بررسی تیم های مقابله باحوادث امنیتی کامپیوتری

با بوجود آمدن اینترنت ، و گسترش فن آوری اطلاعات ، امنیت شبکه های کامپیوتری نیز روزبه روز اهمیت بیشتری پیدا می کنند. می توان گفت بدون برقراری امنیت در شبکه های کامپیوتری، توسعه ITو تشکیل جامعه اطلاعاتی ناممکن خواهد بود. تاریخچه مختصر تشکیل اولیه تیم های مقابله با حوادث امنیتی کامپیوتری ( Computer Emergency Response Team) در ماه نوامبر سال۱۹۸۸ یک کرم کامپیوتری به نام Morris Worm یا (Internet Worm)، که توسط یک دانشجوی تحصیلات تکمیلی دانشگاه Cornellطراحی شده بود، بخش های اصلی شبکه های اینترنت آن زمان را مورد حمله قرار داد و کارکرد آنها را دچار اختلال نمود.
عکس العملهای صورت پذیرفته نسبت به این حادثه امنیتی در سازمان های مختلف به صورت مجزا و بدون همکاری و هماهنگی با سازمان های دیگر صورت پذیرفت که منجر به انجام عملیات تکراری و دوباره کاریهای زیاد و راه حلهای ناسازگار شد. این امر نشان داد که شبکه در حال گسترش اینترنت تا چه حد نسبت به حملات آسیبپذیر است . پس از مهار این حمله ، یک سری نشست و همایش ترتیب داده شد تا در مورد چگونگی پیشگیری و پاسخ به چنین وقایعی در آینده بحث و تبادل نظر صورت پذیرد. مدتی پس از آن DARPA، تمایل خود به حمایت مالی از توسعه یک مرکز هماهنگی برای حوادث امنیتی اینترنتی را اعلام کرد. (DARPA، SEI( Software Engineering Institute که در دانشگاه MellonCarnegieفعالیت می کند را به عنوان مکان اصلی این مرکز انتخاب نمود.
DARPA، SEI را موظف کرد که با ایجاد هماهنگی سریع و موثر ارتباطات بین متخصصین در حین حوادث امنیتی، از تکرار حوادث مشابه در آینده جلوگیری کندو همچنین آگاهی عمومی امنیتی در محیط اینترنت را بهبود بخشد. به این صورت CERT /CCیا مرکز هماهنگ کننده تیم های مقابله با حوادث امنیتی کامپیوتری بوجود آمد و مرکزی برای هماهنگی پاسخگویی به حوادث در طول سالهای آینده گردید. همچنین مراکز مشابه دیگری در سازمان ها یا ادارات مختلف بوجود آمد که در هماهنگی با CERT /CCبه فعالیت می‌پرداختند. باید بدانیم تشکیل CERT، با پشتیبانی وزارت دفاع آمریکا صورت پذیرفت . و این نهاد همچنان از طرف این وزارتخانه پشتیبانی می‌شود.
در عین حال در بخش های مختلف وزارت دفاع آمریکا (نیروهای هوایی، دریایی و زمینی) مراکزی جهت مقابله با حملات کامپیوتری بوجود آمدند.
پس از تشکیل CERT /CCدر دانشگاه Carnegie Mellonدر سال ۱۹۸۸ ، در طول سالهای پس از آن تعداد تیم های پاسخگویی به حوادث تحت عنوان CSIRTافزایش پیدا کرد. هر کدام از این تیم ها اهداف ، بودجه ، پیش نیازهای گزارش دهی و موسسان خاص خود را داشتند. تبادل اطلاعات بین این تیم ها به دلیل تفاوت هایی که در زبان ، منطقه جغرافیایی و استانداردهای بین المللی آنها وجود داشت ، با مشکلاتی مواجه شد.
در اکتبر سال۱۹۸۹ یک حادثه مهم امنیتی ناشی از Wank Wormنیاز به ارتباط و هماهنگی بهتر بین تیم های امنیتی را پررنگ تر نمود. در سال۱۹۹۰ ، FIRST(Furume of Incident Response Team) جهت پاسخگویی به این نیاز بوجود آمد.
از آن زمان تاکنون FIRSTبه رشد خود ادامه داده است و در پاسخگویی به نیازهای در حال تغییر تیم های پیشگیری از حوادث امنیتی فعالیت موثری داشته است . FIRSTکه در سال۱۹۹۰ با۱۱ عضو اولیه شروع به کار نمود، اکنون بیش از ۱۵۰تیم عضو دارد که در بسیاری از نقاط دنیا پراکنده شده اند. فهرست اعضای فعلی FIRST در آدرس http://www.first.org/team-info قابل دسترسی می باشد.
وضعیت تیم های امنیتی شبکه های اینترنتی در مناطق مختلف جهانمنطقه آمریکای شمالی بیشترین تعداد تیم های CSIRTعضو FIRSTرا در طول زمان دارا بوده ، و در طول فعالیت CERT /CCهمواره یکی از معتبرترین منابع جهانی برای کسب اطلاع در مورد حوادث امنیتی CERT /CCبوده است . در منطقه اسیا، APCERT، (Asia Pacific Computer Emergency Response Team) به عنوان یک CERTمنطقه ای در حال فعالیت است .
فعالترین اعضاء این CERTچهار کشور چین ، هند، مالزی و ژاپن هستند. بررسی وضعیت ایران بررسیهای به عملآمده در یک پروژه تحقیقاتی در مرکز تحقیقان مخابرات ایران نشان میدهد که تعداد CSIRTها در سرسر دنیا و اروپا در حال افزایش است . در حقیقت CSIRTبه عنوان یک نیاز برای گسترش شبکه های کامپیوتری و اعتماد به امنیت آنها لازم است . متاسفانه در ایران به رغم سرمایه گذاری زیادی که از جمله در طرح تکفا انجام شده ، هیچ تیم کامل و سازمان یافته مقابله با حوادث امنیتی در حوزه IT وجود ندارد.
تنها در دانشگاه تهران یک سایت وجود دارد که در واقع تنها یک سرویس اطلاع رسانی در زمینه حوادث امنیتی و روشهای مقابله با آن محسوب می شود، این در حالی است که گسترش ITبدون تلاش برای حفظ امنیت در این حوزه امکان پذیر نخواهد بود. در اردیبهشت سال جاری در مرکز تحقیقان مخابرات ایران تحقیقی انجام شده که بر اساس آن پیشنهادی برای ایجاد یک تیم مقابله با حوادث امنیتی در ایران ارایه شده است و احتمالا فاز آماده سازی و ایجاد یک CERTملی ایران به زودی شروع به کار خواهد کرد. بنا به برسی های به عمل امده در این پروژه ، مراکز دانشگاهی و تحقیقاتی به عنوان پیشتازان تاسیس CSIRT مطرح هستند. در این پروژه ، برای تاسیس CSIRTدر ایران ، سه نوع تیم مقابله با حوادث امنیتی اولیه در نظر گرفته شده است . یک تیم CERTملی که تهدیدات و آسیبپذیریهای زیر ساختارهای ملی و شبکه های دولتی بعهده این تیم ، می‌تواند در شرکت دیتا ایجاد شود. پیشنهاد دوم این تحقیق ، ایجاد تیمی که به دانشگاه ها و موسسات تحقیقاتی سرویس دهد، بوده است . بهترین مکان برای ایجاد این CSIRTدانشگاه تهران است ، زیرا در حال حاضر نیز در این زمینه فعالیت می‌کند.
سومین پیشنهاد ایجاد تیمی است که به فراهم آورندگان سرویس های اینترنتی و کاربران آنان در ایران ارایه خدمات کند. مکان این تیم می‌تواند یک ICPیا شرکت خصوصی با حمایت اولیه دولتی باشد. در کنار ایجاد چنین تیم هایی ، باید ایجاد ارتباط آن با دیگر تیم های مشابه در سطح ملی، منطقه ای و جهانی نیز در نظر گرفته شود.
از آنجا که کشور ما در این زمینه بی تجربه است شاید بهترین روش برای انتقال دانش فنی در این زمینه ، ارتباط نزدیک و بهره گیری از تجربیات تیم های معتبر موجود در سطح دنیا باشد.