Computer emergency response team

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Een Computer Emergency Response Team is een gespecialiseerd team van ICT-professionals, dat in staat is snel te handelen in het geval van een beveiligingsincident met computers of netwerken. Het doel is om schade te reduceren en snel herstel van de dienstverlening te bevorderen. Naast reactie op incidenten richt een CERT zich ook op preventie en preparatie.

CERT is het acroniem dat het Software Engineering Institute van de Carnegie Mellon University in Pittsburg gaf aan het eerste Computer Emergency Response Team dat werd opgericht (bekend als CERT/CC). Omdat Carnegie Mellon University de naam CERT beschermt worden andere incident response teams ook wel aangeduid met CSIRT of wordt het acroniem gebruikt voor Computer Emergency Readiness Team. In essentie hebben ze dezelfde functie: incidenten voorkomen en handelen als er zich toch een incident voordoet.

Geschiedenis[bewerken]

De aanleiding voor de oprichting van CERT/CC is de uitbraak van de Morris worm op internet in 1988. Deze worm verspreidde zich snel naar een groot deel van het toenmalig internet en onderbrak onder andere e-mail diensten omdat servers vastliepen. Direct na de uitbraak van de worm en het moeizame herstel besloot het Amerikaanse defensie-instituut Defense Advanced Research Projects Agency (DARPA) budgetten beschikbaar te stellen voor de oprichting van een expert team voor coördinatie bij beveiligingsincidenten met computers en netwerken. Dat het CERT/CC binnen twee weken na het herstel van de Morris worm was opgericht is een indicatie van de impact van de worm.

CERT/CC ontwikkelde methoden en gereedschappen om incidenten te voorkomen en snel problemen te kunnen analyseren. Al snel na de oprichting stimuleerde CERT/CC de oprichting van CERTs in andere organisaties en landen. Inmiddels zijn er ca. 200 CERTs in 43 landen. In 1992 richtte SURFnet in Nederland voor het eerst een CERT in.

Verschijningsvormen van een CERT/CSIRT[bewerken]

Iedere CERT/CSIRT is uniek in de zin dat het werkt voor verschillende achterbannen (constituency), verankerd is in verschillende organisaties en verschillende specialiteiten kent. In het algemeen zijn drie verschijningsvormen dominant:

  • het centrale team, waarbij alle incident handlers zijn toegewijd aan incident respons en in geval van een incident ingrijpen in de computers en netwerken.
  • het virtuele of decentrale team, waarbij incident handlers werken bij andere organisatieonderdelen en (parttime) werken als incident handler
  • het coördinerende team, waarbij incident handlers niet zelf ingrijpen, maar samenwerken met dedagelijkse technische beheerders van de computer infrastructuur bij de organisatieonderdelen. Het coördinerende team richt zich meer op aanpak, analyse, communicatie en advies.

Omdat internet een vast onderdeel is geworden van vitale maatschappelijke processen hebben veel landen een CERT/CSIRT dat coördineert op nationaal niveau.

Nederlandse CERTs/CSIRTs[bewerken]

Bij private en publieke organisaties in Nederland zijn CERTs/CSIRTs operationeel, onder andere:

  • NCSC-NL, voorheen GOVCERT.NL, voor de Nederlandse overheid
  • IBD, voor de Nederlandse Lokale Overheid
  • DefCERT, voor de systemen van het ministerie van defensie
  • KPN-CERT voor de diensten van KPN
  • SurfCERT, voor de diensten van SurfNET
  • Edutel-CSIRT, voor de IP-diensten van Edutel
  • Rabobank SOC
  • ING Global CIRT
  • AMC-CERT, voor de systemen van Academisch Medisch Centrum Amsterdam
  • CERT-KUN, voor de systemen van Nijmegen University
  • CERT-RUG, voor de systemen van de Universiteit Groningen
  • UvA-CERT, voor systemen van de universiteit van Amsterdam
  • VUCERT, voor systemen van de Vrije Universiteit in Amsterdam

Externe links[bewerken]

  • [1], een overzicht van diensten die van een CSIRT verwacht kunnen worden
  • NIST SP 800-61, een handboek voor CSIRTS
  • FIRST, het Forum voor Incident Response and Security Teams