بررسی تفاوت CERT، SOC و CSIRT

در این مقاله ابتدا با هر یک از مفاهیم CERT, SOC , CSIRT آشنا خواهیم شد و یک به یک باهم آن‌ها را بررسی خواهیم کرد. در ادامه شباهت هریک از آن‌ها با یکدیگر را خواهیم آموخت و در انتها بخشی از تفاوتشان را خواهیم دید. امیدواریم که این مقاله برای شما مقاله‌ای مفید و آموزنده باشد.

SOC چیست؟

SOC یا همان Security Operations Center در زبان فارسی به معنای مرکز عملیات امنیت است. SOC متشکل از افرادی با سطح دانش متفاوت ، تجهیزات ، ابزار و برنامه های مختلفی است که در راستای تامین امنیت سازمان یا یک مجموعه تلاش می‌کنند. تیم SOC دارای سه لایه است که هرکدام وظایف متفاوتی دارند و همگی زیر نظر SOC Manager کار می‌کنند. تکنولوژی‌هایی که SOC از آنها اسفاده می کند شامل فایروال ها و دیگر تجهیزات امنیتی، اطلاعات امنیتی و سیستم های مدیریت رویداد و راه حل ها و راه کارهایی است که داده ها را جمع آوری و نظارت می‌کنند.

تفاوت CERT، SOC و CSIRT

بعضی از شرکت‌ها دارای SOC داخلی هستند اما برخی دیگر از خدمات سایر مراکز عملیات امنیت بصورت برون سپاری استفاده می‌کنند.

CERT چیست؟

CERT یا Computer Emergency Response Teams همان تیم پاسخگویی به رخدادهای امنیتی کامپیوتر می‌باشد. از آنجایی که روز به روز انواع حملات درحال پیشرفت است و تهدیدات بیشتر می‌شود هر سازمان یا مجموعه نیاز به یک تیم CERT دارد .

حالا تیم CERT چه کاری انجام می‌دهد؟ در ادامه با هم خواهیم دید.

تفاوت CERT، SOC و CSIRT

تیم CERT تلاش می‌کند آسیب ها را به حداقل برساند و درصورت رخ دادن حادثه، پاسخگویی مناسب را داشته باشد و تلاش کند تا جلوی تکرار این اتفاق را بگیرد. یک مدل جهانی برای پاسخ به حادثه که برای مدت طولانی مورد استفاده قرار گرفته است، مدل “محافظت، شناسایی و پاسخ” است.

CSIRT چیست؟

تیم CSIRT یا همان Computer Security Incident Response Team نیز وظیفه ای شبیه به وظیفه تیم CERT دارند :

  1. کنترل و مديريت رخداد
  2. ارزيابی به موقع از شدت رخداد
  3. بازيابی به موقع وضعيت
  4. کاهش يا رفع اثرات مخرب رخداد
  5. اطلاع رسانی به موقع به مديريت و ديگر سطوح سازمان در خصوص رخداد امنيتی
  6. انجام اقدامات پيشگيرانه برای جلوگيری از وقوع رخداد در آينده و پايش فناوری های روز

از جمله وظایف تیم CSIRT هستند.

تیم CSIRT از 3 بخش فنی ، سرپرست گروه و رئیس گروه تشکیل می‌شود.

تفاوت CERT، SOC و CSIRT

خدمات تیم CSIRT به 3 بخش تقسیم می‌شوند:

  1. Reactive خدمات واکنشی مانند مديريت رخداد، مديريت آسيب پذيری و… هستند.
  2. Proactive خدماتی پیشگیرانه هستند که شامل توسعه ابزارها ، تشخیص نفوذ و… می‌باشند.
  3. خدماتی مربوط به مدیریت مانند مشاوره ، تحلیل مخاطرات ، توسعه کسب و کار و…

سه مفهوم CSIRT , CERT , SOC چه شباهت هایی با یکدیگر دارند؟

در سازمان هریک از این تیم ها وظیفه خاصی دارند، اما یک ویژگی که بین این تیم‌ها مشترک است بحث Understanding که به معنای فهمیدن و توانایی بررسی رخدادها می‌باشد و Response که به معنای پاسخ مناسب به رخدادها می‌باشد است که همانطور که در نمودار مشخص است در همه تیم ها این ویژگی وجود دارد.این ویژگی ها به این معنا هستند که هر سه تیم متوجه خطرات و تهدید ها می‌شوند و می‌توانند به آن پاسخ های مورد نیاز را بدهند.

از نمودار زیر چه تحلیل دیگری دارید؟

تفاوت CERT، SOC و CSIRT

تفاوت‌های تیم SOC , CSIRT , CERT چیست؟

با نگاه کلی به وظایف تیم SOC می‌فهمیم که این تیم وظایف گسترده‌ای در حوزه تامین امنیت سازمان دارد اما تیم های CSIRT , CERT صرفاً وظیفه پاسخ به حوادث را دارند. یک CERT ممکن است روی حوادثی مانند Data breach و حملات DOS و همچنین ارائه هشدارها و دستورالعمل‌های رسیدگی به حادثه تمرکز کند.