مرکز پاسخگویی به رویدادهای امنیتی یا CSIRT وظیفه مدیریت و پاسخ به وقوع حوادث امنیتی را در یک سازمان دارد. هدف اصلی CSIRT، بهبود قابلیت‌های امنیتی سازمان، مدیریت و کنترل حوادث امنیتی، پیشگیری از وقوع تهدیدها و به حداقل رساندن تأثیرات منفی حوادث امنیتی بر سازمان است.

در دنیای امروز، سازمان ها با خطرات امنیتی مختلفی از جمله نشت اطلاعات، بدافزار، و حملات سایبری روبرو هستند که می توانند به ضررهای مالی و اعتباری بزرگی منجر شوند.

دو چارچوب عمده برای فرآیندهای مدیریت پاسخ به رویدادهای امنیتی وجود دارد که توسط NIST و SANS طراحی شده است و درادامه معرفی می‌شود. چارچوب NIST دارای 4 گام است که در شکل زیر نمایش داده شده است.

چارچوب SANS دارای 6 گام زیر است.

زمانی که چارچوب های NIST و SANS را کنار هم قرار می دهیم، می بینیم که اجزای آن ها تقریباً یکسان هستند، اما در عبارت ها و گروه بندی، تفاوت های کوچکی وجود دارد. بزرگترین تفاوت در مرحله 3 وجود دارد، جایی که NIST باور دارد که مراحل مهار، حذف و بازیابی با هم همپوشانی دارند، به این معنی که نباید منتظر مهار همه تهدیدات بود تا بتوان مراحل حذف و بازیابی را شروع کرد، بلکه امکان اجرای همزمان آنها وجود دارد.
نظرات گوناگون پیرامون مقایسه این دو چارچوب وجود دارد اما در حقیقت این مسئله، به  اولویت و منابع سازمان بستگی دارد. امن‌گستران فرزان ایرانیان همانند بسیاری از شرکت‌های بزرگ از چارچوب NIST به عنوان مرجع استفاده می‌کند.

گردآوری داده‌های امنیتی

گام‌های CSIRT در چارچوب NIST قبلا نام برده شد. در ادامه هر یک از این گام‌ها شرح داده می‌شود.

آماده‌سازی

اولین مرحله پاسخ به رویداد است  به این معنی که سازمان‌ها باید از امنیت سیستم‌ها، شبکه‌ها و برنامه‌‌های خود اطمینان داشته و هم‌چنین آمادگی پاسخ به رویداد سایبری را داشته باشند.

تشخیص و تحلیل

هدف اصلی این مرحله تعیین این است که آیا رخدادی واقعا اتفاق افتاده است یا خیر و ماهیت آن مورد بررسی و تحلیل قرار ­گیرد.

مهار، حذف و بازیابی

هدف مرحله مهار حادثه، متوقف کردن تأثیرات حادثه است قبل از اینکه بیشترین خسارت را برجای بگذارد.
سپس هرگونه اقدامات لازم جهت برطرف کردن دلیل اصلی حادثه و بازگرداندن سیستم‌ها به عملکرد
طبیعی باشد.

فعالیت‌های پس از حادثه

فعالیتهای پس از حادثه، به محض اینکه سیستم به حالت عادی باز می‌گردد، به تیم پاسخگویی به حادثه
کمک می‌کند تا به طور موثر به راهکار مناسب در مورد هر گونه حوادث مشابه در آینده دست یابند.

مزایای بهره‌گیری از خدمات CSIRT به شرح زیر است:

  • افزایش کارآمدی در پاسخگویی به حوادث امنیتی.
  • تشخیص زودهنگام تهدیدات امنیتی و پیشگیری از وقوع حوادث.
  • ارتقاء اطلاعات و آگاهی امنیتی در سازمان.
  • کاهش آسیب احتمالی از تهدیدات امنیتی.
  • ایجاد یک فرهنگ امنیتی قوی در سازمان.

در ادامه جدول شرح خدمات CSIRT ارائه شده توسط شرکت امن گستران فرزان ایرانیان ارائه شده است.

آماده‌سازی

شناسایی و تعریف نقش و وظایف اعضای تیم CSIRT
تهیه دستورالعمل‌ها و راهنماهایی که برای پاسخ به انواع حوادث امنیتی مختلف استفاده می‌شوند.
شناسایی منابع و ابزارهایی که در اختیار تیم CSIRT قرار دارند.
تهیه و نگهداری اطلاعات تماس و راه‌های ارتباطی در صورت بروز رویداد امنیتی.

تشخیص و تحلیل

شناسایی حوادث امنیتی با استفاده از ابزارها و روش‌های مختلف.
جمع‌آوری اطلاعات مرتبط با حوادث، از جمله ترافیک شبکه، لاگ‌ها و داده‌های سیستم.
تجزیه و تحلیل دقیق حوادث امنیتی به منظور تعیین منشأ، طبقه‌بندی و شدت آنها.

مهار، حذف و بازیابی

محدود کردن گستردگی رویداد امنیت تا جلوگیری از گسترش آن با استفاده از Isolation و جدا کردن
یا خاموش کردن سیستم‌های تحت تأثیر، تغییر مسیر ترافیک داده شده به آنها.
از بین بردن اثرات مانند حذف بدافزار و غیرفعال کردن حساب‌های کاربری نقض‌شده.
بازیابی سیستم‌ها از نسخه‌های پشتیبان، جایگزینی فایل‌های در معرض خطر با نسخه‌هایی که قبل از آلوده شدن سیستم­‌ها تهیه شده،
نصب Patchها، تغییر پسورد‌ها، تشدید امنیت محیطی شبکه

فعالیت‌های پس از رویداد امنیتی

برگزاری جلسه با حضور تمامی افراد مرتبط بسته به اهمیت حادثه امنیتی
تدوین گزارش حادثه  و Root Cause Analysis
برآورد هزینه‌ها و خسارات
ارائه راه‌کارهای دفاعی به منظور جلوگیری از تکرار حادثه که اصلاح یا Remediate نامیده می‌شود

فازهای اجرایی CSIRT

بهره‌گیری از خدمات CSIRT ارائه شده توسط امن گستران فرزان برای یک سازمان شامل مراحل زیر است:  

شناسایی نیازمندی‌های سازمان در بحث ارائه خدمات CSIRT

تعریف برنامه یا پلن CSIRT

طراحی و راه‌اندازی زیرساخت ها و ابزارهای مناسب

برنامه‌ریزی برای بهبود مهارت‌ها و آموزش

بهره‌برداری از ابزارهای به روز Threat Intelligence