CSIRT i CERT
2. Zespoły CERT/CSIRT
2.2. Zespoły CERT i CSIRT
CERT (Computer Emergency Response Team - Zespół Reagowania na Incydenty Komputerowe) i CSIRT (Computer Security Incident Response Team - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego). Choć każdy z tych skrótów ma nieco inne znaczenie i, co ważniejsze, nieco inną genezę historyczną, to w rzeczywistości dziś oba skróty można rozumieć jako ten sam rodzaj zespołu - zespół, który jest odpowiedzialny za zajmowanie się incydentami bezpieczeństwa i zagrożeniami (cybernetycznymi) w swoim jasno określonym obszarze działania, z perspektywy użytkowników lub innych zespołów, miejsce, do którego mogą się oni zwrócić z wykrytym incydentem bezpieczeństwa, z prośbą o współpracę, wymianę informacji, pomoc itp.
Zespoły CERT/CSIRT tworzone są na poziomie poszczególnych organizacji, zarówno tych, które pośredniczą w funkcjonowaniu Internetu (dostawcy usług internetowych), jak i tych, które wykorzystują Internet do swojej podstawowej działalności (np. firmy informatyczne, dostawcy treści, banki).
Podstawowym obowiązkiem każdego zespołu CSIRT jest reagowanie na zagrożenie ("odpowiedź") oraz współpraca w zakresie reagowania na incydenty. Zespół CSIRT zwykle zajmuje się problemem, który występuje w jego obszarze odpowiedzialności (np. w jego własnej infrastrukturze sieciowej), tzn. tam, gdzie ma realną możliwość interwencji.
CERT/CSIRT danej sieci (organizacji) jest na ogół punktem kontaktowym, do którego użytkownicy mogą się zwracać w przypadku wykrycia problemu bezpieczeństwa (lub nawet podejrzenia takiego problemu) związanego z siecią komputerową lub jedną z udostępnianych usług. Profesjonalny zespół CERT/CSIRT powinien zbadać każdy otrzymany raport o incydencie bezpieczeństwa (lub potencjalnym incydencie bezpieczeństwa) i naprawić go w miarę swoich możliwości.
Nie jest to nic rewolucyjnego i praktycznie nie istnieje; każda większa organizacja, dostawca usług internetowych czy usługodawca ma zespół ds. bezpieczeństwa. Główna różnica między zwykłym zespołem ds. bezpieczeństwa a zespołem CERT/CSIRT polega na zaangażowaniu w globalną infrastrukturę bezpieczeństwa, wymianie informacji w ramach tej infrastruktury oraz przestrzeganiu ustalonych procedur formalnych.
Istnienie co najmniej jednego oficjalnego zespołu CERT/CSIRT jest pożądane w każdej działającej sieci, zwłaszcza w dużych (tranzytowych, regionalnych, uczelnianych), czyli na poziomie dużych dostawców usług internetowych, ale także w bankach czy u dostawców usług.
Nadrzędne krajowe i rządowe zespoły ds. szczytu mają do odegrania ważną i specyficzną rolę w każdym kraju, dlatego zostanie im poświęcony osobny podrozdział.
W skali globalnej istniejące zespoły CERT/CSIRT można postrzegać jako infrastrukturę służącą rozwiązywaniu problemów związanych z bezpieczeństwem w Internecie. W swojej pracy zespoły CERT/CSIRT opierają się przede wszystkim na własnym doświadczeniu, wcześniej przygotowanych i sprawdzonych w terenie procedurach oraz współpracy i wymianie informacji z innymi zespołami CERT/CSIRT.
Podstawowym wymaganiem społeczności jest publiczne ogłoszenie przez zespół CERT/CSIRT swoich danych kontaktowych i zasad działania:
· który jest jego operatorem,
· którzy są jego członkami,
· jak i kiedy można skontaktować się z zespołem,
· jakie usługi oferuje,
· Zakres (numer AS[1] , sieć, domeny, usługi), w którym zespół jest uprawniony do działania i w jaki sposób, tzn. określenie jego uprawnień i odpowiedzialności. Na podstawie tego zakresu zespół jest następnie kontaktowany (np. przez atakowanego) i rozwiązuje swoje problemy (incydenty).
Termin "rozwiązywanie incydentów bezpieczeństwa" może mieć różną specyfikę w zależności od konfiguracji zespołu i jego wewnętrznej polityki - może to być proste wyeliminowanie ataku (wyłączenie źródła problemu, np. poprzez odłączenie zagrożonego systemu komputerowego od sieci), wytropienie napastnika, szybkie przywrócenie działania zaatakowanej usługi/sieci itp.
W zależności od działań zespołu w zakresie postępowania w przypadku wystąpienia zdarzenia naruszającego bezpieczeństwo, zespoły mogą być klasyfikowane jako wewnętrzne (instytucjonalne) lub koordynujące. Zespół typu wewnętrznego ma zwykle możliwość bezpośredniej interwencji (odłączenie źródła problemu, wprowadzenie filtrowania ruchu sieciowego itp.), zespół typu koordynacyjnego nie ma możliwości bezpośredniej interwencji, jego działalność koncentruje się na komunikacji, współpracy i pośredniczeniu w przekazywaniu informacji (w tej roli występują zwykle tzw. zespoły narodowe, o których będzie mowa później).
W przypadku konkretnego incydentu zaangażowane osoby starają się rozwiązać go bezpośrednio u źródła, tj. u tego, kto znajduje się najbliżej źródła lub celu incydentu i może najskuteczniej interweniować (administrator sieci lub usługi końcowej). Idealna sytuacja występuje wtedy, gdy zarówno źródło, jak i cel znajdują się w zasięgu działania zespołu CSIRT, ponieważ bardzo łatwo i szybko można znaleźć konkretnego eksperta w miejscu, w którym występuje problem. Potrafi też wtedy skutecznie rozwiązać problem, a jego reakcje są przewidywalne - ponieważ dobrowolnie opublikował własne reguły gry. Ten proces komunikacji jest bardzo elastyczny, ponieważ komunikacja nie przechodzi przez różne poziomy, jest szybka i dokładna, a odpowiedź może być taka sama. Jeśli jednak atakowany nie może znaleźć odpowiedniego odpowiednika (ponieważ on nie istnieje, nie podaje żadnych użytecznych informacji o sobie, odmawia zajęcia się problemem lub po prostu nie odpowiada), przydałaby się jakaś "dźwignia". Najlepsze zespoły - krajowe i rządowe - zazwyczaj są w stanie zapewnić to w pewnym stopniu.
[1] AS - Autonomous System (system autonomiczny). System autonomiczny to zbiór sieci IP i routerów pod wspólnym zarządem technicznym, który reprezentuje wspólną politykę routingu w Internecie.