計算機應急響應小組 (CIRT) 做什麼？(組成、流程、框架)

計算機應急響應小組 (CIRT) 是一個處理計算機安全漏洞的小組。CIRT 專業人員（包括來自某些部門和專業的團隊成員）必須快速管理此類事件，儘管大多數公司都已制定了程式來防止安全問題。

根據此定義，CIRT 是一個擁有明確使命、結構以及職責和責任的有組織實體。任何缺乏明確選民或規定角色和職責的臨時或非正式的事件響應行動都排除在此假設之外。

“FIRST CIRT 框架”由事件響應和安全團隊論壇釋出，該論壇是一個國際事件響應團隊組織。這份綜合出版物擴充套件了 20 世紀 80 年代後期計算機應急響應團隊協調中心 (CERT/CC) 提供的指南。該框架還描述了 CIRT 可能為選民提供的服務型別，例如資訊安全事件管理和事件響應。

CIRT 的組成

CIRT 關注事件，以確保損害不會加劇，並且組織能夠在事件中倖存下來。以下人員通常是 CIRT 的成員 -

• 管理團隊中擁有領導和決策權的成員。

• INFOSEC 團隊的成員，擁有遏制事件、發現原因和設計計算機系統恢復策略所需的知識和經驗。

• 瞭解哪些部分的資訊系統和網路受到影響以及是否應限制特定區域的 IT 人員。

• IT 審計員，以驗證所有程式是否得到正確處理以及是否已識別任何過時的程式。IT 審計員在事件發生後最有幫助，因為他們負責確定事件發生的原因並制定未來的預防策略。

• 負責物理安全的員工成員，以幫助確定物理損害的範圍。

• 您需要一位律師來提供法律建議。

• 人力資源代表，為處理人事困難和事件後程序提供指導。

• 事件發生後，需要公關專業人員正確傳達公司資訊。

• 出於保險目的，財務審計員將檢查發生的損害。

CIRT 遵循的流程

當系統管理員報告可能的安全事件時，CIRT 流程開始。

• 將受損系統與網路隔離 - 除非網路連線可用於評估事件的範圍和型別，否則將隔離計算機。

• 證據儲存 - 在事件響應團隊到位之前，不會與裝置進行任何互動，以最大程度地減少證據破壞並最佳化識別入侵者的機會。

• 組建事件響應團隊 - 如果問題需要更多關注，則 CIRT 聯絡人與報告系統管理員一起組建事件處理團隊。該團隊在 CIRT 聯絡人的指導下將 -

  • 調查事件的範圍和性質，並評估它是否是一個安全問題，也許可以透過磁碟映像和分析來進行。如果是這種情況，團隊會通知執法部門、加州大學聖地亞哥分校大學法律顧問和相關的校園領導。

  • 與系統管理員和執法部門合作，收集適當的證據並評估事件的影響。

  • 與 CIRT 和執法部門會面，為高階管理層準備一份正式報告。該報告描述了事件的性質和範圍，以及必須採取的步驟以及為防止類似事件而建議採取的步驟。

系統清理和修復包括以下步驟 - 在提交正式報告後，此過程開始。

• 通知受影響的部門或裝置所有者 - 這是根據 ECP 執行的，除非執法部門建議這樣做會妨礙調查。IT 政策協調員會就 ECP 通知程式和要求提供建議。

• 評估事件處理方式 - 在強制性通知後，CIRT 和事件處理團隊會審查響應和通知程式。

CIRT 的框架

四個基本方面之間的互動為 CIRT 服務提供了基礎 -

• 服務領域

• 服務

• 功能

• 子功能

這些元件定義如下 -

服務領域

與共同主題相關的服務組合在一起形成服務領域。它們有助於沿著頂級類別組織服務，以幫助理解和溝通。每個服務領域的規範中都將包含一個“描述”元素，包括一個通用的高階敘述文字，定義服務領域和服務領域內的服務列表。

服務

服務是一組公認的、協調良好的功能，旨在實現特定目標。客戶或代表企業利益相關者或為企業利益相關者可能預期或需要此類結果。以下模板描述了一項服務 -

• 描述服務的性質的“描述”欄位。

• 描述服務目標的“目的”欄位。

• 描述任何可衡量的服務結果的“結果”欄位。

功能和子功能

功能是旨在實現特定服務目標的操作或活動組合。任何功能都可以在多個服務中共享和使用。以下模板描述了一個功能 -

• 名為“描述”的欄位描述了該功能。

• 描述功能目標的“目的”欄位。

• 描述任何可量化的功能結果的“結果”欄位。

Pranav Bhardwaj

更新時間： 2022 年 6 月 22 日

560 次瀏覽

開啟你的 職業生涯

透過完成課程獲得認證

立即開始