کنترل های امنیتی CIS نسخه ۸

CIS Controls version 8

CIS Controls (که پیش تر با نام Critical Security Controls شناخته می شد) مجموعه ایی از اقدامات و کنترل های پیشنهادی برای دفاع سایبری و امن سازی می باشد که روش های خاص و قابل اجرا به منظور جلوگیری از وقوع گسترده ترین و خطرناک ترین حملات ارائه می نماید.

نسخه ۸ از CIS Controls در ۱۸ مه ۲۰۲۱ (۲۸ اردیبهشت ۱۴۰۰) ارائه گردید که تغییرات آن نسبت به نسخه قبل در شکل زیر نشان داده شده است.

 در ادامه به تشریح ۴ کنترل نخست از نسخه ۸ کنترل های CIS پرداخته شده است:

  • کنترل شماره ۱ – فهرست موجودی و کنترل دارایی های سازمانی

کلیه دارایی های متصل به زیرساخت سازمان (شامل تجهیزات مورد استفاده توسط کاربر نهایی از جمله تجهیزات قابل حمل و سیار، تجهیزات شبکه، دستگاه های غیرمحاسباتی/اینترنت اشیا (IOT) و سرورها) و همچنین دارایی  های موجود در محیط ابری می بایست از سوی مدیران و افراد مربوطه، به منظور شناسایی کلیه دارایی های سازمانی که نیاز به پایش و محافظت دارند،  به صورت فعالانه مدیریت گردند. شایان ذکر است اتصال این دارایی ها به زیرساخت سازمان می تواند به صورت فیزیکی، مجازی، از راه دور و یا از طریق سرویس های ابری انجام پذیرد. همچنین سازمان ها می بایست از این موضوع مطلع باشند که کنترل بر روی دارایی ها با هدف نظارت بر امنیت دارایی ها، واکنش به رویدادها و رخدادهای امنیت سایبری، پشتیبان گیری و بازیابی سیستم ها صورت می پذیرد.

همچنین به منظور پیشگیری از نفوذ مهاجمین، لازم و ضروری است پیکربندی تجهیزات شبکه و سیستم های رایانه ای به درستی انجام گیرد. درهمین راستا بایستی سیستم مدیریت رخداد و حوادث و همچنین سامانه ثبت لاگ در سازمان فعال و به روز باشند.

یکی دیگر از تهدیدات و چالش هایی که اکثر سازمان ها با آن مواجه هستند، ورود تجهیزات غیرمجاز و همچنین دستگاه های قابل حمل کارکنان (از قبیل لپ تاپ، هارد اکسترنال و حافظه فلش) به سازمان می باشد که همین امر می تواند برای سازمان مخاطرات امنیتی جدی به همراه داشته باشد. از این رو می بایست تمهیداتی برای مقابله با این مخاطره در سازمان، از سوی مدیران اندیشیده شود. برای رعایت این کنترل امنیتی بایستی موارد زیر پیاده سازی شوند:

  1. فهرست اموال دقیق، کامل و به روزی از دارایی های سازمان ایجاد و از آن نگهداری گردد.
  2. فرآیند و روالی برای بررسی و رسیدگی به دارایی های غیر مجاز در سازمان به صورت دوره ای در نظر گرفته شود. بر اساس این روال ممکن است سازمان در مواجهه با دارایی غیرمجاز اقدام به حذف آن از شبکه سازمان، جلوگیری از اتصال راه دور آن به شبکه یا قرنطینه آن نماید.
  3. از ابزارهای پویشگر فعال (Active)  برای کشف و شناسایی دارایی های متصل به شبکه سازمانی استفاده گردد. این ابزارها باید به نوعی پیکربندی شود که به صورت روزانه یا در فاصله های زمانی کمتر اجرا گردد.
  4. برای به روز رسانی لیست دارایی های سازمان، از رویدادنگاری DHCP بر روی تمامی سرورهای DHCP یا ابزارهای مدیریت آدرس IP به صورت هفتگی یا به طور مکرر استفاده نمایید.
  5. از ابزارهای پویشگر غیرفعال (Passive) برای کشف و شناسایی دارایی های متصل به شبکه سازمان استفاده نمایید.

کنترل شماره ۲ – فهرست موجودی و کنترل دارایی های نرم افزاری

این دارایی ها شامل سیستم عامل ها و نرم افزارهای مورد استفاده در شبکه می باشند. مدیران و افراد مربوطه بایستی بر روی نصب و اجرای نرم افزارها نظارت کرده و از نصب و اجرای نرم افزارهای غیرمجاز و مخرب جلوگیری کنند.

فهرست موجودی دارایی های نرم افزاری با هدف پیشگیری از حملات تهیه می گردد. مهاجمین به طور مداوم سازمان های مختلف را مورد هدف قرار می دهند که یکی از راه های نفوذ، سوء استفاده از آسیب پذیری های موجود در نرم افزار مورد استفاده سازمان می باشد. به عنوان مثال، اگر یک کاربر وارد یک وب سایت شده و فایلی مخرب از آن دانلود کند و بر روی سیستم خود نصب و اجرا نماید، مهاجم می تواند با استفاده از آن فایل مخرب اقدام به ایجاد در پشتی (Backdoor) نموده و در ادامه پس از نفوذ به سیستم کاربر به تمامی سیستم ها، سرورها و تجهیزات سازمان نفوذ کند.

راه حل این موضوع کنترل و نظارت بر روی دارایی‌های نرم افزاری و به روزرسانی نرم افزارها و اعمال وصله های امنیتی مربوط به آنها می باشد. برای رعایت این کنترل امنیتی بایستی موارد زیر پیاده سازی شوند:

  1. فهرست اموال دقیق، کامل و به روزی از دارایی های نرم افزاری سازمان ایجاد و از آن نگهداری گردد.
  2. اطمینان حاصل گردد که نرم افزارهای مورد استفاده در سازمان، مجاز و قابل پشتیبانی هستند.
  3. به دارایی های نرم افزاری غیر مجاز که می توانند خطر ساز باشند، بررسی و رسیدگی شود. اطمینان حاصل گردد که نرم افزار غیرمجاز یا از دارایی های شرکت حذف شده یا در صورت نیاز به استفاده، یک مجوز استثنای مکتوب داشته باشد.
  4. در صورت امکان از ابزارهای خودکار برای کشف و مستندسازی نرم افزارهای نصب شده در سازمان استفاده شود.
  5. فهرستی از نرم افزارهای مجاز که قابل استفاده و اجرا برای کاربران در سازمان می باشند، ایجاد گردد.
  6. فهرستی از کتابخانه ها و فایل های مجاز که قابل استفاده و اجرا برای کاربران در سازمان می باشند، ایجاد گردد.
  7. فهرستی از script های مجاز که قابل استفاده و اجرا برای کاربران در سازمان می باشند، ایجاد گردد.

کنترل شماره ۳ – حفاظت از داده های سازمان

حفاظت از داده ها شامل بخش هایی از قبیل شناسایی، طبقه بندی، کنترل و نگهداری ایمن داده ها می شود. امروزه حفاظت از داده ها به امری مهم تبدیل شده است، این داده ها می تواند اطلاعات ثبتی سازمان، اطلاعات مالی، اطلاعات پرسنل، اطلاعات مشتریان و غیره باشد که مهاجمین با نفوذ به شبکه ی سازمان، قصد تخریب یا استخراج این اطلاعات را دارند.

بایستی در سازمان تمامی عملیات انتقال و ذخیره سازی داده ها از سوی مدیران و افراد مربوطه مورد پایش قرار گیرد و داده ها در تمامی این موارد به صورت رمزنگاری شده و مبهم باشند. از دیگر وظایف مدیران سازمان، نظارت بر روی ترافیک داخلی شبکه می باشد تا در هنگام نفوذ و استخراج داده توسط مهاجمین، از آن مطلع و از انجام آن جلوگیری کنند. همچنین مدیران سازمان می بایست از این موضوع باید آگاه باشند که نشت اطلاعات در بعضی از مواقع، توسط خود پرسنل سازمان و با استفاده از تجهیزات قابل حمل از قبیل حافظه فلش صورت می پذیرد. برای رعایت این کنترل امنیتی بایستی موارد زیر پیاده سازی شوند:

  1. فرآیند و روالی برای مدیریت و حفاظت از داده ها در سازمان پیاده سازی و اجرا گردد.
  2. فهرست اموال دقیق، کامل و به روزی از داده های سازمان را ایجاد و از آن ها نگهداری کنید.
  3. پیکربندی کنترل دسترسی و لیست دسترسی افراد به داده ها براساس نیاز میزان نیاز هر کاربر به اطلاعات صورت پذیرد.
  4. مدیریت و حفاظت از داده ها می بایست براساس روال مدیریت داده های سازمان انجام پذیرد.
  5. استفاده از راهکار امن برای امحا داده ها و اطلاعات تا نشت اطلاعاتی صورت نگیرد.
  6. می بایست داده های حساس بر روی دستگاه کاربر نهایی رمزنگاری گردد.
  7. یک رویه و قالب طبقه بندی داده برای سازمان خود ایجاد و نگهداری کنید. سازمان ها ممکن است از برچسب هایی نظیر “حساس” ، “محرمانه” و “عمومی” برای طبقه بندی داده های خود استفاده کنند.
  8. جریان داده در سازمان را مستند نمایید. مستندات جریان داده شامل جریان های داده ارائه دهنده خدمات بوده و  می بایست مبتنی بر فرآیند مدیریت داده های سازمان باشد.
  9. کلیه اطلاعات موجود بر روی تجهیزات قابل حمل به مانند USB می بایست رمزگذاری گردد.
  10. در هنگام انتقال اطلاعات حساس می بایست کلیه اطلاعات با استفاده از پروتکل های امن به مانند SSL/TLS وSSH رمزگذاری گردد.
  11. داده ها بایستی در حالت بلا استفاده یا استراحت نیز بر روی سرورها، برنامه ها و پایگاه های داده به صورت رمزگذاری شده باشند.
  12. پردازش و ذخیره سازی داده ها را براساس حساسیت داده ها تقسیم بندی نموده و داده های حساس سازمان را بر روی دارایی های با حساسیت پایین تر سازمان پردازش و ذخیره سازی ننمایید.
  13. از راهکارهای خودکار پیشگیری از دست دادن داده ها (DLP) برای شناسایی کلیه داده های حساس ذخیره شده، پردازش شده یا منتقل شده از طرق دارایی های سازمان استفاده نمایید.
  14. لاگ های مربوط به دسترسی و تغییرات در داده های حساس سازمان را ثبت و پایش نمایید.

کنترل شماره۴ – پیکربندی امن دارایی های سازمانی و نرم افزار ها

 طبق توضیحات بیان شده در کنترل های پیشین، دارایی های سازمانی شامل دستگاه های مورد استفاده کاربر نظیر رایانه، موبایل و دارایی های دیگری به مانند سرورها و تجهیزات شبکه و همچنین تجهیزات اینترنت اشیا (IOT) می شوند و دارایی های نرم افزاری شامل سیستم عامل ها و نرم افزارهای مورد استفاده در شبکه می باشند. موضوع این کنترل پیکربندی امن و صحیح این دو نوع از دارایی سازمان می باشد.

طبق بررسی های انجام شده، تقریبا تمامی تولیدکنندگان و عرضه کنندگان محصولات و تجهیزات در حوزه ی فناوری اطلاعات محصولات و تجهیزات خود را در قالب تنظیمات پیش فرض به مشتریان ارائه می نمایند که این کار معمولا با هدف سهولت کاربران صورت می پذیرد. تنظیمات پیش فرض عموما شامل سرویس ها و پورت های باز، حساب های کاربری یا رمز های عبور پیش فرض، تنظیمات DNS از قبل پیکربندی شده، پروتکل های قدیمی و آسیب پذیر و نصب نرم افزار های غیر ضروری می باشد که همین امر موجب بروز آسیب پذیری متعدد بر روی محصولات شده و مهاجمین با بهره برداری و سوءاستفاده از این تنظیمات پیش فرض اقدام به نفوذ و دسترسی به سیستم ها و سرورهای سازمان می کنند.

از این قبیل مشکلات در سازمان ها و سازمان های خدمات دهنده سرویس نیز رخ می دهد برای مثال بسیاری از شرکت های ارائه دهنده خدمات ابری ممکن است در ارائه خدمات خود اشتباهاتی به مانند حساب یا گذر واژه پیش فرض، دسترسی نامحدود و سرویس هایی با پیکربندی پیش فرض در ارائه خدمات انجام دهند که مخاطراتی برای سازمان های دریافت کننده خدمات به همراه دارد.

برای جلوگیری از بروز این مخاطرات، مدیران و افراد مربوطه بایستی پیکربندی امن و صحیح دارایی های سازمانی و نرم افزاری و بروز رسانی آنها را به صورت مداوم و دوره ایی انجام دهند. برای رعایت این کنترل امنیتی بایستی موارد زیر پیاده سازی شوند:

  1. فرآیند و روالی برای پیکربندی امن و صحیح دارایی ها در سازمان پیاده سازی و اجرا گردد.
  2. فرآیند و روالی برای پیکربندی امن و صحیح برای زیرساخت شبکه در سازمان پیاده سازی و اجرا گردد.
  3. برای کلیه دارایی های سازمان خط مشی قفل خودکار و انقضای نشست کاربران در صورت عدم فعالیت آن ها در مدت زمانی مشخص به مانند بیش از ۱۰ الی ۱۵ دقیقه فعال گردد.
  4. فایروال را بر روی سرورها (در صورت پشتیبانی) پیاده سازی، پیکربندی و مدیریت نمایید.
  5. فایروال را بر روی تجهیزات کاربران نهایی پیاده سازی، پیکربندی و مدیریت نمایید.
  6. از پروتکل های امن شبکه به مانند HTTPS و SSH برای مدیریت از راه دور دارایی‌ها استفاده نمایید.
  7. کلیه حساب های کاربری پیش فرض مدیریت (برای مثال حذف و یا غیرفعال کردن حساب ها) گردد.
  8. سرویس ها و نرم افزارهای بلا استفاده در سازمان و شبکه را حذف و غیرفعال نمایید.
  9. سرورهای  DNSمورد اعتماد و معتبر را بر روی دارایی های سازمان پیکربندی نمایید.
  10. خط مشی قفل خودکار را بر روی تجهیزات قابل حمل کاربران نهایی (به مانند USB) اعمال نمایید.
  11. قابلیت حذف از راه دور اطلاعات را بر روی تجهیزات قابل حمل کاربران نهایی (به مانند گوشی های موبایل) را فعال نمایید تا در صورت سرقت این تجهیزات امکان امحا از راه دور اطلاعات سازمانی موجود بر روی این تجهیزات میسر باشد.
  12. فضای کاری و حساب کاربری مجزایی برای دسترسی به اطلاعات سازمانی بر روی تلفن همراه کاربران (در صورت پشتیبانی) ایجاد نمایید. برای این منظور می توان از Apple® Configuration Profile  یا  Android™ Work Profileبرای جداسازی برنامه ها و داده های سازمانی از برنامه ها و داده های شخصی استفاده کرد.

تدوین: مهندس امین اسفندیاری

در بخش های آتی موارد باقی مانده از کنترل های امنیتی CIS بررسی خواهد شد.

توصیه‌هایی برای پیشگیری از پاندمیک سایبری آتی

توصیه هایی برای پیشگیری از پاندمیک سایبری آتی

  • پیشگیری بلادرنگ

همانطور که در علم پزشکی و مراقبت‌های حوزه سلامت آموخته‌ایم، واکسیناسیون برای پیشگیری از گسترش عفونت و بیماری بسیار بهتر و کارآمدتر از درمان پس از ابتلا به عفونت می‌باشد. همین امر در مورد امنیت سایبری نیز مصداق دارد. پیشگیری بلادرنگ، سازمان شما را در وضعیت بهتری برای مقابله با پاندمیک‌های سایبری آتی قرار می‌دهد.

اغلب سازمان‌هایی که بر پیشگیری از تهدیدات ناشناخته و روز صفر تاکید دارند، می‌توانند در نبرد امنیت سایبری پیروز باشند. آمارها و گزارشات نشان می‌دهد که حملات ناشی از تهدیدات ناشناخته، مخاطرات جدی برای کسب‌وکارها به همراه داشته و متاسفانه باید گفت که پیشگیری از آنها نیز بسیار دشوار است. به همین دلیل بسیاری از کسب‌و‌کارها به محافظت از طریق تشخیص(Detection-Only Protection) متوسل می‌شوند. برخی از این سازمان‌ها به مانیتورینگ رویدادها و شکار تهدیدات توسط تیم‌های مرکز عملیات امنیت(SOC) به منظور شناسایی حملات امنیت سایبری، پس از نفوذ به سیستم‌های خود، متکی بوده و هیچ اقدام پیش‌دستانه‌ای در راستای حفاظت از دارایی‌های خود انجام نمی‌دهند. اما باید گفت که این راهکار، یک استراتژی بسیار ناکارآمد می‌باشد. به همین منظور می‌بایست الزامات استراتژیک برای سازمان‌ها با هدف پیشگیری از حملات سایبری، پیش از ایجاد شکاف و نفوذ به سیستم‌های سازمانی تدوین ‌گردد.

  • همه چیز سازمان خود را امن نمایید.

دومین توصیه این است که کلیه اجزای سازمان به درستی امن‌سازی شود. انجام هر بخش از این زنجیره مهم و ضروری می‌باشد. رویکرد متداول جدیدی که پس از پاندمی COVID-19 مرسوم گردید، نیازمند آن است که سازمان‌ها کلیه سطوح امنیتی و رابطه تمام زیرساخت‌ها و فرآیندهای شبکه‌ای و همچنین عدم انطباق تجهیزات نقاط پایانی و سیار متصل  شده و نیز تجهیزات IoT در حال گسترش خود را مورد بازبینی و بررسی مجدد قرار دهند. بنابراین لازم و ضروری است تا سازمان‌ها به منظور کاهش میزان مخاطرات امنیتی و محدودسازی تاثیر مخرب این مخاطرات بر روی دارایی‌های خود، نگاه ویژه‌ای به امن-سازی دارایی‌های اطلاعاتی، فرآیندی و فیزیکی خود داشته باشند.

  • تلفیق و میدان دید

تغییرات چشم‌گیر در زیرساخت‌های سازمان، فرصتی منحصر به فرد برای ارزیابی سرمایه‌گذاری‌های امنیتی سازمان فراهم می‌نماید. برای انجام این ارزیابی سوالاتی از قبیل سوالات زیر مطرح می‌گردد که می‌بایست به آنها پاسخ داده شود:

  • آیا واقعا به آنچه نیاز دارید، رسیده‌اید؟
  • آیا راه‌حل‌های مد نظر شما از دارایی‌های شما به درستی محافظت می‌نمایند؟
  • آیا حوزه‌ای وجود دارد که از آن غافل شده باشید؟

منظور از میدان دید  در سازمان یعنی داشتن تصویر کاملی از وضعیت امنیتی سازمان می‌باشد. بالاترین سطح دید موجود بر روی وضعیت شبکه سازمان، که از طریق تلفیق  بدان رسیده‌اید، اثربخشی امنیتی لازم برای پیشگیری از حملات پیچیده سایبری را برای آن سازمان تضمین خواهد نمود. مدیریت یکپارچه و ریسک‌پذیری، معماری امنیتی سازمان را تکمیل می‌نماید.

  • امنیت براساس اعتماد صفر مطلق (به هیچکس اعتماد نداشته باشید)

با وجود تهدیدات سایبری در داخل و خارج محدوده امن سازمان، اتخاذ رویکرد امنیتی Zero Trust (اعتماد صفر) برای محافظت از داده‌های تجاری در هر مکانی لازم و ضروری می‌باشد. در سرتاسر صنعت، متخصصان امنیتی به مفهوم امنیت براساس اعتماد صفر (Zero Trust Security) روی آورده‌اند: به هیچ دستگاه، کاربر، بار کاری یا سیستمی چه در داخل و چه در خارج محدوده امن نباید اعتماد کرد.

با این حال، طراحی یا بازسازی زیرساخت‌های امنیتی سازمان براساس رویکرد اعتماد صفر با استفاده از راهکارهای خاص منظوره، اغلب منجر به پیدایش پیچیدگی‌هایی در استقرار و مدیریت آنها و ایجاد شکاف-های اساسی می‌گردد. می‌بایست در هر سازمانی یک رویکرد عملی و جامع برای پیاده‌سازی اعتماد صفر مبتنی بر معماری امنیت سایبری تلفیقی، ایجاد گردد که طیف گسترده‌ای از عملیات و راهکارهای امنیتی را با هم تلفیق نموده و سازمان را قادر به پیاده‌سازی تمامی هفت اصل مدل امنیتی توسعه یافته اعتماد صفر (شامل شبکه‌ها، بارهای کاری ، افراد، داده، تجهیزات، قابلیت مشاهده و تجزیه و تحلیل، خودکارسازی و تنظیم  اعتماد صفر) ‌نماید.

  • هوش تهدیدات سازمان خود را همواره به روز نگهدارید.

بدافزارها به طور مداوم در حال تکامل می­باشند که این امر، هوش تهدید[۱] را به ابزاری حیاتی برای اکثر شرکت­ ها وسازمان­ ها تبدیل کرده است. زمانیکه سازمانی دارایی­ های مختلفی از قبیل دارایی­ های مادی، شخصی، فکری یا ملی داشته باشد، در اختیار داشتن رویکرد جامع­تر به امنیت تنها راه محافظت در برابر مهاجمان امروزی است. امروزه یکی از موثرترین راهکارهای امنیتی پیشگیرانه، هوش تهدید می­باشد. هوش تهدید با ترکیب اطلاعات از چندین منبع، یک سپر محافظتی بسیار موثر برای شبکه سازمان فراهم می­نماید. امروزه بسیاری از سازمان­ها به خوبی لزوم استفاده از ابزارهایی مانند هوش تهدید در معماری امنیتی خود را درک کرده­اند.

برای پیشگیری از حملات روز صفر، سازمان­ها در گام نخست نیاز به ابزار هوش تهدید دقیق و بلادرنگی دارند که اطلاعات لحظه­ای را در مورد جدیدترین بردارهای حمله[۲] و تکنیک های هک فراهم می­نماید. هوش تهدید بایستی تمام سطوح حمله[۳] در حوزه فناوری اطلاعات از قبیل Cloud، موبایل، شبکه، endpoint ها و IOT را پوشش دهد چرا که وجود این بردارها در یک سازمان بسیار عادی و معمول می­باشد. به منظور تداوم کسب­وکار، سازمان­ها نیاز به اطلاعات جامع برای توقف پیش­دستانه تهدیدات، مدیریت خدمات امنیت به منظور مانیتورینگ شبکه سازمان و رسیدگی به رخداد به منظور واکنش سریع به حملات و رفع آنها دارند. بنابراین لازم و ضروری تا سازمان­ها نگاه ویژه­ای به موضوع هوش تهدید و به­روز نگهداشتن اطلاعات آن داشته باشند.


[۱] Threat Intelligence

[۲] Attack Vectors

[۳] Attack Surfaces

تدوین : مهندس مسعود نوریزاده


عناوین مختلف سازمان های CSIRT

در طی سال‌ها، انواع نام‌ها و عناوین به سازمان‌های CSIRT داده شده است.

این عناوین عبارتند از:
• CSIRT: تیم واکنش به رخدادهای امنیتی رایانه‌ای

• CSIRC: قابلیت یا مرکز واکنش به رخدادهای امنیتی رایانه‌ای

• CIRC: قابلیت یا مرکز واکنش به رخدادهای رایانه‌ای

• CIRT: تیم واکنش به رخدادهای رایانه‌ای

• IHT: تیم رسیدگی به رخدادها

• IRC: مرکز واکنش به رخدادها یا قابلیت واکنش به رخدادها

• IRT: تیم واکنش به رخدادها

• SERT: تیم واکنش به فوریت‌های امنیتی

• SIRT: تیم واکنش به رخدادهای امنیتی

. ERC: تیم پاسخگویی فوری

. ERT: توانایی پاسخگویی فوری

برخی تیم‌ها بسته به ساختار سازمان، عنوان و حوزه اختیارات گسترده‌تری دارند که از جمله آنها می‌توان به تیم امنیت، تیم مدیریت بحران یا حتی تیم استقامت اشاره کرد.
CERT نام دیگری است که توسط سازمان‌های مختلفی مورد استفاده قرار می‌گیرد، به خصوص در کشورهایی که قابلیت هماهنگی مدیریت متمرکز رخدادها را راه‌اندازی کرده‌اند. CERT نشان خدماتی ثبت‌شده‌ای از دانشگاه کارنگی ملون است که توسط مؤسسه مهندسی نرم‌افزار (SEI) استفاده شده و در ارتباط با مرکز هماهنگی CERT (CERT/CC) آن قرار دارد. CERT/CC به منظور ارائه خدمات واکنش به رخداد به قربانیان حملات، اعلام هشدار در رابطه با آسیب‌پذیری‌ها و تهدیدها و ارائه اطلاعات دیگر برای کمک به بهبود امنیت شبکه و رایانه، به مطالعه در حوزه امنیت رایانه و شبکه می‌پردازد. به علاوه، این دانشگاه نشان تجارتی CERT را برای دیگر تیم واکنش به رخدادهای امنیتی رایانه‌ای نیز صادر می‌کند.
اما همه این عناوین به سازمان‌های مشابهی اشاره دارند. سازمان‌هایی که برای مشتریانی تعریف‌شده، خدمات و پشتیبانی مرتبط با جلوگیری، رسیدگی و واکنش به رخدادهای امنیتی رایانه‌ای ارائه می‌دهند. اگرچه ممکن است هدف و ساختار این سازمان‌ها متفاوت باشد، اما برای تشخیص، تحلیل و فرونشاندن رخدادهای امنیتی رایانه‌ای از کارکردهای مشابهی برخوردارند. این مسئله، محافظت از دارایی‌ها و داده‌های حیاتی کسب‌وکار و همچنین رسیدگی به رخدادها به شیوه‌ای قابل تکرار و کیفیت محور را تضمین می‌کند.

۶ مرحله برای واکنش به رخداد طبق توصیه SANS

مؤسسه SANS برای کمک به سازمان‌ها در زمینه واکنش به رخدادها، چارچوبی شش مرحله‌ای ایجاد کرده است که از کشف اولیه نفوذ تا تحقیقات پس از رخداد را در برمی‌گیرد.

۱٫ آماده‌سازی
تثبیت و استقرار سیاست‌های امنیتی، تعریف یک استراتژی واکنش با تمام جزئیات، تعیین کسانی که در CIRT فعالیت می‌کنند و تهیه ابزارهای لازم را پوشش می‌دهد.

۱٫ شناسایی و تعیین محدوده
شناسایی و تعیین محدوده رخدادها در آن تشخیص داده می‌شود. کشف سریع رخدادها، کنترل خسارت و هزینه‌های ناشی از نفوذ را آسان‌تر خواهد کرد. این معمولا توسط کارکنان بخش IT انجام می‌گیرد که از فایل‌های لاگ، پیام‌های خطا و ابزارهای پایش برای تعیین چگونگی، مکان و زمان وقوع رخداد استفاده می‌کنند. زمان توقف- یعنی بازه زمانی بین کشف رخداد و برطرف کردن آن- می‌تواند برای سازمان‌هایی که در موقعیت‌های مکانی مختلف قرار دارند، متفاوت باشد. از آنجایی که شناسایی فوری برای به دست آوردن نتیجه مثبت ضروری است، شرکت‌هایی که در مناطق مختلف جهان واقع شده‌اند باید در زمان طراحی برنامه‌های واکنش، این موضوع را در نظر داشته باشند.

۳٫ محدودسازی نفوذ/ جمع‌آوری اطلاعات
بر متوقف کردن تهدید به منظور جلوگیری از خسارت‌های آینده و حفظ هرگونه شواهدی تمرکز دارد که ممکن است در جریان پیگیری‌های حقوقی احتمالی مفید واقع شوند. به علاوه، این مرحله تهیه نسخه پشتیبان از سیستم‌ها و اقدامات کوتاه و بلند مدت محدودسازی نفوذ که در مرحله آماده‌سازی پیش‌بینی شده را نیز شامل می‌شود.

۴٫ ریشه‌کن‌سازی/ برطرف‌سازی
که عمده آن بر حذف تهدید موجود از شبکه و بازگرداندن سیستم‌ها به وضعیت پیش از رخداد تمرکز دارد. این کار می‌تواند فوق‌العاده چالش‌برانگیز باشد، زیرا ممکن است داده‌ها در طی رخداد از دست رفته باشد. در این مرحله، همه اطلاعات محرمانه‌ای که دچار آسیب شده باشند، باید بازنشانی شوند. برای اطمینان از بازنشانی مؤثر و اطلاع‌رسانی آن به طرف‌های متأثر از تهدید، باید دقت کافی مبذول شود. پس از مرحله ریشه‌کن‌سازی، سیستم‌ها باید ضمن عاری شدن از هر گونه تهدید، از فایل‌هایی که جدیدا ایجاد شده یا اصلاحات کدها نیز پاکسازی شوند.

۵٫ بازیابی
سیستم‌ها مجددا به عملیات خود بازگشته و سپس برای اطمینان از عملکرد درست، پایش می‌شوند. همچنین این مرحله وابستگی‌ها در سیستم را حل‌وفصل کرده و با استفاده از ابزارهای اعتبارسنجی، داده‌های خروجی را نیز مورد تأیید قرار می‌دهد.

۶٫ تجربیات کسب شده
تجربه‌های کسب‌شده را می‌توان مهم‌ترین مرحله به شمار آورد. CIRT باید همه مراحل قبلی را مجددا مورد بررسی قرار دهد تا اجرای درست آنها را مورد تائید قرار داده و وظایف را برای رخداد بعدی تشریح کند. بینش و تجربه‌ای که از بازبینی کامل آنچه در طی فرآیند واکنش به رخدادها اتفاق افتاده، می‌تواند به عنوان مطالب آموزشی برای آموزش CIRT و معیار مقایسه در آینده مورد استفاده قرار گیرد.