数据结构
网络
关系数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装学
法学网络安全中的计算机应急响应小组 (CERT) 是什么?
计算机应急响应小组 (CERT) 是由处理计算机安全问题的专家组成的团队。另一个名称是计算机应急准备小组或计算机安全事件响应小组 (CSIRT)。网络安全事件响应小组是 CSIRT 首字母缩略词的较新版本。
卡内基梅隆大学 (CMU) 的 CERT 协调中心 (CERT-CC) 在 1988 年创造了“计算机应急响应小组”一词。CMU 已在世界许多地方注册了 CERT 作为商标和服务商标。CMU 鼓励将计算机安全事件响应小组 (CSIRT) 作为处理计算机安全事件的通用首字母缩略词。CMU 向执行 CSIRT 功能的各种实体许可 CERT 商标。
尽管该小组工作的许多组成部分都针对经典的黑客策略(例如病毒和恶意软件),但将 CERT 视为“反病毒小组”过于简化。新型网络攻击不断涌现,安全专业人员必须始终关注这些攻击。CERT 的工作包括广泛的安全措施,这些措施针对的是避免和减少来自任何来源的网络攻击,以及为减少未来类似问题的发生而做出的有效努力。
CSIRT 的主要目的是快速有效地响应计算机安全事件,恢复控制并限制损害。这需要遵循国家标准与技术研究院 (NIST) 制定的事件响应四个阶段:
- 准备阶段
- 检测和分析阶段
- 遏制、根除和恢复阶段
- 事件后活动阶段
CERT 提供的服务列表
以下是计算机应急响应小组提供的服务:
接收成员提交的事件报告
为了让 CSIRT 成员提交事件报告,成员首先必须知道 CSIRT 的存在。成员还必须了解 CSIRT 的工作内容、如何访问其服务以及可以预期的服务和质量水平。因此,CSIRT 必须已定义其目标和服务,向目标受众宣传自身,并提供有关如何请求事件帮助的建议。
分析事件报告以验证和理解事件
收到事件报告后,CSIRT 会检查该报告,以确保确实发生了属于 CSIRT 任务范围内的事件或其他形式的活动。然后,CSIRT 会评估其是否对报告和情况有透彻的了解,以便制定能够实现恢复控制和减少损害目标的首要应对策略。
提供事件响应支持
CSIRT 可以提供事件响应支持,具体取决于其组织方式及其服务。现场事件响应服务;通过电子邮件或电话提供的事件响应服务;或协调事件响应服务,这些服务结合和分配多个成员的多个问题响应团队的工作。
CSIRT 结构
以下是计算机安全事件响应小组的常见结构:
集中式 CSIRT
在集中式 CSIRT 中,单个事件响应小组负责整个组织,并且专门小组拥有所有事件响应资源。对于小型企业或地理位置有限的组织,此策略是理想的选择。
外包 CSIRT
缺乏组建内部 CSIRT 的手段或人员的公司可能会受益于外包 CSIRT。这种 CSIRT 方法包括使用承包商而不是员工来配置内部 CSIRT,以及外包仅偶尔需要的 CSIRT 职责和服务,例如数字取证。
协调 CSIRT
此 CSIRT 负责监督其他 CSIRT,其中许多是下属机构。此 CSIRT 帮助分布式团队协调事件响应行动、信息流和工作流程。协调的 CSIRT 可能无法提供其自身的事件响应服务。相反,它侧重于远程团队如何有效地使用资源。
混合式 CSIRT
混合式 CSIRT 结合了集中式和分布式 CSIRT 的特点。集中式 CSIRT 组件通常是全职的,而分布式组件由主题专家 (SME) 组成,他们仅在必要时参与事件响应活动。在此架构中检测到可能的事件时,集中式 CSIRT 会分析事件并确定响应要求。
CSIRT 成员的技能和职责
以下是 CSIRT 成员的技能和职责:
- 识别入侵者使用的办法和技术
- 使用加密来保护 CSIRT 通信
- 时间管理是一项重要技能
- 评估情况以找到最佳行动方案,跟踪事件和报告
454 次浏览
