CERT/CSIRT
CERT/CSIRT (от англ. Computer Emergency Response Team / Computer Security Incident Response Team — команда реагирования на компьютерные инциденты / группа реагирования на инциденты информационной безопасности) — это специализированное подразделение или организация, обеспечивающая централизованное управление инцидентами информационной безопасности, включая их обнаружение, анализ, локализацию и устранение последствий. Основной функцией CERT/CSIRT является координация действий по противодействию кибератакам, снижение ущерба от них и предотвращение повторных инцидентов.
История
Первая команда реагирования на компьютерные инциденты была создана в 1988 году в Университете Карнеги — Меллона (США) по инициативе Агентства перспективных оборонных исследовательских проектов (DARPA) после червя Морриса — одной из первых массовых атак на интернет. Эта команда получила название CERT Coordination Center (CERT/CC). Впоследствии термин «CERT» стал нарицательным, и аналогичные структуры начали появляться в других странах, университетах, корпорациях и государственных органах.
В России первые национальные CERT/CSIRT появились в начале 2000-х годов. В 2003 году был создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который выполняет функции государственной CSIRT. В настоящее время в России действует несколько десятков команд реагирования различного уровня — от корпоративных (например, CERT-GIB, созданный компанией Group-IB, которая признана в РФ иностранным агентом) до отраслевых и региональных.
Классификация
CERT/CSIRT классифицируются по масштабу, сфере ответственности и организационной структуре:
- Национальные (государственные) CERT/CSIRT — действуют на уровне страны, координируют реагирование на инциденты, затрагивающие критическую информационную инфраструктуру (КИИ) и государственные информационные системы. Пример: НКЦКИ (Россия), CERT-EU (Европейский союз).
- Отраслевые CERT/CSIRT — обслуживают определённую отрасль экономики или сферу деятельности (финансы, энергетика, транспорт, здравоохранение). Пример: FinCERT Банка России — для кредитно-финансовой сферы.
- Корпоративные CERT/CSIRT — создаются внутри крупных компаний и организаций для защиты собственной ИТ-инфраструктуры. Могут быть как внутренними подразделениями, так и аутсорсинговыми сервисами.
- Региональные CERT/CSIRT — обслуживают определённый регион (область, город, федеральный округ).
- Международные CERT/CSIRT — координируют действия между национальными командами разных стран. Пример: FIRST (Forum of Incident Response and Security Teams) — глобальная ассоциация, объединяющая более 600 команд по всему миру.
Функции и задачи
Основные функции CERT/CSIRT включают:
- Приём и обработка сообщений об инцидентах — от сотрудников, партнёров, внешних источников (включая автоматизированные системы мониторинга).
- Анализ и классификация инцидентов — определение типа атаки, вектора проникновения, масштаба ущерба.
- Локализация и нейтрализация угрозы — блокировка вредоносного трафика, изоляция заражённых узлов, отключение скомпрометированных учётных записей.
- Восстановление работоспособности систем — очистка от вредоносного ПО, восстановление данных из резервных копий, устранение уязвимостей.
- Форензика (цифровая криминалистика) — сбор и анализ цифровых доказательств для последующего разбирательства или судебного преследования.
- Профилактика и предотвращение инцидентов — разработка рекомендаций по усилению защиты, проведение аудитов безопасности, обучение персонала.
- Обмен информацией — публикация бюллетеней безопасности, оповещение о новых угрозах, взаимодействие с другими CERT/CSIRT через доверенные каналы (MISP, FIRST, TF-CSIRT).
Организационная структура
Типовая структура CERT/CSIRT включает следующие роли:
- Руководитель (Manager) — отвечает за стратегию, ресурсы, отчётность и взаимодействие с руководством организации.
- Аналитики (Analysts) — выполняют технический анализ инцидентов, мониторинг угроз, расследование атак.
- Специалисты по реагированию (Incident Responders) — непосредственно занимаются локализацией и нейтрализацией инцидентов, работой с системами защиты.
- Форензики (Forensic Specialists) — проводят цифровую криминалистику, извлечение и анализ данных.
- Специалисты по киберразведке (Threat Intelligence) — собирают и анализируют информацию о новых угрозах, уязвимостях и тактиках злоумышленников.
- Координаторы (Coordinators) — управляют процессами приёма заявок, распределения задач и взаимодействия с внешними сторонами.
Техническое оснащение
CERT/CSIRT используют специализированное программное обеспечение и платформы:
- SIEM-системы (Security Information and Event Management) — для сбора и корреляции событий безопасности (Splunk, ArcSight, MaxPatrol SIEM).
- SOAR-платформы (Security Orchestration, Automation and Response) — для автоматизации процессов реагирования (например, Phantom, Demisto, R-Vision SOAR).
- Системы управления инцидентами (IRP) — для ведения учёта, документирования и отслеживания статуса инцидентов (ServiceNow, Jira Service Management, собственные разработки).
- Песочницы (Sandbox) — для безопасного анализа подозрительных файлов и ссылок.
- Инструменты форензики — EnCase, FTK, Volatility, Autopsy.
- Платформы обмена угрозами — MISP (Malware Information Sharing Platform), OpenCTI.
Взаимодействие и стандарты
CERT/CSIRT действуют в соответствии с международными и национальными стандартами:
- ISO/IEC 27035 — стандарт по управлению инцидентами информационной безопасности.
- NIST SP 800-61 — руководство по реагированию на компьютерные инциденты (США).
- RFC 2350 — документ, описывающий ожидаемые действия и контактную информацию CSIRT.
- ГОСТ Р 56545-2015 — российский стандарт по управлению инцидентами.
- Методические рекомендации ФСТЭК России — по организации реагирования на компьютерные инциденты в КИИ.
Для координации между командами используются доверенные каналы связи (TCR — Trusted Circle of Relationships), шифрованная электронная почта, закрытые форумы и системы PGP.
CERT/CSIRT в России
В Российской Федерации деятельность CERT/CSIRT регулируется рядом нормативных актов, в первую очередь Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Согласно этому закону, субъекты КИИ обязаны создавать собственные подразделения по реагированию на компьютерные инциденты или заключать договоры с уполномоченными организациями.
Основным национальным координационным центром является Национальный координационный центр по компьютерным инцидентам (НКЦКИ), созданный в 2018 году при ФСБ России. НКЦКИ обеспечивает взаимодействие между государственными органами, субъектами КИИ и международными организациями. Он ведёт единую базу инцидентов, публикует бюллетени безопасности, проводит учения и аттестацию команд.
Другие значимые российские CERT/CSIRT:
- FinCERT — подразделение Банка России, координирует реагирование на инциденты в финансовом секторе.
- CERT-GIB — коммерческая команда, созданная компанией Group-IB (признана иностранным агентом в РФ), предоставляет услуги по реагированию на инциденты и киберразведке.
- CERT-ФСБ — подразделение ФСБ России, занимающееся расследованием киберпреступлений и защитой государственных информационных систем.
- CERT-Минцифры — команда Министерства цифрового развития, связи и массовых коммуникаций РФ, обеспечивающая защиту государственных информационных систем.
Проблемы и критика
Несмотря на важность CERT/CSIRT, их деятельность сопряжена с рядом проблем:
- Нехватка квалифицированных кадров — дефицит специалистов по информационной безопасности, особенно в регионах.
- Бюрократизация — в государственных структурах процессы реагирования могут быть замедлены из-за излишних согласований и отчётности.
- Фрагментация — отсутствие единого стандарта взаимодействия между разными командами, особенно на международном уровне.
- Недостаточное финансирование — особенно для корпоративных CSIRT в среднем бизнесе.
- Юридические риски — при расследовании инцидентов CERT/CSIRT могут сталкиваться с ограничениями доступа к данным (персональные данные, коммерческая тайна).
- Проблема ложных срабатываний — большое количество инцидентов, не требующих вмешательства, загружает аналитиков и снижает эффективность работы.
Источники
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- ГОСТ Р 56545-2015 «Защита информации. Управление инцидентами информационной безопасности».
- RFC 2350 — Expectations for Computer Security Incident Response.
- NIST Special Publication 800-61 Rev. 2 — Computer Security Incident Handling Guide.
- ISO/IEC 27035:2016 — Information technology — Security techniques — Information security incident management.
- Методические рекомендации ФСТЭК России по организации реагирования на компьютерные инциденты (2020 г.).
- Материалы Национального координационного центра по компьютерным инцидентам (НКЦКИ).
- Доклад FIRST (Forum of Incident Response and Security Teams) — Annual Report 2023.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →