Computer Emergency Response Team (CERT)

Un Computer Emergency Response Team (CERT) è un gruppo di esperti di sicurezza delle informazioni responsabili della protezione, del rilevamento e della risposta agli incidenti di sicurezza informatica di un'organizzazione. Un CERT può concentrarsi sulla risoluzione di incidenti quali violazioni dei dati e attacchi denial-of-service, nonché fornire avvisi e linee guida per la gestione degli incidenti. I CERT conducono inoltre campagne di sensibilizzazione pubblica in corso e si impegnano nella ricerca volta a migliorare i sistemi di sicurezza.

Il team originale di risposta agli incidenti di sicurezza informatica, il Computer Emergency Response Team Coordination Center (CERT / CC), è stato costituito alla fine del 1988 presso la Carnegie Mellon University di Pittsburgh, in Pennsylvania.

Qual è il ruolo di un team di risposta alle emergenze?

Indipendentemente dal fatto che siano chiamati CERT, CSIRT, IRT o qualsiasi altro nome simile, il ruolo di tutti i team di risposta alle emergenze informatiche è abbastanza comparabile. Tutte queste organizzazioni stanno cercando di raggiungere gli stessi obiettivi relativi alla risposta agli incidenti di risposta agli incidenti di sicurezza del computer per riprendere il controllo e ridurre al minimo i danni, fornendo o assistendo con una risposta e un ripristino efficaci agli incidenti e prevenendo il ripetersi di incidenti di sicurezza del computer.

In generale, un team di risposta agli incidenti è responsabile della protezione dell'organizzazione da problemi di computer, rete o sicurezza informatica che minacciano un'organizzazione e le sue informazioni. Un modello universale per la risposta agli incidenti che è in uso da molto tempo è il modello "proteggi, rileva e rispondi":

Questo articolo fa parte di

Guida definitiva alla risposta agli incidenti di sicurezza informatica

Che include anche:
Crea un piano di risposta agli incidenti con questo modello gratuito
Come creare un team di risposta agli incidenti per la tua organizzazione
Risposta agli incidenti: come implementare un piano di comunicazione

Scaricare1

Scarica subito l'intera guida GRATUITAMENTE!

Proteggere

Ciò significa assicurarsi che un'organizzazione abbia preso le misure e le precauzioni necessarie per proteggersi prima che sorgano problemi di sicurezza informatica. Quest'area si concentra su strategie proattive piuttosto che su strategie reattive. Alcune di queste strategie di protezione sono:

Creare un piano di risposta agli incidenti organizzativi.
Eseguire valutazioni o analisi del rischio.
Crea una gestione aggiornata dell'inventario delle risorse
Implementa strumenti di scansione delle vulnerabilità e sistemi di rilevamento delle intrusioni (IDS).
Fornire formazione sulla consapevolezza della sicurezza a tutti i dipendenti.
Configurazione della build, vulnerabilità e gestione delle patch
Sviluppare piani di sicurezza, politiche, procedure e materiali di formazione sulla risposta agli incidenti.
Linee guida dettagliate per gli utenti su quali problemi di sicurezza dovrebbero essere segnalati e delineano un processo per la creazione di una segnalazione.
Crea playbook di risposta agli incidenti per i tipi di incidenti comuni.
Implementa misure difensive interne ed esterne che vengono regolarmente aggiornate in base alle minacce attuali.
Rivaluta l'efficacia delle procedure ogni volta che si verifica un incidente.

Individuare

Non è possibile rispondere agli incidenti a meno che non vengano rilevati. In effetti, il rilevamento di incidenti di sicurezza può richiedere settimane o mesi prima che molte organizzazioni vengano completate. Una strategia di rilevamento comune consiste nell'implementare un'architettura di rete difensiva utilizzando tecnologie quali router, firewall, sistemi di rilevamento e prevenzione delle intrusioni, monitor di rete e centri operativi di sicurezza (SOC).

Un rilevamento efficace richiede tempo e impegno. Richiede anche un alto livello di comprensione di come funziona realmente la rete di un'organizzazione. Le domande comuni a cui è necessario rispondere prima di sviluppare una strategia di rilevamento includono:

Quali applicazioni sono sempre in uso?
Che aspetto ha il normale traffico di rete?
Quali protocolli di rete sono in uso?
Quali protocolli di rete non dovrebbero mai apparire sulla rete?
Quali sono i normali modelli di utilizzo della larghezza di banda, inclusi volume e direzione?
Quali dispositivi dovrebbero essere collegati alla rete?
Chi sono i proprietari del sistema e dei dati per questi host e dispositivi collegati?

Per determinare se una rete non funziona correttamente, ospita applicazioni indesiderate o presenta schemi di traffico anomali, è necessario essere in grado di caratterizzare completamente come dovrebbero funzionare la rete ei sistemi ad essa collegati. Se il corretto funzionamento di un sistema non è compreso, non è possibile sapere quando quel sistema non funziona come previsto.

La gestione del sistema richiede che ogni parte di una rete debba essere documentata e definita come base. Questo può essere ottenuto con:

Un programma SAM (Software Asset Management) che stabilisce cosa dovrebbe esserci e chi lo possiede, nonché quali applicazioni e funzioni aziendali sono supportate da ciascuna risorsa. Inoltre, dovrebbero essere condotti controlli regolari rispetto alla baseline degli asset.
Un programma di sicurezza e gestione delle applicazioni che include i proprietari delle applicazioni, gli utenti autorizzati, la caratterizzazione del trasferimento dei dati e altro traffico di cui sono responsabili le applicazioni.
Programmi di modifica, configurazione e gestione delle patch per sapere che la rete è impostata come dovrebbe essere.
Una baseline di utilizzo della larghezza di banda e controlli di routine della larghezza di banda rispetto alla baseline.
Linee di base del flusso di rete e monitoraggio continuo per acquisire la deviazione dalla linea di base.

Con entrambe le pratiche di protezione e rilevamento, è importante comprendere che tutti gli elementi di questi modelli di processo devono essere costruiti in anticipo prima che possa avere luogo qualsiasi attività di risposta. Molte organizzazioni non riescono a pianificare la risposta agli incidenti o non riescono a implementare alcuna strategia di protezione e rilevamento e pertanto non possono sapere se le loro reti e i loro sistemi sono sicuri o meno.

Rispondere

Una volta rilevato un incidente di sicurezza informatica, può iniziare una risposta formale all'incidente. Rispondere a un incidente di sicurezza informatica richiede pochi passaggi. Il primo passo è quando il team riceve una segnalazione di un incidente da un componente, come un utente, un partner commerciale o un membro dello staff del centro operativo di sicurezza. I membri del team analizzano quindi il rapporto sull'incidente per capire cosa sta succedendo e creare una strategia immediata per riprendere il controllo e impedire che si verifichino ulteriori danni. Infine, la strategia si trasforma in un piano che viene poi implementato per riprendersi dall'incidente e tornare alle normali operazioni il più rapidamente possibile.

Il National Institute of Standards and Technology (NIST) ha sviluppato il proprio modello di risposta agli incidenti che è diventato popolare tra i soccorritori, soprattutto all'interno del ramo esecutivo federale degli Stati Uniti. Il modello NIST utilizza i termini "contiene, sradica e ripristina" per descrivere il suo modello e processo di risposta agli incidenti. La pubblicazione speciale NIST Computer Security Incident Handling Guide, SP-800-61 descrive in dettaglio questo modello di risposta agli incidenti.

Storia CERT

A seguito di un incidente di worm Internet nel novembre del 1988 che ha disabilitato il 10% di Internet, la Defense Advanced Research Projects Agency (DARPA) ha affidato al Software Engineering Institute (SEI) della Carnegie Mellon University la responsabilità di creare un centro per coordinare le comunicazioni tra la sicurezza ed esperti di computer durante le emergenze e per aiutare a prevenire futuri incidenti di sicurezza del computer. Il worm Internet che ha portato alla creazione del primo team di pronto intervento informatico al mondo è diventato noto come Robert Morris Worm.

Il Morris Worm prende il nome dal suo creatore, Robert Tappan Morris, uno studente laureato alla Cornell University, che ha rilasciato il worm nel campus del Massachusetts Institute of Technology (MIT) in un apparente tentativo di camuffare l'origine del worm. Secondo il suo creatore, Morris Worm non doveva essere distruttivo, ma piuttosto è stato scritto per evidenziare i difetti di sicurezza del software nelle varianti Berkeley Software Distribution (BSD) di UNIX. Ironia della sorte, il worm stesso conteneva un difetto del software che gli faceva replicare molto più velocemente del previsto, provocando il rallentamento o l'arresto delle macchine infettate sotto le richieste del worm, contribuendo alla scoperta del worm.

Oltre al danno causato dal Morris Worm, ci sono stati tre effetti duraturi dal rilascio del worm:

Un effetto del worm Morris è stata la creazione del CERT / Centro di coordinamento presso il Software Engineering Institute (SEI). Il SEI, fondato nel 1984, è un centro di ricerca e sviluppo finanziato dal governo federale (FFRDC) ed è stato selezionato dalla DARPA per sostenere il Centro di coordinamento CERT perché potrebbe agire come una terza parte neutrale nel coordinamento degli sforzi, in particolare con i fornitori di software, in eliminando i difetti del software che diventano problemi di sicurezza.
Un altro effetto del Morris Worm fu che Robert Tappan Morris divenne la prima persona a essere processata e condannata ai sensi del Computer Fraud and Abuse Act (CFAA) del 1986. Lo studente di informatica di 24 anni ricevette una condanna a tre anni di libertà vigilata, 400 ore di servizio alla comunità, una multa di $ 10,000, più i costi della sua libertà vigilata, per un totale di $ 13,326.
Il terzo effetto del Morris Worm, e forse l'effetto di più vasta portata, è che ha stimolato il pensiero e la ricerca sulla protezione delle infrastrutture critiche. Il Morris Worm ha evidenziato problemi di progettazione e ingegneria del software scadenti, difetti del software trascurati o ignorati che diventano vulnerabilità di sicurezza e pratiche di sicurezza inadeguate che rimangono problemi significativi oggi. Anche se non vi era alcun intento dannoso, il rilascio del Morris Worm ha mostrato che Internet non era necessariamente un luogo in cui ci si poteva fidare di tutti per avere in mente i migliori interessi di tutti gli altri.

Oltre al Morris Worm, sin dalla sua creazione nel 1988, il CERT Coordination Center è diventato uno dei principali istituti di sicurezza informatica al mondo. Dalla creazione di CERT / CC, Internet è passata da circa 60,000 computer nel 1998 a più di un miliardo di host pubblicizzati nel sistema dei nomi di dominio (DNS) a partire da gennaio 2019.

Alcune delle aree in cui il Centro di coordinamento CERT ha dimostrato di essere leader includono:

Contribuire allo sviluppo di oltre 50 team di risposta agli incidenti in tutto il mondo.
Facilitare lo sviluppo di metodi di risposta agli incidenti e istruzione.
Diventare un membro fondatore del Forum of Incident Response and Security Teams (FIRST).
Creazione di numerosi metodi e strumenti di valutazione della sicurezza.
Leader nello sviluppo di corsi di laurea in cybersecurity.
Conduzione di ricerca e formazione sulle minacce interne.
Dirigere metodi di analisi e difesa dal malware.
Pubblicazione di rapporti sulle vulnerabilità e un database delle vulnerabilità.

CERT vs CSIRT

Il termine CERT è stato scelto come identificatore per il Computer Emergency Response Team presso il Software Engineering Institute. Il SEI è un centro di ricerca e sviluppo finanziato a livello federale gestito dalla Carnegie Mellon University, che ha registrato il marchio e possiede il nome "CERT". Oggi la SEI sottolinea che il designatore CERT non è più un acronimo, ma un simbolo di marchio. La SEI non utilizza più il nome Computer Emergency Response Team per riferirsi alla Divisione CERT della SEI. La SEI fa ora riferimento alla sua divisione CERT come CERT Coordination Center o CERT / CC.

A causa della proprietà del marchio commerciale di Carnegie Mellon sul titolo CERT, hanno incoraggiato altre organizzazioni di risposta agli incidenti a utilizzare il termine Computer Security Incident Response Team (CSIRT) invece di CERT. Pertanto, tutta la documentazione di risposta agli incidenti di sicurezza informatica, le pubblicazioni ei corsi di formazione del SEI e del CERT / CC utilizzano il termine CSIRT per fare riferimento a organizzazioni di risposta agli incidenti di proprietà o gestite in modo indipendente.

Come risultato del nome CERT del marchio registrato, altri acronimi sono diventati di uso comune per descrivere team con funzioni di risposta agli incidenti simili:

Computer Security Incident Response Team (CSIRT).
Incident Response Team (IRT).
United States Computer Emergency Readiness Team (US-CERT).
Capacità o centro di risposta agli incidenti di sicurezza informatica (CSIRC).
Capacità o centro di risposta agli incidenti informatici (CIRC).
Computer Incident Response Team (CIRT).
Team di gestione degli incidenti (IHT).
Incident Response Center o Incident Response Capability (IRC).
Incident Response Team (IRT).
Team di risposta alle emergenze di sicurezza (SERT).
Team di risposta agli incidenti di sicurezza (SIRT).

Un altro possibile approccio di denominazione è quello di far precedere uno dei termini precedenti con una designazione organizzativa o di aggiungere un suffisso. Gli esempi potrebbero includere "Amazon SIRT" per fare riferimento allo specifico team di risposta agli incidenti di Amazon o "CERT-MX" per fare riferimento a un centro di risposta tecnica in Messico.

Anche se la Carnegie Mellon University ha imposto la proprietà del termine CERT in passato, la SEI ha recentemente ritirato il dominio cert.org e consolidato la sua presenza sul web sotto il dominio sei.cmu.edu.

Un team di risposta agli incidenti di sicurezza informatica consolidato può richiedere una licenza per utilizzare il designatore CERT dalla SEI senza alcun costo. L'ottenimento di una licenza per utilizzare il designatore CERT consente inoltre a un team di risposta agli incidenti di essere elencato sul sito Web SEI come utente autorizzato del designatore CERT e visualizzare un badge CERT "utente autorizzato" sul proprio sito web.

Come diventare un professionista certificato per la risposta agli incidenti

I team di risposta agli incidenti di sicurezza informatica sono in genere supervisionati dai responsabili dei team che devono assicurarsi che i membri del loro team siano adeguatamente formati e qualificati per le responsabilità di risposta agli incidenti. I professionisti della risposta agli incidenti con una formazione o certificazioni adeguate possono aiutare un'organizzazione a raggiungere i suoi obiettivi di protezione, rilevamento, gestione e mitigazione degli incidenti, nonché ridurre al minimo il tempo necessario per riprendersi da un incidente. Dovrebbero essere esperti nelle tecniche e nei vettori di attacco comuni, nonché negli strumenti, nelle politiche e nelle procedure necessarie per rispondere efficacemente alle emergenze legate alla sicurezza informatica.

Poiché la gestione degli incidenti si evolve e richiede una forte conoscenza della tecnologia e delle procedure, è fortemente incoraggiata una formazione regolare per i membri del team di risposta agli incidenti. Inoltre, sono disponibili diversi programmi di qualificazione per i gestori di incidenti di sicurezza informatica. Tutte queste certificazioni richiedono un esame e possono avere requisiti minimi di esperienza prima di essere prese in considerazione.

Un esempio di ciò è il programma GIAC (Global Information Assurance Certification) formato dal SANS Institute. Questo programma offre 30 diverse certificazioni tra cui GIAC Certified Incident Handler (GCIH). Il processo per ottenere la certificazione GCIH copre le fasi di base del processo di gestione degli incidenti, il rilevamento di applicazioni dannose e attività di rete, la formazione di tecniche di attacco comuni, l'analisi delle vulnerabilità del sistema e della rete e il miglioramento continuo del processo di scoperta delle cause profonde di incidenti.

Un altro esempio è la certificazione CSIH (Computer Security Incident Handler Certification) certificata CERT, offerta dal Software Engineering Institute (SEI), sede del CERT / CC. L'esame CSIH copre la protezione dell'infrastruttura, il rilevamento di eventi e incidenti, il triage e l'analisi degli incidenti e le capacità di risposta agli incidenti sostenibili.

Nessuna di queste certificazioni ha alcun prerequisito di formazione richiesto per sostenere l'esame, sebbene sia il SANS Institute che il SEI offrano una serie di corsi di base e avanzati sulla gestione degli incidenti che costituirebbero un buon curriculum di formazione oltre a una certificazione professionale per un gestore di incidenti.

Cos'è US-CERT?

US-CERT è un acronimo che sta per United States Computer Emergency Readiness Team. L'uso della parola "prontezza" aveva lo scopo di fornire un'indicazione della sua focalizzazione sull'essere proattivi, o "pronti", per le emergenze piuttosto che essere reattivi e concentrati sulla risposta. La missione dichiarata di US-CERT afferma: "US-CERT è responsabile dell'analisi e della riduzione delle minacce e delle vulnerabilità informatiche, della diffusione delle informazioni di avvertenza sulle minacce informatiche e del coordinamento delle attività di risposta agli incidenti".

sfondo

Nel settembre 2003, il Dipartimento per la sicurezza interna degli Stati Uniti (DHS) ha annunciato una partnership con il CERT Coordination Center presso il Software Engineering Institute per creare l'US-CERT come "punto di coordinamento per la prevenzione, il rilevamento e la risposta agli attacchi informatici su Internet".

Quindi, nel 2017, il DHS ha semplificato la sua struttura organizzativa, trasferendo US-CERT insieme ad altre funzioni operative, nel National Cybersecurity Communications and Integration Center (NCCIC). L'NCCIC ha operato come entità sopravvissuta fino a novembre 2018. In questo momento, la Cybersecurity and Infrastructure Security Agency (CISA) è stata creata come agenzia autonoma all'interno del DHS e ha incorporato l'NCCIC, compreso quello che era l'US-CERT, nella sua divisione Cybersecurity .

A partire da ora, tutte le pagine web associate al dominio us-cert.gov ora portano a pagine web marchiate da CISA. L'URL www.us-cert.gov ora va a una pagina web del CISA che annuncia il NCCIC come "il principale centro di difesa informatica, risposta agli incidenti e integrazione operativa".

Servizi

La CISA funge da consulente del rischio per gli Stati Uniti in merito a minacce e incidenti alla sicurezza online o virtuali. Ciò viene eseguito attraverso la combinazione di ricerca e sviluppo con intelligence sulle minacce e politica del governo. Le capacità dell'organizzazione includono il monitoraggio e la protezione della rete federale, la resilienza dell'infrastruttura e le comunicazioni di emergenza.

Inoltre, il CISA fornisce conoscenze sulla sicurezza informatica e migliori pratiche ad altre organizzazioni governative al fine di proteggere le risorse della nazione.

Che cos'è un team di risposta alle emergenze della comunità?

C'è un altro tipo di organizzazione che usa comunemente l'acronimo CERT. È anche un'organizzazione di risposta agli incidenti, ma ha in mente un obiettivo e una circoscrizione diversi. È il Community Emergency Response Team (CERT).

Un programma del team di risposta alle emergenze della comunità è amministrato dal Dipartimento per la sicurezza interna (DHS) degli Stati Uniti ed è progettato per istruire e formare il pubblico americano sulla preparazione e la risposta alle catastrofi. Alcune delle competenze insegnate da questa organizzazione CERT includono come rispondere in sicurezza a disastri naturali e causati dall'uomo, organizzare la risposta di base ai disastri, prepararsi per le emergenze, eseguire ricerche e soccorsi e somministrare il primo soccorso.