CERT مقابل CSIRT مقابل SOC: ما الفرق؟
CERT, سيرت، سيرت و شركة نفط الجنوب هي المصطلحات التي ستسمعها في مجال الاستجابة للحادث. باختصار، غالبًا ما يتم استخدام الثلاثة الأولى بشكل مترادف لوصف الفرق التي تركز على الاستجابة للحوادث، في حين أن الأخير عادةً ما يكون له نطاق أوسع للأمن السيبراني والأمن.
ومع ذلك، يمكن أن تكون المصطلحات مهمة. يمكن أن تؤدي المصطلحات غير المتسقة إلى سوء فهم للمقصود ويمكن أن تربك تخطيط جهود الاستجابة للحوادث لفريقك من خلال تعقيد فهم الممارسات المقبولة.
ولتحقيق هذه الغاية، إليك نظرة أعمق على المصطلحات.
CERT مقابل CSIRT مقابل CIRT: ما الذي يمثلونه؟
دعونا نلقي نظرة أولاً على المصطلحات التي تصف النماذج التنظيمية المشتركة فرق الاستجابة للحوادث. لكن خذ هذه التعريفات بحذر – فقط لأن منظمتين تطلقان على فريق الاستجابة الخاص بهما اسم “أ”. CSIRTعلى سبيل المثال، لا يعني أن هذين الفريقين لهما نفس الأهداف أو الأساليب، أو يتوافقان مع تعريف مثالي.
يعنيCSIRT فريق الاستجابة لحوادث أمن الكمبيوتر. CERT لتقف على فريق الاستجابة لطوارئ الكمبيوتر (أو الاستعداد). ويمكن أن يمثل CIRT إما فريق الاستجابة لحوادث الكمبيوتر، أو فريق الاستجابة لحوادث الأمن السيبراني، بشكل أقل تكرارًا. غالبًا ما يتم استخدام CSIRT وCERT وCIRT بالتبادل في هذا المجال. في الواقع، يكون CSIRT وCIRT دائمًا تقريبًا متكافئين؛ في الأساس هم مترادفون. قد تفضل إحدى المنظمات أحدهما أو الآخر بناءً على لغة المنظمة أو أسلوبها، أو الاختلافات الدقيقة في النطاق التنظيمي.
ما هو CERT؟
أما بالنسبة لمصطلح CERT، على الرغم من أن العديد من الشركات تستخدم هذا المصطلح بشكل عام، إلا أنه أصبح علامة مسجلة لجامعة كارنيجي ميلون منذ عام 1997. ويمكن للشركات التقدم بطلب للحصول على ترخيص لاستخدام علامة CERT. يجب على الشركات التي لم تفعل ذلك أن تستخدم هذا المصطلح لاسم خدمة استشارية أو مزود خدمة أمان مُدارة، وإلا فإنها قد تنتهك ذلك. ولذلك، إذا كانت مؤسستك تستخدم مصطلح CERT كجزء من اسم فريق الاستجابة، فمن المفيد إجراء محادثة صريحة مع مستشار قانوني أو داخلي حول هذا الاستخدام.
جزء من التحدي الذي تواجهه المنظمات التي تستخدم اسم CERT داخليًا هو أنه قد يكون مربكًا. هل المقصود من CERT هو أن يكون مرادفًا لـ CSIRT أم أن المنظمة تحاول نقل شيء آخر؟ كلاهما يمكن أن يكون صحيحا اعتمادا على السياق.
إن تسمية CERT الخاصة بكارنيجي ميلون لها تركيز خاص ومكانة تشغلها؛ وهي تعمل “كشريك مع الحكومة والصناعة وإنفاذ القانون والأوساط الأكاديمية لتحسين أمن ومرونة أنظمة الكمبيوتر والشبكات…” يدرس فريق الاستجابة لحالات الطوارئ “… المشاكل التي لها آثار واسعة النطاق على الأمن السيبراني وتتطور[s] الأساليب والأدوات المتقدمة.”
وتعكس بعض المنظمات هذا في الطريقة التي تستخدم بها هذا المصطلح. بمعنى آخر، يستخدمون CERT ليعكسوا أن تركيز فريقهم الداخلي يختلف اختلافًا طفيفًا عن تركيز CSIRT النموذجي. على سبيل المثال، ربما يركز الفريق بشكل إضافي على الشراكة مع فرق ومنظمات داخلية أو خارجية أخرى، أو يركز بشكل أكبر على المنهجية وتطوير الأدوات (على سبيل المثال، تلك المصممة للتنبؤ بالمشكلات قبل ظهورها)، أو يركز أكثر على أبحاث التهديدات الناشئة (على سبيل المثال، ، منهجية الخصم أو التجارة). يركز مصطلح CERT المستخدم بهذه الطريقة على نطاق أوسع على تحسين الاستجابة للحوادث كنظام أكثر من التركيز على التنظيم الخاص به فقط.
لا تزال المنظمات الأخرى التي تستخدم CERT – بشكل عام أولئك الذين لا يعرفون حالة CERT كعلامة خدمة مسجلة – تستخدم المصطلح كمرادف لـ CIRT أو CSIRT.
ما هي الاختلافات بين CERT وCSIRT وCIRT؟
يجب أن يفهم الممارسون المرونة التي تستخدم بها الفرق هذه المصطلحات. يمكن لمجموعات CERT وCSIRT وCIRT أن تتواجد كمجموعة تضم موظفين بشكل دائم أو يمكن جمعها معًا على أساس مخصص استجابةً لحدث ما. وفي كلتا الحالتين، ينصب تركيزهم دائمًا تقريبًا على المراحل الأربع للاستجابة للحوادث المبينة في NIST “دليل التعامل مع حوادث أمن الكمبيوتر”:
- تحضير
- الكشف والتحليل
- الاحتواء والاستئصال والتعافي
- نشاط ما بعد الحادث
تركز هذه المراحل على الكشف عن الحوادث الأمنية ومعالجتها. وهي تتضمن أيضًا هياكل الإدارة التي تستخدمها المنظمة للتحضير للحوادث الأمنية وأنشطة ما بعد الحادث المصممة لتبسيط الجهود المستقبلية.
هناك فارق بسيط هنا، رغم ذلك. لا تفعل كل مجموعة في كل شركة نفس الشيء. قد تستخدم بعض الفرق مصطلحًا مثل CSIRT بطريقة تتوافق مع توجيهات NIST، ولكنها تضع فكرتها الخاصة على ما يفعلونه. على سبيل المثال، قد ترى إحدى المؤسسات أن دور CSIRT الخاص بها يركز بشكل أكبر على السياسة بينما قد تركز مؤسسة أخرى بشكل أكبر على المشكلات التشغيلية مثل البحث في ملفات السجل وتتبع النشاط على الشبكة.
ما هو SOC وكيف يختلف عن CSIRTs وCERTs وCIRTs؟
أ مركز العمليات الأمنية (SOC) هو مصطلح آخر ستسمعه في سياق فرق الاستجابة للحوادث. ومع ذلك، يشمل مركز العمليات الأمنية بشكل عام جوانب متعددة من العمليات الأمنية، بينما تركز فرق CSIRT وCERTs وCIRT بشكل خاص على الاستجابة للحوادث.
يمكن أن يشمل اختصاص مركز العمليات الأمنية (SOC) وظيفة الاستجابة للحوادث (إما كليًا أو جزئيًا) بالإضافة إلى مهام أخرى. على سبيل المثال، يمكن لشركة SOC:
- تشمل عمليات المراقبة والضوابط (مثل كشف التسلل، ونظام منع التسلل، وإدارة أحداث المعلومات الأمنية/إدارة المعلومات الأمنية)؛
- الإشراف على تقييم القياس التشغيلي والأمني وجمع المعلومات؛ و،
- إدارة المهام مثل إدارة الهوية والترخيص، وصيانة مجموعة قواعد جدار الحماية والتصفية (إدارة المراجعة والتغيير)، ودعم الطب الشرعي والتحقيق، أو أي جانب آخر من جوانب الأمن التشغيلي.
من المرجح أن تمتد جهود المراقبة التي تبذلها مراكز العمليات الأمنية إلى ما هو أبعد من الاستجابة للحوادث. قد تقوم SOC بجمع المقاييس وجمعها لدعم خدمة العملاء أو تقديم الخدمة (في موفر خدمة أمان مُدارة، على سبيل المثال) أو قد تدعم التقارير الإدارية مثل إعداد المقاييس والبيانات لدعم تقييم المخاطر أو لدعم التدقيق. في حين أن مركز عمليات الأمن غالبًا ما يأتي في سياق الاستجابة للحوادث، فإنه دائمًا ما يكون لديه عناصر أمنية أخرى ضمن نطاق مسؤوليته. من المرجح أن يكون لدى SOC غرض ونطاق تشغيلي أوسع من CSIRT أو CIRT. إذا كان هناك مركز عمليات أمن (SOC) في منظمة معينة، فمن المحتمل أن تقع الاستجابة للحوادث ضمن نطاق مركز عمليات الأمن (SOC) كوظيفة أمنية تشغيلية. مرة أخرى، تعتمد التفاصيل على المنظمة.
هل يجب عليك تنفيذ CERT/CSIRT/CIRT أو SOC؟
من خلال الفهم الواضح لهذه المصطلحات، يمكن للمؤسسات تحديد نوع فريق الاستجابة للحوادث المناسب لها كيفية بناء فريق الأمن الاختيار. يجب أن يعتمد الاختيار على أهداف مؤسستك وهيكلها واستخدام الموارد. على سبيل المثال، إذا كانت الحاجة إلى المراقبة أمرًا بالغ الأهمية وكان الهيكل التنظيمي الخاص بك يفضي إلى السماح بمركزية ذلك في موقع مادي أو منطقي واحد، فقد تكون هناك مزايا لإنشاء مركز عمليات الأمن (على سبيل المثال، وفورات الحجم أو التسلسل الهرمي المبسط لإعداد التقارير). على النقيض من ذلك، إذا كان الهيكل التنظيمي الخاص بك أكثر لامركزية، أو لا يفضي إلى مركزية المراقبة و العمليات الأمنية الأخرى، قد يكون CSIRT أكثر منطقية.
من المهم تقييم المزايا النسبية لكليهما، وفهم احتياجات مؤسستك، واختيار النهج الأمثل لمؤسستك.