А я продолжаю заочную терминологическую дискуссию, навеянную Дмитрием Мананниковым, в тему предстоящего SOC Forum. На этот раз обсуждение коснется разницы между терминами CERT и CSIRT. Почему-то иногда считается, что между этими двумя аббревиатурами можно поставить знак равенства. Вроде как и одна команда (Computer Emergency Response Team) и другая (Computer Security Incident Response Team) занимаются одним и тем же. На самом деле это не совсем так.
Начнем с того, что CERT - это зарегистрированная торговая марка и для ее использования необходимо получать официальное разрешениеУниверситета Карнеги Меллона, без которого любое использование будет немножечко незаконным. Ну это как, например, использование в своем продукте названия Cisco или появление банка с названием "Центральный банк" :-) У аббревиатуры CSIRT (она же CIRT, SIRT, CIRC, IRT, IRC, SERT) никаких ограничений на использование нет. Но дело не только и не столько в праве на использование торговой марки. Дело в том, куда направлена деятельность CERT и CSIRT и как она выстраивается?
Если посмотреть на сайт CERT, то мы увидим, что CERT ориентирован на Интернет-инциденты (он таким и задумывался после червя Морриса в 1988-м году), а в последнее время еще и на повышение осведомленности в области ИБ. По сути, CERT - это нечто глобальное и создается, чтобы действовать в масштабах страны (тот же JPCERT/CC), региона (тот же AusCERT) или отрасли (тот же FinCERT или GOV-CERT). Помимо управления инцидентами, CERT/CC также занимается исследованиями по широкому кругу тем - от безопасной разработки и внутренних угроз до анализа уязвимостей и обеспечения живучести информационных систем.
CSIRT же наоборот - обычно представляет собой небольшую формализованную или объединяющуюся в определенные моменты времени группу. CERT действует постоянно и часто его сотрудники занимаются только задачами, связанными с реагированием на инциденты, получая за это вполне осязаемую зарплату, которая отражается в зарплатной ведомости. Члены CSIRT могут работать в различных подразделениях организации (ИТ, ИБ, СБ, PR и т.п.), собираться по необходимости и работать на энтузиазме или не получая за свою работу никакого вознаграждения. Часто CSIRT работает только с внутренними инцидентами или инцидентами, направленными на внутренние информационные активы организации. CERT не скован такими ограничениями, работая с различными организациями.
Еще одним отличием CERT от CSIRT являются источники информации. CERT оперирует только тем, что ему присылают его клиенты - описания инцидентов, подозрительные файлы, дампы памяти и сетевого трафика. Не прислали, значит CERT будет анализировать на основе того, что имеет. У CSIRT, которая обычно существует внутри конкретного предприятия, больше возможностей получать данные непосредственно от разбросанных по сети средств защиты, сетевого оборудования, операционных и прикладных систем, СУБД и т.п.
Вчера, на конференции Cisco SecCon выступал директор по ИБ LinkedIn, у которого на слайдах было сравнение внешних и внутренних консультантов по ИБ. В случае с CSIRT и CERT ситуация будет схожая. При всей похожести того, что они делают (реагируют на инциденты), у них немного разные задачи, разные инструменты, разный масштаб...
Но в целом эта заметка в очередной раз подтверждает, что терминология в области ИБ еще не устоялась и каждый использует тот термин, который он привык использовать, даже не вдаваясь в историю его появления и область применения. Это может приводить как к забавным ситуациям, так и к непониманию между специалистами, между поставщиками услуг и их потребителями, между регуляторами и подведомственными им организациями. В том числе и об этом будет говориться на грядущем SOC Forum.
ЗЫ. В любом случае стоит помнить, что использовать аббревиатуру CERT без согласования с Университетом Карнеги Меллона незаконно. Поэтому меня всегда интересовал вопрос - согласовала ли ФСБ использование названия GOV-CERTили нет?..
Начнем с того, что CERT - это зарегистрированная торговая марка и для ее использования необходимо получать официальное разрешениеУниверситета Карнеги Меллона, без которого любое использование будет немножечко незаконным. Ну это как, например, использование в своем продукте названия Cisco или появление банка с названием "Центральный банк" :-) У аббревиатуры CSIRT (она же CIRT, SIRT, CIRC, IRT, IRC, SERT) никаких ограничений на использование нет. Но дело не только и не столько в праве на использование торговой марки. Дело в том, куда направлена деятельность CERT и CSIRT и как она выстраивается?
Если посмотреть на сайт CERT, то мы увидим, что CERT ориентирован на Интернет-инциденты (он таким и задумывался после червя Морриса в 1988-м году), а в последнее время еще и на повышение осведомленности в области ИБ. По сути, CERT - это нечто глобальное и создается, чтобы действовать в масштабах страны (тот же JPCERT/CC), региона (тот же AusCERT) или отрасли (тот же FinCERT или GOV-CERT). Помимо управления инцидентами, CERT/CC также занимается исследованиями по широкому кругу тем - от безопасной разработки и внутренних угроз до анализа уязвимостей и обеспечения живучести информационных систем.
CSIRT же наоборот - обычно представляет собой небольшую формализованную или объединяющуюся в определенные моменты времени группу. CERT действует постоянно и часто его сотрудники занимаются только задачами, связанными с реагированием на инциденты, получая за это вполне осязаемую зарплату, которая отражается в зарплатной ведомости. Члены CSIRT могут работать в различных подразделениях организации (ИТ, ИБ, СБ, PR и т.п.), собираться по необходимости и работать на энтузиазме или не получая за свою работу никакого вознаграждения. Часто CSIRT работает только с внутренними инцидентами или инцидентами, направленными на внутренние информационные активы организации. CERT не скован такими ограничениями, работая с различными организациями.
Еще одним отличием CERT от CSIRT являются источники информации. CERT оперирует только тем, что ему присылают его клиенты - описания инцидентов, подозрительные файлы, дампы памяти и сетевого трафика. Не прислали, значит CERT будет анализировать на основе того, что имеет. У CSIRT, которая обычно существует внутри конкретного предприятия, больше возможностей получать данные непосредственно от разбросанных по сети средств защиты, сетевого оборудования, операционных и прикладных систем, СУБД и т.п.
Вчера, на конференции Cisco SecCon выступал директор по ИБ LinkedIn, у которого на слайдах было сравнение внешних и внутренних консультантов по ИБ. В случае с CSIRT и CERT ситуация будет схожая. При всей похожести того, что они делают (реагируют на инциденты), у них немного разные задачи, разные инструменты, разный масштаб...
Но в целом эта заметка в очередной раз подтверждает, что терминология в области ИБ еще не устоялась и каждый использует тот термин, который он привык использовать, даже не вдаваясь в историю его появления и область применения. Это может приводить как к забавным ситуациям, так и к непониманию между специалистами, между поставщиками услуг и их потребителями, между регуляторами и подведомственными им организациями. В том числе и об этом будет говориться на грядущем SOC Forum.
ЗЫ. В любом случае стоит помнить, что использовать аббревиатуру CERT без согласования с Университетом Карнеги Меллона незаконно. Поэтому меня всегда интересовал вопрос - согласовала ли ФСБ использование названия GOV-CERTили нет?..
