資料結構
網路
關係資料庫管理系統 (RDBMS)
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C語言程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝學
法學網路安全中的計算機應急響應小組 (CERT) 是什麼?
計算機應急響應小組 (CERT) 是由處理計算機安全問題的專家組成的團隊。另一個名稱是計算機應急準備小組或計算機安全事件響應小組 (CSIRT)。網路安全事件響應小組是 CSIRT 首字母縮略詞的較新版本。
卡內基梅隆大學 (CMU) 的 CERT 協調中心 (CERT-CC) 在 1988 年創造了“計算機應急響應小組”一詞。CMU 已在世界許多地方註冊了 CERT 作為商標和服務商標。CMU 鼓勵將計算機安全事件響應小組 (CSIRT) 作為處理計算機安全事件的通用首字母縮略詞。CMU 向執行 CSIRT 功能的各種實體許可 CERT 商標。
儘管該小組工作的許多組成部分都針對經典的駭客策略(例如病毒和惡意軟體),但將 CERT 視為“反病毒小組”過於簡化。新型網路攻擊不斷湧現,安全專業人員必須始終關注這些攻擊。CERT 的工作包括廣泛的安全措施,這些措施針對的是避免和減少來自任何來源的網路攻擊,以及為減少未來類似問題的發生而做出的有效努力。
CSIRT 的主要目的是快速有效地響應計算機安全事件,恢復控制並限制損害。這需要遵循國家標準與技術研究院 (NIST) 制定的事件響應四個階段:
- 準備階段
- 檢測和分析階段
- 遏制、根除和恢復階段
- 事件後活動階段
CERT 提供的服務列表
以下是計算機應急響應小組提供的服務:
接收成員提交的事件報告
為了讓 CSIRT 成員提交事件報告,成員首先必須知道 CSIRT 的存在。成員還必須瞭解 CSIRT 的工作內容、如何訪問其服務以及可以預期的服務和質量水平。因此,CSIRT 必須已定義其目標和服務,向目標受眾宣傳自身,並提供有關如何請求事件幫助的建議。
分析事件報告以驗證和理解事件
收到事件報告後,CSIRT 會檢查該報告,以確保確實發生了屬於 CSIRT 任務範圍內的事件或其他形式的活動。然後,CSIRT 會評估其是否對報告和情況有透徹的瞭解,以便制定能夠實現恢復控制和減少損害目標的首要應對策略。
提供事件響應支援
CSIRT 可以提供事件響應支援,具體取決於其組織方式及其服務。現場事件響應服務;透過電子郵件或電話提供的事件響應服務;或協調事件響應服務,這些服務結合和分配多個成員的多個問題響應團隊的工作。
CSIRT 結構
以下是計算機安全事件響應小組的常見結構:
集中式 CSIRT
在集中式 CSIRT 中,單個事件響應小組負責整個組織,並且專門小組擁有所有事件響應資源。對於小型企業或地理位置有限的組織,此策略是理想的選擇。
外包 CSIRT
缺乏組建內部 CSIRT 的手段或人員的公司可能會受益於外包 CSIRT。這種 CSIRT 方法包括使用承包商而不是員工來配置內部 CSIRT,以及外包僅偶爾需要的 CSIRT 職責和服務,例如數字取證。
協調 CSIRT
此 CSIRT 負責監督其他 CSIRT,其中許多是下屬機構。此 CSIRT 幫助分散式團隊協調事件響應行動、資訊流和工作流程。協調的 CSIRT 可能無法提供其自身的事件響應服務。相反,它側重於遠端團隊如何有效地使用資源。
混合式 CSIRT
混合式 CSIRT 結合了集中式和分散式 CSIRT 的特點。集中式 CSIRT 元件通常是全職的,而分散式元件由主題專家 (SME) 組成,他們僅在必要時參與事件響應活動。在此架構中檢測到可能的事件時,集中式 CSIRT 會分析事件並確定響應要求。
CSIRT 成員的技能和職責
以下是 CSIRT 成員的技能和職責:
- 識別入侵者使用的辦法和技術
- 使用加密來保護 CSIRT 通訊
- 時間管理是一項重要技能
- 評估情況以找到最佳行動方案,跟蹤事件和報告
454 次瀏覽
