1
1
2
Computer Emergency
Response Team
(CERT)
3
مقدمه:تامي�ن امني�ت اطالعات س�ازمانها در محي�ط امروزي ك�ه از شبكه هاي هر ورود ب�ا و اس�ت مشك�ل كاري شده، تشكي�ل پيوس�ته ه�م ب�ه محصول الكترونيكي و هر ابزار نفوذ اين كار صعب سخت ت�ر نيز مي شود. اكث�ر س�ازمانها متوج�ه شده ان�د ك�ه ي�ك راهكار امنيت�ي واحد براي تامي�ن امني�ت س�يستمها وجود ندارد بلك�ه باي�د از اس�تراتژي امنيت�ي چند الي�ه بهره گرفت. يك�ي از الي�ه هاي�ي ك�ه بيشت�ر س�ازمانها در استراتژي به پاس�خگويي براي تي�م ي�ك ايجاد گيرن�د، م�ي نظ�ر در امنيت�ي خود
ناميده مي شود. CSIRT[1]رويداد امنيت�ي كامپيوت�ر اس�ت ك�ه اختص�ارا فوریتهای به پاس�خگویی تی�م مانن�د دیگری نامهای تی�م ای�ن البت�ه
نی�ز دارد ام�ا کارکرد مشابه�ی دارن�د ک�ه در ادامه CERT[2]کامپیوتری ی�ا Computer Security Incident Response Team [1]به آن خواهیم پرداخت.
[2] Computer Emergency Response Team
4
گزارش آماری
در دهه ی گذشته گسترش بدافزارها روند شتابانی داشته است. بنا به گزارش های ارایه شده از سوی آزمایشگاه های تحقیقاتی و نیز
2012 در چهارماهه پایانی سال ،تولید کنندگان مطرح ضدبدافزارمیالدی به طور متوسط روزانه چهارصد هزار نمونه ی جدید
بدافزار در سطح جهان مشاهده گردیده است. این بدافزارها با اهداف گوناگون تجاری و سیاسی منتشر می گردند. بر پایه ی اطالعات منتشر شده دسته ی بسیار مهمی از این ابزارها به
شکل سازماندهی شده مشغول انجام حمالت هدفدار می باشند. به این معنی که با گرفتن دستور از فرماندهان خود دست به
.اقدامات مخرب بر روی سامانه های قربانی می زنند
گزارشات آماری
5
گزارشات آماری
2012روش های حمله
6
گزارشات آماریTop-Level Domains Used by Malware
7
گزارشات آماریGeo-Location of IP Addresses Used by Malware
8
گزارشات آماریObserved Spam Themes (October-December 2012)
9
CERT/CSIRTتعريف
10
به دریاف�ت، مرور و پاس�خگویی واح�د خدمات�ی اس�ت ک�ه مس�ئول رخدادهای گزارشات ارس�الی و فعالیتهای مربوط به مشکالت و
اس�ت. س�رویس های ای�ن واحد معموال برای محدوده کامپیوتری اداره شرکت، ی�ک توان�د م�ی ک�ه شود م�ی تعری�ف مشخص�ی
دولتی، سازمان آموزشی، یک منطقه یا کشور باشد.
CERTاسامی مختلف
امنیتی رخداد ب�ه پاس�خگویی تی�م کامپیوتری Computer Security Incident Response Team CSIRT
توانای�ی پاس�خگویی ب�ه رخداد امنیتی کامپیوتری Computer Security Incident Response Capability CSIRC
رخداد به پاس��خگویی توانای��ی کامپیوتری Computer Incident Response Capability CIRC
تیم پاسخگویی به رخداد کامپیوتری Computer Incident Response Team CIRT
تیم رسیدگی به رويداد Incident Handling Team IHT
یا رخداد ب��ه پاس��خگویی مرک��ز توانایی پاسخگویی به رخداد
Incident Response Center or Incident Response Capability IRC
تیم پاسخگویی به رخداد Incident Response Team IRT
های فوریت ب��ه پاس��خگویی تی��م امنیتی Security Emergency Response Team SERT
های فوریت ب��ه پاس��خگویی تی��م کامپیوتری Computer Emergency Response Team CERT
تیم پاسخگویی به رخداد امنیتی Security Incident Response Team SIRT
11
در داخل کشورCERTاسامی مختلف
12
: مرکز مدیریت امداد و هماهنگی عملیات ماهر•رخدادهای رایانه ای
: گروه واکنش هماهنگ رخدادگوهر•: مرکز هماهنگی امداد رایانه ایمهار•: آگاهی رسانی، پشتیبانی و امدادآپا•
CERT تاریخچه ايجاد
CERT تاریخچه ايجاد
انگیزه اص�لی برای ایجاد اولی�نCSIRT انتشار کرم موریس در ،
1988سال ساله نوشته شده بود.23 این کرم توسط یک دانشجوی به کامپیوت�ر ی�ک از مختل�ف امنیت�ی های حفره از اس�تفاده ب�ا
کامپیوتردیگر منتشر می کرد. حدود زمان آ�ن در تاریخ�ی مس�تندات تا 60000بنابر 80000
س�یستم بر روی شبک�ه اینترن�ت وجود داش�ت )ای�ن شبک�ه آرپانت و داش�ت( آلوده 10نام کرم این توس�ط دس�تگاهها آ�ن درص�د
شدند مشک�ل اص�لی آ�ن بود ک�ه بس�یاری از س�یستمهایی که آلوده شده
بودند،� رله ایمیل و سرورهای زیرساخت اصلی اینترنت بودند
15
)ادامه(CERT تاریخچه ايجاد
first:Forum of Incident Response and Security Teams برگزار ش�د ت�ا عالوه بر بررسی CERT/CC کارگاه�ی توس�ط 1989در آگ�وس�ت س�ال
فعالیتهای گذشت�ه، ب�ه گامهای آت�ی در هماهن�گ کردن ارتباط بی�ن تیمه�ا بپردازد. ای�ن نقطه تیمهای انجمن ب�ه عنوان در حال حاض�ر ک�ه ای ک�نفرانس�های س�االنه بر بود س�رآغازی
11 ، 1990 شناخت�ه م�ی شود. در نوام�بر سال FIRSTامنیت�ی و پاس�خگویی رويدادی�ا ( را تاس�یس نمودند. در آن FIRSTگروه، انجم�ن تیمهای امنیت�ی و پاس�خگویی رويداد )
ابتدا ی�ک شبکه از اعضای FIRST هزار میزبان داشت. 340زمان شبک�ه اینترن�ت حدود ی�ا ی�ک تی�م امنیت�ی هس�تند. اعض�ا ب�ه ص�ورت داوطلبانه با CSIRTثب�ت شده اس�ت ک�ه هری�ک
یکدیگ�ر کار م�ی کنن�د و بر روی جلوگیری از رويداد، اشتراک اطالعات، اشتراک تحلیل امنیتی حادث�ه ی�ک بروز زمان در پاس�خگویی فعالیتهای هماهنگ�ی و امنیت�ی های حفره تمرک�ز م�ی کنند. اطالع�ات بیشت�ر درباره ای�ن انجم�ن را م�ی توان در س�ایت آ�ن ب�ه نشانی
www.first.org.یافت
16
به CERTورود اروپا
تاسيس اولین CSIRT اروپایی در فرانسه و در SPAN[1]شبکه تحلیل فیزیک فضا یا
ايجادمرکز هماهنگی اروپایی با نامEuroCERT
[1] Space Physics Analysis Network
17
اولینCSIRT شناخته شده متعلق به کشور نام داردAusCERTاسترالیاست که
نمونه های ديگري از این تیمها می توان CERTCC-KR،در کشور کره JPCERT/CCدر کشور ژاپن SingCERT در کشور سنگاپور اشاره کرد که از
اولین تیمها در منطقه آسیا پاسیفیک بودند
منطقه آسیای پاسیفیک
تشكيل گروه كاري جديد به نامAPCERT در سال 2003
OIC-CERT : Certكشورهاي اسالمي
18
اينترنت در اوايل دهه هفتاد وارد ايران شد.• ملي در دستور كار قرار CERTدر دهه هشتاد ايجاد يك •
گرفتداليل اين كار:•
29 سايت ايراني، يكجا هك شدند.180 - 1381 مرداد 11 ساي�ت ايراني توسط يك 200- بيش از 1381 آذر
ايراني هک شدند.8 سايت هايي كه از خدمات يك شركت 1381 دي -
ارائه دهنده سرويس ميزباني وب استفاده مي كردند، به اند.ه وسيله يك گروه نفوذگر هك شد
تیم پاسخگویی به فوریتهای کامپیوتری ایران (IRCERT)
19
توزيع تيمهاي پاسخگويي به رخداد در سراسر دنيا
CSIRTتعداد و انواع تیمهای
20
Growth in CSIRTs
CSIRTرشد تیمهای
CERTمزایای ایجادٍ
براي موارد امنيتي فناوري اطالعات واحدی متمرکز دارابودن •سازمان ها
زمان هاي پاسخگويي متمرکز و تخصصي به مسائل امنيتی در •بحراني
مرتبط در هنگام دادخواهي های آگاهي به مسائل حقوقي•حقوقی
و اطالع رساني همزمان به مراکزدر certهمکاري با مراکز •زمينه امنيت فناوري اطالعات
21
CSIRTاهداف
به شرح ذیل می باشد:CSIRT مد نظر درپروژه های ایجاد مراکزاهد�افافزايش آگاهي و شناخت نسبت به پديده هاي مرتبط با افتا؛•افزايش قدرت تشخيص تهديدات، وقايع نامطلوب، عوامل و راه هاي •
مواجهه؛افزايش قد�رت پيش بيني وقايع نامطلوب؛•افزايش آمادگي عناصر موجود در فضاي فتا براي واكنش در مقابل وقايع؛•كاهش زمان واكنش به وقايع؛•افزايش توان و كيفيت واكنش به وقايع؛•كاهش خسارات وارده؛•افزايش طيف حمايت ها از افراد درگير در وقايع•افزايش كيفيت خد�مات در حوزه افتا.•
22
CSIRTوظایف ديگر مراکز
23
ارزيابي امنيتي منابع فضاي تبادل اطالعاتتحليل آسيب پذيري هاي امنيتيآموزش و فرهنگ سازي در حوزه امنيتآماده سازي، امن سازي پيش بيني تمهيدات الزم جهت
و ايمن سازيرصد و تشخيص نفوذاعالم هشدارامداد و هماهنگي هاي الزم براي واكنش به وقايع)آگاهي رساني )زمان واقعه و عموميانتشار اخبارترميم و بازسازيارزيابي و تحليل حوادث و امدادهاکمک در رسيدگي به جرايم فتا يا در حوزه فتا
Information Flow
نسبت به سایر نهادهای امنیتیCERT امتیاز
CERT
•CERT ب�ه عنوان منب�ع داده های معت�بر درباره مخاطرات و عنصر اصلی و کلیدی در کاهش مخاطرات به حساب می آید.
•CERT را امنیت�ی سازمان وضعی�ت از کام�ل تص�ویری توان�د م�ی ارائه نماید.
•CERT م�ی توان�د ب�ا اتک�ا ب�ه داشت�ه های خود ارتباط بی�ن حوادثی را که در ظاهر مرتبط نیستند، کشف کند.
ورودی های CERT
25
CSIRTسلسله مراتب
CSIRT )Computer Security Incident Response Team (
www.Certcc.ir26
CSIRTچرخه کار در مراکز
27
ارزيابي وضعيت کنونی کاربران
ايجاد هشدار ، اخطار و اطالع رساني و ارائه خدمات مشاوره
جمع آوري اطالعات آسيب پذيري ها
تحليل اطالعات و ارزيابي ريسک
کنترل و مديريت حوادث
CSIRT ساختار سازماني
حوزه عملياتتقسيم بندي بر اساس •هدف يا سرويس تقسيم بندي بر اساس •ساختار و مدل تقسيم بندي بر اساس •
سازماني
28
29
ماموريت
تعريف csirtماموريت استاندارد واحدي براي اكثر تيمهاي .نشده است
اكثر اين بيانيه ها به موارد زير اشاره دارد: آگاهي رساني، فرهنگ سازي و آموزش در مورد مسائل •
افتا؛پيشگيري، ايجاد آمادگی، ايمن سازي بسترها و مولفه ها؛•ارزيابي امنيتي و تحليل آسيب پذيري ها؛•رصد و تشخيص نفوذ؛•هشدار و آگاهي رساني در مورد وقايع؛•امداد؛•ترميم و بازسازي؛•کمک در رسيدگي به جرايم فتا؛•تحليل حوادث و امدادها•
30
بیانیه ماموريت
براي شناس���ايي و تدوي���ن ماموري���ت، اهداف و وظاي��ف گروه واكن��ش هماهن��گ رخداد )گوه��ر(،
مراحل زير بايد اجرا شود:
شناسايي منابع مرتبط؛•پيمايش اسناد باالدستي و تبيين بيانيه ها•
در سازمانCSIRTمحل استقرار تيم
جایگاه استانداردی برای تیم های گوهر وجود ندارد:
ITواحد برخی تیم ها بخشی از •
و یا در کنار آن حراستبرخی دیگر بخشی از •ها
مستقلواحد •31
میزان اختیار تیم
32
میزان اختیار نشان دهنده کنترلی است که تیم بر فعالیتهای خود و حوزه عمل خود در رابطه با امنیت
کامپیوتر و پاسخگویی رویداد دارد.
اختيارات تيم به سه سطح تقسيم مي شود.
اختيار كامل:مستقيم به مدير شبكه دستور قطع
شبكه ميدهد
اختيار اشتراكي:در تصميمات مشاركت مي كند ولي
تصميم گير نيست
بدون اختيار:در قالب مشاور به سازمان فعاليت
تيمي است كه هيچ اختياري بر حوزه CERT/CCميكند.
عمل خود كه اينترنت است ندارد
CSIRTخدمات قابل ارائه توسط مراکز
خدمات به سه دسته اصلی تقسیم می شوند :: خدمات پيشگيرانه
پيشگيري از حوادث از طريق آموزش و اطالع رساني : خدمات واكنشي
اعمال کنترل حوادث و کاهش صدمات: خدمات مدیریت کیفیت امنیت
شامل اهداف بلند مدت جهت بهبود و توسعه سیستم مانند : سنجش دوره های آموزش و مشاوره
33
)ادامه( CSIRTخدمات قابل ارائه توسط مراکز
مديريت کيفيت امنيت خدمات پيشگيرانه خدمات واکنشيتحليل ريسک • طرح اسiتمرار کسiب و •
کار و پشتيبانiي از حوادث مشاوره امنيتي •آگاه سازي •آموزش •ارزيابiي امنيتiي و تاييiد •
محصوالت
اعالن •مشاهده و بررسiiiiiiiي •
تكنولوژي بررسiiiiي و ارزيابiiiiي •
امنيتي پيکربندي و نگهداري •
ابزارهiiiiiا، برنامiiiiiه هاي كاربردي، زيرسiiiiiاختها و
سرويسهاي امنيتي توسعه ي ابزار امنيتي • سiرويس هاي تشخيiص •
نفوذ انتشار اطالعات مرتبiط •
با امنيت
اعالم اخطار و هشدار •رسيدگي به رخداد •
تحليل رخداد –پاس��خگويي ب��ه رخداد در –
محل پشتيبان��ي پاس��خگويي ب��ه –
رخداد هماهنگ�ي پاس�خگويي ب�ه –
رخداد مديريت آسيب پذيريها •
تحليل آسيب پذيري ها –پاسخگويي به آسيب –
پذيري ها هماهنگي پاسخگويي –
آسيب پذيري هامديريiiiت آثار باقيمانده •
از حمله تحلي�����ل آثار باقيمانده از –
حمله پاس��خگويي آثار باقيمانده –
از حملههماهنگ��ي پاس�خگويي ب�ه –
آثار باقيمانده از حمله
34
CERTاستانداردهاي امنيتي در مراكز ( )ادامه
تعاريف حوادث و رخدادهاي امنیتاطالعات و مدیریت آنها
امنيت فيزيكي مركزCERT
امنيت تجهيزات پردازش اطالعاتهمکاری با دیگر تیمهاسياست ها و قوانين ملي، سازماني
35
تقسيم بندي بر اساس ساختار و مدل سازماني
، مدل سازماني يا ساختار بخشتمركز اصلي اين عملياتي اين تيم است.
تيم امنيتي 1..2CSIRT داخلي توزيع شده.3CSIRTمتمركز داخلي .4CSIRTتركيبي متمركز و توزيع شده داخلي .5 CSIRTهماهنگ كننده
36
CERTگامهای تشکیل
.Aشناسايي ذينفعان و مشاركت كنندگان
.Bاخذ تایید حمایتی مدیریت درخصوص ایجاد مرکز
.Cايجاد طرح پروژه ايجاد مركز
.Dجمع آوري اطالعات.Eشناسايي حوزه عملياتي.Fتعريف ماموريت.Gتامين بودجه.Hتعيين طيف سرويس هاي ارائه شده.Iتعيين ساختار گزارش دهي، اختيارات و مدل سازي تيم.Jشناسايي منابع الزم براي ايجا مركز
.Kتعريف واسطها و تعامالت.Lتعيين نقشها و وظايف و اختيارات.Mمستندسازي گردش كار.Nتوليد سياستها و روالهاي كاري.Oايجاد برنامه پياده سازي و تعيين بازخوردها.P معرفي رسمي مركز.Qتعيين روشهاي ارزيابي كارايي تيم.Rايجاد برنامه پشتيبان
37
38
مرک�ز عمليات امني�ت، مجموع�ه اي از ابزاره�ا، فرآينده�ا و عوامل انس�اني اس�ت ک�ه امکان مانيتورين�گ متمرک�ز امنيت�ي شبک�ه را فراهم وقايع، و حوادث خودکار رس�اني هاي اطالع واس�طه ب�ه و نموده و حوادث به خودکار پاس�خ دهي کل�ي، و جزئ�ي گزارشات تولي�د وقاي�ع، رويکردي پيشگيرانه را در جهت مديريت ريس�ک هاي امنيتي
ايجاد خواهد نمود. ه�ا و مس�ئول پاس�خ گوي�ي ب�ه اخطارهاي Client نقط�ه تماس سiطح يكiم،
هاست. Clientدريافتي از، در حقيق�ت مكم�ل س�طح يك�م اس�ت و مس�ئول پاس�خ گويي ب�ه سiطح دوم
مشكالت پيچيده تر در سيستم هاي امنيتي شبكه مي باشد. ، در اي�ن س�طح كارشناس�ان ارش�د و مشاوران امنيت�ي شبك�ه قرار سiطح سiوم
دارند.
(SOCمرکز عملیات امنیت شبکه )
39
SOC
SOCچرخه حیات سرویس در مرکز
40
POLLER تجهیزات��ی ان��د ک��ه رویدادهای مربوط ب��ه خود را تولی��د می کنند. کلی��ه ها . و تجهیزات UTM، آنتی ویروس و IDS/IPSتجهیزات امنیت����ی مانن����د دیواره آت����ش،
غیرامنیتی مانند سوئیچ، روترآ�ن دس�ته از تجهیزات�ی ک�ه عالوه بر اینک�ه رویدادهای مربوط ب�ه خود را سiنسورها.
تولی�د می کنن�د، قادرن�د ترافی�ک شبک�ه را نی�ز پای�ش و آنالی�ز کنند. ص�رفآ تجهیزات امنیت�ی Serviceدر این گروه قرار دارند. Equipment
Mail NO SENSOR NO POLLER
Active Directory
1 Firewall 24 Switch L2
Internet
Yes
Anti Virus
1 Switch L3 (3750)
4 Router
Paperless 6
Server
Domain
Controller
Dolat Inte
rnet AV Mail P
aperle
ss
SOCتجهیزات در
مدل هاي عملياتي(SOC and ODC)
استاندارها و نمونه هاي برتر
(ITIL, BS7799/ISO17799, SANS, CERT)
ارائه خدمات(Onsite, Near Shore and
Offshore)
ارائه خدمات ويندوز(24x7, 8x5, 12x7 )
iپورتال(Operational Reporting,
Advisories)
پايگاه دانش(Incident & Problem Mgmt., Testing, Product evaluation)
مركز رشد امنيت(Test bed, Technology
Innovation, Knowledge Mgmt., Trainings )
ابزار(Helpdesk, Monitoring, Mgmt.,
Configuration, Automation/Workflow)
MSSP SOC
مشاوره امنيت
گزارش دهي
عمليات تجهيز�اتنصب ، پيكربندي، )
(تغيير
تغييرات امنيت
مديريت حوادث
مديريت زيرساخت مديريت امنيت
نظارت تجهيزاتكارايي, مانيتورينگ )
(حوادث
مانيتورينگ امنيت نيروي انساني(cross skilling, rotation,
training, ramp-up and scale down)
مديريت برنامه(Customer interface,
Escalation mgmt., Strategic assistance, Operational
supervision, quality control)
:MSSP چارچوب مركز عمليات امنيت
42
، مطابق با شکل -در CERT و مرکزSOCارتباط بین مرکز سه مرحله خالصه می شود:
CERTو SOCنحوه ارتباط بین
43
مرک�زSOC براس�اس شواه�د و مدارک دریافتی از (، قادر ب�ه کشف poller و sensorتجهیزات شبک�ه )
و طبقه بندی رویدادها، حوادث و مشکالت است؛
مرک�زCERT طرف از رسیده اعالن های طب�ق ،آس�یب و نوظهور تهدیدات ذینفعان، کاربران شبک�ه، برای راهکار ارائه دنبال ب��ه مرتب��ط، پذیری های مقابل�ه ب�ا چنی�ن تهدیدات و در نهای�ت اطالع رسانی
به کلیه سازمان های ذینفع می باشد.
SOCوCERTتفاوت
تعريف سرویس های امنیت مدیریت شده
44
( شده مدیریت امنی�ت های س�رویس Managed
Security Services است روش��ی از اس��ت عبارت )امنیت نیازهای ب��ه پاس��خ مدیری��ت برای نظاممن��د درون صورت ب�ه توان�د م�ی خدمات ای�ن س�ازمانی. خدمات تامین بنگاههای ب�ه ی�ا شود انجام س�ازمانی
امنیت اطالعات برون سپاری گردد.
45
از جمله سرویس های امنیت مدیریت شده می توان به موارد زیر اشاره کرد:
خدمات مدیریت شده برای فایروالها، سیستمهای تشخیص •(VPN( و شبکه های خصوصی مجازی )IDSنفوذ )
پایش و رصد وضعیت امنیت شبکه ها و سیستم ها•مدیریت رخدادهای امنیتی شامل پاسخگویی به فوریتها و •
تحلیل جرم شناسیارزیابی آسیب پذیری و تست نفوذ پذیری•ارزیابی مخاطرات امنیت اطالعات•تحلیل های راهبردی، پیش بینی روندها و پیشنهاد تغییر در •
معماری یا تدوین طرح های جدید معماری ساختاری یا امنیتی
MSSPخدمات
MSSPداليل استفاده از
46
برخ�ي س�ازمان ها هس�ته اص�لي كس�ب و كار امني�ت •نمي باشد.
براي خنثي كردن • بيشتري ب�ه حفاظ�ت نياز س�ازمان زيرا دارن�د پيچيدهحمالت و حمالت زمان به نياز ،تالش بيشتري دارد.
س�ازمان م�ي خواهن�د مهارت بيشت�ر و كاه�ش هزينه را •داشت�ه باشن�د زيرا پرس�نل متخص�ص در زمين�ه امنيت
دارن�د و اي�ن از نظ�ر اقتصادي براي هزين�ه باالي�ي شبك�ه همه شركت ها مناسب نيست.
روز هفته 7س�اعته در 24س�ازمان ه�ا نياز ب�ه پوش�ش •در سازمان ها محدوديت منابع مي باشند و اين نياز با
امكانپذير نمي باشد.
47
ارزیابی آسیب پذیريتست نفوذارزیابی زیرساخت سرویس تعيين کنترل هاي امنیتي پيشنهاديپیاده سازی کنترل های امنیتی ،مدیریت امنیت تجهيزات ) فايروالIPS/IDS( کنترل امنیتی كاربر نهايي حوادث امنيتي7*24نظارت پاسخگويي به حوادث داشبورد ریسکگزارش سازگاري با استاندارهاي امنيتي
شناسايي تهديدات و
آسيب پذيري ها
كاهش ريسك
مانيتورينگ و تحليل
تحليل پيامد و تعيين ريسك
بر اساس مديريت ريسك MSSP سرويس هاي IT
48
MSSچارچوب
49
؟
منابع و مراجع
50
1. http://www.cert.org2. http://www.enisa.europa.eu3. http://www.first.org4. http://www.APCert.org5. http://www.Certcc.ir
با تشکر از توجه شما
51