بررسی تفاوت CERT، SOC و CSIRT
در این مقاله ابتدا با هر یک از مفاهیم CERT, SOC , CSIRT آشنا خواهیم شد و یک به یک باهم آنها را بررسی خواهیم کرد. در ادامه شباهت هریک از آنها با یکدیگر را خواهیم آموخت و در انتها بخشی از تفاوتشان را خواهیم دید. امیدواریم که این مقاله برای شما مقالهای مفید و آموزنده باشد.
SOC چیست؟
SOC یا همان Security Operations Center در زبان فارسی به معنای مرکز عملیات امنیت است. SOC متشکل از افرادی با سطح دانش متفاوت ، تجهیزات ، ابزار و برنامه های مختلفی است که در راستای تامین امنیت سازمان یا یک مجموعه تلاش میکنند. تیم SOC دارای سه لایه است که هرکدام وظایف متفاوتی دارند و همگی زیر نظر SOC Manager کار میکنند. تکنولوژیهایی که SOC از آنها اسفاده می کند شامل فایروال ها و دیگر تجهیزات امنیتی، اطلاعات امنیتی و سیستم های مدیریت رویداد و راه حل ها و راه کارهایی است که داده ها را جمع آوری و نظارت میکنند.
بعضی از شرکتها دارای SOC داخلی هستند اما برخی دیگر از خدمات سایر مراکز عملیات امنیت بصورت برون سپاری استفاده میکنند.
CERT چیست؟
CERT یا Computer Emergency Response Teams همان تیم پاسخگویی به رخدادهای امنیتی کامپیوتر میباشد. از آنجایی که روز به روز انواع حملات درحال پیشرفت است و تهدیدات بیشتر میشود هر سازمان یا مجموعه نیاز به یک تیم CERT دارد .
حالا تیم CERT چه کاری انجام میدهد؟ در ادامه با هم خواهیم دید.
تیم CERT تلاش میکند آسیب ها را به حداقل برساند و درصورت رخ دادن حادثه، پاسخگویی مناسب را داشته باشد و تلاش کند تا جلوی تکرار این اتفاق را بگیرد. یک مدل جهانی برای پاسخ به حادثه که برای مدت طولانی مورد استفاده قرار گرفته است، مدل “محافظت، شناسایی و پاسخ” است.
CSIRT چیست؟
تیم CSIRT یا همان Computer Security Incident Response Team نیز وظیفه ای شبیه به وظیفه تیم CERT دارند :
- کنترل و مديريت رخداد
- ارزيابی به موقع از شدت رخداد
- بازيابی به موقع وضعيت
- کاهش يا رفع اثرات مخرب رخداد
- اطلاع رسانی به موقع به مديريت و ديگر سطوح سازمان در خصوص رخداد امنيتی
- انجام اقدامات پيشگيرانه برای جلوگيری از وقوع رخداد در آينده و پايش فناوری های روز
از جمله وظایف تیم CSIRT هستند.
تیم CSIRT از 3 بخش فنی ، سرپرست گروه و رئیس گروه تشکیل میشود.
خدمات تیم CSIRT به 3 بخش تقسیم میشوند:
- Reactive خدمات واکنشی مانند مديريت رخداد، مديريت آسيب پذيری و… هستند.
- Proactive خدماتی پیشگیرانه هستند که شامل توسعه ابزارها ، تشخیص نفوذ و… میباشند.
- خدماتی مربوط به مدیریت مانند مشاوره ، تحلیل مخاطرات ، توسعه کسب و کار و…
سه مفهوم CSIRT , CERT , SOC چه شباهت هایی با یکدیگر دارند؟
در سازمان هریک از این تیم ها وظیفه خاصی دارند، اما یک ویژگی که بین این تیمها مشترک است بحث Understanding که به معنای فهمیدن و توانایی بررسی رخدادها میباشد و Response که به معنای پاسخ مناسب به رخدادها میباشد است که همانطور که در نمودار مشخص است در همه تیم ها این ویژگی وجود دارد.این ویژگی ها به این معنا هستند که هر سه تیم متوجه خطرات و تهدید ها میشوند و میتوانند به آن پاسخ های مورد نیاز را بدهند.
از نمودار زیر چه تحلیل دیگری دارید؟
تفاوتهای تیم SOC , CSIRT , CERT چیست؟
با نگاه کلی به وظایف تیم SOC میفهمیم که این تیم وظایف گستردهای در حوزه تامین امنیت سازمان دارد اما تیم های CSIRT , CERT صرفاً وظیفه پاسخ به حوادث را دارند. یک CERT ممکن است روی حوادثی مانند Data breach و حملات DOS و همچنین ارائه هشدارها و دستورالعملهای رسیدگی به حادثه تمرکز کند.