Hvad er en CERT Incident?

Indlæg af Hanne Mølgaard Plasc

 

Behovet for CERT'er

At holde en organisations informationsaktiver og netværksinfrastruktur sikret i dagens komplekse og sammenkoblede computermiljø er en enorm udfordring. Verden afhænger af computere i det omfang, at hvis nogen handling hindres , uanset om det er en teknisk fejl eller et ondsindet angreb på et system, kan organisationer stoppe. Ledelsesmedarbejdere ved, at der ikke findes nogen enkelt løsning til sikring af systemer og data, men der kræves en sikkerhedsstrategi, der berører næsten alle dele af organisationen. Et af de lag, som mange organisationer indbefatter i deres strategi, er CERT.

Typiske sikkerhedshændelser

Slutbrugere kan være isolerede, men computernetværk overhovedet står over for hyppige angreb på deres sikkerhed. Disse omfatter skadelig hacking og krakning af en person, et team, en konkurrent eller et land, der forsøger at få uautoriseret adgang til netværket til at stjæle eller ændre data og endda velmenende autoriserede brugere, der begår fejl s, der truer netværkssikkerheden. Generelt er de typer hændelser, som CERT'er normalt reagerer på, inklusiv forsøg fra udenforstående at komme ind i systemet eller få adgang til dets data; afbrydelse eller benægtelse af tjeneste eller enhver aktivitet af udenforstående, der sender så mange transaktioner til et netværk, at de effektivt lukker det for faste brugere; Uautoriseret brug af et system til behandling eller lagring af data og ændringer i systemhardware eller software.

Rapporteringssystemer

CERT'er opretter mange metoder til at registrere sårbarheder i et system, identificere trusler og hændelser og 'triage' reelle problemer for at finde en løsning på dem. Dette begynder ofte med computerens sikkerhedssoftware og et team, der regelmæssigt overvåger systemet og opdateringer og patches-software og huller i sikkerhed. Derudover kræver CERT-hændelser, at træningspersonalet skal være opmærksom på sikkerhedsproblemer, især mindre indlysende former, såsom at dele eller skrive adgangskoder eller tabe organisatorisk udstyr. CERT-hændelser kræver også at oprette politikker og et system, hvorigennem andre kan rapportere problemer til it-teamet.

Hændelseshåndtering

CERT'er har mange tjenester, de kan vælge at byde på. CERT'er adskiller sig i hændelseshåndtering baseret på den mission og det formål, som de blev skabt. CERT'er tilbyder typisk reaktive, proaktive og kvalitetssikringsydelser. Den fleste hændelseshåndtering falder ind under reaktive tjenester, det vil sige, at CERT-hændelser udløser et koordineret svar til at løse et problem. Dette indebærer normalt at tage skridt til at beskytte systemer og netværk, der er berørt eller truet af indbydende aktivitet; tilbyde løsninger og måder at afhjælpe problemer på; overvågning af indtrængende aktivitet på andre dele af netværket filtrering af netværkstrafik; rekonstruktion systemer; opdatering, patching eller reparation af systemer; og udvikle andre løsningsstrategier.

Omfattende model for CERT-hændelser

CERT-hændelser er ikke altid begrænset til IT-teams holdninger. Angreb på computersystemer kan udgøre en alvorlig, ondsindet handling gennem en stor, bred og koordineret indsats eller et bestemt forsøg på at stjæle information. Derfor kan CERT-hændelser muligvis involvere menneskelige ressourcer (især hvis en insider er impliceret), juridisk rådgiver, retshåndhævende myndighed og en organisations eksterne kommunikationsafdeling. CERT-teams kan også være nødt til at dele og forholde sig til store hændelser med andre virksomheder og regeringer agenturer. CERT står for Computer Emergency Response Team, og det samme koncept er også bredt omtalt som CSIRT eller Computer Security Incident Response Team. En CERT-hændelse er enhver handling, enten via elektronisk eller fysisk vej, der krænker eller udgør en trussel mod en computernetværksinfrastruktur. Store virksomheder, universiteter og offentlige myndigheder danner advarselsgrupper til at installere og administrere sikkerhedssystemer, indstille politikker, træne computerbrugere på netværket og løse sikkerhedsproblemer, når de opstår.