2. CERT/CSIRT týmy

2.11. SHRNUTÍ/ HLAVNÍ VÝSTUPY Z KAPITOLY

ℹ️

SHRNUTÍ/ HLAVNÍ VÝSTUPY Z KAPITOLY

  • Rozdíl mezi běžným bezpečnostním týmem a týmem typu CERT/CSIRT je zejména v zapojení do světové bezpečnostní infrastruktury, sdílení informací v rámci této infrastruktury a dodržování stanovených formálních postupů.
  • Základním požadavkem komunity je, aby CERT/CSIRT tým veřejně deklaroval své kontaktní informace a pravidla činnosti:
    • kdo je jeho provozovatel,
    • kdo jsou jeho členové,
    • způsob jak a kdy je možné tým zastihnout,
    • jaké služby nabízí,
    • pole působnosti (číslo AS[1], síť, domény, služby), ve kterém je tým způsobilý konat a jakým způsobem, tzn. definování jeho pravomocí a odpovědnosti. Na základě pole působnosti je potom tým kontaktován (např. napadenými) a řeší jemu příslušející problémy (incidenty).
  • Pole působnosti týmu – definuje, za co tým zodpovídá a jaká je jeho role. To se samozřejmě odvíjí od toho, o jaký tým jde. Je možné zřídit týmy zhruba těchto typů:
    • interní – slouží a zodpovídá za konkrétní síť (např. za konkrétní rozsah IP adres, domény), obvykle je zřízen provozovatelem sítě,
    • koordinační – tým, jehož hlavním úkolem je koordinovat řešení bezpečnostních incidentů, nemusí je cíleně řešit,
    • vendor – tým zabývající se řešením bezpečnostních incidentů, které se dotýkají konkrétního produktu (SW),
    • národní, vládní – speciální případy založené na principech prvních dvou zmíněných týmů (interní a koordinační), jejich pole působnosti a role závisí na zřizovateli a často také na legislativě konkrétní země.
  • CERT/CSIRT týmy žádnou oficiální hierarchii, která by jeden tým činila nadřazeným jinému týmu, nemají. Všechny týmy jsou si z hlediska fungování, komunikace, spolupráce a výměny informací rovnocenné a nejsou v těchto oblastech nijak limitovány.
  • Národní CERT/CSIRT plní funkci jakéhosi last resort – poslední instance, u které je možné žádat o zásah, pomoc a intervenci.
  • Vládní CERT/CSIRT se obvykle zaměřuje na oblast státní správy a samosprávy a na řešení incidentů, které ohrožují bezpečnost státu a jeho služeb. Vládní CERT/CSIRT může mít podobu týmu interního s možností přímého zásahu v případě problému. Jeho existence je obvykle podpořena legislativně.

🗝️

  • CSIRT tým
  • CERT tým
  • Incident handling
  • Hierarchie týmů
  • Pole působnosti

  • Co to je CSIRT/CERT tým?
  • Jak vzniká a jak se etabluje CSIRT/CERT tým?
  • Na co se zaměřuje národní CSIRT tým?
  • Na co se zaměřuje vládní CSIRT tým?
  • Jaké jsou základní požadavky komunity na CERT/CSIRT tým?


[1] ASAutonomous System (autonomní systém). Autonomní systém je množina IP sítí a routerů pod společnou technickou správou, která reprezentuje vůči Internetu společnou routovací politiku.