CERT

CERT-urile ( Echipele de Răspuns la Urgențe ale Computerelor ) sunt organizații, în general gestionate și finanțate de universități sau organisme guvernamentale, însărcinate cu colectarea și gestionarea rapoartelor privind incidentele informatice și potențialele vulnerabilități din software-ul care provine din comunitatea utilizatorilor.

Înțelesul numelui

CERT engleză acronim vine de la „C omputer E R esponse T de urgență în EAM“, sau o echipă pentru răspunsul la situații de urgență de calculator.

Un alt acronim utilizat pentru a identifica aceste grupuri a fost CSIRT ( „C omputer S ecuritate I ncident R esponse T eam“), sau echipe responsabile pentru a reacționa în caz de incidente cibernetice.

CERT a fost inițial numele CSIRT înființat în 1988 la SEI, Institutul de Inginerie Software de la Universitatea Carnegie Mellon din Pittsburgh, Pennsylvania.

De-a lungul timpului, această abreviere a fost generalizată, pentru a arăta cum CERT-urile sunt echipe chemate să gestioneze orice tip de urgență IT, nu doar cele legate de accidente.

Astăzi, acronimul este înțeles și ca „Echipă de pregătire pentru situații de urgență pentru computer”, cu intenția de a sublinia atenția dedicată prevenirii riscurilor.

Istoria CERT-urilor

La 2 noiembrie 1988, un student la informatică de la Universitatea Cornell, Robert Morris , a lansat un program capabil să se autorepliceze mereu și să se răspândească de la un computer la altul în timp ce călătorea pe internet . Acest program este capabil să exploateze vulnerabilitățile sistemelor în care se instalează, ocolind cu ușurință mecanismele lor de autentificare . „ Viermele Morris” din acea seară reușește să blocheze aproximativ 10% din computerele conectate la rețea.

La scurt timp, DARPA a însărcinat SEI să creeze un centru care să coordoneze rapid și eficient comunicarea dintre experți în timpul situațiilor de urgență, cu scopul de a asista utilizatorii rețelei în cazul unui incident cibernetic, de a preveni orice incidente viitoare și de a promova o cultură internațională de securitate cibernetică. Acest centru este acum cunoscut sub numele de CERT / CC (CERT Coordination Center).

Activități desfășurate de CERT

CERT-urile acționează ca un punct de referință pentru utilizatorii de rețea, capabili să îi ajute să rezolve orice problemă legată de securitatea IT .

De obicei, un CERT este alcătuit din persoane specializate în diverse domenii, cum ar fi administratorii de rețea, administratorii de sistem și experții în securitate IT.

Sunt conștienți de cum ar trebui să arate domeniile lor de competență în condiții normale și, prin urmare, sunt capabili să observe imediat orice anomalie care apare.

Sarcinile fundamentale ale unui CERT constau în răspunsul la rapoartele utilizatorilor care sunt victime ale incidentelor informatice și în analizarea sistemelor hardware și software pentru identificarea eventualelor vulnerabilități.

Evoluția rapidă pe care a avut-o internetul în ultimii ani a dus, printre multe consecințe, la o evoluție la fel de rapidă a tehnicilor de intruziune. Acest lucru a contribuit la creșterea funcțiilor CERT-urilor, ale căror competențe sunt acum împărțite în diverse sectoare.

Asistență tehnică

Asistența tehnică de către un CERT poate avea loc în două moduri: pe de o parte ca asistență directă, prin implementarea planurilor imediate de răspuns la incidente în caz de rapoarte de la unul sau mai mulți utilizatori. Pe de altă parte, prin diseminarea masivă a informațiilor care conțin, de exemplu, măsurile adecvate pentru cele mai frecvente tipuri de accidente, pentru a sensibiliza utilizatorii cu privire la problema de securitate și a-i încuraja să se protejeze.

Cercetare și dezvoltare

Activitatea de cercetare și dezvoltare a CERT constă într-o monitorizare constantă a sistemelor informatice, a programelor de aplicații și a rețelei, pentru a analiza starea lor de securitate și nivelul de sensibilitate la potențialele atacuri. Pe baza informațiilor obținute, CERT implementează planuri pentru crearea și implementarea tehnologiilor utile pentru corectarea vulnerabilităților, rezistența la atacuri și prevenirea amenințărilor viitoare.

Formare

Multe CERT organizează cursuri de instruire pentru administratorii de rețea și sistem și personalul tehnic în general, pentru a-i instrui în crearea și gestionarea propriei echipe: în timpul acestor cursuri, capacitatea lor de a analiza atât amenințările la adresa securității și de a implementa un răspuns adecvat față de acestea, atât pentru a crea și implementa forme de autoprotecție.

În acest sens, CERT-urile pot desfășura o activitate de sprijin atât în crearea de noi echipe, cât și în îmbunătățirea funcționalității celor existente.

Activitatea de instruire a CERT-urilor nu se limitează la profilul tehnic, ci are și scopul, prin cooperarea cu media principală, de a stabili conștientizarea situației în fiecare utilizator al rețelei cu privire la problema de securitate.

informație

Activitățile de asistență tehnică desfășurate de CERT le permit să colecteze informații despre incidentele la care răspund, de exemplu ce vulnerabilitate a fost exploatată, ce tip de atac a fost efectuat, ce daune a cauzat sistemului și cum a fost reușit să rezolve problema.

CERT colectează informațiile pe care le dețin, verificând dacă sunt corecte și cât mai actualizate, și le organizează sub formă de articole, buletine sau buletine informative, apoi le pun la dispoziția utilizatorilor, publicându-le periodic online.

Printre altele, aceste informații permit organizarea, sub forma unui sondaj statistic, atât a principalelor vulnerabilități ale sistemelor, a celor mai frecvente tipuri de atacuri, precum și a frecvenței acestora, precum și a eventualelor contramăsuri care trebuie adoptate în toate circumstanțele. În acest fel, CERT este capabil să înțeleagă dacă o urgență care i se raportează are caracteristici care sunt deja cunoscute sau încă necunoscute; în cazul celui de-al doilea caz, CERT are sarcina de a disemina informații cu privire la noul tip de urgență și la măsurile necesare pentru a face față sau a preveni aceasta.

Concepte

Vulnerabilitate

Este posibilitatea de a exploata un defect al software-ului sau o anumită configurație în sistemele de securitate, pentru a accesa anumite resurse informatice (adică datele conținute în computere sau capacitățile lor de calcul), fără a avea autorizația.

Vulnerabilitățile pot proveni din imperfecțiuni ale software-ului care permit forțarea unei disfuncționalități în fața anumitor configurații din datele de intrare; astfel de defecțiuni pot provoca pur și simplu un serviciu utilizatorilor „legitimi” ai sistemului sau pot permite dobândirea unor privilegii neașteptate. Alte vulnerabilități derivă din posibilitatea forțării sistemelor de autentificare sau din posibilitatea exploatării configurațiilor incorecte sau incomplete ale sistemelor de securitate.

CERT analizează diferitele sisteme informatice și programe de aplicații pentru a detecta orice vulnerabilități din acestea, apoi le comunică producătorilor și cooperează cu aceștia pentru a le corecta.

Obiectivul CERT este de a crea sisteme capabile să reziste la situații de urgență ale computerului și care, în caz de accident, pot reduce la minimum daunele și pot garanta utilizatorilor continuitatea serviciilor lor fundamentale.

Accident

Acest termen identifică, în general, o încercare, reușită sau nu, de a exploata una sau mai multe vulnerabilități pentru a pătrunde în sistemele atacate sau pentru a le afecta funcționarea.

Accidentele pot fi cauzate de persoane, de viruși sau de alte programe rău intenționate sau de defecte de software care se manifestă în anumite condiții de operare.

Gestionarea incidentelor este importantă pentru securitatea cibernetică, deoarece, chiar dacă astăzi sunt construite aplicații din ce în ce mai avansate, niciuna dintre ele nu este imună la încălcări.

CERT-urile se ocupă de răspunsul la incidente ori de câte ori securitatea unui sistem este compromisă. Răspunsul la incident constă într-o serie de comportamente care vizează minimizarea efectelor unei încălcări, garantarea integrității datelor și a resurselor sistemului și încercarea de a preveni încălcările viitoare.

De obicei, gestionarea unui incident cibernetic se întâmplă astfel:

un utilizator contactează CERT (prin telefon, e-mail sau site-ul web) raportând accidentul și daunele cauzate;
CERT analizează caracteristicile accidentului, încercând să identifice cauzele care l-au provocat;
CERT va contacta din nou utilizatorul pentru a comunica informațiile necesare pentru a elimina cauzele care au favorizat accidentul și pentru a restabili situația corect;
incidentul este rezolvat.

Principalele organizații

Primul

Forumul Echipelor de Răspuns la Incidente și Securitate este un consorțiu înființat în 1990 datorită impulsului a 11 CERT-uri și care astăzi reunește mai mult de o sută de CERT-uri de diferite naționalități.

Scopul acestei organizații este de a încuraja cooperarea între diferitele echipe printr-un schimb reciproc de informații, activități comune de cercetare și punerea în aplicare a unor strategii comune de apărare în cazul atacurilor la scară largă.

Italia a fost reprezentată în FIRST de CERT-IT, primul CERT care a fost fondat în Italia, născut în 1994 la Departamentul de Informatică și Comunicare al Universității din Milano , condus de profesorul Danilo Bruschi.

CERT-uri în Italia

În Italia, CERT GARR se ocupă exclusiv de urgențele informatice din rețeaua GARR.

La nivel instituțional, în a doua jumătate a anului 2014, a ^{fost înființat} National CERT Italia ^{[1] a} cărui misiune este de a sprijini cetățenii și întreprinderile prin acțiuni de sensibilizare, prevenire și coordonare a răspunsului la evenimentele cibernetice la scară largă.

CERT-AGID ^[2] operează, de asemenea, în sectorul guvernamental, care a înlocuit CERT-PA și este o structură care funcționează în cadrul Agenției pentru Italia Digitală ( AgID ) responsabilă de prevenirea și tratarea incidentelor de securitate tehnologia informației din domeniu constituit de administrațiile publice. A preluat responsabilitățile CERT-SPC în ceea ce privește protecția infrastructurii de comunicații și interoperabilitate a administrației publice italiene (Public Connectivity System: SPC). În 2021 , Agenția Națională de Securitate Cibernetică sa născut pentru a coordona sectorul.

Tot la nivel instituțional, Ministerul Apărării are propriile sale CERT, coordonate de CERT-DEFESA, aflate la Comandamentul Forțelor Comune pentru Operațiuni Cibernetice ale Statului Major al Apărării. Structura este susținută de o structură mai operațională administrată de Departamentul C4 . Cele patru forțe armate au, de asemenea, propriile lor CERT-uri individuale, care coordonează cu CERT-DEFESA.

Conferința episcopală italiană are, de asemenea, propriul CERT.

CERT-urile se răspândesc și în sectorul afacerilor: de fapt, unele companii naționale mari au acum propriile lor CERT-uri. Sectorul financiar se deplasează, de asemenea, prin crearea unui sector CERT.

CERT-uri din lume

US-CERT , este organismul care aparține Departamentului de Securitate Internă al Guvernului Federal al Statelor Unite.
CERT / CC , este centrul „istoric” de coordonare al CERT-urilor de la Universitatea Carnegie Mellon, care și-a transferat o parte din competențele către US-CERT.
PICERT , CERT al PosteItaliane.
RUS-CERT , este unitatea administrată la Universitatea din Stuttgart (site-ul este în limba germană).
IT-CERT , este o organizație non-profit sponsorizată în principal de Departamentul de Informatică și Comunicare (DICO) - Universitatea din Milano.

Alte organizații

Unitatea de analiză a criminalității informatice funcționează în cadrul poliției poștale italiene.
ISECOM Institute for Security and Open Methodologies este o comunitate open source pentru studiul metodologiilor sistemului de securitate, care include și gestionarea incidentelor IT.

Notă

^ www.certnazionale.it Arhivat 15 noiembrie 2019 la Internet Archive .
^ cert-agid.gov.it/

Portal IT

Portal de securitate IT

[1] www.certnazionale.it Arhivat 15 noiembrie 2019 la Internet Archive .

[2] rt-agid.gov.it/

fost înființat

[2]