什么是 CERT？

计算机应急小组（CERT）是一个由信息安全专家组成的小组，负责防范、检测和应对组织的网络安全事件。CERT 的工作重点是解决数据泄露和拒绝服务攻击等事件，并提供警报和事件处理指南。CERT 还持续开展提高公众意识的活动，并参与旨在改进安全系统的研究。

最初的计算机安全事件应急小组是计算机应急小组协调中心（CERT/CC），于 1988 年底在宾夕法尼亚州匹兹堡的卡内基梅隆大学成立。

应急小组的作用是什么？

无论它们被称为 CERT、CSIRT、IRT 还是其他类似名称，所有计算机应急响应小组的作用都相当类似。 所有这些组织都在努力实现相同的事件响应相关目标，即对计算机安全事件做出响应，以重新获得控制并将损失降至最低，提供或协助有效的事件响应和恢复，并防止计算机安全事件再次发生。

一般来说，事件响应团队负责保护组织免受计算机、网络或网络安全问题的影响，这些问题会威胁到组织及其信息。事件响应的通用模式是 "保护、检测和响应 "模式，该模式已使用了很长时间：

保护

这是指在出现任何网络安全问题之前，确保组织已采取必要措施和预防措施来保护自身安全。这方面的重点是积极主动的策略，而不是被动反应的策略。 其中一些保护策略包括

制定组织事件响应计划。

进行风险评估或分析。

创建最新的资产清单管理

实施漏洞扫描工具和入侵检测系统 (IDS)。

为所有员工提供安全意识培训。

建立配置、漏洞和补丁管理

制定安全计划、政策、程序和事件响应培训材料。

为用户详细说明应报告哪些安全问题，并概述报告流程。

为常见事件类型创建事件响应手册。

部署根据当前威胁定期更新的内部和外部防御措施。

每次发生事故时，重新评估程序的有效性。

检测

除非检测到事件，否则无法对其做出响应。 事实上，许多组织可能需要数周或数月才能检测到安全事件。 常见的检测策略是利用路由器、防火墙、入侵检测和防御系统、网络监控器和安全运营中心 (SOC) 等技术实施防御性网络架构。

有效的检测需要时间和精力。 它还需要高度了解企业网络的实际运行情况。在制定检测策略之前，需要回答的常见问题包括

哪些应用程序一直在使用？

正常的网络流量是什么样的？

使用哪些网络协议？

哪些网络协议不应该出现在网络上？

正常的带宽使用模式是什么，包括流量和方向？

网络上应该连接哪些设备？

谁是这些连接主机和设备的系统和数据所有者？

为了确定网络是否无法正常运行、是否托管了不需要的应用程序或出现异常流量模式，必须能够完整描述网络及其附属系统应该如何运行。 如果不了解系统的正常运行，就不可能知道该系统何时未按预期运行。

系统管理要求必须对网络的每个部分进行记录和基准化。这可以通过以下方式实现

软件资产管理 (SAM) 计划，该计划应确定哪些资产应该存在，由谁拥有，以及每项资产支持哪些应用程序和业务功能。此外，还应根据资产基线进行定期检查。

应用程序管理和安全计划，包括应用程序所有者、授权用户、数据传输特征以及应用程序负责的其他流量。

变更、配置和补丁管理计划，以确保网络设置符合规定。

带宽利用基准线，并根据基准线进行常规带宽检查。

网络流量基线和持续监控，以捕捉偏离基线的情况。

对于保护和检测这两种做法，重要的是要了解这些流程模型的所有要素都必须在任何响应活动开始之前提前建立。 许多组织没有制定事件响应计划，或没有实施任何保护和检测策略，因此无法了解其网络和系统是否安全。

响应

一旦发现计算机安全事故，就可以开始正式的事故响应。 计算机安全事故的响应分为几个步骤。第一步是团队收到用户、业务合作伙伴或安全运营中心工作人员等相关人员的事故报告。然后，团队成员分析事件报告，了解发生了什么，并立即制定策略，重新获得控制权，阻止进一步的破坏发生。最后，将策略转化为计划并付诸实施，以尽快从事故中恢复并恢复正常运行。

美国国家标准与技术研究院（NIST）开发了自己的事件响应模型，受到事件响应人员的欢迎，尤其是在美国联邦行政部门。 NIST 模式使用 "遏制、消除和恢复 "来描述其事件响应模式和流程。 NIST 特别出版物《计算机安全事件处理指南》SP-800-61 详细描述了这一事件响应模式。

CERT 历史

1988 年 11 月的一次互联网蠕虫事件导致 10% 的互联网瘫痪，此后，美国国防部高级研究计划局 (DARPA) 委托卡内基梅隆大学软件工程研究所 (SEI) 建立一个中心，负责在紧急情况下协调安全和计算机专家之间的通信，并帮助防止未来发生计算机安全事件。 促使世界上第一个计算机应急小组成立的互联网蠕虫最终被称为罗伯特-莫里斯蠕虫。

莫里斯蠕虫是以其创建者罗伯特-塔潘-莫里斯的名字命名的，他是康奈尔大学的一名研究生，曾在麻省理工学院（MIT）校园内发布该蠕虫，显然是为了掩盖蠕虫的来源。据其创建者称，莫里斯蠕虫并不具有破坏性，而是为了突出伯克利软件发行版（BSD）UNIX 变体中的软件安全漏洞而编写的。 具有讽刺意味的是，该蠕虫本身包含一个软件缺陷，导致其自我复制的速度比预期的要快得多，导致其感染的机器在蠕虫的要求下运行速度减慢或停止，从而促成了该蠕虫的发现。

除了莫里斯蠕虫造成的破坏之外，该蠕虫的发布还产生了三个持久的影响：

莫里斯蠕虫的影响之一是在软件工程研究所（SEI）创建了 CERT/协调中心。SEI 成立于 1984 年，是一家由联邦政府资助的研发中心 (FFRDC)，之所以被 DARPA 选中来建立 CERT 协调中心，是因为它可以作为中立的第三方来协调各方的工作，特别是与软件供应商的工作，以消除成为安全问题的软件缺陷。

莫里斯蠕虫的另一个影响是，罗伯特-塔潘-莫里斯（Robert Tappan Morris）成为根据 1986 年《计算机欺诈和滥用法》（CFAA）受审和定罪的第一人。这位 24 岁的计算机科学专业学生被判缓刑三年、400 小时社区服务、罚款 10,000 美元，加上缓刑期间的费用，总计 13,326 美元。

莫里斯蠕虫病毒的第三个影响，或许也是最深远的影响，就是激发了人们对关键基础设施保护的思考和研究。莫里斯蠕虫突显了软件设计和工程不良、被忽视或忽略的软件缺陷成为安全漏洞以及安全实践不良等问题，这些问题至今仍然十分严重。 即使没有恶意，莫里斯蠕虫的发布也表明，互联网并不一定是一个人人都可以信赖的地方，每个人都会为他人的最大利益着想。

除了莫里斯蠕虫病毒，自 1988 年成立以来，计算机应急小组协调中心已成为世界领先的计算机安全机构之一。 自 CERT/CC 成立以来，互联网已从 1998 年的约 6 万台计算机发展到 2019 年 1 月域名系统 (DNS) 中公布的超过 10 亿台主机。

CERT 协调中心发挥领导作用的领域包括

为全球 50 多个事件响应团队的发展做出了贡献。

促进事件响应方法和教育的发展。

成为事件响应和安全团队论坛 (FIRST) 的创始成员。

创造了许多安全评估方法和工具。

牵头开展研究生网络安全教育。

开展内部威胁研究和教育。

指导恶意软件分析和防御方法。

发布漏洞报告和漏洞数据库。

CERT 与 CSIRT

CERT 一词被选为软件工程研究所计算机应急响应小组的标识符。SEI 是一个由联邦政府资助的研发中心，由卡内基梅隆大学管理，并拥有 "CERT "这一名称的商标和所有权。如今，SEI 指出，CERT 名称不再是缩写，而是一个商标符号。 SEI 不再使用计算机应急小组这一名称来指 SEI 的 CERT 部门。 SEI 现在称其 CERT 部门为 CERT 协调中心或 CERT/CC。

由于卡内基梅隆大学对 CERT 名称拥有商标所有权，他们鼓励其他事件响应组织使用计算机安全事件响应小组 (CSIRT) 而不是 CERT。因此，SEI 和 CERT/CC 的所有计算机安全事件响应文档、出版物和教育课程都使用 CSIRT 来指代独立拥有或运行的事件响应组织。

本文标签： # CE认证好处