CERT Bulgaria е Национален екип за реагиране при инциденти с компютърната сигурност. Мисията на екипа е да подпомага ползвателите на услугите му в извършването на проактивни дейности за намаляване рисковете от инциденти в информационната сигурност и да асистира при разрешаването на такива инциденти в случай, че вече са възникнали.
Екипът предоставя централизирана база данни с информация, свързана с осигуряване на сигурна и защитена информационна среда.
Целите, които се поставят включват:
- защита на информацията и технологичните активи;
- ограничаване директното влияние на инцидентите в сигурността върху информационното общество;
- помощ при възстановяване от инциденти;
- оценяване на въздействието от инциденти в сигурността;
- събиране и разпространение на техническа информация, свързана с инциденти в информационната сигурност, както и с уязвимости в сигурността на системите и начините за предотвратяването им;
- провеждане на изследвания, свързани с нови технологии в мрежовата и информационна сигурност;
- провеждане на обучения, свързани с информационна сигурност и управлението на инциденти.
Националният екип за реагиране при инциденти с компютърната сигурност предоставя на своите ползватели ре-активни и про-активни услуги, описани по-долу.
Сигнализиране и предупреждение при възникване на кризисни ситуации:
Услугата предлага разпространяване на информация, която описва атаки, уязвимости в сигурността, аларми при неправомерна намеса, компютърни вируси или измами и предлагане на препоръчителни в краткосрочен аспект действия за справяне и разрешаване на проблемите. Сигналите за проблеми, предупрежденията или съветите се изпращат в ответ на текущ проблем, с цел да се даде информация за тази активност и да се осигурят напътствия за предпазване от опасности или за възстановяване на системите, в случай, че са били засегнати.
Управление на уязвимости:
Услугите по управление на уязвимости в допълнение на услугите по сигнализиране и предупреждение включват:
- получаване и обработване на информация относно уязвимости в хардуера и софтуера на системи и приложения;
- анализ на характера, механизма и последствията от уязвимостите и разработване на стратегии за действие за откриване и поправяне на уязвимости;
- определяне на подходящи действия за смекчаване или поправяне на уязвимостта. Може да включва търсене на софтуерни кръпки и корекции и уведомяване на ползвателите на услугата за мерки за смекчаване. Оказване на помощ при извършването на действия по инсталиране на софтуерни кръпки и корекции.
Управление на инциденти в сигурността:
Управлението на инциденти включва получаване, сортиране и отговор на заявки, както и анализиране на инциденти и събития. Конкретните действия по управлението могат да включват:
- предприемане на действия за предпазване на системи и мрежи, засегнати или заплашени от нежелани атаки;
- предлагане на решения и стратегии за намаляване на рисковете, в резултат на вече случили се подобни събития;
- проверки за атаки в други части на мрежата;
- филтриране на мрежов трафик;
- възстановяване на системите;
- актуализация и обновяване на системите;
- разработване на други отговори или алтернативни стратегии за разрешаване на възникнали проблеми.
Управление на артефакти:
Услугите по управление на артефакти включват получаване на информация за наличието и копие на артефактите, които са използвани в атаката на нарушителя, разузнаване и други неоторизирани или разрушителнидействия. Разучаването на артефактите включва анализ на характера, механиката, версията и използването на артефактите и разработване (или предлагане) на стратегии за действие по откриването, премахването и защитата срещу тях.
Информационни бюлетини:
Услугите включват, но не са ограничени до предупреждения за уязвимости и опити за атаки, както и съвети за повишаване на сигурността. Чрез тези бюлетини се дава информация за новооткрити уязвимости и инструменти за атака. По този начин се цели да се защитят системите срещу такива уязвимости още преди те да станат широко разпространени.
Разпространяване на информация свързана с осигуряването на сигурна информационна среда:
Тази услуга предоставя на ползвателите ѝ информация за подобряване на сигурността, представена в изчерпателен и разбираем вид. Информацията може да включва:
- напътствия за връзка със CSIRT звеното;
- архив с предупреждения, нотификации и други подобни съобщения;
- документи за текущите добри практики в областта;
- основни насоки по компютърна сигурност;
- политики, процедури и чеклисти;
- информация за разработването и разпространението на „кръпки“ в сигурността;
- връзки към доставчици;
- текуща статистика и тенденции в засичането на инциденти;
- друга информация, която би могла да подобри цялостните практики в сигурността.