计算机应急响应小组 (CIRT) 做什么？(组成、流程、框架)

计算机应急响应小组 (CIRT) 是一个处理计算机安全漏洞的小组。CIRT 专业人员（包括来自某些部门和专业的团队成员）必须快速管理此类事件，尽管大多数公司都已制定了程序来防止安全问题。

根据此定义，CIRT 是一个拥有明确使命、结构以及职责和责任的有组织实体。任何缺乏明确选民或规定角色和职责的临时或非正式的事件响应行动都排除在此假设之外。

“FIRST CIRT 框架”由事件响应和安全团队论坛发布，该论坛是一个国际事件响应团队组织。这份综合出版物扩展了 20 世纪 80 年代后期计算机应急响应团队协调中心 (CERT/CC) 提供的指南。该框架还描述了 CIRT 可能为选民提供的服务类型，例如信息安全事件管理和事件响应。

CIRT 的组成

CIRT 关注事件，以确保损害不会加剧，并且组织能够在事件中幸存下来。以下人员通常是 CIRT 的成员 -

• 管理团队中拥有领导和决策权的成员。

• INFOSEC 团队的成员，拥有遏制事件、发现原因和设计计算机系统恢复策略所需的知识和经验。

• 了解哪些部分的信息系统和网络受到影响以及是否应限制特定区域的 IT 人员。

• IT 审计员，以验证所有程序是否得到正确处理以及是否已识别任何过时的程序。IT 审计员在事件发生后最有帮助，因为他们负责确定事件发生的原因并制定未来的预防策略。

• 负责物理安全的员工成员，以帮助确定物理损害的范围。

• 您需要一位律师来提供法律建议。

• 人力资源代表，为处理人事困难和事件后程序提供指导。

• 事件发生后，需要公关专业人员正确传达公司信息。

• 出于保险目的，财务审计员将检查发生的损害。

CIRT 遵循的流程

当系统管理员报告可能的安全事件时，CIRT 流程开始。

• 将受损系统与网络隔离 - 除非网络连接可用于评估事件的范围和类型，否则将隔离计算机。

• 证据保存 - 在事件响应团队到位之前，不会与设备进行任何交互，以最大程度地减少证据破坏并优化识别入侵者的机会。

• 组建事件响应团队 - 如果问题需要更多关注，则 CIRT 联系人与报告系统管理员一起组建事件处理团队。该团队在 CIRT 联系人的指导下将 -

  • 调查事件的范围和性质，并评估它是否是一个安全问题，也许可以通过磁盘映像和分析来进行。如果是这种情况，团队会通知执法部门、加州大学圣地亚哥分校大学法律顾问和相关的校园领导。

  • 与系统管理员和执法部门合作，收集适当的证据并评估事件的影响。

  • 与 CIRT 和执法部门会面，为高级管理层准备一份正式报告。该报告描述了事件的性质和范围，以及必须采取的步骤以及为防止类似事件而建议采取的步骤。

系统清理和修复包括以下步骤 - 在提交正式报告后，此过程开始。

• 通知受影响的部门或设备所有者 - 这是根据 ECP 执行的，除非执法部门建议这样做会妨碍调查。IT 政策协调员会就 ECP 通知程序和要求提供建议。

• 评估事件处理方式 - 在强制性通知后，CIRT 和事件处理团队会审查响应和通知程序。

CIRT 的框架

四个基本方面之间的交互为 CIRT 服务提供了基础 -

• 服务领域

• 服务

• 功能

• 子功能

这些组件定义如下 -

服务领域

与共同主题相关的服务组合在一起形成服务领域。它们有助于沿着顶级类别组织服务，以帮助理解和沟通。每个服务领域的规范中都将包含一个“描述”元素，包括一个通用的高级叙述文本，定义服务领域和服务领域内的服务列表。

服务

服务是一组公认的、协调良好的功能，旨在实现特定目标。客户或代表企业利益相关者或为企业利益相关者可能预期或需要此类结果。以下模板描述了一项服务 -

• 描述服务的性质的“描述”字段。

• 描述服务目标的“目的”字段。

• 描述任何可衡量的服务结果的“结果”字段。

功能和子功能

功能是旨在实现特定服务目标的操作或活动组合。任何功能都可以在多个服务中共享和使用。以下模板描述了一个功能 -

• 名为“描述”的字段描述了该功能。

• 描述功能目标的“目的”字段。

• 描述任何可量化的功能结果的“结果”字段。

Pranav Bhardwaj

更新时间： 2022 年 6 月 22 日

560 次浏览

开启你的 职业生涯

通过完成课程获得认证

立即开始