CSIRT a CERT

Organizace, která se rozhodne zřídit tým typu CERT/CSIRT, si musí na začátku jasně a srozumitelně definovat, čeho chce vytvořením týmu dosáhnout, jakou roli od týmu požaduje (tzn. specifikuje jeho pole působnosti, jeho pravomoci, zodpovědnost a provozované služby) a musí jej také vhodným způsobem ukotvit v organizaci.

Pole působnosti

Polem působnosti je obvykle myšlena oblast kyberprostoru, ve které je tým způsobilý konat a nad kterou má příslušné pravomoci a odpovědnosti definované zřizovatelem. Na základě deklarovaného pole působnosti je potom tým kontaktován např. napadenými a řeší problémy ve sféře svého vlivu. Pole působnosti týmu může být definováno jako konkrétní síť/sítě, autonomní systém(y), jmenná doména/domény, objevují se ale také týmy, které jako pole působnosti uvádějí své expertní dovednosti, konkrétní službu apod.  

Služby

Aby se tým mohl oficiálně nazývat týmem typu CERT/CSIRT, je potřeba, aby nabízel především službu řešení nebo koordinace řešení bezpečnostních incidentů v rámci svého definovaného pole působnosti, a tím naplnil myšlenku „response“ použité ve zkratkách CERT/CSIRT, tzn. je třeba, aby tento tým uměl reagovat na bezpečnostní incident. Tým ale může nabízet řadu dalších služeb z mnoha oblastí, např. školení, varování před aktuálními útoky, slabinami OS, bezpečnostní audity, SW konzultace, doporučení základních bezpečnostních pravidel, vývoj a provoz nástrojů pro sledování provozu sítě a služeb a mnoho dalších.

Členové týmu

Oblastí, která má rozhodující vliv na kvalitu týmu, je jeho personální obsazení. V každé provozované síti obvykle existuje oddělení, nebo skupina techniků, kteří mají na starosti provoz a rozvoj sítě a služeb a zabývají se také bezpečnostními aspekty (obecně „IT staff“, „bezpečáci“, „správci“ aj.). To jsou obvykle ty správné osoby pro začlenění do CERT/CSIRT týmu, nebo pro pověření jej vybudovat. V týmu je ovšem vhodné mít i další typy odborníků (např. právníka, v případě národních a vládních týmů najde uplatnění odborník přes komunikaci s médii, manažer, sociolog aj.). Záleží na zaměření, prostředí, nabízených službách a roli týmu.

Z „vnějšího“ pohledu se tým stane CERT/CSIRT týmem tehdy, až jej jako takový akceptují ostatní již existující světové CERT/CSIRT týmy. Cesta k získání statutu CERT/CSIRT tým není složitá, na jejím začátku stačí jasným způsobem deklarovat následující:

1.     Základní kontaktní informace – jméno týmu, jméno organizace provozující tým, e‑mailová adresa(y) týmu, na kterou je možné hlásit bezpečnostní incidenty nebo tým kontaktovat, telefonní číslo(a) týmu, adresu sídla, jména členů týmu, pracovní dobu po kterou je tým k zastižení apod.

2.     Pole působnosti týmu – definuje, za co tým zodpovídá a jaká je jeho role. To se samozřejmě odvíjí od toho, o jaký tým jde. Je možné zřídit týmy zhruba těchto typů:

• interní – slouží a zodpovídá za konkrétní síť (např. za konkrétní rozsah IP adres, domény), obvykle je zřízen provozovatelem sítě,
• koordinační – tým, jehož hlavním úkolem je koordinovat řešení bezpečnostních incidentů, nemusí je cíleně řešit,
• vendor – tým zabývající se řešením bezpečnostních incidentů, které se dotýkají konkrétního produktu (SW),
• národní, vládní – speciální případy založené na principech prvních dvou zmíněných týmů (interní a koordinační), jejich pole působnosti a role závisí na zřizovateli a často také na legislativě konkrétní země.

3.     Nabízené služby – tým typu CERT/CSIRT musí provozovat alespoň službu řešení bezpečnostních incidentů.

V okamžiku, kdy se nově zřízený CSIRT/CERT tým vypořádá s výše uvedenými kroky a stanoví si základní týmovou politiku řešení bezpečnostních incidentů, která obnáší klasifikaci vážnosti incidentů, pravidla reakce na incidenty, dosažitelnost členů týmu, pravidla pro komunikaci s autorem hlášení bezpečnostního incidentu apod., je na dobré cestě, aby jej okolní týmy akceptovaly. Samozřejmou a nezbytnou součástí je nutnost seznámit se se základními pravidly, na kterých se CSIRT komunita dohodla, a dodržovat je.

Na úplném počátku vytváření týmu typu CERT/CSIRT stojí také vybudování jeho technického a organizačního zázemí, bez kterého nemůže efektivně fungovat žádný tým.

Technickým zázemím se myslí například nástroj pro efektivní správu hlášení bezpečnostních incidentů, který umožní sledovat celý jeho životní cyklus, tj. kdy bylo hlášení zasláno, kým, kdo se v kterých fázích incidentem zabýval, proč, jak postupoval, kdo koho požádal o spolupráci, o jak závažný incident se jednalo a jaké se na něj uplatnily eskalační procedury apod. Pro tuto oblast týmy obvykle používají různé tzv. ticketovací systémy, např. RTIR[1], OTRS[2]. Dalšími důležitými pomocníky na poli technických nástrojů jsou různé systémy IDS (Intrusion Detection System), systémy pro bezpečnostní audity sítě a zařízení, systémy pro forenzní analýzu, sledování provozu sítě (netflow) apod.

Organizační zázemí představuje právě onu zmiňovanou „připravenost“ na problém, tzn. definování základních pravidel pro chod týmu tak, aby každý člen týmu znal svou roli, povinnosti a zodpovědnost, politiku postupu řešení bezpečnostních incidentů, pravidla pro komunikaci, sdílení a výměnu informací, spolupráci apod. Základem v této oblasti je obecně dobře zvládnutý tzv. incident management.

V okamžiku, kdy nově vznikající tým zvládne výše uvedené, tzn. dokáže sebe a svou činnost popsat a vykonávat, může se zapojit do spolupráce na národní a mezinárodní úrovni.