CERT、CSIRT与SOC:网络安全团队术语解析

本文深入解析CERT、CSIRT、CIRT和SOC等网络安全团队术语的区别与联系,涵盖团队职能定位、组织架构差异及实施场景选择,帮助组织构建适合自身需求的安全事件响应体系。

CERT、CSIRT与SOC:有何区别?

CERT、CSIRT、CIRT和SOC是事件响应领域中常见的术语。简而言之,前三个术语常被用作同义词,指专注于事件响应的团队,而最后一个术语通常具有更广泛的网络安全和安全范围。

然而,术语的使用可能很重要。不一致的术语可能导致误解,并因混淆对公认实践的理解而使团队的事件响应工作规划复杂化。为此,本文将深入探讨这些术语。

CERT、CSIRT、CIRT:它们代表什么?

首先,我们来看描述常见事件响应团队组织模型的术语。但请对这些定义持保留态度——例如,仅因为两个组织都称其响应团队为CSIRT,并不意味着这两个团队具有相同的目标、方法或符合理想化的定义。

  • CSIRT 代表计算机安全事件响应团队
  • CERT 代表计算机应急响应(或就绪)团队
  • CIRT 可以代表计算机事件响应团队,或者较少见地代表网络安全事件响应团队

在实践领域,CSIRT、CIRT和CERT经常被互换使用。实际上,CSIRT和CIRT几乎总是近乎等同的;它们在本质上是同义词。组织可能基于其语言或风格,或者组织范围的细微差异而偏好使用其中一个术语。

什么是CERT?

至于CERT这个术语,尽管许多公司通用地使用它,但自1997年以来,它一直是卡内基梅隆大学的注册商标。公司可以申请授权使用CERT商标。未获得授权的公司不应将该术语用于咨询服务名称或托管安全服务提供商,否则可能构成侵权。因此,如果您的组织确实在响应团队名称中使用CERT这个术语,与法律或内部顾问就该用法进行坦诚对话是有益的。

组织内部使用CERT名称的部分挑战在于它可能引起混淆。CERT是打算作为CSIRT的同义词,还是组织试图传达其他含义?根据上下文,两种情况都可能成立。

卡内基梅隆大学的CERT指定具有特定的重点和定位;它作为"……与政府、行业、执法部门和学术界合作,提高计算机系统和网络的安全性和韧性……“的合作伙伴运作。CERT研究”……具有广泛网络安全影响的问题,并开发先进的方法和工具。"

一些组织通过他们使用该术语的方式来反映这一点。换句话说,他们使用CERT来反映其内部团队的重点与典型CSIRT的细微差别。例如,该团队可能额外强调与其他内部或外部团队和组织的合作,更侧重于方法和工具开发(例如,旨在预测问题出现前的工具),或更侧重于新兴威胁研究(例如,对手方法或技术)。以这种方式使用的CERT术语更广泛地关注于改进事件响应这一学科,而不仅仅是其自身组织。

还有其他使用CERT的组织——通常是那些不知道CERT是注册商标的组织——将该术语用作CIRT或CSIRT的同义词。

CERT、CSIRT和CIRT之间有何区别?

从业者应理解团队使用这些术语的流动性。CERT、CSIRT和CIRT团队可以作为一个永久配备人员的团队存在,也可以临时组建以响应事件。无论哪种方式,它们的重点几乎总是NIST《计算机安全事件处理指南》中概述的事件响应的四个阶段:

  1. 准备
  2. 检测与分析
  3. 遏制、根除和恢复
  4. 事件后活动

这些阶段集中于安全事件的检测和修复。它们还包括组织用于准备安全事件的事件后活动,旨在简化未来的工作。

然而,这里存在细微差别。并非每个公司的每个团队都做同样的事情。有些团队可能使用像CSIRT这样的术语,其方式与NIST的指南一致,但对他们所做的事情有自己的理解。例如,一个组织可能认为其CSIRT的角色更侧重于策略,而另一个组织可能更侧重于操作问题,如查看日志文件和跟踪网络上的活动。

什么是SOC?它与CSIRT、CERT和CIRT有何不同?

安全运营中心(SOC)是您在事件响应团队背景下会听到的另一个术语。然而,SOC通常包含安全运营的多个方面,而CSIRT、CERT和CIRT则专门侧重于事件响应。

SOC的职责范围可以包括事件响应功能(全部或部分)以及其他任务。例如,SOC可以:

  • 包含监控操作和控制(如入侵检测系统/入侵防御系统、安全信息事件管理/安全信息管理);
  • 监督运营和安全遥测及信息收集的评估;以及
  • 管理诸如身份管理和授权、防火墙和过滤规则集维护(包括审查和变更管理)、取证和调查支持,或任何其他运营安全方面的任务。

CSIRT和CERT专门侧重于事件响应。这两个术语经常被用作同义词,但在技术上是不同的。其中差异包括:CERT是一个商标术语,更多地与威胁情报方面的合作相关联,而CSIRT更多地与跨职能业务团队相关联。与前两者相比,SOC的职责范围比事件响应更广,并延伸到其他安全领域。

SOC的监控工作可能超出事件响应范围。SOC可能收集和汇总指标以支持客户服务或服务交付(例如,在托管安全服务提供商处),或者它可能支持管理报告,如准备指标和数据以支持风险评估或审计支持。虽然SOC经常在事件响应的背景下出现,但它几乎总是在其职责范围内包含其他安全要素。SOC可能比CSIRT或CIRT具有更广泛的操作目的和范围。如果在某个组织中存在SOC,事件响应很可能作为一项运营安全功能落在SOC的职责范围内。同样,具体细节取决于组织。

您应该实施CERT/CSIRT/CIRT还是SOC?

在清晰理解这些术语的基础上,组织可以确定哪种类型的事件响应团队适合他们,以及如何构建首选的安全团队。选择应基于组织的目标、结构和资源使用情况。例如,如果监控需求至关重要,并且您的组织结构有利于将其集中在一个物理或逻辑位置,那么创建SOC可能有优势(例如,规模经济或简化的报告层次结构)。相比之下,如果您的组织结构更加分散,或者不利于监控和其他安全操作的集中化,那么CSIRT可能更有意义。

评估两者的相对优势,了解您组织的需求,并选择对您的企业最优的方法非常重要。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次