CSIRT i CERT
2. Zespoły CERT/CSIRT
2.4. Współpraca w zakresie infrastruktury CERT/CSIRT
Zespoły CERT/CSIRT są tworzone na zasadzie dobrowolności, a w ich interesie leży efektywne komunikowanie się ze sobą, wymiana istotnych informacji i wiedzy oraz współpraca. Dlatego zrzeszają się w organizacjach międzynarodowych. Obecnie najbardziej znanymi i najaktywniejszymi organizacjami zajmującymi się tym zagadnieniem i tworzącymi odpowiednie środowisko do realizacji wyżej wymienionych celów są międzynarodowa organizacja GÉANT[1] oraz FIRST (Forum for Incident Response and Security Teams)[2] .
Obie wyżej wymienione organizacje inicjują i ułatwiają regularne spotkania członków zespołów bezpieczeństwa, wymianę doświadczeń oraz uczestniczą w określaniu podstawowych zasad współpracy i komunikacji pomiędzy światowymi zespołami CERT/CSIRT.
GÉANT, organizacja europejska, prowadzi kilka działań, w których zainteresowane zespoły CERT/CSIRT mogą uczestniczyć:
· TF-CSIRT (Task Force for CSIRT) to grupa robocza, która umożliwia zespołom współpracę w ramach regularnych, dwudniowych spotkań odbywających się 3 razy w roku (gospodarzem spotkania jest zwykle zespół CERT/CSIRT). Więcej informacji można znaleźć na stronie: https://tf-csirt.org/.
· Szkolenie CSIRT - służy do szkolenia nowych członków zespołu CSIRT/CERT lub tych, którzy zamierzają założyć zespół CERT/CSIRT. Zwykle odbywają się one dwa razy w roku, a trenerami są doświadczeni członkowie renomowanych zespołów CERT/CSIRT oraz inni najlepsi eksperci ds. bezpieczeństwa. Więcej informacji można znaleźć na stronie: https://tf-csirt.org/transits/.
· Trusted Introducer[3] - biuro, którego głównym zadaniem jest budowanie zaufania pomiędzy zespołami CERT/CSIRT oraz pomoc w nawiązywaniu nowych. Więcej informacji można znaleźć na stronie: https://www.trusted-introducer.org/.
Oprócz corocznej, dużej konferencji FIRST organizuje szereg szkoleń, opracowuje wytyczne i standardy dla efektywnych zespołów CERT/CSIRT i oczywiście współpracuje z TF-CSIRT.
W ramach globalnej infrastruktury zespołów CERT/CSIRT organizacje GÉANT i FIRST działają jako swego rodzaju "gwarancja", że zespół podający się za zespół CERT/CSIRT rzeczywiście nim jest i że deklarowany przez niego model postępowania jest prawdziwy. Każdy nowy zespół, który chce dołączyć do infrastruktury bezpieczeństwa, przechodzi przez proces indukcji, który sprawdza, czy zespół spełnia standardy społeczności, jest przejrzysty i czy nie ma istotnych powodów, aby go nie przyjąć. W przypadku infrastruktury europejskiej (platforma TF-CSIRT) procesem wpisywania zajmuje się Zaufany Wprowadzający, a nowy zespół faktycznie składa do Zaufanego Wprowadzającego wniosek o wpisanie na listę zespołów i przyznanie statusu zespołu wpisanego na listę.[4]
Wśród istniejących drużyn muszą być co najmniej dwie drużyny (zwane sponsorami), które będą wspierać nową drużynę, a żadna z istniejących drużyn nie może sprzeciwić się jej przyjęciu. Jeśli wszystko się powiedzie, informacje o nowej drużynie są zapisywane na liście prowadzonej przez biuro TI (a niektóre z nich są upubliczniane), drużyna uzyskuje status drużyny notowanej, a społeczność wita nowego członka.
W przypadku FIRST procedura przystąpienia jest bardzo podobna, ale kończy się uzyskaniem członkostwa, a nie statusu.
Oba procesy mają jedną wspólną cechę - chodzi o to, aby dowiedzieć się i udostępnić jak najwięcej informacji o zespole, opisać jego zachowanie i sposób postrzegania kwestii obsługi incydentu bezpieczeństwa, tak aby odpowiadał on wymaganiom społeczności.
W przypadku Trusted Introducer możliwe jest uzyskanie innych, ważniejszych statusów: akredytowanego i certyfikowanego. Różnice są następujące:
· Zespół, który znalazł się na liście, podał podstawowe informacje o sobie, zadeklarował chęć działania jako zespół CSIRT i został zaakceptowany przez społeczność.
· Zespół posiadający status akredytowanego deklaruje pożądany przez społeczność poziom praktyki i zobowiązuje się do przestrzegania wspólnych zasad TI.
· Następnie certyfikowany zespół wykazał swój "poziom dojrzałości" w procesie certyfikacji.
Bycie akredytowanym lub certyfikowanym zespołem wymaga ciągłych starań o utrzymanie statusu zespołu. Częścią tego wysiłku jest obowiązek aktualizowania informacji o drużynie w spisie TI. Nieprzestrzeganie tych zasad w dłuższej perspektywie może doprowadzić do utraty statusu drużyny, a w najgorszym wypadku do jej wydalenia ze społeczności. Obowiązek ten dotyczy także zespołów wpisanych na listę, które - jeśli nie przejdą procesu akredytacji w ciągu trzech lat od wpisania na listę - muszą odnowić swój status na liście, wykazując się wsparciem ze strony innych zespołów (tj. proces ponownego wpisania na listę). Mechanizm ten gwarantuje, że informacje zawarte w wykazie TI są w wysokim stopniu aktualne, a przez to wiarygodne.
Inną organizacją działającą w dziedzinie bezpieczeństwa jest ENISA (Europejska Agencja Bezpieczeństwa Sieci i Informacji), http://www.enisa.europa.eu/). Współpracuje ona ściśle z państwami członkowskimi UE i sektorem prywatnym, a jej zakres obejmuje szereg działań, w tym ogólnoeuropejskie ćwiczenia w zakresie bezpieczeństwa cybernetycznego, opracowywanie krajowych strategii bezpieczeństwa cybernetycznego, współpracę i budowanie potencjału zespołów CERT/CSIRT, zajmowanie się kwestiami ochrony danych osobowych oraz prace nad opracowywaniem i wdrażaniem przepisów dotyczących bezpieczeństwa sieci i informacji.
Wszystkie trzy organizacje mają jeszcze jedną wspólną funkcję - gromadzą know-how od całej społeczności i umożliwiają dzielenie się nim (poprzez formułowanie dokumentów dotyczących najlepszych praktyk, wytycznych, zaleceń).
[1]Stowarzyszenie powstało w wyniku połączenia TERENY (Trans-European Research and Education Networking Association) i DANTE.
[2] Więcej informacji na temat FIRST można znaleźć na stronie: https://www.first.org.
[3] Dłuższy również TI.
[4] Listed - umieszczenie lub dosłowne "wpisanie" drużyny do bazy danych wszystkich zarejestrowanych drużyn.