CSIRT сервиси

Сервиси које АМРЕС CSIRT служба пружа својим корисницима могу се поделити на:

Реактивни сервиси

Реактивни сервиси представљају реакцију на неки догађај или реакцију на захтев, као што су реакција на ширење вируса, пријава на слање спам порука, реакција на лог податак или скенирање које је детектовано преко IDS (енг. Instrusion Detection System) уређаја или система за надгледање мрежног саобраћаја.

Управљање инцидентима

Сервис подразумева примање, сортирање, категоризацију, анализу и одговор на пријаве инцидената. Реакције које могу уследити су:

  • заштита система и мрежа који су угрожени
  • проналажење решења и стратегије за избегавање инцидената
  • провера остатка мреже од евентуалног ширења инцидента
  • филтрирање саобраћаја
  • опоравак система и инсталирање потребних софтверских додатака (енг. patch)
  • креирање одређених процедура

Под овим сервисом се могу разликовати следеће активности које ће АМРЕС CSIRT спроводити:

  • Анализа инцидената - прикупљање и прегледање свих доступних информација и доказа који су у вези са инцидентом. Сврха анализе је идентификација опсега инцидента, штете која је проузрокована, типа инцидента и могући одговори на инцидент. У оквиру ове активности CSIRT ће покушати да реконструише и документује све догађаје који су довели до безбедносног инцидента. Са друге стране, АМРЕС CSIRT ће настојати да кроз анализу инцидента дође до његовог извора и идентификује програме, уређаје и особе које су одговорне за пријављени инцидент.
  • Реакција на инцидент - АМРЕС CSIRT служба ће пружити техничку помоћ и асистенцију својим корисницима који су угрожени или нападнути током инцидента како би се што пре сви системи оспособили. Асистенција корисницима се одвија преко телефона или имејла.
  • Координација међу учесницима у инциденту - АМРЕС CSIRT ће такође вршити координацију између својих корисника и екстерних институција или особа (на пример Интернет сервис провајдера) који су на било који начин укључени у инцидент. Координација укључује прикупљање контакт података, обавештавање свих учесника у инциденту, прикупљање одређених статистика или информација.

Алармирање

Представља сервис ширења информације о неком безбедносном проблему (нападу, вирусу, црву, спам порукама, итд.) и укључује препоручену процедуру као реакцију на проблем. Аларм се шаље како би CSIRT корисници  били обавештени и како би им се обезбедила препорука за заштиту или опоравак њихових система који су угрожени. Извор алармирања може бити сама CSIRT служба или АМРЕС корисник. Процес алармирања корисника обављаће се преко имејл комуникације или путем телефона, у зависности од тежине инцидента.

Контролисање злонамерних програма

Злонамерни програми представљају било који фајл или објекат на систему који може бити укључен у скенирање или нападање система и мрежа или за онеспособљавање безбедносних система. Злонамерни програми укључују: компјутерске вирусе, тројанце, црве (енг. worms), скрипте и програме за искоришћавање рањивости система или сличне програме и алате.

Овај сервис подразумева примање информација о злонамерним програмима, њихова детекција и анализа њиховог коришћења у случају напада, скенирања или других злонамерних радњи. У оквиру овог сервиса, АМРЕС CSIRT служба ће имати следеће задатке:

  • детекцију злонамерних програма у мрежи под границом његовог деловања
  • идентификацију детектованих злонамерних програма, анализу претње, развој стратегије и помоћ корисницима за његово сузбијање и уклањање
  • праћење детекције и идентификације злонамерних програма на глобалном нивоу и обавештавање корисника преко CSIRT веб-страница
  • препоруке по питању коришћења одређених софтвера за детекцију и уклањање злонамерних програма

Проактивни сервиси

Проактивни сервиси треба да побољшају безбедност ИКТ инфраструктуре пре него што дође до било каквог инцидента. Главни циљ ових сервиса је избегавање безбедносних инцидената, односно смањивање њиховог броја и утицаја.

Праћење технологија

У оквиру овог сервиса, АМРЕС CSIRT службаће имати следеће задатке:

  • праћење информација од стране различитих глобалних и регионалних безбедносних организација и других CSIRT тимова, и преношење информација које би биле значајне за АМРЕС кориснике
  • праћење информација које објављују произвођачи најчешће коришћених рачунарских оперативних система, софтвера и мрежних уређаја АМРЕС корисника, а које се тичу безбедности наведених система
  • праћење информација о развоју нових безбедносних технологија, анти-вирусних софтвера фајервол система (енг. firewall), IDS/IPS система (енг. Instrusion Detection System / Instrusion Prevention System), и сл.

Обавештавање

Овај сервис укључује обавештавање о сигурносним инцидентима, упозорења о могућим рањивостима система и безбедносне препоруке. Ова обавештења треба да информишу кориснике о примени нових безбедносних решења или правила, као и њиховом утицају, утврђеним рањивостима коришћених система од стране корисника или новим нападима детектованим у оквиру АМРЕС мреже.

Информисање корисника од стране АМРЕС CSIRT службе биће изведено путем имејлинг листе која обухвата све АМРЕС кориснике.

Креирање безбедносних препорука и докумената

Овај сервис обухвата креирање препорука за безбедно конфигурисање и одржавање ИКТ инфраструктуре, мрежних уређаја, сервера и сервиса CSIRT корисника. АМРЕС CSIRT тим ће на основу креираних безбедносних препорука радити конфигурацију мрежних уређаја, сервера и сервиса у АМРЕС сервисним центрима. АМРЕС CSIRT ће наведене препоруке објавити на сајту. АМРЕС CSIRT ће понудити саветодавну помоћ својим корисницима при имплементацији наведених препорука.

Консултације

АМРЕС CSIRT служба ће својим корисницима пружати саветодавну помоћ везану за ИКТ безбедност. Међу овим услугама могу бити препоруке или идентификација потреба за набавком, инсталирањем и обезбеђивањем нових система, мрежних уређаја или апликација. Овај сервис подразумева давање смерница и помоћи при развоју безбедносних правилника АМРЕС корисничких организација.

Едукација

АМРЕС CSIRT ће пружати сервис едукације својих корисника на пољу ИКТ безбедности кроз организацију семинара. Потенцијални корисници овог сервиса су првенствено особе за технички контакт АМРЕС корисника. На едукацији и подизању свести крајњих корисника по питању ИКТ безбедности радиће се преко CSIRT докумената.