پرونده: تیم‌های پاسخ فوری رایانه‌ای"CERT" (+ عکس و فیلم)

تاریخ انتشار : ۱۳ خرداد ۱۴۰۰

تیم پاسخگویی فوری رایانه‌ای (Computer Emergency Response Team) که به‌اختصار به آن CERT گفته می‌شود گروهی از کارشناسان امنیت سایبری هستند که مسئولیت حفاظت و مراقبت و کشف حوادث سایبری سازمان‌یافته را به عهده دارند.

به گزارش گرداب، حملات سایبری به طور روزانه رو به فزونی است و صنعت و جامعه و دولت‌ها هر روز رنگ و بوی سایبری تر به خود می‌گیرند. امروزه دیگر یک حمله سایبری منجر به تغییر چهره یا Deface یک وبسایت نمی‌شود بلکه منجر به افشای اطلاعات بسیار مهم یک شرکت علمی و تحقیقاتی یا اطلاعات شخصی افراد می‌شود.

پرونده: تیم‌های پاسخ فوری رایانه‌ای (CERT)

این یعنی قیمت اطلاعات بالا رفته و هرآنچه که قیمت بالایی داشته باشد، هزینه تأمین امنیت آن نیز بالاتر می‌رود. از این روست که دولت‌ها و شرکت‌ها درصدد تأسیس مراکزی دائمی هستند که با پایش لحظه‌به‌لحظه و آمادگی همیشگی، آسیب‌های سایبری و مجازی را به حداقل برسانند: مراکز CERT که در این پرونده به بررسی آنها می‌پردازیم، مراکزی که دقیقاً و تنها به هدف تأمین امنیت سایبری و مقابله با حوادث فضای سایبری به وجود آمده‌اند.

 

پرونده: تیم‌های پاسخ فوری رایانه‌ای (CERT)

CERT چیست؟

تیم پاسخگویی فوری رایانه‌ای (Computer Emergency Response Team) که به‌اختصار به آن CERT گفته می‌شود گروهی از کارشناسان امنیت سایبری هستند که مسئولیت حفاظت و مراقبت و کشف حوادث سایبری سازمان‌یافته را به عهده دارند. CERTها بر حل و مدیریت حوادث سایبری نظیر نقض اطلاعات یک وبسایت و حمله بندآوری خدمات (DoS) تمرکز دارند و نسبت به این حوادث از پیش هشدار می‌دهند. همچنین CERTها با راه‌اندازی کمپین‌هایی به‌منظور افزایش آگاهی عموم مردم با خطرات سایبری و مشارکت و مشاوره به شرکت‌ها برای افزایش امنیت سیستم‌هایشان، سعی در کاهش خطرات و آسیب‌های سایبری دارند.

در سال ۱۹۸۸ پس از انتشار یک بدافزار، متخصصان امنیت سایبری در دانشگاه کارنگی ملون در پیتسبورگ پنسیلوانیا گرد هم آمدند و پس از همفکری توانستند این حادثه را مدیریت و مشکل را برطرف کنند، این تجربه باعث شد که یک تیم متشکل از افراد خبره و کارشناس شکل بگیرد و به‌نوعی اولین تیم CERT جهان در اواخر سال ۱۹۸۸ در این دانشگاه تشکیل شد.

پرونده: تیم‌های پاسخ فوری رایانه‌ای (CERT)

 هدف از ایجاد یک مرکز CERT می‌تواند یک یا چند مورد از موارد زیر باشد:

  • کنترل و به حداقل رساندن آسیب‌های ناشی از یک رخداد امنیتی،
  • پشتیبانی کارآمد در زمان پاسخگویی به/ بازیابی از یک رخداد امنیتی، و
  • کمک به پیشگیری از وقوع حوادث آتی.

این مراکز انواع مختلفی دارند و CERT مناسب یک سازمان باتوجه‌به نیازمندی‌ها، اهداف، منابع و ... مشخص می‌شود. موفقیت در استفاده از خدمات CERT نیازمند شناسایی دقیق اهداف، شناسایی CERT متناسب با اهداف و تعیین سرویس‌های لازم است. در بخش‌های بعدی این پرونده مشاهده خواهید کرد که برخی از CERTها بخش‌های مختلف خود را در سازمان‌های مربوطه ایجاد می‌کنند تا بتوانند متناسب‌ترین و تخصصی‌ترین خدمات را به سازمان مربوطه خود ارائه دهند.

این ویدیو موشن گرافی در مورد چیستی CERT است.

هر کشوری دارای CERT ملی خود است تا در مواقع ضروری و بحرانی که زیرساخت‌های سایبری حیاتی و ملی‌اش مورد حمله قرار می‌گیرد، بتواند قابلیت مقابله و مدیریت اوضاع را داشته باشد. تقریباً اکثر کشورهای جهان دارای CERT ملی هستند از هندوستان گرفته تا روسیه و اتحادیه اروپا و ترکیه و ایران. در این پرونده CERT ملی چند کشور را به‌عنوان نمونه بررسی می‌کنیم.

پرونده: تیم‌های پاسخ فوری رایانه‌ای (CERT)

CERT ملی آمریکا (US-CERT)

در ایالات متحده آمریکا نهاد غیرنظامی و غیرامنیتی که متولی پاسخ‌گویی فوری و آمادگی در برابر حملات سایبری و خرابکاری در شبکه و زیرساخت‌های مجازی آمریکا US-CERT است. این بخش از زیرمجموعه‌های آژانس امنیت سایبری و زیرساخت (Cybersecurity and Infrastructure Security Agency) دولت ایالات متحده آمریکا بوده که خود زیر نظر وزارت امنیت داخلی است. خدماتی که CERT آمریکا ارائه می‌دهد شامل:

  • ایفای نقش به‌عنوان مرکز منابع سایبری: ارائه خدمات به دیگر آژانس‌ها و ادارات آمریکا برای تصمیم‌گیری درست‌تر در حوزه سایبری با لحاظ خطرپذیری در این فضا که موجب افزایش امنیت در جامعه سایبری آمریکا می‌شود.
  • اسکن آسیب‌پذیری‌ها: با اسکن مداوم IPهای ثابت و عمومی، حضور شبکه‌های خارجی و بعضاً مخرب را ارزیابی می‌کند و گزارش‌های هفتگی و هشدارهای موقتی را ارائه می‌دهد.
  • ارزیابی فیشینگ ها
  • ارزیابی ریسک و آسیب‌پذیری: شامل ارزیابی پیکربندی سرورها و پایگاه داده‌ها، تست شبکه‌های بی‌سیم، تست برنامه‌های مهندسی اجتماعی (Social Engneering) و ...
  • تست نفوذ از راه دور
  • و خدمات سایبری دیگر


پرونده: تیم‌های پاسخ فوری رایانه‌ای (CERT)
یکی از قابلیت‌های سایت US-CERT به نشانی us-cert.cisa.gov این است که هر فردی می‌تواند حوادث و حملات سایبری را گزارش دهد. در بخش‌های تعبیه شده چون:

  • گزارش حوادث
  • گزارش فیشینگ
  • گزارش آسیب‌پذیری‌ها
  • گزارش بدافزارها
  •  

 همچنین یکی دیگر از وظایف این مجموعه اطلاع‌رسانی و آگاهی‌بخشی عمومی است که این وظیفه را در قالب چهار بخش:

  • هشدارها
  • بولتن‌های خبری
  • گزارش‌ها تحلیلی
  • فعالیت‌های جاری

به اطلاع عمومی می‌رسانند؛ اما به دلیل تأسیس آژانس امنیت سایبری و زیرساخت‌ها در دولت دونالد ترامپ[8] این سازمان دچار سوگیری‌های سیاسی شده و مطالب و گزارش‌ها و فعالیت‌های جاری آن بیشتر از آنکه مبتنی بر مسائل فنی و واقعی باشد حول هشدار نسبت به حملات کشورهایی نظیر ایران، روسیه، چین و کره شمالی است[9].

پرونده: تیم‌های پاسخ فوری رایانه‌ای (CERT)
CERT ملی اسرائیل (CERT-IL)

CERT ملی اسرائیل وظایف زیر را دارد:

  • پاسخ و بررسی حوادث سایبری و امنیت اطلاعات در رژیم صهیونیستی و ارائه ارزیابی‌ها و توصیه‎های کیفی
  • ترویج و توسعه فعالیت‎های پیشگیرانه سایبری، نظیر افزایش آگاهی عمومی.
  • ایجاد بستری مناسب برای هماهنگی و همکاری میان بخش‎های اطلاعاتی، صنایع، دولت و همکاران بین‌المللی در هنگام مواجه با حوادث و حملات سایبری.

طبق ادعای سایت CERT-IL یکی از ویژگی‌های منحصربه‌فرد این مجموعه جدا بودن بخش‌های آن در عین یکپارچه بودن است، مفهومی تحت عنوان Sectorial؛ بدین معنا که این مجموعه از ۵ زیرمجموعه تشکیل شده که هرکدام از حوزه‌های تخصصی خود در اقتصاد و صنعت و ... فعالیت می‌کنند.

پرونده: تیم‌های پاسخ فوری رایانه‌ای (CERT)
نمایی از دفتر کار CERT-IL

به‌عنوان‌مثال CERT ملی اسرائیل دارای یک بخش در حوزه انرژی است و به‌صورت تخصصی تمام زیرساخت‌های این حوزه را پایش می‌کند و یا زیرمجموعه‌ای به نام FC3 که خدماتی را در حوزه شرکت‌ها و نهادهای اقتصادی ارائه می‌دهد. در کل چهار زیرمجموعه CERT ملی اسرائیل مراکزی هستند که با همکاری وزارتخانه‌های دولتی مربوطه راه‌اندازی شده‌اند و راه حل‌هایی برای تهدیدات سایبری مخصوص بخش‌های مرتبط با خود را ارائه می‌دهند:

1.بخش مالی

2.بخش دولتی

3.بخش امنیت عمومی

4.بخش انرژی.

همچنین قرار است طی دو سال آینده مراکزی در زمینه ارتباطات، حمل‌ونقل و محیط‌زیست ایجاد شود.

CERT ملی اسرائیل مدعی است که نسل جدید از CERTها در سراسر جهان است که به‌خاطر رویکرد و شیوه مواجه خاص آنان با حوادث و حملات سایبری است. آنها اسم این رویکرد را رویکرد پیش فعالانه یا Proavtive می‌نامند و در توضیح این رویکرد مثال نرم‌افزار ناوبری Waze را می‌زنند که پیش از رسیدن فرد به مسیری که دارای ترافیک (خطر) است به آنها هشدار داده و مسیر با ترافیک کمتر (خطر کمتر) را پیشنهاد می‌دهد. CERT-IL معتقد است که از این طریق عملکرد بسیار مثبتی داشته است و توانسته نسل جدیدی از این مراکز را ارائه دهند. اقدامات دیگر این مرکز ایجاد راه‌های مختلف برای ارتباط عمومی نظیر سرشماره ۱۱۹ برای ارتباط مستقیم و طراحی شبکه اجتماعی مختص امنیت سایبری به نام CYBER-NET که از این طریق میزان گزارش‌ها و همچنین سرعت و دقت آنها را بالا برده است.


پرونده: تیم‌های پاسخ فوری رایانه‌ای (CERT)پرونده: تیم‌های پاسخ فوری رایانه‌ای (CERT)
مرکز ماهر - CERT ملی ایران

طبق اطلاعات موجود در نشانی رسمی مرکز ماهر:

باتوجه‌به اهمیت پاسخگویی به رخدادهای فضای تبادل اطلاعات و ایجاد مراکز امداد و هماهنگی عملیات رایانه‌ای که در اکثر کشورها تحت عنوان مراکز CERT انجام شده است، مرکز ماهر به‌عنوان CERT ملی ایران در سال 87 ایجاد و در سطح ملی فعالیت گسترده‌ای را برای پیشگیری و مقابله با حوادث فضای تبادل اطلاعات به عهده دارد.

اهداف این مرکز شامل:

  • ایجاد یک نقطه کانونی در سطح ملی برای انجام فعالیت‌های هماهنگ راهبری حوادث فضای تبادل اطلاعات بر اساس تقسیم‌کار ملی شورای‌عالی فضای مجازی
  • ظرفیت‌سازی پاسخ به حوادث فضای مجازی در کشور
  • تبادل تجربیات و تحلیل پاسخ‌گویی به رخدادها
  • کمک به تشکیل گروه‌های CSIRT در سازمان‌ها، شرکت‌ها و مراکز دولتی و خصوصی
  • تسهیل ارتباط میان گروه‌های همسو و سازمان‌های مرتبط در راستای به اشتراک‌گذاری اطلاعات مرتبط با امنیت فضای مجازی
  • توسعه مکانیسم‌های امن ارتباطی برای ارتباط مطمئن بین گروه‌ها
  • عضویت در گروه‌های بین‌المللی و تشکیل کانون تعاملات بین‌الملل برای مقابله با تهدیدات مشترک
  • ارائه تحلیل‌های ملی مرتبط با امنیت سامانه‌ها و تهدیدات مهم
  • کمک به ارزیابی مداوم امنیت در فضای تبادل اطلاعات
  • انتقال دانش از طریق برگزاری دوره‌های آموزشی
  • ایجاد ارتباط و همکاری با سایر گروه‌های CERT در سطح ملی، منطقه‌ای و بین‌الملل
  • برگزاری نشست، سمینار و همایش در راستای مقابله با حوادث فضای مجازی
  • همکاری با مراجع مربوطه در خصوص تدوین و تصویب قوانین، مقررات و خط مشی‌های تأثیرگذار بر توسعه ظرفیت مقابله با حوادث در فضای مجازی

 

پرونده: تیم‌های پاسخ فوری رایانه‌ای (CERT)

یکی از اقدامات هوشمندانه و مناسب در زمینه تأمین امنیت سایبری کشور، ایجاد و احداث مراکز آپا در تمامی دانشگاه‌های دولتی است. آپا مخفف آگاهی‌رسانی، پشتیبانی و امداد است که هسته اولیه این مراکز در سطح دانشگاه‌ها با بنیانی کاملاً علمی پی‌ریزی شده است. مرکز ماهر با ارتباط مستمر با این مراکز ضمن پایش استانی و نقطه‌به‌نقطه کشور با تبادل اطلاعات و دانش نسبت به هم‌افزایی تمامی تیم‌های امنیت سایبری کشور مبادرت می‌ورزد.

با این حال، عملکرد مرکز ماهر و متولیان سایبری کشور نقاط تاریکی نیز دارد. به عنوان مثال، طبق ادعای وزیر ارتباطات در سال 96، تربیت ۱۰ هزار نیروی متخصص امنیت سایبری از طریق مراکز آپا سراسر کشور در دستور کار قرار گرفت[11]. اما با گذشت 4 سال این وعده همچنان تحقق نیافته است. متاسفانه باید گفت که بسیاری از طرح‌های حوزه امنیت سایبری در کشور ما بیشتر در حد شعار باقی می‌ماند. مراکز آپا نیز در سال‌های گذشته با مشکل رشد کیفی و فنی مواجه بوده‌اند و متأسفانه در برخی دانشگاه‌ها تنها ساختار اولیه این مراکز شکل گرفته و عملکرد مناسبی ندارند.

نکته حائز اهمیت ضرورت رشد و ارتقای کیفیت این مراکز است. مرکز ماهر نیز علاوه بر رشد و توسعه در بخش‌های مختلف لازم است نسبت به افزایش سرعت عمل پاسخ‌گویی در برابر حملات سایبری و رصد دائمی زیرساخت‌ها، اقدامات جدی داشته باشد. اتفاقاتی نظیر حمله به ۳۵۰۰ روتر در داخل کشور، نشت اطلاعات از سرورهای تپ سی و برخی پیام‌رسان‌ها داخلی، حمله سایبری به بندر شهید رجایی و سازمان بنادر و کشتیرانی و وزارت راه و شهرسازی زنگ هشدار جدی‌ای برای عملکرد این مرکز بوده است. درگیری بین متولیان اصلی امنیت سایبری در کشور، مرکز ماهر و مرکز افتا ازجمله علل نابسامانی امنیتی در فضای سایبری کشور به برشمرده می‌شود.

 

پرونده: تیم‌های پاسخ فوری رایانه‌ای (CERT)

 

___________________

منابع:



https://whatis.techtarget.com/definition/CERT-Computer-Emergency-Readiness-Team

[۲]https://www.apk-group.net/blog/article/security-operations/۲۵۶-cert-csirt-۲

[۳]https://www.cisa.gov/cyber-resource-hub

[۸]https://en.wikipedia.org/wiki/Cybersecurity_and_Infrastructure_Security_Agency

[۹]https://us-cert.cisa.gov/

[۱۰]https://il-cert.org.il/

[۱۱]https://www.mojnews.com/fa/tiny/news-۱۹۱۵۲۲