CERT مقابل CSIRT مقابل SOC: ما الفرق؟
ما في الاسم؟ قم بتحليل الاختلافات الحقيقية بين CERT و CSIRT و CITY و SOC ، قبل أن تقرر ما هو الأفضل لمؤسستك.
CERT و CSIRT و CIRT و SOC هي مصطلحات ستسمعها في مجال الاستجابة للحوادث. باختصار ، غالبًا ما يتم استخدام الثلاثة الأولى بشكل مترادف لوصف الفرق التي تركز على الاستجابة للحوادث ، في حين أن الأخيرة لها نطاق أوسع للأمن السيبراني والأمن.
لا يزال ، المصطلحات يمكن أن تكون مهمة. يمكن أن تتسبب المصطلحات غير المتسقة في سوء فهم المقصود ويمكن أن تربك تخطيط جهود الاستجابة للحوادث لفريقك من خلال تعقيد فهم الممارسات المقبولة.
CERT مقابل CSIRT مقابل CIRT: ما الذي يرمزون إليه؟
دعنا أولاً نلقي نظرة على المصطلحات التي تصف النماذج التنظيمية الشائعة لفرق الاستجابة للحوادث. لكن خذ هذه التعريفات بحذر - فقط لأن منظمتين تسميان فريق الاستجابة الخاص بهما CSIRT ، على سبيل المثال ، لا يعني أن هذين الفريقين لهما نفس الأهداف أو الأساليب ، أو يتوافقان مع تعريف مثالي.
CSIRT تعني فريق الاستجابة لحوادث أمن الكمبيوتر. CERT تعني فريق الاستجابة للطوارئ (أو الجاهزية) على الكمبيوتر. ويمكن أن يمثل CIRT إما فريق الاستجابة لحوادث الكمبيوتر أو فريق الاستجابة لحوادث الأمن السيبراني في حالات أقل. غالبًا ما يتم استخدام CSIRT و CERT و CIRT بالتبادل في هذا المجال. في الواقع ، فإن CSIRT و CIRT يكاد يكون دائمًا شبه متكافئ ؛ هي في الأساس مترادفة. قد تفضل المنظمة واحدة أو أخرى بناءً على لغة المنظمة أو أسلوبها ، أو الاختلافات الدقيقة في النطاق التنظيمي.
ما هو CERT؟
بالنسبة لمصطلح CERT ، على الرغم من أن العديد من الشركات تستخدم المصطلح بشكل عام ، إلا أنه كان علامة مسجلة لجامعة كارنيجي ميلون منذ عام 1997. يمكن للشركات التقدم بطلب للحصول على ترخيص لاستخدام علامة CERT. يجب على الشركات التي لم تفعل ذلك أن تستخدم هذا المصطلح لاسم خدمة استشارية أو مزود خدمة أمان مُدار ، أو ربما تنتهك ذلك. لذلك ، إذا كانت مؤسستك تستخدم مصطلح CERT كجزء من اسم فريق الاستجابة ، فمن المفيد إجراء محادثة صريحة مع مستشار قانوني أو داخلي حول هذا الاستخدام.
جزء من التحدي مع المنظمات التي تستخدم اسم CERT داخليًا هو أنه قد يكون مربكًا. هل المقصود من CERT أن يكون مرادفًا لـ CSIRT أم أن المنظمة تحاول نقل شيء آخر؟ كلاهما يمكن أن يكون صحيحًا اعتمادًا على السياق.
تصنيف CERT الخاص بكارنيجي ميلون له تركيز خاص ومكانة تشغلها ؛ تعمل "كشريك ... مع الحكومة والصناعة وإنفاذ القانون والأوساط الأكاديمية لتحسين أمن ومرونة أنظمة وشبكات الكمبيوتر ..." دراسات CERT "... المشاكل التي لها آثار واسعة النطاق على الأمن السيبراني وتطوير أساليب وأدوات متقدمة . "
تعكس بعض المنظمات هذا في طريقة استخدامهم للمصطلح. بعبارة أخرى ، يستخدمون CERT ليعكسوا أن تركيز فريقهم الداخلي يختلف اختلافًا طفيفًا عن تركيز CSIRT النموذجي. على سبيل المثال ، ربما يركز الفريق تركيزًا إضافيًا على الشراكة مع فرق ومؤسسات داخلية أو خارجية أخرى ، أو يركز بشكل أكبر على المنهجية وتطوير الأدوات (على سبيل المثال ، تلك المصممة للتنبؤ بالمشكلات قبل ظهورها) ، أو يركز أكثر على أبحاث التهديدات الناشئة (على سبيل المثال. أو منهجية الخصم أو الحرف اليدوية). المصطلح CERT المستخدم بهذه الطريقة يركز بشكل أوسع على تحسين الاستجابة للحوادث كتخصص أكثر من مجرد مؤسسته الخاصة.
لا تزال المنظمات الأخرى التي تستخدم CERT - بشكل عام غير مدركة لحالة CERT كعلامة خدمة مسجلة - تستخدم المصطلح كمرادف لـ CIRT أو CSIRT.
ما هي الاختلافات بين CERT و CSIRT و CIRT؟
يجب على الممارسين فهم الانسيابية التي تستخدم بها الفرق هذه المصطلحات. يمكن أن توجد مجموعات CERT و CSIRT و CIRT كمجموعة ذات طاقم عمل دائم أو يمكن تجميعها معًا على أساس مخصص استجابةً لحدث ما. في كلتا الحالتين ، ينصب تركيزهم دائمًا تقريبًا على المراحل الأربع للاستجابة للحوادث الموضحة في NIST "دليل التعامل مع حوادث أمان الكمبيوتر":
تحضير
الكشف والتحليل
الاحتواء والاستئصال والانتعاش
نشاط ما بعد الحادث
تركز هذه المراحل على الكشف عن الحوادث الأمنية ومعالجتها. وهي تشمل أيضًا هياكل الحوكمة التي تستخدمها المنظمة للتحضير للحوادث الأمنية وأنشطة ما بعد الحادث المصممة لتبسيط الجهود المستقبلية.
هناك فارق بسيط هنا ، رغم ذلك. لا تقوم كل مجموعة في كل شركة بنفس الشيء. قد تستخدم بعض الفرق مصطلحًا مثل CSIRT بطريقة تتماشى مع إرشادات NIST ، ولكنها تركز على ما تفعله. على سبيل المثال ، قد ترى إحدى المؤسسات أن دور فريق CSIRT الخاص بهم يركز بشكل أكبر على السياسة بينما قد تكون أخرى أكثر تركيزًا على القضايا التشغيلية مثل البحث في ملفات السجل وتتبع النشاط على الشبكة.
ما هي SOC وكيف تختلف عن CSIRTs و CERTs و CIRT؟
مركز العمليات الأمنية (SOC) هو مصطلح آخر ستسمعه في سياق فرق الاستجابة للحوادث. ومع ذلك ، فإن مركز عمليات الأمن (SOC) يشمل عمومًا جوانب متعددة من العمليات الأمنية ، بينما تركز فرق CSIRT و CERT و CIRT بشكل خاص على الاستجابة للحوادث.
يمكن أن يشمل اختصاص مركز عمليات الأمن وظيفة الاستجابة للحوادث (إما كليًا أو جزئيًا) بالإضافة إلى مهام أخرى. على سبيل المثال ، يمكن لـ SOC:
تشمل عمليات المراقبة والضوابط (مثل كشف التسلل ، ونظام منع التطفل / النظام ، وإدارة أحداث المعلومات الأمنية / إدارة معلومات الأمن) ؛
الإشراف على تقييم القياس التشغيلي والأمني وجمع المعلومات ؛ و،
إدارة المهام مثل إدارة الهوية والتفويض ، وجدار الحماية وصيانة مجموعة قواعد التصفية (كل من إدارة المراجعة والتغيير) ، ودعم الأدلة الجنائية والتحقيقات ، أو أي جانب آخر من جوانب الأمن التشغيلي.
تركز فرق CSIRT و CERT بشكل خاص على الاستجابة للحوادث. غالبًا ما يتم استخدام المصطلحين بشكل مترادف ولكنهما مختلفان تقنيًا. من بين الاختلافات: CERT هو مصطلح مسجّل كعلامة تجارية ويرتبط أكثر بالشراكة في استخبارات التهديدات ، في حين أن CSIRT لديه ارتباط أكثر بفريق عمل متعدد الوظائف. على عكس الاثنين الآخرين ، فإن اختصاص مركز عمليات الأمن أوسع من الاستجابة للحوادث ويمتد إلى مجالات أمنية أخرى.
من المرجح أن تمتد جهود المراقبة الخاصة بمركز العمليات الأمنية إلى أبعد من الاستجابة للحوادث. قد تحصد شركة SOC المقاييس وتجمعها لدعم خدمة العملاء أو تقديم الخدمة (على سبيل المثال في مزود خدمة أمان مُدار) أو قد تدعم التقارير الإدارية مثل إعداد المقاييس والبيانات لدعم تقييم المخاطر أو لدعم المراجعة. في حين أن مركز عمليات الأمن (SOC) غالبًا ما يظهر في سياق الاستجابة للحوادث ، فإنه دائمًا ما يكون لديه عناصر أمنية أخرى ضمن نطاق مسؤوليته. من المحتمل أن يكون لـ SOC غرض ونطاق تشغيلي أوسع من CSIRT أو CIRT. إذا كان هناك مركز عمليات أمان في منظمة معينة ، فمن المحتمل أن تقع الاستجابة للحوادث ضمن اختصاص مركز عمليات الأمن كوظيفة أمنية تشغيلية. مرة أخرى ، تعتمد التفاصيل على المنظمة.
هل يجب عليك تطبيق CERT / CSIRT / CIRT أو SOC؟
من خلال الفهم الواضح لهذه المصطلحات ، يمكن للمؤسسات تحديد نوع فريق الاستجابة للحوادث المناسب لها وكيفية بناء فريق الأمن المفضل. يجب أن يعتمد الاختيار على أهداف مؤسستك وهيكلها واستخدام الموارد. على سبيل المثال ، إذا كانت الحاجة إلى المراقبة ذات أهمية قصوى وكان الهيكل التنظيمي لديك يفضي إلى السماح بمركزية ذلك في موقع مادي أو منطقي واحد ، فقد تكون هناك مزايا لإنشاء مركز عمليات (على سبيل المثال ، وفورات الحجم أو تسلسل هرمي مبسط لإعداد التقارير). على النقيض من ذلك ، إذا كان الهيكل التنظيمي الخاص بك أكثر لامركزية ، أو بطريقة أخرى لا يفضي إلى مركزية المراقبة وعمليات الأمان الأخرى ، فقد يكون CSIRT أكثر منطقية.
من المهم تقييم المزايا النسبية لكليهما ، وفهم احتياجات مؤسستك ، وتحديد النهج الأمثل لمؤسستك.