CERT vs. CSIRT vs. SOC: 区别是什么？

在事件响应领域，您会听到CERT、CSIRT、CIRT和SOC这些术语。简而言之，前三个通常被用作同义词，描述专注于事件响应的团队，而最后一个通常具有更广泛的网络安全和安全范围。

然而，术语可能很重要。不一致的术语可能导致误解，并通过复杂化对公认实践的理解来混淆团队的事件响应工作规划。为此，这里对这些术语进行更深入的探讨。

CERT vs. CSIRT vs. CIRT: 它们代表什么？

首先，让我们看看描述常见事件响应团队组织模型的术语。但请对这些定义持保留态度——例如，仅仅因为两个组织都称其响应团队为CSIRT，并不意味着这两个团队具有相同的目标或方法，或符合理想化的定义。

CSIRT代表计算机安全事件响应团队（computer security incident response team）。CERT代表计算机应急响应（或准备）团队（computer emergency response (or readiness) team）。而CIRT可以代表计算机事件响应团队（computer incident response team），或者较少见地，代表网络安全事件响应团队（cybersecurity incident response team）。CSIRT、CERT和CIRT在该领域经常互换使用。事实上，CSIRT和CIRT几乎总是近乎等同；本质上它们是同义词。组织可能基于其语言或风格，或组织范围的细微差异而偏好其中一个。

什么是CERT？

至于术语CERT，尽管许多公司通用地使用该术语，但自1997年以来，它一直是卡内基梅隆大学的注册商标。公司可以申请授权使用CERT标记。未这样做的公司不应将该术语用于咨询服务名称或托管安全服务提供商，否则可能构成侵权。因此，如果您的组织确实使用术语CERT作为响应团队名称的一部分，与法律或内部顾问就该用法进行坦诚对话是有用的。

组织内部使用CERT名称的部分挑战在于它可能令人困惑。CERT是作为CSIRT的同义词，还是组织试图传达其他内容？根据上下文，两者都可能成立。

卡内基梅隆的CERT指定具有特定的重点和利基；它作为“…与政府、行业、执法和学术界合作，以提高计算机系统和网络的安全性和弹性…”而运作。CERT研究“…具有广泛网络安全影响的问题，并开发先进的方法和工具。”

一些组织以他们使用该术语的方式反映了这一点。换句话说，他们使用CERT来反映其内部团队的重点与典型CSIRT的细微不同。例如，也许该团队额外强调与其他内部或外部团队和组织的合作，更专注于方法和工具开发（例如，旨在预测问题出现前的那些），或更专注于新兴威胁研究（例如，对手方法或技术）。以这种方式使用的术语CERT更广泛地专注于改进事件响应作为一门学科，而不仅仅是其自身组织。

其他使用CERT的组织——通常那些不知道CERT作为注册商标状态的组织——将该术语用作CIRT或CSIRT的同义词。

CERT、CSIRT和CIRT之间有什么区别？

从业者应理解团队使用这些术语的流动性。CERT、CSIRT和CIRT组可以作为永久配备人员的组存在，或者可以临时组建以响应事件。无论哪种方式，它们的重点几乎总是NIST“计算机安全事件处理指南”中概述的事件响应的四个阶段：

• 准备
• 检测和分析
• 遏制、根除和恢复
• 事件后活动

这些阶段专注于安全事件的检测和修复。它们还包括组织用于准备安全事件的事件后活动，旨在简化未来的工作。

然而，这里有细微差别。并非每个公司的每个组都做同样的事情。一些团队可能以符合NIST指南的方式使用像CSIRT这样的术语，但对他们所做的事情有自己的理解。例如，一个组织可能认为其CSIRT的角色更侧重于政策，而另一个可能更侧重于操作问题，如查看日志文件和跟踪网络上的活动。

什么是SOC，它与CSIRT、CERT和CIRT有何不同？

安全运营中心（SOC）是您在事件响应团队背景下会听到的另一个术语。然而，SOC通常包含安全运营的多个方面，而CSIRT、CERT和CIRT专门专注于事件响应。

SOC的职权范围可以包括事件响应功能（全部或部分）以及其他任务。例如，SOC可以：

• 包含监控操作和控制（如入侵检测系统/入侵防御系统、安全信息事件管理/安全信息管理）；
• 监督操作和安全遥测及信息收集的评估；以及，
• 管理诸如身份管理和授权、防火墙和过滤规则集维护（包括审查和变更管理）、取证和调查支持，或操作安全的任何其他方面等任务。

CSIRT和CERT专门专注于事件响应。这两个术语经常被用作同义词，但在技术上是不同的。其中差异包括：CERT是一个商标术语，更与威胁情报的合作伙伴关系相关，而CSIRT更与跨职能业务团队相关联。与其他两者相比，SOC的职权范围比事件响应更广，并延伸到其他安全领域。

SOC的监控工作可能扩展到事件响应之外。SOC可能收集和汇总指标以支持客户服务或服务交付（例如，在托管安全服务提供商处），或者可能支持管理报告，如准备指标和数据以支持风险评估或审计支持。虽然SOC经常在事件响应的背景下出现，但它几乎总是有其他安全元素在其职责范围内。SOC可能具有比CSIRT或CIRT更广泛的操作目的和范围。如果给定组织中有SOC，事件响应可能作为操作安全功能落在SOC的职权范围内。同样，具体细节取决于组织。

您应该实施CERT/CSIRT/CIRT还是SOC？

有了对这些术语的清晰理解，组织可以确定哪种类型的事件响应团队适合他们，以及如何构建首选的安全团队。选择应基于您的组织的目标、结构和资源使用。例如，如果监控需求至关重要，并且您的组织结构有利于将其集中在一个物理或逻辑位置，创建SOC可能有优势（例如，规模经济或简化的报告层次结构）。相比之下，如果您的组织结构更分散，或者不利于监控和其他安全操作的集中化，CSIRT可能更有意义。

评估两者的相对优势，了解您组织的需求，并选择对您的企业最优的方法是很重要的。

后续步骤

• 如何创建事件响应剧本
• 您组织的13个事件响应最佳实践
• 为您的企业构建事件响应框架
• 如何进行事件响应桌面演练
• 顶级事件响应服务提供商、供应商和软件