CSIRT a CERT

CERT (Computer Emergency Response Team) a CSIRT (Computer Security Incident Response Team). Každá z těchto zkratek má sice trochu jiný význam a hlavně trochu jinou historickou genezi, ve skutečnosti je dnes za oběma zkratkami možno chápat stejný typ týmu - tým, který je ve svém jasně definovaném poli působnosti zodpovědný za řešení bezpečnostních incidentů a (kyber) hrozeb, z pohledu uživatelů nebo jiných týmů tedy místo, na které se mohou obrátit se zjištěným bezpečnostním incidentem, se žádostí o spolupráci, výměnu informací, pomoc apod.

CERT/CSIRT týmy vznikají na úrovni jednotlivých organizací, přičemž jde jak o organizace, které zprostředkovávají chod Internetu (ISP - poskytovatelé připojení a služeb), tak také o organizace, které prostředí Internetu používají ke své hlavní činnosti (např. IT firmy, poskytovatelé obsahu, banky).

Základní povinností každého CSIRT týmu je reakce na hrozbu („response“) a spolupráce při řešení incidentů. CSIRT tým obvykle řeší problém, který se vyskytne v jeho poli působnosti (např. vlastní síťové infrastruktuře), tedy tam, kde má reálné možnosti k zásahu.

CERT/CSIRT dané sítě (organizace) obecně představuje záchytný bod, na který se uživatelé mohou obrátit se zjištěným bezpečnostním problémem (nebo jen podezřením na problém), který se týká počítačové sítě nebo některé z provozovaných služeb. Profesionální CERT/CSIRT tým by každé přijaté hlášení (i potenciálního) bezpečnostního incidentu měl prozkoumat a podle svých možností zjednat nápravu.

Nejde o nic převratného a v praxi neexistujícího, každá větší organizace, poskytovatel připojení nebo poskytovatel služeb provozuje bezpečnostní tým. Rozdíl mezi běžným bezpečnostním týmem a týmem typu CERT/CSIRT je zejména v zapojení do světové bezpečnostní infrastruktury, sdílení informací v rámci této infrastruktury a dodržování stanovených formálních postupů.

Existence alespoň jednoho oficiálního CERT/CSIRT týmu je žádoucí v každé provozované síti, obzvláště pak v těch velkých (tranzitní, regionální, univerzitní), tzn. na úrovni velkých ISP, ale také v bankách nebo u poskytovatelů služeb.

Významnou a specifickou roli mají v rámci jednotlivých států zastřešující vrcholové týmy - tzv. národní a vládní, kterým bude věnována samostatná subkapitola.

Globálně lze pak na existující CERT/CSIRT týmy nahlížet jako na infrastrukturu, která řeší bezpečnostní problémy Internetu. Při práci čerpá CERT/CSIRT tým především ze svých zkušeností, předem připravených a v praxi ověřených postupů a ze spolupráce a výměny informací s ostatními CERT/CSIRT týmy.

Základním požadavkem komunity je, aby CERT/CSIRT tým veřejně deklaroval své kontaktní informace a pravidla činnosti:

• kdo je jeho provozovatel,
• kdo jsou jeho členové,
• způsob jak a kdy je možné tým zastihnout,
• jaké služby nabízí,
• pole působnosti (číslo AS[1], síť, domény, služby), ve kterém je tým způsobilý konat a jakým způsobem, tzn. definování jeho pravomocí a odpovědnosti. Na základě pole působnosti je potom tým kontaktován (např. napadenými) a řeší jemu příslušející problémy (incidenty).

Termín řešit bezpečnostní incident přitom může mít různá specifika v závislosti na nastavení týmu a jeho interní politice - může to být prostá eliminace útoku (zneškodnění zdroje problému např. odpojením kompromitovaného počítačového systému od sítě), dohledání útočníka, rychlé obnovení provozu napadené služby/sítě apod.

Právě v závislosti na činnosti týmu při řešení bezpečnostního incidentu je možné týmy označit jako interní (institucionální) nebo koordinační. Tým interního typu má obvykle možnost přímého zásahu (odpojit zdroj problému, zavést filtraci síťové provozu apod.), tým koordinačního typu možnost přímého zásahu nemá, jeho činnost se soustřeďuje na komunikaci, spolupráci a zprostředkování informací (v této roli jsou obvykle tzv. národní týmy, o kterých bude řeč dále).

V případě řešení konkrétního incidentu se jej zúčastnění snaží řešit přímo u zdroje, tzn. s tím, kdo má ke zdroji nebo cíli incidentu nejblíže a může co nejefektivněji zasáhnout (správce koncové sítě nebo služby). Ideální situace nastává, je-li zdroj i cíl v poli působnosti nějakého CSIRT týmu, protože je velmi jednoduché a rychlé najít konkrétního odborníka v místě problému. Ten potom také dokáže problém efektivně řešit a jeho reakce jsou předvídatelné -protože svá pravidla hry sám dobrovolně zveřejnil. Tento postup při komunikaci je velmi pružný díky tomu, že komunikace neprochází přes různé úrovně, je rychlá a přesná a stejná potom může být i reakce. Pokud však napadený nemůže nalézt odpovídající protějšek (ať už proto, že neexistuje, nedává o sobě žádné použitelné informace, odmítá problém řešit nebo prostě nereaguje), hodila by se nějaká „páka“. Tu jsou obvykle do jisté míry schopny poskytnout vrcholové týmy - národní a vládní.