مهم ترین نیاز یک مرکز/تیم رسیدگی به رخدادهای رایانه ای

پیشتر گفته شد منابع ورودی به دو دسته ی بزرگ اطلاعات استخراجی (Active) و خبری (Passive) تقسیم می شوند. این دسته بندی نوع فعالیت تیم “رصد رخدادها رایانه ای” را برای گرفت اطلاعات و شناسایی رخداد ها مشخص می کند. در پست های بعدی به مدل مرکز رسیدگی به رخدادهای رایانه ای (CSIRT) و جایگاه کار گروه ها در این مجموعه پرداخته خواهد شد.

منابع ورودی استخراجی:

  • انجمن ها و گروه های امنیتی و هکینگ
  • شبکه های اجتماعی
  • رسانه ها
  • وب سایت های اشتراک گذاری (مانند pastebin، exploit-db و …)
  • سنسور های امنیتی، سیستم های تشخیص نفوذ و سیستم های تحلیل/اسکن اتوماتیک (مانند Honeypotها، IDPSها، Sandbox، Multi-AV)
  • شرکت های امنیتی خارجی/داخلی (وبلاگ)

دلیل آنکه این منابع در دسته ی منابع استخراجی معرفی شده اند چیست؟

این منابع نیاز به سیستم های مانیتورینگ (Monitoring) و همچنین یک یا چند اپراطور (Operator) جهت بررسی روزانه/ساعتی دارند.اپراطور ها بر میزان اهمیت و پتانسیل ریسک امنیتی هر اتفاق (Event) تصمیم گیری می کنند، اگر یک اتفاق رخداد امنتی شناخته  شود یا به تحلیل فنی بیشتر نیاز داشته باشد، با توجه به چرخه رسیدگی به رخدادهای رایانه ای، با آن برخورد خواهد شد. بررسی ها می بایست بصورت صف(خطی) صورت گیرد تا از خطا فردی کاهش یابد. پس از بررسی هر اتفاق/رخداد فرد یا افرادی نیز می بایست تصمیم گرفته شده را بر اساس اطلاعات جمع آوری شده و مشاوره افراد فنی تیم، تایید کنند.

منابع ورودی خبری:

  • دیگر مراکز رسیدگی به رخدادهای رایانه ای (OTX)
  • شرکت ها و وندورهای امنیتی داخلی/خارجی (Security Vendors)
  • مراکز/ارگان های مجری قانون کشور (Law Enforcement)
  • شرکت های ارایه دهنده اینترنت (ISPs) و نرم افزاری/شبکه ای
  • کاربران و مشتریان

این دسته منابع و مراکزی را شامل می شود که اخبار و حوادث امنیتی را بصورت مستقیم در اختیار تیم قرار می دهند.

بسته به سیاست های یک مجموعه تیم رسیدگی به رخدادهای رایانه ای می بایست فردی را مسؤل برقراری ارتباط (POC, Point of Contact) با هر یک از منابعی که در بالا ذکر شد تعیین کنند. بطور مثال یک تیم رسیدگی به رخدادهای رایانه ای فردی را POC “منابع مجری قانونی کشور” می کند که با روند گزارش/پاسخ  و نحوه رسیدگی و پیگیری منبع مورد نظر آشنا باشد.