CERT - центр реагирования на компьютерные инциденты

CERT (Computer Emergency Response Team) – группа реагирования на компьютерные инциденты, представляющая из себя независимую группу экспертов, в список задач которой входит постоянный мониторинг информации о появлении угроз в сфере информационной безопасности (ИБ), их классификация и нейтрализация. Целью деятельности CERT является своевременное реагирование на возникновение новых угроз ИБ и информирование об этом интересующихся лиц (подписчиков бюллетеня CERT).

Впервые подобная группа была организована при университете Карнеги-Меллона в 1988 году, после поражения тысячи серверов с помощью червя Морриса. В настоящее время данная группа носит статус координационного центра CERT, поэтому создание в той или иной стране официальной CERT требует получения официального разрешения Университета. Всего в настоящее время существует около 100 команд в разных странах мира.

В связи с тем, что Incedent Response Platforms (IRP) в своей работе предусматривает взаимодействие с внешними источниками, различными учреждениями в сфере ИБ, группа реагирования на инциденты должна быть подписана на рассылку координационного центра CERT для получения актуальной информации о появлении новых угроз и уязвимостей. Своевременное оповещение позволяет выявить признаки угроз ИБ, прежде чем инцидент реально произойдет.

Задачи координационного центра CERT:

• Проведение исследовательской работы в сфере ИБ. Основные задачи, решаемые на данном этапе:
• определение специфики возможных последствий эксплуатации выявленных уязвимостей;
• анализ существующих средств эксплуатации уязвимостей;
• анализ статистики распространения и применения уязвимостей и вредоносов;
• взаимодействие с различными вендорами информационных систем с целью более глубокого анализа выявленных уязвимостей.
• Централизованный сбор и поддержание в актуальном состоянии базы знаний об уязвимостях различных ИС.
• Разработка защитных мер по устранению уязвимостей и рекомендаций по нейтрализации негативных последствий.

По результатам проделанной работы всем подписчикам агрегируется и рассылается информация об угрозах информационной безопасности и рекомендации по их устранению. Кроме этого, формируется техническая и справочная документация, проводится дальнейшая исследовательская работа.

Таким образом, CERT нацелен на интернет-инциденты и на повышение осведомленности в области ИБ, а также может создаваться в масштабах страны, региона или отрасли по согласованию с университетом Карнеги-Меллона. Помимо перечисленных выше задач CERT выполняет задачи по описанию инцидентов, подозрительных файлов, троянов, сеансов сетевого трафика, которые ему прислали клиенты, с дальнейшей выдачей рекомендаций по безопасности.

Смежными направлениями деятельности координационного центра CERT является:

• организация курсов по направлениям ИБ;
• сертификация специалистов, состоящих в группах реагирования на инциденты ИБ;
• поддержка научных исследований в области ИБ (разработка безопасного ПО, автоматизация выявления уязвимостей, анализ троянов);
• помощь в развитии национальных, региональных и отраслевых групп реагирования на инциденты.