هkkه مkkه چkkود و بkkد بkkدر خواهkkه چقkkیزان کمک هزینkkم

عملیاتی را پوشش می دهد؟منبع تأمین مالی به چه میزان امن است؟این کمک هزینه به چه مدت زمانی اعطا شده است؟

تیم باید جزئیات این کمک هزینkkه مkkالی شkkامل اعطاکننkkده و منبkkع، هkkدف،میزان و طول مدت زمان کمک هزینه مالی را مستند سازد.

اندkkروش رسkتیم ممکن است خدمات خود را به صورت درونی یا بیرونی به ف )ممکن است هزینه ای برای مشتریان درونی یا بیرونی داشته باشد( یا

[Author Name] 20

ThaiCERT دارد را روابط این . همه

TELESCAM.IR

بکهkkک شkkگاه ها در یkkد دانشkkازمان هایی ماننkkیوم از سkkک کنسرسkkق یkkاز طری تحقیقاتی تأمین می شود.

یا ترکیبی از هر یک از موارد ذکرشده در باال.

[Author Name] 21

ThaiCERT به را متنوعی تخصصی خدمات و می شود مالی حمایت دولت توسط ً تمامامی دهد ارائه هزینه دریافت . ازای

TELESCAM.IR

دریافت مجوز از مدیریت ارشد- 3ً CSIRTپشkkتیبانی از بایkkد از بkkاالترین سkkطح مkkدیریت سkkازمان باشkkد )ترجیحkkا

دولkkتی(. این CSIRTهیئت مدیره برای یک شرکت تجاری، یا وزارت یkkا کابینkkه بkkرای امر به دالیل مختلف اهمیت دارد:

رkkازمانی در سراسkkت گذاری های سkkه سیاسkkه هرگونkkان از اینکkkرای اطمینkkب سازمان اجراشده و به پیش برده می شود.

اkkروری یkkدامات ضkkورت اقkkایت در صkkافت حمkkان از دریkkول اطمینkkبرای حص پرهزینه ای که باید اقدام شود.

.برای حفظ تداوم عملیات در طی سازمان دهی مجدد و کاهش بودجه ، توجه داشته باشید که مدیرانCSIRTهنگام بحث در مورد برنامه های راه اندازی یک

در فناوری اطالعات متفاوت بkkه نظkkر می رسkkند و بkkه زبان هkkای مختلفی نسkkبت بkkه CSIRTاشخاص فنی صحبت می کنند. بkkرای متقاعkkد کkkردن مkkدیریت ارشkkد کkkه یkkک

می تواند به آن ها کمک کند تا اهداف کسب وکارشان را محقق سازند، نیاز بkkه آوردندالیل مختص کسب وکار و نه استدالل فنی است.

این بحث ها می توانند شامل:اتkkنیت اطالعkkنی از امkkالزامات قانونی یا قراردادی که نیاز به یک سطح معی

دارد. کkkداشتن یCSIRT یب ها )همkkاهش آسkkه کkkد بkkز می توانkkده و مجهkkآموزش دی

ازنظر هزینkkه مkkدت زمان ازکارافتkkادگی و هم آسkkیب نkkام تجkkاری( از حkkوادث منجر شده و همین طور سازمان می تواند بهبود سریع تر را به ارمغان بیkkاورد،

می تواند موجب صرفه جویی در هزینه ها شود. CSIRTبنابراین تفادهkkخدمات پیشگیرانه می تواند آسیب پذیری ها و تهدیدات را قبل از سوءاس

و بهره برداری از آن آسیب ها کاهش دهد. کkkمتمرکز کردن امنیت اطالعات به یCSIRTرارkkه تکkkور بkkر بخش را مجبkkه ،

تالش های امنیتی مشابه خواهد کرد و می تواند حداقل های امنیتی را برای کلسازمان بهبود بخشد.

تنkkر بخش، داشkkه هkkته بkkبسCSIRT دماتkkه خkkه ارائkkک نقطkkد یkkمی توان منحصربه فرد باشد.

دگاهkkر دیkkاز منظPR کkkتن یkkداش ،CSIRT نیت درkkه امkkد بkkان دهنده ی تعهkkنش سازمان است )"داده های شما نزد ما ایمن هستند"(.

".رقبای ما نیز این کار را انجام می دهند"

[Author Name] 22

TELESCAM.IR

- تواف��ق روی س��اختار گ��زارش ب��رای درگ��یر نگاه داش��تن و3-1عالقمندساختن آن ها

معموالً همان سkkاختار گkkزارش دهی بkkرای هkkر بخش دیگkkر از سkkازمان والkkد کkkافی اسkkت، ماننkkد جلسkkات منظم و همچkkنین گزارش هkkای سkkه ماهه و سkkاالنه کkkه تهیkkه

می شوند. معموالً یک مرکز هزینه بر CSIRTبااین حال، مهم است که به یاد داشته باشید که یک

است، درحالی که می تواند منافع مالی ایجادکننده خkkود را نجkkات دهkkد. بنkkابراین، در صورت امکان، ارقام صرفه جویی در هزینه ها را در گزارش ها اضافه کنیkkد تkkا نشkkان

دهید که تیم چگونه به نتایج مالی کمک می کند.

- راه اندازی تیم و محیط کاری4

- مروری بر منابع اطالعاتی ایجاد کنید4-1یک فهرست از منابعی که می توانید از آن ها استفاده کنید را ایجاد و نگه داری کنید

.برای تشخیص حوادث احتمالی به صورت خودکار.)برای اینکه حادثه به دیگران هشدار داده شود )مثالً ایمیل، تلفن، فرم وببرای تهیه اطالعات تهدید و آسیب پذیری 1برای برقراری ارتباط مستقیم با سازمان مؤسس در حین حادثه )فهرستP

OC.) آگاهی رسانی و(برای ارتباط کلی با هیئت مؤسسانPR.)

- یک خط مشی رسیدگی به حادثه ایجاد کنید4-2

1 Point Of Contact

[Author Name] 23

دولتی، شفافیت و ThaiCERTبرای می کند منتشر وب سایت در را حوادث ماهانه آمار. می کند منتشر کاغذی و الکترونیکی قالب در را ساالنه دقیق گزارش های همچنین

TELESCAM.IR

خط مشی رسیدگی به حوادث باید مشخص کند که چه کسی مسئولیت رسیدگی به چه نوع حوادث امنیتی کامپیوتر داشته و چه کسی می تواند به آن پاسkkخ دهkkد تkkا در

اجرای پاسخ در سایر حوزه ها کمک کند.این شامل:

انواع حوادثی که در قلمرو قدرت، حوزه قضایی و صالحیت فنیCSIRT قرار دارند.

چه کسی تجزیه وتحلیل و پاسخ ها را بررسی می کند؟در صورت لزوم، چه کارهایی باید با اجرای قانون انجام شود؟ با گزارش ها و فعالیت های خارج از محدودهCSIRT چه باید کرد؟

این خط مشی باید فرایند اساسی را که در رسیدگی به یkkک حادثkkه دنبkkال می شkkود،مشخص کند. بنابراین باید شامل موارد زیر باشد:

چارچوب زمان پاسخروش های تشدید حادثهچگونه حوادث طبقه بندی شده و اولویت بندی می شوندچگونه حوادث ردیابی و ضبط می شوندچه موقع و چگونه حوادث خاتمه می یابند؟کمک های اضافی برای تجزیه وتحلیل و یا اجرای استراتژی های کاهش و بهبود

پیشنهادشده چگونه تهیه شده است. پوشش داده خواهد شد.5مروری کلی از یک فرآیند پاسخ به حادثه در فصل

- ایجاد یک سیاست بررسی و تبادل اطالعات4-3 از اطالعات را تعریف می کند که CSIRTطبقه بندی اطالعات، رده بندی یا دسته بندی

شامل تفکیک و تمایز قائل شدن بین اطالعات حساس، محرمانه یا عمومی است وچگونگی نگهداری، حمل ونقل، دسترسی و غیره مشخص و معین می شود.

این طبقه بندی ها باید به هر نوع اطالعاتی اعمال شود. الکترونیکی یا نسخه چاپی..1یک سیستم طبقه بندی معمول استفاده شده، پروتکل چراغ ترافیکی است

این خط مشی باید شامل مواردی باشد که چه نkkوع اطالعkkاتی بایkkد در داخkkل مرکkkزCSIRT راهkkتگاه های تلفن همkkباقی بماند و چگونه اطالعات در لپ تاپ ها و سایر دس

مورداستفاده قرار گیرد. همچنین باید مشخص شود چه نوع اطالعاتی را می توان یا نمی توان در دستگاه های تلفن همkkراه یkkا دسkkتگاه های نkkا امن مطkkرح کkkرد، همkkراه1 Trafic Light Protocol

[Author Name] 24

TELESCAM.IR

بااینکه چه اطالعاتی را باید با یک روش امن منتقل، ذخیره و مطرح کkرد و نبایkد بkاافراد غیرمجاز اشتراک گذاشته شده یا موردبحث قرار گیرد.

این سیاست گذاری همچنین بایkkد شkkیوه ای را کkkه در آن اطالعkkات دریkkافت شkkده از هkkا و CSIRTها باید موردبررسی، محافظت و اشkkتراک بkkا دیگkkر CSIRTسوی دیگر

سازمان میزبان / والد قرار گیرد را به روشنی مشخص سازد.- قوانین و مقررات4-3-1

نkkیز محkkدود بkkه قkkوانین ملی و موافقت نامه هkkای CSIRTهمانند هر سازمان دیگری، بین المللی است.

استانداردها الزامkkاً به صkkورت مسkkتقیم الkkزام آور نمی شkkوند، امkkا می تkkوان آن هkkا را به وسیله قوانین و مقررات اجبkkاری سkkاخت. به طkkور مشkابه، قkkرارداد بkkا مشkkتریان )برای بخش تجاری( ممکن است اجرا و پیاده سازی استانداردهای خاص را تعهkkدآور

کند.:1در زیر یک فهرست کوتاه از قوانین و سیاست های احتمالی ذکر شده است

ملیقوانین مختلف در فناوری اطالعات، مخابرات، رسانه هاقوانین حفاظت از داده ها و حفظ حریم خصوصیقوانین و مقررات نگهداری داده هاقوانین مالی، حسابداری و مدیریت یک شخصیت حقوقیمنشور اخالقی برای حاکمیت شرکتی و مدیریت فناوری اطالعات

بین المللی توافق نامه بازلII)خصوصاً در مورد مدیریت ریسک عملیاتی( مجمع کنوانسیون اروپا در مورد جرائم سایبری ادهkkر )مkkوق بشkkظ8مجمع کنوانسیون اروپا در مورد حقkkوص حفkkدر خص

حریم خصوصی(( استانداردهای حسابداری بین المللیIASاتkkترل اطالعkkدی کنkا حkk؛ آن ها ت

IT)را تعهد می کنند استانداردها

استاندارد بریتانیاBS 7799 )امنیت اطالعات( تانداردهای بین المللیkkkاسISO2700x نیتkkkدیریت امkkkتم های مkkkسیس(

اطالعات(1 https://www.enisa.europa.eu/publications/csirt-setting-up-guide/at_download/fullReport

[Author Name] 25

TELESCAM.IR

،انkkتی آلمkkاظتی و امنیkkه حفkkکتابچEBIOS واعkkر انkkه و دیگkkفرانس استانداردهای ملی

الزم است آگاه باشید که جنبه های قانونی نه تنها برای اطالعاتی که در سkkطح محلی مورداستفاده قرار می گیرد، بلکه همچنین برای تبادل اطالعات بkkا شkkرکای خkkارجی

نیز اعمال می شود. همچنین توجه داشته باشید که قوانین و مقررات ممکن است نkkوع اقkkداماتی را کkkه در حین پاسخ به حادثه مجاز هستند محدود کند )به عنوان مثkkال شkkنود ترافیkkک بkkرای

تجزیه وتحلیل یک حمله ممکن است به دالیل حفظ حریم خصوصی مجاز نباشد(. بkkرخی از کشkkورها قوانیkkنی دارنkkد کkkه در صkkورت بkkروز نقض اطالعkkات، نیازمنkkد

عملیkkاتی می شkkود، این CSIRTاطالع رسانی به رگوالتور مربوطه است. هنگامی کkkه عملکرد اطالع رسانی می توانkkد بkkه فرآینkkد آن هkkا اضkkافه شkkود )به عنkkوان بخشkkی از

مراجعه شود(.2.4مسئولیت آن ها، همچنین به به عنkkوان نکتkkه پایkkانی در این بخش، اینkkترنت محیطی اسkkت کkkه بسkkیار سkkریع درحال توسعه است و قوانین به طورکلی از فناوری عقب هستند. درنتیجkkه، در حkkال حاضر هیچ قانونی برای مناطق مختلف وجود ندارد، اما همkkه قkkوانین هم در دادگkkاه مورد آزمایش قرار نگرفته اند و برخی از قوانین می تواننkkد بkkا سkkایر قkkوانین متضkkاد

باشند. شما مطابق با قkkوانین ملی و بین المللی عمkkل می کنkkد، CSIRTبرای تعیین اینکه آیا

لطفاً با مشاور حقوقی خود مشورت کنید و صحت وسقم اینکه سازمان شما ازآنچهشما قصد انجام آن را دارید حمایت می کند یا خیر را معلوم سازید.

PGP- ارتباط امن با 4-3-2

توصیه می شود )و برای CSIRTبرای ارتباطات امن در جامعه GPGیا PGPازآنجاکه در محیkkط تیم بایkkد شkkرح داده PGPاکثر اعضاء الزم اسkkت(، چگkkونگی اسkkتفاده از

شود. اگرچه این تنها یک توصیه است، امkkا اگkkر می خواهیkkد بkkه سkkازمان هایی ماننkkدFIRST یاTrusted Introducer .بپیوندید، این مورد اجباری می شود

مالحظات کلی سیاست های مربوط به کلید:)چه کسی باید کلید داشته باشد )مدیریت، پاسخگوها، و غیره.چطور کلیدها ایجاد، مدیریت، توزیع و بایگانی می شوند:مسائل مدیریت کلید مانند

چه کسی کلید را ایجاد خواهد کردچه نوع کلیدی باید ایجاد شوداندازه کلید باید به چه میزان باشد

[Author Name] 26

TELESCAM.IR

چه هنگامی کلیدها منقضی می شوندازkkاگر مکانیسمی برای باطل کردن کلید )توسط باطل کننده معین( نی

باشدکلیدها و باطل شده ها کجا ذخیره خواهند شدچه کسی باید یک کلید را امضا کندرمز عبور1هرگونه سیاست رمز عبور ازجمله امان سپاری د راkkدیریت کلیkkه مkkوط بkkای مربkkت ها و روال هkkچه کسی کلید و سیاس

مدیریت می کند.- ارزیابی مبنای هیئت مؤسسان4-4

ایجاد و نگهداری کردن از یک بازبینی کلی از محصوالت نرم افزاری و سkkخت افزاری CSIRT)و نسخه ها( که معموالً در سازمان مؤسس مورداستفاده قرار می گیرند، تیم

را قادر به ارائه مشاوره های هدفمند می سازد. ارائه شود، می تkkوان از CSIRTاز سوی دیگر، اگر یک سرویس اطالع رسانی توسط

کارکنان سازمان مؤسس درخواست کرد تا مشاوره ها برای محصوالتی که استفاده می کننkkد را قبkkول کkkرده و از فهرسkkتی از محصkkوالت ممکن اسkkتفاده کننkkد )از محصوالتی که خارج از این فهرست است استفاده نکننkkد/ مkkترجم( )بنkkابراین آن هkkا

به طور مؤثری بازنگری و بازبینی فهرست محصوالت خود را برقرار می کنند(.

CSIRT- برقراری ارتباط برای اعالم موجودیت 4-5

پس از اسkkتقرار، مهم اسkkت کkkه به طkkور منظم موجkkودیت تیم، چگkkونگی برقkkراریارتباط با تیم و اینکه چه انتظاراتی داشته باشند را به سازمان مؤسس اطالع دهید.

قصد دارد به عنوان یک نقطه تماس برای سازمان مؤسس CSIRTبه خصوص اگر یک خود برای گزارش های حادثه امنیتی خدمت کند، باید اطمینان حاصل شود کkkه تمkkام

گزارش دهند. به طkkور CSIRTکسانی که نگرانی دارند، می دانند که باید مستقیماً به مشابه، دیگر شرکا که ممکن است نیاز به حمایت از یک تشکیل دهنده )مثالً در حین

و اینکه ممکن است انتظار چه تعامالتی داشkkته CSIRTحادثه( داشته باشند، باید از باشند، آگاهی یابند.

و خkkدمات آن در CSIRTیک راه معمول برای تبلیغ، انتشار یک سkkند بkkرای توصkkیف اینترانت )بkkرای تیم هkkای داخلی( و یkkا اینkkترنت، به عنوان مثkkال بkkا اسkkتفاده از قkkالب

RFC2350 2است.1 password escrow

2 RFC2350: <https://www.ietf.org/rfc/rfc2350.txt>

[Author Name] 27

TELESCAM.IR

)اقتدار( با سازمان مؤسس آن، باید با سادگی بیشkkتری CSIRTصرف نظر از رابطه حوزه ای را که ادعای خدمت به آن می کنkkد تعریkkف و آشkkکار سkkاخته و آن را انجkkام دهد. این تیم نمی توانkkد بkkدون بkkه دسkkت آوردن و حفkkظ اعتمkkاد و احkkترام سkkازمان

مؤسس خود، عملکرد تأثیرگذاری داشته باشد. این اعتماد باید به دسkkت آورده شkkده و پkkرورش یابkkد. همkkان طور کkkه تیم اعتمkkاد و احترام به سازمان مؤسس اعالم شده را کسkkب می کنkkد، بخش هkkای بیشkkتری از آن

سازمان، تیم را به رسمیت شناخته و از آن حمایت می کنند. می توان به طور مرتب خبرنامه هایی را در رابطه با حkkوادث رسkkیدگی شkkده منتشkkر کرد، یا بیشتر به صkkورت مkkوردی، مبkkاحثی بkkرای افkkزایش آگkkاهی و یkkا بkkه اشkkتراک گذاشتن درس هایی که از تهدیkkدات یkkا حkkوادث به خصkkوص جالب توجkه گرفتkkه شkkده

است را در سازمان برگزار کرد.- ایجاد شبکه مورد اعتماد، رفتن به کنفرانس ها و سمینارها4-6

در نظر داشته باشید که همه سازمان ها با بسیاری از تهدیدات مشابه مواجه هستند و می شود از حوادث مواردی را آموخت. با به اشتراک گذاری تجربیات و درس هkkایی که یاد گرفته ایم، همه ما از بهترین روش ها برای بهبود امkkنیت و کkkاهش تهدیkkدات و

حوادث بهره می بریم. امروزه، حkوادث به نkkدرت فقkط متوجkه یkkک سkkازمان اسkkت. در بسkkیاری از مkkوارد مهاجم در جای دیگر قرار دارد، اغلب در یkkک کشkkور دیگkkر. بkkدتر اینکkkه، یkkک حملkkه

(. بkkرای حkلDDoS1ممکن است به یک بkاره شkkامل بسkkیاری از منkkابع باشkkد )حمالت چنین حوادثی، این تیم باید بkkا تیم هkای دیگkر، به طورمعمkkول تیم )هkایی( کkkه ازآنجkا

حمله نشأت می گیرد، همکاری کند. بkا یکkkدیگر همکkاری CSIRTسازمان های متعددی وجود دارند کkه در آن هkkا، تیم هkkای

کkkرده و بkkا یکkkدیگر بkkه آمkkوزش، اشkkتراک گذاری دانش و حل وفصkkل حkkوادث کمkkک )انجمن پاسkkخگویی بkkه حادثkkه و تیم هkkای FIRSTمی کنند. مثال های آن عبارت انkkد از

APACERT، 2در سراسkkر جهkkان عضkkو هسkkتند CSIRTامنیتی( که در آن چند صد تیم های ملی در مناطق آسیایی اقیkkانوس CSIRTآسیا و اقیانوسیه( برای CERT)مرکز

AfricanCERT، یا 4در اروپا CSIRTبرای همه تیم های Trusted Introducer، سازمان 3آرام.5در آفریقا CSIRTبرای تیم های

عضویت در این سازمان ها بسیار سودمند است.توزیع شده 1 سرویس تکذیب

2 FIRST: <http://www.first.org/> 3 APCERT: <http://www.apcert.org/> 4 Trusted Introducer: <https://www.trusted-introducer.org/> 5 AfricaCERT: <http://www.africacert.org/>

[Author Name] 28

TELESCAM.IR

منحصkkربه فرد، به طkkور CSIRTاین سازمان ها، و همچنین تعkkدادی از تیم هkkای بkkزرگ منظم سازمان دهی کنفرانس ها و سkkمینارهایی را بkkر عهkkده می گیرنkkد کkkه می تkkوان

و ایجkاد و CSIRTبه صورت آموزشی و به عنوان یک فرصت برای همکاری با تیم های برقراری روابط در آن ها شرکت کرد.

- تمرین فرآیندها4-7 ازآنجاکه امید داریم حوادث بزرگ تر نباید اغلب اتفاق بیفتد، تیم ممکن است تجربkkه کافی در روند و مراحل مربوط بkه رسkkیدگی و حkل آن را نداشkkته باشkkد. همچkنین، روال ها ممکن است در عمل خوب جواب ندهند و یا تمام جنبه ها را پوشkkش ندهنkkد.

این امر می تواند باعث تأخیر غیرضروری هنگام وقوع حادثه ای این چنینی شود. است، که در1یکی از راه های عملی برای آموزش و بهبود روش ها، تمرین روی میز

آن یک حادثه شبیه سازی شده و تالش می شود تا از طریkkق ایفkkای یkkک نقش در آن،آن حادثه مرتفع گردد.

ENISA ردهkkتعداد زیادی از گزینه های آموزش فرآیندها را به صورت رایگان فراهم ک .2است

- فرآیند رسیدگی به حادثه5 مطالب شرح داده شده در این فصل، فرآیند کامل و گردش کار برای یک سkkرویس ابتدایی رسیدگی به حادثه است. هkkر یkkک از مراحkkل گkkردش کkkار در پاراگراف هkkای

پیش رو توضیح داده می شود.

است بهtabletop exercise اصطالح 1 خاص موقعیت یک با مواجهه برای گروه یک نظری توانایی آزمودن .معنیگروه های این گونه اغلب به عالقه مند اضطراری خدمات هستند ارائه دهنده اغلب . تمرین ها تمرین این

برنامه ها، فرضی، سناریوی یک طرح از پس و می آیند هم گرد محیط یک در کارکنان و بوده گفت وگومحورمی کنند مرور و بررسی را حادثه مدیریت جوانب دیگر یا سیاست گذاری ها و مترجم. روال ها

2 ENISA on-line training material: <https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material>

[Author Name] 29

TELESCAM.IR

: ابزارهای امنیتی، ارائه می شود.Cمجموعه ابزارها در ضمیمه

: گردش کار فرایند رسیدگی به حوادث3شکل - گزارش حادثه5-1

- اطالع رسانی5-1-1

[Author Name] 30

TELESCAM.IR

گزارش حوادث می تواند از منابع مختلف، یا توسط مشkkاهدات خkkود تیم )نظkkارت وپایش( و یا از طریق اطالع رسانی های دیگر منابع به دست آیند.

: نمونه گزارش حادثه، حاوی یک الگو با تمام آیتم های اطالعاتی است کkkهBضمیمه شما می توانید در فرم گزارش اطالع رسانی در نظر بگیرید.

برای برقراری تماس مستقیم، باید امکانات و راه های دسترسی را CSIRTیک تیم منتشر سازد که از این قبیل می توان موارد زیر را نام برد:

پست الکترونیکتلفنفرم تماس در وب سایتشبکه های اجتماعی

مراقب باشید که این امکانات در هنگام راه اندازی در صورت خkkرابی متکی بkkه یkkک مرکز و یکجا نباشد که در صورت بروز مشکل، همه راه هkkای ارتبkkاطی قطkkع شkkود.

بkkرای VoIPتقریباً تمام گزینه های باال نیkkاز بkkه دسترسkkی بkkه اینkkترنت دارنkkد )و اگkkر خدمات تلفن استفاده می شود، همه آن ها(، بنابراین قطkkع اینkkترنت به تنهkkایی ممکن است تیم را غیرقابل دسترس سازد. وجود یک مرکkkز پشkkتیبان را نkkیز مkkدنظر قkkرار

دهید.منابع دیگر می توانند شامل موارد زیر باشند:

رویدادهای گزارش شده توسط نظارت شبکه خودیلیست عضویت در لیست از ارائه دهندگان خدمات و یا گروه های امنیتی تkkه پیوسkار، بkبری خودکkوان خkوراک خkاشتراک خD ابعkkد: منkkه کنیkمراجع

اطالعاتیرادیو، تلویزیون و روزنامه

- ثبت موضوع5-1-2 همه ی اطالع رسانی ها و اعالن ها باید به صkkورت یkkک تیکت ثبت شkkوند. این تیکت در سراسر روند اداره و رسیدگی به حادثه مورداستفاده قkkرار خواهkkد گkkرفت. بkkه هkkر تیکت باید یkک شkماره منحصkربه فرد، کkه شkماره مرجkع مورداسkkتفاده بkرای همkه

ارتباطات مربوط به این حادثه است، اختصاص داده شود. بسیاری از سkkامانه های تیکت دهی را می تkوان به گkونه ای پیکربنkدی کkرد تkا بتواننkد به صورت خودکار یک حساب کاربری پست الکترونیkkک را بخواننkkد. تمkkام ایمیل هkkای

[Author Name] 31

TELESCAM.IR

ارسال شده به این حساب به صورت خودکار یک تیکت )بkkرای حkkوادث جدیkkد( ایجkkاد می کنند یا ارتباطات را به یkkک تیکت موجkkود اضkkافه می کنkkد )اگkkر شkkماره تیکت در

موضوع ایمیل وجود داشته باشد(. ( مدیریت کنیkkد، حkkتی اگkkر حادثkkهCSIRTمهم است که تمام حوادث را از یک مکان )

واقعی در جای دیگر رخ دهkkد. این امkkری ضkkروری اسkkت زیkkرا اطالعیه هkkای بیشkkتر می توانند به تیکت های موجود مرتبط باشند، به عنوان مثال شیوع ویkkروس می توانkkد منجر به حوادثی در بخش های مختلف شود، درحالی که آن ها واقعاً یک حادثه مشkkابه

هستند. ثبت مرکزی موضوع همچنین امکان استفاده مجدد از ارتباطات شناخته شده و رفkkع

اشکاالت آن را دارد. )ردیkkابی درخواسkkتRTIR1معموالً CSIRTسیستم های تیکت دهی سفارشی توسط

)خدمات واقعی فناوری باز( هستند. 2OTRSبرای پاسخ به حادثه( و

3- تریاژ5-2

این گام، یکی از مهم ترین مراحل در روند رسیدگی و بررسی حادثه است، زیرا ایننقطه ای است که در آن تصمیم گیری های مهم و حیاتی اتخاذ می شود.

در ابتدا، نیاز به یک تصدیق است، آیا واقعاً این یک حادثه امنیkkتی اسkkت؟ منبعی کkkهاین گزارش از آن آمده است، چقدر قابل اطمینان است؟

هنگامی که مشخص شد حادثه واقعاً اتفاق افتاده است: آیا این حادثه در محدوده و حوزه اختیاراتCSIRT وطkkقرار دارد؟ آیا این مرب

مسئول این نوع حادثه است؟ CSIRTبه سازمان مؤسس است و تأثیرات آن چیست؟آیا ممکن است به آسیب های جانبی منجر شود؟یب ها وkkان آسkkت زمkkا گذشkkا بkkرسیدگی فوری به آن چقدر ضروری است؟ آی

صدمات افزایش می یابند؟ آیا می تواند در بقیه سازمان پخش و توزیع شود؟پاسخ به اخطارکننده یا گزارش دهنده

1 Request Tracker for Incident Response2 Open Technology Real Services

و 3 مشکل زودهنگام تشخیص برای کارکشته پرستاری آن در که است پزشکی اصطالحی بیشتر تریاژبه بیماران سوم دسته ی به ارجحیت دادن و درمان زود - صعب العالج - درمان ناپذیر: گروه سه رده بندی

می شود گرفته است . بکار درمانی دادن ارجحیت و رده بندی او وظیفه مترجم. بنابراین[Author Name] 32

ThaiCERT دهی تیکت سیستم می کند RTIRاز . استفاده

TELESCAM.IR

ارسال تصدیق دریافت گزارشارkkه انتظkkود و آنچkkردازش می شkkه پkkافتی چگونkkزارش دریkkه گkkتوضیح دهید ک

می رود را بیان کنیدام دادkkد انجkkپیشنهاد های خود مبنی بر اینکه تا زمان حل حادثه چه کارهایی بای

را ارائه دهیدالگوهای پاسخ دهی می توانند بسیار مفید بوده و موجب صرفه جویی در وقت شوند.

- طبقه بندی حوادث5-2-1 حوادث را طبقه بندی کنید. ممکن است اطالعات کافی در این مkkورد وجkkود نداشkkته باشد تkا بkا اطمینkان حkوادث طبقه بنkدی شkود، امkا بعkداً می توانیkد به راحkتی آن را

تصحیح کنید. طبقه بندی ممکن است به تعیین شkkدت و اولkkویت و منkkابع الزم بkkرای رسkkیدگی بkkه

حادثه کمک کند. مثال شدت و اولویت، همان طور که توسط بعضی از دولت ها و شkkرکت های بkkزرگ

استفاده می شود در زیر نشان داده شده است:مثالشدتگروه، صفحات وب فیشینگDDoSخیلی زیادقرمز

تروجان، دسترسی غیرمجاززیادکهرباییهرزنامه، مسائل نقض کپی رایتطبیعیزرد

توافقنامه سطح خدمات بادولتاولویتدیگر مواردمشتری

112قرمزکهربای

213ی323زرد

امکkkان CSIRTاین موارد همچنین یک تابع آماری بسیار مفید ارائkkه می دهkkد، کkkه بkkه می دهد تا:

گرایش به انواع حوادث را تشخیص دهدآمار / نمودار برای مدیریت ارائه دهد با سایر تیم هایCSIRT داده های خود را مقایسه کند

[Author Name] 33

TELESCAM.IR

عبارت اند از:1طبقه بندی های معمول توسط( زبان مشترک برای پاسخگویی به حوادثCERT / CC) طبقه بندیeCSIRT.net توسعه یافته در پروژه( eCSIRT.net)تعریف شده توسط خود تیم

درحالی که تعریkف طبقه بنkkدی شخصkی ممکن اسkت بkا سkازمان سkازگاری داشkتهباشد، در هنگام مقایسه با تیم های دیگر ممکن است تفسیر آن دشوار باشد.

همچkkنین اطمینkkان حاصkkل کنیkkد کkkه طبقه بنkkدی بیش ازحkkد پیچیkkده ای ایجkkاد نکنیkkد اگرچkkه این ممکن )به عنوان مثال یک نوع رویkkداد متفkkاوت بkkرای هkkر نkkوع بkkدافزار(.

است یک ارزیابی بسیار دقیق از نوع حوادثی که در حال رخ دادن است ایجkkاد کنkkد، اما این نیز بدان معنی است که مقدار زمان صkرف شkده بkرای تعkیین نkوع صkحیح

حادثه بوده و نه حل حادثه ای که با آن روبرو هستیم.

مرحله نهایی تریاژ این است که یک یا چند متصدی حادثه را به این حادثه اختصkkاصدهیم که همه اقدامات بعدی را انجام خواهد داد.

- برطرف سازی حادثه5-3

- تحلیل داده ها5-3-1 در این گام تالش خواهیم کرد تا حد امکان اطالعاتی را به دست بیkkاوریم تkا بتkkوانیم

یک نمای کلی از حادثه و علت آن را بیابیمجمع آوری داده ها از گزارش و محیط سیستم های آسیب دیده:

اطالعات تماس دقیقشرح مفصلی از حادثه

بیابید 1 زیر آدرس در می توانید را رده بندی ها این کامل :توضیحات

<https://www.enisa.europa.eu/topics/csirt-cert-services/community-projects/existing-taxonomies >

[Author Name] 34

ThaiCERT طبقه بندی حوادث eCSIRT.net از آمار ماهانه به صورت و می کند استفادهمی سازد منتشر خود وب سایت روی را سال در وقایع نمودار از مثال یک. رخ داده

2015:

TELESCAM.IR

طبقه بندی حادثه ای که توسط گزارشگر حادثه پیشنهاد شده استسیستم عامل ها و بررسی وضع شبکهاطالعات دقیق زمان و منطقه زمانی حادثهوضعیت سیستم های امنیتیشدت حادثه )های( فایلlog )همراه با گزارش)ثبت وقایع

مخازن بسیاری وجود دارد که داده های مستقر در آن ممکن است مربوط به حادثkkهباشند:

داده های جریان شبکه فایل هایlogمسیریاب ها فایل هایlog سرورProxy فایل هایlog برنامه کاربردی وب فایل هایlog سرور پست الکترونیک فایل هایlog سرورDHCP فایل هایlog سرور احراز هویتپایگاه داده های ارجاع شده به آن ها تجهیزات امنیتی از قبیل فایروال یا فایل هایlog سیستم تشخیص نفوذ

هنگامی که منبع حمله در خارج از سازمان مؤسس باشد، اطالعاتی از طkkرف دیگkkرشرکا موردنیاز است.

تشخیص دهید که به چه فردی نیاز داریدآن ها را مطلع سازیدمؤدبانه اطالعاتی را که می تواند به شما کمک کند را درخواست کنید

درحالی که داشتن جزئیات تا حد امکان بسیار مهم است، عمل گرا و واقع بین باشkkید و بkkرای گkkرفتن اطالعkkاتی از شkkرکای دیگkkر صkkبر نکنیkkد، زیkkرا حادثkkه ممکن اسkkت همچنان ادامه داشته باشد و تأخیر ممکن است مشکل را افزایش دهد یا به نفوذگر

زمان بدهد تا ردپاهایش را بپوشاند. % دانش موردنیkkاز بkkرای یkkافتن یkkک80% از داده هkkا ممکن اسkkت 20به طkkورکلی،

راه حل را به شما بدهد.

- کاوش راه حل5-3-2 با تمام اطالعات جمع آوری شkkده از مرحلkkه قبkkل، این مرحلkkه شkkامل یkkافتن بهkkترین

راه حل از مجموعه ای از راه حل های بالقوه است.

[Author Name] 35

TELESCAM.IR

این کار را می توان با تفکر یا صحبت در رابطه با مشkkاهدات و نتیجه گیری هkkا، شkkاید مقایسه ویژگی های پیکربندی از امکانات شناخته شده جهت کkkاهش اثkkرات تخریkkبی انجام داد )یا در حال حاضر در حال استفاده است و یا پتانسیل سkkودمند واقع شkkدن

برای این حادثه را داراست(.برای حوادث پیچیده تر، برگزاری جلسات طوفان فکری ایده خوبی است.

- مطرح کردن پیشنهاد اقدامات5-3-3 بسته به پیچیدگی حادثه، ممکن است یک یا چند کار برای کkkاهش اثkkرات این حادثkkه

موردنیاز باشد. هنگام ارائه و مطرح کردن پیشنهاد ها مخاطبین خود را در ذهن داشته باشید، افkkراد فkkنی راه حل هkkای فkkنی را درک خواهنkkد کkkرد، امkkا اگkkر بkkرای مثkkال نیkkاز بkkه خریkkد سرویس های اضافی یا اقدامات پرهزینه باشkkد، زبkkان و نحkkوه سkkخن گفتن خkkود را

برای مدیریت یا افراد مالی تنظیم کنید.اقدامات می تواند شامل موارد زیر باشند:

خاموش کردن یک سرویساسکن کردن سیستم ها و سرورها برای نرم افزارهای مخربوصله کردن یک سیستممقاوم سازی یک سیستممجزاسازی و یا حصارکشی برای یک سیستم یا سرویسممیزی و حسابرسی یک سیستم)جمع آوری اطالعات بیشتر )شاید با استخدام یک شخص بیرونی مانند حفاظت از( خرید یک سرویسDDoS)ارتقای مسئله به مدیریت رده باالتر یا شورای قانونیدرگیر کردن ارتباطات شرکت یا روابط عمومیدرگیر کردن مجریان قانونی جهت انجام تحقیقات و بررسی های جنایی،رkkر ابkkنی بkkال، مبتkkالث )به عنوان مثkkخص ثkkط شkkه توسkkا برنامkkاگر سیستم ی

Github، Pastebin یا شبکه های اجتماعی( ارائه شده باشد، هشدار دادن به آن ها و کار)تعامل( با آن ها موردنیاز است.

- اقدامات انجام شده5-3-4تائید اقدامات انجام شده:

یkkند، قابل دسترسkkآیا اهداف حمله همان قدر که قابل دسترس به نظر می رس است؟

[Author Name] 36

TELESCAM.IR

آیا این اقدام واقعاً مشکل را حل کرد؟1آیا ترافیک به درستی فیلتر و پاالیش شده است؟

اگر هدف حمله هنوز آسیب پذیر اسkkت و / یkkا راه حkkل پیشkkنهادی به طkkور کامkkل اینحادثه را حل نمی کند، مراحل قبلی را برای یافتن راه حل های بیشتر تکرار کنید.

- ریشه کن سازی و بازیابی بهبودی5-3-5 پس ازاینکه حادثه برطرف شد، می تkkوان سیسkkتم را پاک سkkازی کkkرده و مجkkدداً بkkه

محیط عملیاتی بازگرداند. توجه داشته باشید که بعضی از اقدامات ممکن است پس ازآنکه حادثه حل شد، نیاز

به زمان بیشتری داشته باشند، برای مثال تحقیقات جنایی ممکن است ادامه یابد. اگر دپارتمان های ارتباطات شkkرکتی یkkا روابkkط عمkkومی در این حادثkkه درگkkیر شkkده باشند، اطمینان حاصل کنید که آن ها اطالعkkاتی بkkرای به روزرسkkانی اظهkkارات خkkود

دارند.

- خاتمه حادثه5-4 یک سیاست مشخص در مورد نحوه و زمان خاتمه حوادث باید وجkkود داشkkته باشkkد، زیرا میزان زمانی که هر حادثه باز نگkkه داشkkته شkkده، اغلب به عنkkوان یkkک شkkاخص

عملکرد استفاده می شود. برخی از تیم ها تصمیم می گیرند تا هرگز خاتمه یک حادثkkه را اعالم نکننkkد )اطالعkkات جدید می تواند برسد، اما اکثر سیستم های تیکت دهی این اجازه را می دهد تkkا تیکت ها دوباره باز شود(. بkkرخی دیگkkر نkkیز تصkkمیم می گیرنkkد کkkه یkkک حادثkkه زمkkانی کkkه ازلحاظ فنی حل شد، خاتمه یابد. تیم های دیگر فقط زمانی اقدام به خاتمه دادن به

یک حادثه می کنند که تمام اقدامات پیگیری نیز را انجام دهند.- اطالعات نهایی5-4-1

اطمینان حاصل کنید که تمام اسناد حمایتی همراه با تیکت ها موجود است.اکنون زمان اطالع رسانی به شرکای درگیر در حادثه است:

شرح مختصری ازآنچه اتفاق افتاده استنتایج کاری که جهت کاهش اثر تخریبی انجام شد

است 1 شده حادثه به منجر که است سایبری حمله با مرتبط ترافیک کردن فیلتر نویسنده منظور ً !قطعامترجم

[Author Name] 37

TELESCAM.IR

یافته ها و توصیه ها

- طبقه بندی نهایی5-4-2 اکنون که تمام اطالعات مربوط بkkه حادثkkه در دسkkترس اسkkت، تمkkرین خkkوبی بkkرای

تصدیق )و اصالح در صورت نیاز( طبقه بندی است. اگر طبقه بندی اصkkلی بسkkیار متفkاوت از طبقه بنkدی شناخته شkkده فعلی بkkود، شkkاید عملکرد تریاژ بتواند بkkا اسkkتفاده از اطالعkkات اضkkافی بkkرای بهبkkود طبقه بنkkدی خkkود

بهره مند شود.- بایگانی حادثه5-4-3

حادثه اکنون می تواند بسته و بایگانی شود. توصیه می شود که تیکت های بسته شده را بkkرای تیم در یkkک سیسkkتم اطالعkkاتی در دسترس نگاه دارید به گونه ای که امکkkان جسkkتجو وجkود داشkkته باشkد )کkه می توانkد درون همان سیسkkتم تیکت دهی باشkkد(. حkوادث مشkkابه ممکن اسkkت بعkkداً دوبkkاره اتفkkاق بیافتنkkد و می تواننkkد زمkkان زیkkادی را صkkرفه جویی کننkkد، اگkkر اسkkتراتژی های

پیشگیرانه کاهش اثرات حادثه را بتوان مورد مشاوره قرار داد.

- پسا تحلیل5-5 معموالً موارد مختلفی را می توان از حkkوادث یkkاد گkkرفت، بkkرای جلوگkkیری از وقkkوع

آن ها در آینده و یا کاهش سریع تر اثر مخرب آن ها.نمونه هایی از درس های آموخته شده و پیشنهاد های بهبود عبارت اند از:

افزودن یا تصریح در سیاست های امنیتیبهبود معماری شبکهبهبود مکانیسم های تشخیصنداشتن ابزارهایی که می توانند تجزیه وتحلیل را بهبود دهندانواع جدیدی از حمالت می تواند درس های آموخته خود را با جامعه امنیkkتی بkkه اشkkتراک بگkkذارد CSIRTتیم

را ببینید(.4.6به طوری که تمام تیم ها بتوانند از دانش جدید بهره مند شوند )

[Author Name] 38

TELESCAM.IR

- افزودن بر خدمات به هنگام نیاز6 تعریkkفCERT/CCکkkه توسkkط CSIRTدر ادامه فهرستی از خدمات مشترک تیم هkkای

شده است را بیان می کنیم: مدیریت کیفیتخدمات پیشگیرانهخدمات واکنشی

امنیتاعالم خطر و هشدارهارسیدگی به حادثه

تحلیل حادثهپاسخ به حادثه در

محل وقوعپشتیبانی گزارش

حوادثهماهنگی پاسخ

حادثهرسیدگی به آسیب پذیری

تحلیل آسیب پذیریپاسخ به آسیب پذیریهماهنگی پاسخ

آسیب پذیریبررسی دست ساخته ها

تحلیل دست ساخته هاپاسخ به

دست ساخته هاهماهنگی پاسخ به

دست ساخته ها

اطالع رسانیدیده بانی از پیشرفت

فناوریممیزی یا ارزیابی

امنیتیپیکربندی و نگهداری

ابزارهای امنیتی، برنامه ها و

زیرساخت هاتوسعه ابزارهای

امنیتیخدمات تشخیص نفوذانتشار اطالعات

مرتبط با امنیت

تحلیل ریسکطرح ریزی ترمیم

و بازیابی از حوادث و تداوم

کسب وکارمشاوره امنیتیایجاد آگاهیآموزش / تمرینارزیابی محصول

یا صدور گواهینامه

باید هنگام شروع آن ها ارائه CSIRTخدمات برجسته شده، حداقل خدماتی است که دهد.

خدمات بیشتر می تواند بعداً و در صورت نیاز به فهرست خدمات افزوده شود. خدمات باید با دقت انتخاب شوند تا به بهترین شkkکل ممکن بkkه اهkkداف کسkkب وکار سازمان مؤسس با توجه بkkه بkkودجه ای کkkه در دسkkترس دارد، خدمت رسkkانی شkkود، چراکkkه هkkر سkkرویس اضkkافی، تkkأثیری جkkدی روی منkkابع موردنیkkاز، مجمkkوعه ای از

دارد. بهتر است خدمات کمتری را با کیفیت خوب ارائه CSIRTمهارت ها و مشارکت دهیم تا اینکه خدمات زیادی را به صورت ضعیف ارائه کنیم.

، بkkرخی از خkkدمات نkkیز می تواننkkد بkkه سkkایرCSIRTجدا از ارائه خدمات توسط خود سازمان های تخصصی برون سپاری شوند. این کkkار می توانkkد یkkک جkkایگزین مناسkkب

[Author Name] 39

TELESCAM.IR

برای خدمات گران قیمت باشد که به ندرت موردنیاز واقع می شوند، خدماتی از قبیلجرم شناسی دیجیتال.

CSIRT .هنوز می تواند نقطه تماس برای به دست آوردن یک سرویس بیرونی باشد وجود ندارد که همه خدمات فهرسkkت شkkده CSIRTباید خاطرنشان کرد که هیچ تیم

در باال را ارائه دهد.

- شرح خدمات6-1- خدمات واکنشی6-1-1

خدمات واکنشی برای پاسخگویی به درخواست های کمک رسانی، گزارش حوادث از CSIRTو یkkkا هkkkر تهدیkkkد یkkkا حملkkkه علیkkkه سkkkامانه های CSIRTسkkkوی مؤسسkkkان

طراحی شده اند. برخی از خدمات ممکن است با اطالع رسانی توسط اشخاص ثالثو اخطارهای سیستم تشخیص نفوذ آغاز شود. logیا مشاهده و نظارت فایل های

اعالم خطر و هشدارها این سرویس شامل انتشار اطالعاتی است که شرح دهنkkده ی حمله ی یkkک نفkkوذگر، آسیب پذیری امنیتی، اعالم خطر نفوذ، ویروس کامپیوتری، یا جعkkل و هرگونkkه اقkkدام کوتاه مدت توصیه شده برای مقابله با مشکلی است که درنتیجه آن ها به وجود آمkkده اسkkت. اعالم خطkkر، هشkkدار و یkkا مشkkاوره به عنkkوان یkkک واکنش بkkه مشkkکل فعلی به منظور اطالع دادن بkkه سkkازمان مؤسkkس فرسkkتاده می شkkود و راهنمایی هkkایی را برای محافظت از سامانه های آن ها یا ترمیم و بازیابی هر سامانه ای کkkه در اثkkر این وقایع مورد آسیب و تحت تأثیر آن قرار گرفتkه اسkkت، ارائkkه می کنkد. این اطالعkات

ایجkkاد شkkود یkkا ممکن اسkkت از طkkرف فروشkkندگان CSIRTممکن اسkkت توسkkط و یkkا دیگkkر شkkرکای سkkازمانیا متخصصین امنیkkتی CSIRTمحصوالت، دیگر تیم های

مؤسس باشد.رسیدگی به حادثه

[Author Name] 40

TELESCAM.IR

بررسی و رسیدگی بkkه حkkوادث شkkامل دریkkافت، تریkkاژ و پاسkkخ بkkه درخواسkkت ها و گزارش هkkkا و تجزیه وتحلیkkkل حkkkوادث و رویدادهاسkkkت. فعالیت هkkkای بخصkkkوص در

پاسخ دهی به حوادث می تواند شامل موارد زیر باشد:دkkا تهدیkkیب دیده یkkبکه های آسkkتم ها و شkkاظت از سیسkkاقدامات الزم برای حف

شده توسط فعالیت های مخل کنندهدارهایkkتهیه راه حل ها و استراتژی های کاهش اثر تخریب از مشاوره ها یا هش

مربوطه جستجو برای فعالیت های نفوذگر یا مخل کننده در سایر قسمت های شبکهفیلتر کردن ترافیک شبکهبازسازی سیستم هاوصله کردن و یا تعمیر سیستم هاتوسعه و بسط دیگر استراتژی های پاسخ دهی یا راه حل ها

بkkه CSIRTازآنجایی کkkه فعالیت هkkای رسkkیدگی بkkه حادثkkه از طریkkق انkkواع مختلkkف شkkیوه های مختلفی پیاده سkkازی می شkkود، این سkkرویس بیشkkتر بkkر اسkkاس نkkوع

فعالیت های انجام شده و نوع کمک به شرح زیر طبقه بندی می شود:تحلیل حادثه

سطوح بسkkیاری از تجزیه وتحلیkkل حادثkkه و بسkkیاری از خkkدمات فkkرعی وجkkود دارد. اساساً، تجزیه وتحلیل حادثه بررسی تمام اطالعkkات موجkkود و شkkواهد دال بkkر آن یkkا دسkkت سkkاخته هkkای مربkkوط بkkه حادثkkه یkkا رویkkداد اسkkت. هkkدف از تجزیه وتحلیkkل، شناسایی و تشخیص دامنه حادثه، میزان آسیب و تخkkریب ناشkkی از حادثkkه، مkkاهیت

ممکن CSIRTحادثه و راهبردهای واکنش در دسترس یا راه حل هkkای موجkkود اسkkت. است از نتایج تجزیه وتحلیل آسیب پذیری و تجزیه وتحلیل )شرح داده شده در ادامkkه( برای درک و ارائه کامل ترین و به روزترین تجزیه وتحلیل ازآنچه در یک سیستم خاص

اتفاق افتاده است، استفاده کند.CSIRT ،فعالیت های مربوط به حوادث را برای تعیین هرگونه ارتباط باهم، گرایش ها

الگوها یا امضاها همبسته می سازد. دو زیر خدمت که می توانkkد به عنkkوان بخشkkی از انجkkام شkkود CSIRTتجزیه وتحلیل حادثkkه بسkkته بkkه مkkأموریت، اهkkداف و فرآینkkدهای

عبارت اند از:جمع آوری مدارک قانونی

جمع آوری، حراست، مستندسازی و تجزیه وتحلیل شkkواهد از سیسkkتم کkامپیوتری آسیب دیده برای تعیین تغییرات در سیستم و کمک به بازسkkازی وقkkایع منجkkر بkkه آسیب می شود. این جمع آوری اطالعات و شواهد باید به شیوه ای انجام شود کkkه زنجیره ای از استدالل های قابل اثبات را مستند کرده کkkه در دادگkkاه قkkانونی تحت

[Author Name] 41

TELESCAM.IR

قواعد ارائه مدارک گواهی دهنده، قابل پذیرش باشkد. وظkkایفی کkه در جمع آوری مدارک قانونی وجود دارد شامل )اما نه محدود بkkه( سkkاخت یkkک کkkپی از تصkkویر بیkkتی از هارددیسkkک سیسkkتم آسkkیب دیده؛ بررسkkی تغیkkیرات سیسkkتم از قبیkkل برنامه های جدید، فایل ها، سرویس ها و کاربران؛ گشkkتن بkkه دنبkkال فرآینkkدهای در حال اجرا و پورت های باز و بررسی برنامه ها و تروجان و ابزارها است. کارکنkkان

CSIRT وانkkه به عنkkند کkkاده باشkkکه این کار را انجام می دهند نیز ممکن است آم شاهد متخصص در دادرسی اقدام کنند.

پیگردی یا ردیابی ردیابی، شناسایی ریشkkه های یkkک نفkkوذگر یkkا شناسkkایی سیسkkتم هایی اسkkت کkkه دسترسی به آن داشته است. این فعالیت ممکن است شامل پیگردی یkkا ردیkkابی چگونگی وارد شkkدن نفkkوذگر بkkه سیسkkتم های آسkkیب دیده و شkkبکه های مربوطkkه بوده، از کدام سیستم ها برای به دست آوردن آن دسترسی استفاده شده، جایی که حمله ازآنجا آغازشده و چه سیستم ها و شبکه های دیگری به عنوان بخشkkی از حمله مورداستفاده قرار گرفته اسkkت. همچkkنین این کkkار می توانkkد شkkامل تالش برای تعیین هویت نفوذگر باشد. این کار ممکن است به تنهkkایی انجkkام شkkود، امkkا معموالً شامل کار با کارکنان مجkkری قkkانون، ارائه دهنkkدگان خkkدمات اینترنkkتی یkkا

سایر سازمان های مربوطه می شود.پاسخ به حادثه در محل وقوع

CSIRT ازمانkkه سkا بkد تkراهم می کنkه را فkوع حادثkمساعدت مستقیماً در محل وق بجای اینکه تنها بkkه CSIRTتأسیس کننده خود کمک کند از یک حادثه ترمیم یابد. تیم

ارائه پاسخ حادثه و پشتیبانی تلفنی و ایمیلی )در ادامه می خوانید( اکتفkkا کنkkد، خkkود به صورت فیزیکی سیستم های تحت تأثیر قرارگرفته را تجزیه وتحلیل نموده و تعمkkیر و بازیابی سیستم ها را انجام می دهد. این خدمت شkkامل تمkkام اقkkدامات انجام شkkده در سطح محلی است که الزم است در صورت مشکوک بودن یا وقوع حادثه انجkkام

در محل آسیب دیده حضور نداشته باشد، اعضای تیم بkkه آن محkkل CSIRTشود. اگر رفته و عملیات پاسخ دهی به حادثه را انجام می دهنkد. در مkوارد دیگkر ممکن اسkت یک تیم محلی در آن مکان حضور داشته باشد و پاسخ حادثه را به عنkkوان بخشkkی از کار روزانه خود ارائه دهد. این امر به ویژه در صورتی است که رسیدگی به حkkوادث به عنوان بخشی از عملکرد شغلی نرمال سیستم، شبکه یا مkkدیریت امنیkkتی به جkkای

ارائه شده است. CSIRTاستقرار پشتیبانی پاسخ به حادثه

[Author Name] 42

TELESCAM.IR

CSIRT اری وkkبه قربانیان یک حمله از طریق تلفن، دورنگار، ایمیل یا مستندات همی راهنمایی می رساند تا بتوانند پس از حادثه خkkود را بازیkkابی کننkkد. این کkkار می توانkkد شامل کمک های فنی در تفسیر اطالعات جمع آوری شده، ارائه اطالعات تماس و یkkا ارائه راهنمایی در مورد استراتژی های کاهش اثر حمله و بهبود پس ازآن اسkkت. این اقدام شامل حضور مستقیم در محل پاسخ به حادثkkه بkkه شkkرحی کkkه بkkاال داده شkkد

در عkkوض راهنمایی هkا را از راه دور فkkراهم می کنkkد تkkا کارکنkkان آن CSIRTنیسkkت. مکان بتوانند سیستم ها و شرایط خود را بازیابی کنند.

هماهنگی پاسخ به حادثهCSIRT .هماهنگ کننده تالش ها جهت پاسخ در میان طرفین درگیر در این حادثه است

این اقدام معموالً شامل قربانیان حمله، محل های دیگر درگیر در حمله و هkkر مکkkان دیگری است که نیاز به کمک در تجزیه وتحلیل حمله دارد. همچنین این ممکن اسkkت شامل شرکایی باشد که پشتیبانی از سیسkkتم های فنkkاوری اطالعkkات را بkkه قربkkانی

هkkای دیگkkر و مkkدیران CSIRTارائه می دهند، مانند ارائه دهنkkدگان خkkدمات اینترنkkتی، سیسkkتم و شkkبکه در آن مkkوقعیت. کkkار همkkاهنگی ممکن اسkkت شkkامل جمع آوری اطالعkkات تمkkاس، اطالع رسkkانی بkkه مکان هkkای مربkkوط بkkه مشkkارکت بkkالقوه آن هkkا )به عنوان قربانی یا منبع حمله(، جمع آوری آمار مربوط به تعkkداد محل هkkای درگkkیر و تسهیل تبادل و تجزیه وتحلیل اطالعات باشد. بخشی از کkkار همkkاهنگی ممکن اسkkت شkkامل اطالع رسkkانی و همکkkاری بkkا مشkkاور حقkkوقی سkkازمان، منkkابع انسkkانی یkkا بخش های روابط عمومی باشد. این کار همچنین شامل هماهنگی بkkا مجkkری قkkانون

نیز می شود.این سرویس مستلزم پاسخ مستقیمی در حین حادثه نیست.

رسیدگی به آسیب پذیری رسkkیدگی بkkه آسkkیب پذیری شkkامل دریkkافت اطالعkkات و گزارش هkkای مربkkوط بkkه آسkkیب پذیری سkkخت افزار و نرم افkkزار؛ تجزیه وتحلیkkل مkkاهیت، مکانیkkک و اثkkرات آسیب پذیری؛ و ایجاد استراتژی های پاسkkخ بkkرای تشkkخیص و تعمkkیر آسkkیب پذیری؛ و توسkkعه اسkkتراتژی های پاسkkخ بkkرای تشkkخیص و تعمkkیر آسkkیب پذیری می شkkود.

هkkا CSIRTازآنجایی که فعالیت های رسیدگی به آسیب پذیری از طریق انواع مختلkkف به شkkیوه های گونkاگون پیاده سkازی می شkود، این سkرویس بیشkتر بkر اسkاس نkوع

فعالیت های انجام شده و نوع کمک به شرح زیر طبقه بندی می شود:تحلیل آسیب پذیری

CSIRT تجزیه وتحلیل فنی و بررسی آسیب پذیری در سخت افزار یا نرم افزار را انجام می دهد. این شkkامل تائیkkد آسkkیب پذیری های مشkkکوک و بررسkkی فkkنی آسkkیب پذیری

[Author Name] 43

TELESCAM.IR

سخت افزار یا نرم افزار برای تعیین مکانی که آن آسیب پذیری قرارگرفته و نحkkوه ی بهره برداری از آن است. تجزیه وتحلیل ممکن است شامل بازبینی کد منبع، استفاده از یک اشکال زدایی برای تعیین جایی که آسیب پذیری رخ داده یا تالش برای بازتولیkkد

مشکل در یک سیستم تستی باشد.پاسخ به آسیب پذیری

این سرویس شامل تعیین پاسخ مناسب برای کاهش و یا تعمیر آسیب پذیری اسkkت. این کار می تواند شامل توسعه یا جست وجو بkkه دنبkkال وصkkله ها، تکkkه کkkدهای تعمkkیر شده و یا راه حل های غلبه بkkر آن باشkkد. این کkkار همچkkنین شkkامل اطالع رسkkانی بkkه دیگران برای استراتژی کkkاهش آسkkیب پذیری اسkkت کkkه می توانkkد بkkا ایجkkاد و توزیkkع مشاوره ها و هشدار خطرها انجام شود. انجام این کار می توانkkد بkkا نصkkب وصkkله ها،

تکه کدهای تعمیر شده و یا راه حل های غلبه بر مشکل انجام شود.هماهنگی پاسخ به آسیب پذیری

CSIRT یب پذیریkkورد آسkkس در مkkازمان مؤسkkا سkkرکت یkkف شkkای مختلkkبه بخش ه اطالع رسانی کرده و اطالعات را در مورد چگونگی رفع یkkا کkkاهش آسkkیب پذیری بkkه

همچنین اجرای موفقیت آمیز پیاده سازی استراتژی پاسkkخ CSIRTاشتراک می گذارد. آسkkیب پذیری را تصkkدیق می کنkkد. این سkkرویس می توانkkد ارتبkkاط برقkkرار کkkردن بkkا

ها، کارشناسان فنی، اعضای تشkkکیل دهنده و CSIRTعرضه کنندگان محصول، سایر افkkراد یkkا گروه هkkایی باشkkد کkkه ابتkkدا آسkkیب پذیری را کشkkف یkkا گkkزارش کردنkkد. فعالیت های این حوزه عبارت انkkد از تسkkهیل تجزیه وتحلیkkل آسkkیب پذیری یkkا گkkزارش آسیب پذیری؛ هماهنگ سازی برنامه های انتشار اسناد مرتبط، وصkkله ها و راه حل هkkای مربوطه؛ و ترکیب تجزیه وتحلیل های فنی انجام شkkده توسkkط اشkkخاص مختلkkف. این سرویس همچنین می تواند شامل نگهداری بایگانی عمkkومی یkkا خصوصkkی یkkا پایگkkاه

دانشی از اطالعات آسیب پذیری ها و استراتژی های واکنش مربوط به آن ها باشد.

بررسی دست ساخته ها یک دست ساخته، هر فایل یا شی ء خاصkkی اسkkت کkkه روی یkkک سیسkkتم پیداشkkده و ممکن است در سیستم های کاوشگر یا حمله کننده و شkkبکه ها دخیkkل بkkوده یkkا بkkرای

غلبه کردن بر اقدامات امنیتی مورداستفاده قرار گرفته باشد. دست ساخته ها می تواند شامل اما نه محدود به ویروس های کkkامپیوتری، برنامه هkkای آلوده به تروجان، کرم ها، اسکریپت های بهره برداری از آسیب پذیری و رخنه افزارهkkا

باشد.

[Author Name] 44

TELESCAM.IR

بررسی دست ساخته ها شامل دریافت اطالعات درباره خود و کپی آن هاست کkkه در یک حمله منجر به نفوذ، شناسایی و دیگر فعالیت های مخرب و بدون مجkkوز قkkانونی

مورداستفاده قرار گرفته است. پس از دریkkافت این اطالعkkات، دست سkkاخته ها بkkازبینی می شkkوند. این کkkار شkkامل تجزیه وتحلیل ماهیت، مکانیسkkم، نسkkخه و شkkیوه اسkkتفاده از این دست سkkاخته ها؛ و توسعه )یا پیشنهاد( استراتژی های پاسخ دهی برای تشخیص، حذف و دفاع در مقابل چkkنین دست سkkاخته هایی اسkkت. ازآنجایی کkkه فعالیت هkkای بررسkkی دست سkkاخته ها

مختلkkف بkkه شkkیوه های متفkkاوتی پیاده سkkازی می شkkود، این CSIRTتوسkkط تیم هkkای سرویس بر اساس نوع فعالیت های انجام شده و نوع کمک به شرح زیkkر طبقه بنkkدی

می شود:تجزیه وتحلیل دست ساخته ها

CSIRT امkkتم انجkده روی سیسkاخته ی پیداشkkر دست سkنی از هkل فkیک تجزیه وتحلی می دهد. تجزیه وتحلیل انجام شده ممکن است شامل شناسایی نوع فایkkل و سkkاختار دست ساخته، مقایسه یک دست سkاخته جدیkد بkkا دست سkkاخته های موجkود یkkا سkkایر نسخه های مصنوعی مشابه برای دیدن شباهت ها و تفاوت ها یا مهندسی معکوس یkkا

برای تعیین هدف و عملکرد آن باشد.1بازگردانی به کد ماشینپاسخ به دست ساخته ها

این سرویس شامل تعیین اقدامات مناسب برای شناسایی و حkkذف دست سkkاخته ها از یک سیستم و همچنین اقkkدامات بkkرای جلوگkkیری از نصkkب آن هkkا اسkkت. این کkkار ممکن است شامل ایجاد امضاهایی باشد که می توانند به نرم افkkزار آنkkتی ویروس یkkا

IDS .اضافه شوندهماهنگی پاسخ به دست ساخته ها

این سرویس شامل به اشتراک گذاری و تلفیق نتkkایج تجزیه وتحلیkkل و اسkkتراتژی های هkkا، عرضkkه کنندگان CSIRTواکنش مربوط به یkkک دست سkkاخته بkkا دیگkkر محققkkان،

محصkkول و دیگkkر متخصصkkان امنیkkتی اسkkت. فعالیت هkkای این بخش عبارت انkkد از اطالع رسانی به دیگران و ترکیب تجزیه وتحلیل فنی از منابع مختلkkف. این فعالیت هkkا همچنین می تواند شامل نگه داری یک بایگانی عمومی یا مختص به سازمان مؤسس از دست ساخته های شناخته شده و تأثیرات آن ها و اسkkتراتژی های پاسkkخ مربkkوط بkkه

آن ها باشد.

- خدمات پیشگیرانه6-1-21 Disassembling Code

[Author Name] 45

TELESCAM.IR

خدمات پیشگیرانه برای بهبود زیرساخت ها و فرآینkkدهای امنیkkتی سkkازمان مؤسkkس پیش از وقوع یا شناسایی هر حادثه ای طراحی می شوند. اهkkداف اصkkلی این اسkkت

که از وقوع حادثه جلوگیری شود و تأثیرات و دامنه آن را کاهش دهد.

اطالع رسانی این خدمت شامل و اما نه محدود به هشkkدارهای نفkkوذ، هشkkدارهای آسkkیب پذیری و مشkkاوره های امنیkkتی اسkkت. چkkنین اطالع رسkkانی هایی، اعضkkا و کارکنkkان سkkازمان مؤسس را در رابطه با پیشرفت های جدید با تأثیرات میان مدت تا بلندمدت از قبیkkل

آسیب پذیری های به تازگی کشف شده یا ابزارهای نفوذ مطلع و آگاه می سازد. این اطالع رسانی ها سبب می شود تا سازمان مؤسس قادر باشد پیش از اینکه مورد سوءاستفاده و بهره برداری قرار گیرند، سیسkkتم ها و شkkبکه های خkkود را در مقابkkل

مشکالتی که به تازگی پیداشده اند محافظت نمایند.دیده بانی از پیشرفت فناوری

CSIRT پیشرفت های فنی جدید، فعالیت های نفوذ و مخل کننده و گرایش های مشابه را پایش و دنبال می کند تا بتواند بkه تشkخیص تهدیkدات آتی کمkک کنkkد. موضkوعات موردبررسی می تواند گسترش یابkkد تkا شkامل احکkkام حقkkوقی و قkkانونی، تهدیkدات اجتمkkاعی یkkا سیاسkkی و فن آوری هkkای در حkkال ظهkkور باشkkد. این سkkرویس شkkامل مطالعه ی لیست های پستی امنیتی، وب سایت های امنیkkتی و اخبkkار جkkاری و مقkkاالت روزنامه هkkا در زمینkkه علkkوم، فن آوری، سیاسkkت و دولت بkkرای اسkkتخراج اطالعkkات مربkkوط بkkه امkkنیت سیسkkتم های سkkازمانی و شkkبکه های سkkازمان مؤسkkس اسkkت. همچنین این کار می تواند شامل برقراری ارتباط با اشخاص دیگر باشد که مقامkkات قkkانونی در این زمینkkه هسkkتند تkkا اطمینkkان حاصkkل شkkود کkkه بهkkترین و دقیق تkkرین

اطالعات یا تفسیر به دست آمده است. نتیجkkه و خkkروجی این سkkرویس ممکن اسkkت نkkوعی اعالمیkkه، دسkkتورالعمل یkkا

توصیه هایی باشد که به مسائل امنیتی میان مدت و بلندمدت متمرکز شده است.ارزیابی یا ممیزی امنیت

این سرویس بررسی دقیkkق و تجزیه وتحلیkkل زیرسkkاخت های امنیkkتی سkkازمان را بkkر اساس الزامات تعریف شده توسط خود سازمان و یkkا سkkایر اسkkتانداردهای صkkنعتی اعمال شده فراهم می کنkkد. این سkkرویس همچkkنین می توانkkد شkkامل یkkک بkkازبینی از

[Author Name] 46

TELESCAM.IR

عادت های امنیتی سازمان باشد. انواع متفاوتی از ارزیkkابی یkkا ممkkیزی کkkه می تkkوانارائه کرد وجود دارد ازجمله:

،زارkkخت افزار و نرم افkkدی سkkتی پیکربنkkی دسkkاخت: بررسkkازبینی زیرسkkب مسیریاب ها، فایروال هkا، سkرورها و دسkkتگاه های رومkیزی بkرای اطمینkkان از این که آن ها با بهترین شیوه سیاسkkت های امنیkkتی و یkkا سkkازمانی و پیکربنkkدی

استاندارد مطابقت دارند.رایkkبررسی بهترین شیوه ها: مصاحبه با کارکنان و مدیران شبکه و سیستم ب

تعیین اینکه آیا شیوه های امنیkkتی آن هkkا مطkkابق بkkا سیاسkkت امنیkkتی سkkازمانتعریف شده یا مطابق با برخی از استانداردهای صنعتی خاص است.

هkkیین اینکkرای تعkkروس بkkا ویkkیب پذیری یkkگر آسkkک پویشkkپویش: استفاده از ی سیستم ها و شبکه ها آسیب پذیر هستند.

بکه هایkkتم ها و شkkه سیسkkتست نفوذ: تست امنیت سایت با حمالت هدفمند ب آن.

به دست آوردن مجkkوز و رضkkایت مkkدیریت ارشkkد پیش از انجkkام چkkنین ممیزی هkkا و ارزیابی هkkایی ضkkروری اسkkت. بkkرخی از چkkنین راهبردهkkایی ممکن اسkkت توسkkط

سیاست های سازمان ممنوع شده باشند. ارائه این خدمات می تواند با توسعه مجموعه ای از شیوه های معمول کkkه آزمون هkkا یا ارزیابی ها انجام می شود، همراه بkا ایجkاد مجموعkه مهارت هkای الزم یkا الزامkات گواهینامه برای کارکنانی که تسkkت ها، ارزیابی هkkا، ممیزی هkkا یkkا بررسkkی ها را انجkkام می دهند، همراه باشد. این سرویس همچنین می تواند به یک پیمانکار شخص ثالث یا ارائه دهنkkده خkkدمات امنیkkتی مدیریت شkkده بkkا تخصkkص متناسkkب چkkنین ممیزی هkkا و

ارزیابی هایی سپرده شود.پیکربندی و نگه داری ابزارها، برنامه های کاربردی، زیرساخت ها و خدمات امنیتی

این سرویس شناسkkایی کننkkده و ارائه دهنkkده ی راهنمایی هkkای مناسkkب در رابطkkه بkkا چگونگی پیکربندی ایمن ابزارها، برنامه های کkkاربردی و زیرسkkاخت کلی محاسkkباتی

اسkkت. عالوه بkkر ارائkkه CSIRTیا خود تیم CSIRTمورداستفاده در سازمان مؤسس به روزرسانی پیکربندی ها و نگه داری ابزارها و خدمات CSIRTراهنمایی، ممکن است

امنیتی از قبیل سیستم های تشخیص نفوذ، پkویش شkبکه یkا نظkkارت بkkر سیسkتم ها، ( یا مکانیسkkم هایVPN، فایروال ها، شبکه های اختصاصی مجازی)1فیلترها، پوشش ها

حkkتی ممکن اسkkت این خkkدمات را CSIRTاحراز هkkویت را بkkر عهkkده داشkkته باشkkد. همچنین می تواند سرورها، CSIRTبه عنوان بخشی از عملکرد اصلی خود ارائه دهد.

سیستم های رومیزی، لپ تاپ ها، تبلت هkkا، تلفن هkkای هوشkkمند و سkkایر دسkkتگاه های بی سkkیم را مطkkابق بkkا دسkkتورالعمل های امنیkkتی پیکربنkkدی و نگهkkداری کنkkد. این1 Wrapper

[Author Name] 47

TELESCAM.IR

سkkرویس شkkامل ارجkkاع مشkkکالت و مسkkائل پیکربنkkدی یkkا اسkkتفاده از ابزارهkkا و معتقkد اسkkت در صkورت CSIRTبرنامه های کاربردی به مدیریت ارشد است که تیم

امکان سیستمی را برای حمله آسیب پذیر نگه می دارد.

توسعه ابزارهای امنیتی این سرویس شامل توسعه هر ابزار جدید مختص به سازمان مؤسس، یkkا موردنیkkاز

است. این کار برای مثال می تواند CSIRTیا خواسته شده توسط آن ها یا توسط خود شkkامل توسkkعه ی وصkkله های امنیkkتی بkkرای نرم افkkزار سفارشkkی مورداسkkتفاده در سازمان مؤسس یا توزیع امن نرم افزار است که می تواند در بازسkkازی میزبان هkkای آسیب دیده مورداستفاده قرار گkkیرد. این سkkرویس همچkkنین می توانkkد شkkامل ایجkkاد ابزار یkkا اسkkکریپت هایی باشkkد کkkه قkkابلیت اسkkتفاده از ابزارهkkای امنیkkتی موجkkود را گسترش می دهنkkد، ماننkkد پالگین جدیkkد بkkرای یkkک آسkkیب پذیری یkkا پویشkkگر شkkبکه، اسکریپت هایی که از تکنولوژی رمزگذاری استفاده می کنند و یا مکانیسم های توزیkkع

خودکار وصله های امنیتی.خدمات تشخیص نفوذ

CSIRT ایkkد، فایل هkkام می دهنkkرویس را انجkkه این سkkایی کkkهlog تمkkود سیسkkموج تشخیص نفkkوذ را موردبررسkkی قkkرار داده، آن هkkا را تجزیه وتحلیkkل کkkرده و پاسkkخی متناسب برای هر رویداد که سطح آستانه تعریف شkkده توسkkط آن هkkا را رد کkkرده یkkا هرگونه هشدار را مطkkابق بkkا یkkک توافقنامkkه سkkطح خkkدمات از پیش تعیین شkkده یkkا استراتژی با افزایش سkkریع ارسkال کkرده اسkkت، ارائkkه می کننkkد. تشkkخیص نفkوذ و

–مربوط به امنیت می تواند یک وظیفkkه دلهkkره آور باشkkد logتجزیه وتحلیل فایل های نه تنها در تعkkیین محیط هkkایی کkkه حسkkگرها را بایkkد در آن هkا جانمkkایی کkرد، بلکkkه در جمع آوری و تحلیل چنین حجم زیادی از داده های گرفته شkkده. در بسkkیاری از مkkوارد، ابزارهای تخصصی یا متخصصین امر برای تلفیق و تفسیر اطالعات جهت شناسkkایی هشدارهای ناخواسته، حمالت و یا رویدادهای شبکه و اجرای استراتژی هایی برای از بین بردن یا به حداقل رساندن چنین حوادثی موردنیاز اسkkت. بعضkkی از سkkازمان ها این فعالیت را به سایر افرادی کkkه تخصkkص بیشkkتری در انجkkام این خkkدمات دارنkkد،

نظیر ارائه دهندگان خدمات امنیتی مدیریت شده برون سپاری می کنند.انتشار اطالعات مرتبط با امنیت

این سرویس برای سازمان مؤسس خود مجمkkوعه ای جkkامع و دارای قkkابلیت یkkافتن آسان فراهم می کند که محتوی اطالعات مفیkدی اسkkت کkه بkه بهبkود امkنیت کمkک

می کنند. چنین اطالعاتی ممکن است شامل موارد زیر باشند:[Author Name] 48

TELESCAM.IR

انتشار راهنمایی ها و اطالعات تماس برایCSIRTبایگانی هشدارها، اخطارها و دیگر اطالع رسانی هامستندسازی درباره بهترین شیوه های بکار گرفته شده ی فعلیراهنمای عمومی امنیت کامپیوترسیاست ها، روال ها و چک لیست هاتوسعه ی وصله ها و توزیع اطالعاتلینک های عرضه کنندگان محصوالتآمار و روندهای فعلی گزارش حادثهاطالعات دیگر که می تواند شیوه های امنیتی کلی را بهبود بخشد

یا دیگر بخش های سازمان )فناوری اطالعkkات، CSIRTاین اطالعات می تواند توسط منابع انسانی یا روابط رسانه ای( توسعه داده شده و انتشار یابد و می توانkkد شkkامل

ها، عرضه کنندگان و متخصصان امنیتCSIRTاطالعاتی از منابع بیرونی از قبیل دیگر باشد.

- خدمات مدیریت کیفیت امنیت6-1-3 CSIRTخدماتی که در این دسته قرار می گیرند، منحصر به رسkkیدگی بkkه حkkوادث یkkا

نیست. این ها خدماتی به خوبی شناخته شده و مستقرشده هستند که به منظور بهبود کلی امنیت سازمان طراحی شده اند. با استفاده از تجربیات به دسkkت آمده در ارائkkه

می توانkkد CSIRTخkkدمات واکنشkkی و پیشkkگیرانه کkkه در بkkاال توضkkیح داده شkkد، چشم اندازی منحصربه فرد به این خدمات مدیریت کیفیت ارائه کنkkد کkkه در غkkیر این حالت در دسترس نخواهد بود. این خدمات برای ثبت بازخورد و یkkادگیری مبتkkنی بkkر دانش به دست آمده از طریkkق پاسkkخ بkkه حkkوادث، آسkkیب پذیری ها و حمالت طkkراحی شده اند. بازخورد چنین تجربیاتی به سرویس های سنتی مستقر )که در ادامkkه شkkرح داده شده است( به عنوان بخشی از فرآیند مدیریت کیفیت امنیت می تواند منجر به

بسkkته بkkه CSIRTافزایش و بهبود تالش های امنیتی بلندمدت یک سازمان گردد. یkkک ساختارها و مسئولیت های سازمانی می تواند این خkدمات را ارائkkه کنkkد یkkا به عنkkوان

بخشی از تالش تیمی سازمانی بزرگ تر مشارکت نماید. می تواند برای هر یک از این CSIRTتوضیحات ادامه شرح می دهد که چگونه تخصص

خدمات مدیریت کیفیت امنیت سودمند باشد.تحلیل ریسک

CSIRTرkد. این امkی بیفزاینkک، ارزشkای ریسkا و تحلیل هkه ارزیابی هkد بkا می تواننkه می توانkkد توانkkایی سkkازمان را بkkرای ارزیkkابی تهدیkkدهای واقعی بهبkkود بخشkkیده تkkا ارزیابی های کمی و کیفی واقع بینانه از ریسkkک دارایی هkkای اطالعkkاتی ارائkkه کkkرده و

[Author Name] 49

TELESCAM.IR

هkایی کkه این سkkرویس راCSIRTاستراتژی های واکنش و محافظت را ارزیابی کنkد. انجkkام می دهنkkد، بkkه فعالیت هkkای تحلیkkل ریسkkک امkkنیت اطالعkkات و فرآینkkدهای کسب وکار یkkا ارزیkkابی تهدیkkدات یkkا حمالت علیkkه دارایی هkkا و سیسkkتم های سkkازمان

مؤسس کمک کرده یا خود آن را انجام می دهند.طرح ریزی ترمیم و بازیابی از حوادث و تداوم کسب وکار

بر اساس رویدادهای گذشته و پیش بینی های آینده در مورد حوادث در حال ظهور یkkا گرایش هkkای امنیkkتی، حkkوادث بیشkkتر و بیشkkتری منجkkر بkkه تخkkریب جkkدی عملیkkات

CSIRTکسب وکار می شوند. بنابراین، تالش های برنامه ریزی باید تجربه و توصkیه های را در تعیین بهترین شیوه پاسخ به چنین حkkوادثی بkkرای اطمینkkان از تkkداوم عملیkkات

هkkایی کkkه این سkkرویس را انجkkام می دهنkkد در CSIRTکسkkب وکار در نظkkر بگیرنkkد. برنامه های تداوم کسب وکار و برنامه ریزی بازیابی از فاجعه برای وقkkایع مربkkوط بkkه

تهدیدها و حمالت امنیتی کامپیوتری مشارکت دارند.مشاوره امنیتی

CSIRT یوه هایkkترین شkkورد بهkkایی در مkkاوره و راهنمkkه مشkkرای ارائkkد بkkها می توانن امنیتی برای پیاده سازی عملیات تجاری سازمان مؤسس مورداستفاده قرار گیرنkkد.

که این سرویس را ارائه می دهد، در تهیه توصیه ها یkا شناسkایی شkرایط CSIRTیک الزم بkkرای خریkkد، نصkkب و یkkا امن سkkازی سیسkkتم های جدیkkد، دسkkتگاه های شkkبکه، برنامه هkkای کkkاربردی نرم افkkزاری و یkkا فرآینkkدهای کسkkب وکار در سراسkkر شkkرکت مشkkارکت دارد. این سkkرویس شkkامل ارائkkه راهنمkkایی و کمkkک در زمینkkه توسkkعه سیاست های سازمانی یا امنیتی سازمان مؤسس اسkkت. همچkkنین می توانkkد شkkاملفراهم کردن مدارک یا مشاوره به مراجع قانونی یا دیگر سازمان های دولتی باشد.

ایجاد آگاهیCSIRT می تواند قادر به شناسایی مواردی باشد که نیاز به اطالعات و راهنمایی های

بیشتر برای انطباق با شیوه های امنیتی پذیرفته شده و سیاست های امنیتی سازمانی دارد. افزایش آگاهی امنیتی عمومی در اعضای سازمان مؤسس نه تنهkkا درک آن هkkا از مسائل امنیتی را بهبود می دهد، بلکه به آن ها کمک می کند تا عملیات روزانه شان را بkkه شkkkیوه امن تkkری انجkkkام دهنkkkد. این کkkkار می توانkkkد احتمkkال وقkkkوع حمالت موفقیت آمیز را کاهش داده و احتمال اینکه کارکنان سkkازمان مؤسkkس خkkود حمالت را تشخیص داده و گزارش کنند افزایش یافته، درنتیجه اعمالی نظیر زمان بازیابی یا

از بین بردن حمله یا به حداقل رساندن خسارات و تلفات کاهش می یابد.CSIRT هایی که این سرویس را انجام می دهند، به دنبال فرصت هایی برای افزایش

آگاهی امنیتی از طریق توسعه مقاالت، پوسترها، خبرنامه ها، وب سایت ها و یا سایر

[Author Name] 50

TELESCAM.IR

منابع اطالعاتی هستند که بهترین شیوه های امنیتی را توضkkیح داده و توصkkیه هایی رادر مورد احتیاط های الزم ارائه می دهند.

همچنین فعالیت هkkا می توانkkد شkkامل برنkkامه ریزی جلسkkات و سkkمینارها بkkرای بkkروز نگه داشتن افراد در سkkازمان مؤسkkس، روال هkای امنیkkتی در حkkال اجkرا و تهدیkkدات

بالقوه برای سیستم های سازمانی باشد.آموزش / تمرین

این سرویس شkkامل ارائkkه اطالعkkات بkkه سkkازمان مؤسkkس دربkkاره مسkkائل امkkنیت کkkامپیوتر از طریkkق سkkمینارها، کارگاه هkkا، دوره هkkای درسkkی و آموزشkkی اسkkت. موضوعات این فعالیت ها می تواند شامل دستورالعمل گزارش حادثkkه، روش پاسkkخ مناسب، ابزار پاسخگویی به حوادث، روش های پیشگیری از حادثه و سایر اطالعات

الزم برای محافظت، شناسایی، گزارش و پاسخ به حوادث امنیتی کامپیوتر باشد.ارزیابی محصول یا صدور گواهینامه

می تواند ارزیابی محصوالت را بر روی ابزارها، برنامه هkkا CSIRTبرای این سرویس، یا سایر خدمات انجام دهد تا امنیت محصوالت و انطباق آن ها را با شیوه های امنیتی

یا سازمانی تضمین کند. ابزار و برنامه های موردبررسی می توانند CSIRTقابل قبول منبع باز یا محصوالت تجاری باشند. این سرویس می تواند به عنوان یک ارزیابی یا از طریق یک برنامه صدور گواهینامه، بسته به اسkkتانداردهایی کkه توسkkط سkkازمان یkkا

CSIRT .اعمال می شوند، ارائه شود

[Author Name] 51

TELESCAM.IR

CSIRT: الگوی چارچوب Aضمیمه

CSIRTچارچوب نام تیم:

بیانیه مأموریت:

سازمان مؤسس:

اختیارات:

مسئولیت ها:

ساختار سازمانی:

دسترس پذیری:

خدمات:

کارکنان:

زیرساخت و ابزارها:

روابط بیرونی و داخلی:

مدل بودجه ای:

: نمونه ای از فرم گزارش حادثهBضمیمه فرم گزارش حادثه

لطفاً این فرم را پس از پر کردن به شkkماره فکس ......................... یkkا پسkkتالکترونیک ............................. ارسال نمایید

پر کردن خطوطی که با * نشان دار شده اند، ضروری هستند.

[Author Name] 52

TELESCAM.IR

مشخصات نام و سازمان. نام*:1. نام سازمان*:2. نوع بخش:3. کشور*:4. شهر:5. آدرس پست الکترونیک*:6. شماره تلفن*:7. دیگر موارد:8

میزبان)های( تحت تأثیر قرارگرفته. تعداد میزبان ها:9

*:IP. نام میزبان و آدرس 10. کاربرد میزبان*:11. محدوده زمانی:12. سخت افزار:13. سیستم عامل:14. نرم افزار تحت تأثیر:15. فایل های تحت تأثیر:16. پروتکل / شماره درگاه:17

حادثه. شماره ارجاع:18. نوع حادثه19. زمان آغاز حادثه:20 خیر . آیا این حادثه کماکان برقرار است؟ بلی 21. زمان و روش کشف حادثه:22. آسیب پذیری های شناخته شده:23

. فایل های مشکوک:24

. اقدامات:25

. توضیحات با جزئیات مشروح:26

[Author Name] 53

TELESCAM.IR

: ابزارهای امنیتیCضمیمه در کار خود برای رسیدگی بkkه حkوادث CSIRTابزارهای زیادی برای کمک به تیم های

وجود دارد که بسیاری از آن ها برای استفاده، رایگان است. ذخkkیره1بkkه فkkرمت متن اصkkلی logبه خاطر داشته باشید که بسkkیاری از فایل هkkای

( ازUnix / Linuxمی شوند و به راحتی می توان آن ها را توسط ابزارهای خط فرمان ),sedقبیل awk وgrep وانkkابه را می تkkای مشkkرار داد. این ابزارهkkمورد جست وجو ق

از منابع مختلف یkkا تبkkدیل آن هkkا بkkه دیگkkر فرمت هkkا logبرای نرمال کردن فایل های به منظور استفاده از ابزارهای پیشرفته تر مورداستفاده قرار داد.

در ادامه گزیده ای از ابزارهایی که مرتباً مورداستفاده قرار می گیرند آمده است:و دامنه IPابزارهای پرس و جوی آدرس

<https://www.domaintools.com>/DomainTools

<http://centralops.net/co/DomainDossier.aspx>Domain Dossier

<http://www.team-cymru.org/IP-ASN-mapping.html>IP to ASN Mapping

<http://dev.maxmind.com/geoip/geoip2/geolite2>/GeoLite2<https://stat.ripe.net>/RIPEstat

پست الکترونیک2ابزارهای تحلیل سرآیند<https://toolbox.googleapps.com/apps/messageheader/>Google Apps

Messageheader

<http://mxtoolbox.com/EmailHeaders.aspx>MXToolbox

ابزارهای نظارت بر شبکه<http://nfdump.sourceforge.net>/nfdump

<http://nfsen.sourceforge.net>/nfsenابزارهای ممیزی و حسابرسی شبکه

<https://nmap.org>/nmap<http://autoscan-network.com>/AutoScan-

1 Plain text2 Header

[Author Name] 54

TELESCAM.IR

Network<https://www.wireshark.org>/Wireshark

<https://github.com/abusesa/abusehelper>AbuseHelper

ابزارهای ارزیابی آسیب پذیری<http://www.tenable.com/products/nessus-vulnerability-scanner>Nessus

<https://www.metasploit.com>/Metasploit<https://subgraph.com/vega/index.en.html>Vega

<https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project>

OWASP ZAP

<http://www.softpedia.com/get/Internet/Servers/Database-Utils/SQL-Check.shtml>

SQLcheck

<https://portswigger.net/burp>/Burp Suite<https://www.kali.org>/Kali

ابزارهای تشخیص نفوذ<https://www.snort.org>/Snort

<https://sourceforge.net/projects/tripwire>/Tripwireابزارهای جرم شناسی

<http://www.sleuthkit.org>/Sleuth Kit<http://www.sleuthkit.org/autopsy>/Autopsy

<http://tcpxtract.sourceforge.net>/Tcpxtract<https://www.guidancesoftware.com/encase-forensic>EnCase

<http://accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk>

FTK, Forensic Toolkit

ابزارهای تحلیل بدافزار<https://www.virustotal.com>/VirusTotal

<http://www.malwaredomainlist.com>/Malware Domain

List<http://www.team-cymru.org/MHR.html>Malware

Hash Registry

<https://misppriv.circl.lu>/MISP, Malware

Information Sharing Platform

<https://otx.alienvault.com>/AlienVault Open Threat

[Author Name] 55

TELESCAM.IR

Exchange<https://malwr.com>/Malwr

<https://www.hybrid-analysis.com>/Hybrid Analysis

هانی پات ها<http://www.honeyd.org/index.php>honeyd

WiFiابزارهای <http://www.metageek.com/products/inssider>/inSSIDer

<https://www.acrylicwifi.com/en/wlan-software/wlan-scanner-acrylic-wifi-free>/

Acrylic WiFi

ScannerSIEMابزارهای

<http://www.splunk.com>/Splunkابزارهای رمزنگاری

<https://www.gnupg.org>/GnuPG<https://veracrypt.codeplex.com>/VeraCrypt

ابزارهای ردیابی حادثه<https://bestpractical.com>/RTIR

<https://www.otrs.com>/OTRSپایگاه های داده

<https://www.sqlite.org>/SQLiteMySQLMySQL

<https://www.postgresql.org>/PostgreSQL

: منابع اطالعاتیDضمیمه برای اطالع رسانی حوادث، خوراک خوان های خودکار مختلفی وجود دارد که شخص می تواند مشترک آن شده، توسط جوامkع امنیkتی ارائkه شkده و اکkثر آن هkا رایگkkان

[Author Name] 56

TELESCAM.IR

اسkkت. مkkواردی کkkه در ادامkkه می آیkkد، به طورمعمkkول توسkkط تیم هkkای بسkkیاریمورداستفاده قرار می گیرد:

اطالع رسانی حوادث Phishing<http://apwg.org/>APWG, Anti-

Phishing Working Group

Phishing<http://www.phishtank.com>PhishTank Web

defacements<http://dark-h.org>Dark-H

Web defacements

<http://mirror-zone.org>Mirror-Zone

Web defacements

<http://zone-h.org>Zone-H

Web defacements

<http://zone-hc.com>Zone-HC

Botnet Open DNS

resolver Open proxy

server etc.

<https://www.shadowserver.org>Shadowserver

Botnet Brute force

DDoS Malware URL

Open DNS resolver

Open proxy server

Phishing Scanning

<http://www.team-cymru.org/services.html>

Team Cymru

برای پیدا کردن اطالعات تماس تیمی که سازمان مؤسس آن در یkkک حادثkkه درگkkیر شkkده اسkkت، وب سkkایت هایی کkkه در ادامkkه معkkرفی می شkkوند مخkkازنی هسkkتند کkkه

می توان از آن ها مشاوره گرفت:اطالعات تماس )اعضای تیم(

<https://www.first.org/>FIRST, Forum of Incident Response and Security

Teams

[Author Name] 57

TELESCAM.IR

<http://www.apcert.org/>APCERT, Asia Pacific CERT

<https://www.trusted-introducer.org/>Trusted Introducer<http://www.africacert.org>AfricaCERT

<http://www.lacnic.net/en/web/lacnic/csirts>Latin American CSIRTs<http://www.oic-cert.org/>OIC-CERT, Organisation

of the Islamic Cooperation CERT

<http://www.cert.org/incident-management/national-csirts/national-csirts.cfm>

NatCSIRT, National CSIRTs

[Author Name] 58

telescam.info · web viewازآنجایی که فعالیت های رسیدگی به آسیب...

Documents