2. Zespoły CERT/CSIRT

2.3. Jak tworzy się zespół CERT/CSIRT?

Organizacja, która decyduje się na powołanie zespołu CERT/CSIRT, musi na samym początku jasno i zrozumiale określić, co chce osiągnąć poprzez powołanie zespołu, jakiej roli wymaga od zespołu (tj. określić jego zakres, uprawnienia, obowiązki i usługi, które ma świadczyć), a także musi odpowiednio zakotwiczyć zespół w organizacji.

Zakres

Pole kompetencji jest zwykle rozumiane jako obszar cyberprzestrzeni, w którym zespół jest kompetentny do działania i nad którym ma odpowiednie władze i obowiązki określone przez założyciela. Na podstawie zadeklarowanego zakresu działania zespół jest następnie kontaktowany np. przez zaatakowanych i rozwiązuje problemy w swoim zakresie działania. Zakres działania zespołu może być zdefiniowany jako określona sieć (sieci), system (systemy) autonomiczny (autonomiczne), domena (domeny) nominalna, ale są też zespoły, które deklarują jako swój zakres działania umiejętności eksperckie, określoną usługę itp.  

Usługi

Aby zespół mógł oficjalnie nazywać się CERT/CSIRT, musi przede wszystkim oferować usługi polegające na rozwiązywaniu lub koordynowaniu rozwiązywania incydentów bezpieczeństwa w określonym zakresie, wypełniając tym samym ideę "reagowania" użytą w akronimach CERT/CSIRT, tzn. musi być w stanie reagować na incydenty bezpieczeństwa. Zespół może jednak zaoferować szereg innych usług w wielu dziedzinach, np. szkolenia, ostrzeganie o bieżących atakach, słabościach systemów operacyjnych, audyty bezpieczeństwa, konsultacje w zakresie SW, zalecanie podstawowych zasad bezpieczeństwa, tworzenie i obsługa narzędzi do monitorowania ruchu sieciowego i usług oraz wiele innych.

Członkowie zespołu

Obszarem, który ma decydujący wpływ na jakość zespołu, jest jego obsada. W każdej działającej sieci istnieje zazwyczaj dział lub grupa techników odpowiedzialnych za działanie i rozwój sieci oraz usług, którzy zajmują się także aspektami bezpieczeństwa (zazwyczaj są to "pracownicy IT", "urzędnicy ds. bezpieczeństwa", "administratorzy" itp.) Są to zazwyczaj właściwe osoby, które należy włączyć do zespołu CERT/CSIRT lub zlecić jego utworzenie. Wskazane jest jednak, aby w zespole znaleźli się także innego rodzaju eksperci (np. prawnik, w przypadku zespołów krajowych i rządowych - specjalista ds. komunikacji medialnej, menedżer, socjolog itp.) Zależy to od ukierunkowania, środowiska, oferowanych usług i roli zespołu.

Z perspektywy "zewnętrznej" zespół staje się zespołem CERT/CSIRT, gdy zostanie zaakceptowany jako taki przez inne istniejące zespoły CERT/CSIRT na całym świecie. Droga do zostania zespołem CERT/CSIRT nie jest skomplikowana, na początku drogi wystarczy w jasny sposób zadeklarować, co następuje:

1.     Podstawowe informacje kontaktowe - nazwa zespołu, nazwa organizacji kierującej zespołem, ‑adres(y) poczty elektronicznej zespołu, na który można zgłaszać zdarzenia naruszające bezpieczeństwo lub z którym można się skontaktować, numer(y) telefonu(y) zespołu, adres siedziby głównej, nazwiska członków zespołu, godziny, w których można skontaktować się z zespołem itp.

2.     Zakres działania zespołu - określa, za co zespół jest odpowiedzialny i jaka jest jego rola. To oczywiście zależy od tego, jaki to jest zespół. Możliwe jest utworzenie zespołów o mniej więcej następujących typach:

·      wewnętrzny - obsługuje i odpowiada za konkretną sieć (np. za określony zakres adresów IP, domen), zazwyczaj jest tworzony przez operatora sieci,

·      koordynacja - zespół, którego głównym zadaniem jest koordynowanie rozwiązywania incydentów bezpieczeństwa, a nie ich rozwiązywanie,

·      sprzedawca - zespół zajmujący się incydentami bezpieczeństwa, które dotyczą konkretnego produktu (SW),

·      krajowe, rządowe - specjalne przypadki oparte na zasadach dwóch pierwszych wymienionych zespołów (wewnętrzny i koordynacyjny), ich zakres i rola zależy od założyciela, a często także od ustawodawstwa danego kraju.

3.     Oferowane usługi - CERT/CSIRT musi świadczyć co najmniej usługę reagowania na incydenty bezpieczeństwa.

Gdy nowo powołany zespół CSIRT/CERT upora się z powyższymi krokami i ustanowi podstawową politykę postępowania z incydentami bezpieczeństwa, obejmującą klasyfikację dotkliwości incydentu, zasady reagowania na incydent, dostępność członków zespołu, zasady komunikacji z autorem zgłoszenia incydentu bezpieczeństwa itp. Oczywistą i zasadniczą częścią tego procesu jest konieczność zapoznania się z podstawowymi zasadami uzgodnionymi przez społeczność CSIRT i przestrzegania ich.

Na samym początku tworzenia zespołu CERT/CSIRT konieczne jest także zbudowanie jego zaplecza technicznego i organizacyjnego, bez którego żaden zespół nie może skutecznie funkcjonować.

Przez zaplecze techniczne rozumiemy np. narzędzie do efektywnego zarządzania zgłoszeniami incydentów bezpieczeństwa, które pozwoli śledzić cały cykl życia incydentu, tj. kiedy zgłoszenie zostało wysłane, przez kogo, kto i na jakim etapie zajmował się incydentem, dlaczego, jak został potraktowany, kto poprosił o współpracę, jak poważny był to incydent i jakie procedury eskalacji zostały do niego zastosowane itp. W tym obszarze zespoły zazwyczaj korzystają z różnych tzw. systemów biletowych, np. RTIR[1] , OTRS[2] . Innymi ważnymi pomocnikami w dziedzinie narzędzi technicznych są różne systemy wykrywania włamań (IDS), systemy audytu bezpieczeństwa sieci i urządzeń, systemy analizy kryminalistycznej, monitorowanie ruchu sieciowego (netflow) itp.

Zaplecze organizacyjne to wspomniana wcześniej "gotowość" do rozwiązania problemu, czyli określenie podstawowych zasad działania zespołu, tak aby każdy członek zespołu znał swoją rolę, obowiązki i odpowiedzialność, politykę postępowania w przypadku wystąpienia incydentów bezpieczeństwa, zasady komunikacji, udostępniania i wymiany informacji, współpracy itp. Podstawą w tej dziedzinie jest na ogół dobrze zarządzane tzw. zarządzanie incydentami.

Gdy powstający zespół opanuje powyższe umiejętności, tzn. będzie w stanie opisać i przedstawić siebie i swoje działania, może podjąć współpracę krajową i międzynarodową.



[1] RTIR - Śledzenie zgłoszeń dotyczących reagowania na incydenty. Więcej informacji na ten temat można znaleźć np. na stronie: http://www.bestpractical.com/rtir/.

[2] OTRS - Otwarty źródłowy system zgłaszania zgłoszeń. Więcej szczegółów można znaleźć np. na stronie: http://www.otrs.org/.