Un team di risposta agli incidenti di sicurezza informatica, o CSIRT, è un gruppo di professionisti IT che fornisce a un'organizzazione servizi e supporto per la valutazione, la gestione e la prevenzione delle emergenze legate alla sicurezza informatica, nonché il coordinamento degli sforzi di risposta agli incidenti.
L'obiettivo principale di un CSIRT è rispondere agli incidenti di sicurezza informatica in modo rapido ed efficiente, riprendendo così il controllo e riducendo al minimo i danni. Ciò comporta le quattro fasi di risposta agli incidenti del National Institute of Standards and Technology (NIST):
- preparazione
- rilevamento e analisi
- contenimento, eradicazione e recupero
- attività post-incidente
A tal fine, i CSIRT possono assumersi molte responsabilità, comprese le seguenti:
- creare e aggiornare i piani di risposta agli incidenti;
- mantenere e comunicare informazioni a entità interne ed esterne;
- identificare, valutare e analizzare gli incidenti;
- coordinare e comunicare gli sforzi di risposta;
- porre rimedio agli incidenti;
- rapporto sugli incidenti;
- gestire gli audit;
- rivedere le politiche di sicurezza; e
- consigliare modifiche per prevenire incidenti futuri.
Un presupposto centrale di questa definizione è che un CSIRT è un'entità organizzata con una missione, una struttura, ruoli e responsabilità definiti. Questa ipotesi esclude qualsiasi attività di risposta agli incidenti ad hoc o informale che non abbia una circoscrizione definita o ruoli e responsabilità documentati. Questo presupposto è guidato dalla convinzione che, senza una capacità di risposta agli incidenti formalizzata, non sia possibile fornire una risposta efficace agli incidenti.
Il Forum of Incident Response and Security Teams, un'associazione internazionale di team di risposta agli incidenti, ha pubblicato il "FIRST CSIRT Framework". Questo documento dettagliato si basa sulla guida del Computer Emergency Response Team Coordination Center (CERT / CC) che è stata utilizzata dalla fine degli anni '1980. Il quadro delinea anche le aree di servizio che i CSIRT potrebbero offrire ai componenti, compresa la gestione degli eventi di sicurezza delle informazioni, la gestione degli incidenti infosec, la gestione delle vulnerabilità, la consapevolezza situazionale e il trasferimento delle conoscenze.
Questo articolo fa parte di
Guida definitiva alla risposta agli incidenti di sicurezza informatica
- Che include anche:
- Crea un piano di risposta agli incidenti con questo modello gratuito
- Come creare un team di risposta agli incidenti per la tua organizzazione
- Risposta agli incidenti: come implementare un piano di comunicazione
Scaricare1
Scarica subito l'intera guida GRATUITAMENTE!
Attributi e processi CSIRT
Sebbene ogni CSIRT sia unico per la sua organizzazione, in generale, i CSIRT hanno tre attributi che li differenziano dagli altri team di risposta agli incidenti: la loro dichiarazione di intenti, il collegio elettorale e l'elenco dei servizi.
Dichiarazione di missione
La missione CSIRT è una dichiarazione di intenti o la sua ragione di esistere. La missione di un CSIRT definisce le sue aree di responsabilità e serve a stabilire aspettative con i suoi elettori.
Un esempio di dichiarazione di intenti CSIRT potrebbe essere: "La missione di XYZ CSIRT è quella di proteggere XYZ Corp. creando e mantenendo la capacità di rilevare, rispondere e risolvere gli incidenti di sicurezza informatica e delle informazioni".
Collegio elettorale
Un collegio elettorale CSIRT deve essere chiaramente definito. Questa è la base di clienti oi destinatari dei servizi di risposta agli incidenti. Si presume che il collegio elettorale sia unico per un dato CSIRT e spesso è la sua organizzazione madre.
Elenco dei servizi
La missione CSIRT viene svolta attraverso la fornitura di servizi CSIRT al suo collegio elettorale. I CSIRT possono offrire diversi servizi, ma ce ne sono di fondamentali che un CSIRT deve offrire per essere considerato un team formale di risposta agli incidenti. Al suo livello più elementare, un CSIRT deve essere in grado di fare quanto segue:
- Ricevere un rapporto di incidente da un elettore. Per ricevere un rapporto di incidente da un collegio elettorale CSIRT, il collegio elettorale deve prima sapere che il CSIRT esiste. Gli elettori devono anche capire cosa fa il CSIRT e come si accede ai suoi servizi, nonché i livelli di servizio e di qualità che può aspettarsi. Pertanto, il CSIRT deve aver definito la sua missione e i suoi servizi, annunciato se stesso al suo collegio elettorale e pubblicato orientamenti su come vengono richiesti i servizi per gli incidenti. Ciò include la pubblicazione di una politica di risposta agli incidenti, processi, procedure, moduli e risorse necessari per informare e consentire agli elettori di presentare rapporti sugli incidenti.
- Analizzi i dati un rapporto sull'incidente per convalidare e comprendere l'incidente. Una volta ricevuto un rapporto di incidente, il CSIRT analizza il rapporto per convalidare che si è effettivamente verificato un incidente o un altro tipo di attività che rientra nella missione CSIRT. Il CSIRT determina quindi se comprende la segnalazione e l'incidente abbastanza bene da creare una strategia di risposta iniziale che soddisfi gli obiettivi di riprendere il controllo e ridurre al minimo i danni. Parte della capacità di analizzare un rapporto di incidente e rispondere in modo efficiente è disporre di personale in grado di eseguire una varietà di attività. I membri del CSIRT dovrebbero disporre di piani, politiche e procedure scritti che documentino i loro ruoli e responsabilità specifici.
- Fornire supporto per la risposta agli incidenti. A seconda di come è organizzato il CSIRT e dei servizi offerti, un CSIRT può fornire supporto per la risposta agli incidenti tramite:
- servizi di risposta agli incidenti in loco forniti direttamente all'elettore;
- servizi di risposta agli incidenti forniti tramite e-mail o telefono; o
- servizi coordinati di risposta agli incidenti che combinano e distribuiscono gli sforzi di più team di risposta agli incidenti tra più componenti.
In alcune situazioni, il CSIRT di un'organizzazione può solo sviluppare e supervisionare strategie e servizi di risposta agli incidenti piuttosto che implementarli. Ad esempio, altri gruppi o dipartimenti, come ingegneri di rete o proprietari di sistemi e dati, possono attuare la strategia di risposta con il CSIRT che gestisce lo sforzo.
Strutture CSIRT
Il modo in cui un CSIRT è strutturato dipende dalle esigenze della sua organizzazione madre. Ad esempio, considera se è necessaria una copertura 24 ore su 7, XNUMX giorni su XNUMX, la disponibilità di dipendenti formati, se sono necessari membri del team a tempo pieno o part-time e i costi operativi.
Esistono diverse strutture CSIRT comuni, comprese le seguenti:
- CSIRT centralizzato. In un CSIRT centralizzato, un unico team di risposta agli incidenti serve l'intera organizzazione e tutte le risorse di risposta agli incidenti sono contenute all'interno dell'unità dedicata. Questo modello è adatto per piccole organizzazioni o organizzazioni con ambito geografico limitato.
- CSIRT distribuito. In un CSIRT distribuito esistono diversi team indipendenti di risposta agli incidenti. La distribuzione delle risorse CSIRT può dipendere dall'ampio ambito geografico dell'organizzazione o dall'ubicazione delle sue principali strutture. Altri attributi che includono se una società è organizzata da una struttura di unità di business o semplicemente dalla distribuzione di dipendenti e risorse informative possono anche influenzare la distribuzione del CSIRT. Inoltre, la maggior parte dei modelli CSIRT distribuiti richiede un CSIRT di coordinamento.
- CSIRT di coordinamento. Questo CSIRT gestisce altri CSIRT, spesso subordinati. Questo CSIRT coordina le attività di risposta agli incidenti, il flusso di informazioni e il flusso di lavoro tra i team distribuiti. Un CSIRT coordinatore non può fornire esso stesso alcun servizio indipendente di risposta agli incidenti. Invece, si concentra sull'uso efficiente ed efficace delle risorse nei team distribuiti. Ad esempio, CERT / CC, il team di risposta alle emergenze informatiche del Software Engineering Institute (SEI), è un CSIRT di coordinamento che orchestra le attività tra CSIRT nazionali, governativi e regionali.
- CSIRT ibrido. Un CSIRT ibrido combina gli attributi dei CSIRT centralizzati e distribuiti. La componente CSIRT centrale è spesso a tempo pieno e la componente distribuita è composta da esperti in materia (PMI) che potrebbero non essere coinvolti nelle attività di risposta agli incidenti tranne quando necessario durante gli eventi di sicurezza. In questo modello, quando il CSIRT centrale rileva un potenziale evento, analizza l'incidente e determina le esigenze di risposta. Quindi, gli esperti CSIRT distribuiti appropriati possono essere chiamati per assistere in queste attività. Sebbene un CSIRT ibrido si basi su PMI che non sono membri CSIRT a tempo pieno, è definitivamente un team formale di risposta agli incidenti. Le unità distribuite di esperti del CSIRT ibrido sono designate come professionisti della risposta agli incidenti con ruoli e responsabilità definiti e ricevono una formazione formale sulla risposta agli incidenti. Potrebbe anche essere richiesto di ottenere e mantenere le certificazioni di gestore degli incidenti.
- CSIRT / SOC ibrido. In questo modello ibrido specializzato, il centro operativo di sicurezza (SOC) è responsabile della ricezione di tutti gli avvisi, allarmi e rapporti che indicano potenziali incidenti. Se il SOC richiede assistenza con ulteriori analisi, il CSIRT viene attivato. In generale, il SOC funge da front-end per il CSIRT, esegue il rilevamento degli incidenti e quindi trasmette gli incidenti al CSIRT per la gestione.
- CSIRT esternalizzato. Un CSIRT esternalizzato può essere un'opzione utile per le aziende che non dispongono delle risorse o del personale per creare un team interno. Questo modello CSIRT prevede l'assunzione di personale di un CSIRT interno con appaltatori anziché dipendenti o l'esternalizzazione di attività e servizi CSIRT che possono essere necessari solo occasionalmente, come la digital forensics.
Come costruire un CSIRT
Sviluppare un'efficace strategia di risposta agli incidenti significa che un'organizzazione può rilevare e rispondere a un incidente informatico o infosec in modo da limitare i danni e mantenere i costi di ripristino più bassi possibile.
Quando si sviluppa un team di risposta agli incidenti, considerare quanto segue:
- Decidi quali tipi di background tecnico, ruoli e responsabilità sono necessari.
- Assegnare un team leader per supervisionare gli sforzi del CSIRT, nonché comunicare incidenti e progressi alla leadership esecutiva.
- Determinare il modello organizzativo CSIRT appropriato e le ore di funzionamento richieste per il team.
- Crea piani, politiche e procedure di sicurezza per una varietà di potenziali minacce e incidenti.
- Fornire ai membri del CSIRT istruzione e formazione di sensibilizzazione sulla sicurezza informatica di routine.
- Condurre valutazioni del rischio a livello di sistema.
- Identifica le risorse critiche per la risposta agli incidenti, inclusi dati, processi aziendali, tecnologia e persone.
- Avere un piano di gestione delle risorse ben documentato.
- Implementare un programma di gestione della configurazione per garantire che tutto il software sia dotato di patch e che eventuali aggiornamenti vengano testati e applicati in modo tempestivo.
- Esegui un'architettura di rete difensiva utilizzando router, firewall, sistemi di rilevamento e prevenzione delle intrusioni (IDS / IPS), monitor di rete e operazioni di sicurezza.
Ruoli dei membri del CSIRT
Un CSIRT che funzioni efficacemente richiede una serie di membri con diverse capacità e responsabilità. Tuttavia, non esiste un approccio valido per tutti. Le organizzazioni devono fornire personale e formare i dipendenti per soddisfare le loro specifiche esigenze di risposta agli incidenti di sicurezza.
Diversi fattori influenzano l'organizzazione dei ruoli CSIRT, compreso il profilo di rischio dell'organizzazione e la struttura CSIRT. In generale, i membri del CSIRT includono quanto segue:
- Responsabile del team CSIRT. Questo ruolo esecutivo, tipicamente occupato dal Chief Information Security Officer (CISO), comunica gli incidenti con i dirigenti C-suite e coordina il budget CSIRT.
- Responsabile dell'incidente. Questo ruolo coordina le riunioni CSIRT, garantisce la responsabilità dei membri CSIRT in tutta l'organizzazione e determina se i risultati degli incidenti debbano essere inoltrati ai dirigenti.
- Supporto al personale CSIRT. Questi ruoli tecnici, come analista della sicurezza, gestore degli incidenti, responsabile del turno o investigatore forense, sono responsabili delle attività di rilevamento, risposta e segnalazione degli incidenti.
- Ruoli CSIRT interfunzionali. Per svolgere la sua missione, un CSIRT spesso incorpora nel team professionisti legali, delle risorse umane (HR) e delle pubbliche relazioni (PR). Ad esempio, un membro del team legale fornisce consulenza su potenziali azioni legali da parte di azionisti o dipendenti, nonché sul processo di divulgazione degli incidenti. Un ruolo delle risorse umane nel CSIRT gestisce le questioni relative al personale e comunica gli incidenti ai dipendenti. Il personale di PR gestisce i comunicati stampa; comunicazioni con dipendenti, partner, clienti e stakeholder; e inchieste dei media riguardanti incidenti di sicurezza.
Competenze e responsabilità dei membri del CSIRT
Il personale CSIRT svolge un ruolo fondamentale nel sostenere la missione e il servizio CSIRT. Un CSIRT efficace richiede che i membri del personale mantengano una vasta gamma di competenze tecniche e non tecniche.
Abilità tecniche
Il personale CSIRT ha bisogno di una base di competenze tecniche e conoscenze sulla sicurezza per svolgere le attività quotidiane. Una comprensione generale dei principi di sicurezza, delle vulnerabilità, della programmazione e dei protocolli di rete costituisce questa linea di base. Inoltre, il personale CSIRT dovrebbe essere formato nelle seguenti competenze tecniche per la gestione degli incidenti:
- identificare tattiche e tecniche di intrusione;
- protezione delle comunicazioni CSIRT tramite crittografia;
- analizzare gli incidenti per determinare come rispondere in modo efficace; e
- mantenere registrazioni e rapporti sugli incidenti.
Competenze non tecniche
Il lavoro del CSIRT è basato sui servizi. Pertanto, tutto il personale CSIRT deve dimostrare diplomazia e comunicare competenza nelle interazioni con i componenti.
- Disponibilità a seguire le istruzioni. Il personale dovrebbe avere familiarità con le procedure e le politiche CSIRT definite e l'importanza di mantenerle.
- Comunicazione. Il personale deve dimostrare efficaci capacità di comunicazione scritta e interpersonale necessarie per adempiere a compiti quali la documentazione delle relazioni sugli incidenti o la presentazione di briefing tecnici.
- Collaborazione. A causa della natura cooperativa della struttura CSIRT, i membri devono essere giocatori di squadra impegnati per garantire il morale, la produttività e l'agilità collettivi.
- Gestione del tempo. Il personale dovrebbe capire come utilizzare i criteri forniti per dare la priorità alle varie attività CSIRT e determinare quando chiedere aiuto alla direzione.
- Ragionamento analitico. Il personale CSIRT deve pensare fuori dagli schemi per anticipare le tecniche degli aggressori e risolvere i problemi in situazioni potenzialmente volatili.
- Gestione dello stress. La natura impegnativa della risposta agli incidenti e il rischio di burnout del personale di sicurezza garantiscono un'attenzione particolare alla gestione dello stress, nonché all'equilibrio tra lavoro e vita privata.
- Apprendimento continuo. La risposta agli incidenti è un'area di competenza in continua evoluzione. Pertanto, i membri del CSIRT devono essere persone curiose e cogliere le opportunità per migliorare le proprie capacità attraverso la formazione, la certificazione o il tutoraggio.
Gestione CSIRT
È importante disporre di un CSIRT disperso e ben gestito. La maggior parte dei CSIRT è strutturata per mantenere il monitoraggio 24 ore su 7, XNUMX giorni su XNUMX. Questo viene fatto dividendo le ore di funzionamento in tre turni, ciascuno con un turno di guida designato. Durante i loro turni, i responsabili del turno dovrebbero comunicare il loro lavoro e i risultati con gli altri responsabili del turno. Queste informazioni dovrebbero quindi essere trasmesse al capo del team CSIRT o al membro del personale esecutivo per mantenere la trasparenza con il resto dell'organizzazione.
Le aziende più grandi dovrebbero non solo separare i dipendenti in base al tempo, ma anche all'ubicazione geografica. Le aziende più piccole potrebbero trovare più conveniente esternalizzare i processi CSIRT per le ore fuori orario.
SOC vs. CSIRT vs. CERT
Le organizzazioni possono impiegare uno o più dei tre tipi principali di team di risposta agli incidenti: CSIRT, SOC e CERT. A volte, questi termini sono usati come sinonimi, sebbene esistano differenze, a seconda dell'uso dei termini da parte dell'organizzazione.
Il più singolare dei tre è il SOC. Questa struttura dedicata monitora e difende la tecnologia e l'hardware e funge da centro di comando e controllo per un'organizzazione, una regione o un paese. Protegge reti, server, applicazioni ed endpoint. Le responsabilità di un SOC, tuttavia, vanno oltre quella della semplice risposta agli incidenti.
Sebbene CSIRT, CERT e SOC siano considerati tipi separati di team di risposta agli incidenti, hanno obiettivi e responsabilità sovrapposti.
CSIRT, CERT e il team di risposta agli incidenti informatici (CIRT) meno spesso sono spesso usati in modo intercambiabile. In generale, CSIRT, CERT e CIRT gestiscono tutti la risposta agli incidenti, sebbene i loro compiti specifici possano variare a seconda dell'organizzazione. La terminologia utilizzata da un'organizzazione dovrebbe essere adeguatamente definita, insieme agli obiettivi, alla struttura e all'uso delle risorse necessarie per rispondere adeguatamente agli incidenti.
È importante notare che CERT è un marchio registrato della Carnegie Mellon University (CMU). Le organizzazioni possono utilizzare il marchio CERT dopo aver ottenuto l'autorizzazione. Tuttavia, alcune organizzazioni, probabilmente inconsapevoli del fatto che sia un marchio, lo utilizzano ancora per definire i propri team di risposta agli incidenti.