Un equip de resposta davant emergències informàtiques (CERT, de l'anglès Computer Emergency Response Team) o equip de resposta davant incidents de seguretat informàtica (CSIRT, de l’anglès Computer Security Incident Response Team) és un centre d’alerta i resposta enfront d’incidents de seguretat en els sistemes d’informació.

A Europa es prefereix la denominació CSIRT[1] en comptes del terme protegit CERT, perquè aquest està registrat als EUA per la Universitat Carnegie Mellon.[2]

Història

editar

La història del CERT, i dels CSIRT, està lligada a l’existència del malware, especialmente dels cucs i virus informàtics. Sempre que arriba una nova tecnologia, el seu ús indegut no triga a manifestar-se.

El 2 de novembre de 1988, el cuc Morris es va propagar per Internet des del Massachussetts Institute of Technology (MIT) per un error de Robert Tappan Morris, en aquell temps estudiant de la Universitat de Cornell, infectant en 24 hores al voltant de 6.000 de les 60.000 màquines connectades a Internet[3]. Els danys exactes eren difícils de quantificar, però les estimacions començaven en 100.000 dòlars i es disparaven a milions.[4]

En resposta a aquest fet, l’Agència d'Investigacions de Projectes Avançats de Defensa (DARPA, de l’anglès Defense Advanced Research Projects Agency) va crear el primer CERT a la Universitat Carnegie Mellon de Pittsburgh (Pensilvania).[5]

Amb el creixement massiu de l’ús de las tecnologies de la informació i les comunicacions en els anys posteriors, el terme genèric CSIRT es refereix a una part essencial de les estructures de la majoria de les grans organitzacions. A moltes d’elles, el CSIRT evoluciona fins a convertir-se en un centre d’operacions de seguretat de la informació.

El 1992, SURFnet, el proveïdor de serveis d’Internet (ISP) per a les universitats neerlandeses, va inaugurar el primer CSIRT europeu, SURFnet-CERT[1].

Tipus de serveis que ofereix un CERT

editar

Cada CERT/CSIRT és diferent i en funció dels seus recursos i del seu públic objectiu estableix unes prioritats i decideix aportar uns servicios diferents. Alguns dels serveis que pot oferir son:

Serveis preventius

editar
  • Avisos de seguretat
  • Cerca de vulnerabilitats
  • Auditories o avaluacions de seguretat
  • Configuració i manteniment d’eines de seguretat, aplicacions i infrastructures
  • Desenvolupament d’eines de seguretat
  • Propagació d’informació relacionada amb la seguretat

Serveis reactius

editar
  • Gestió d’incidents de seguretat (anàlisi, resposta, suport i coordinació d’incidents de seguretat)
  • Gestió de vulnerabilitats (anàlisi, resposta i coordinació de vulnerabilitats detectades)

Tipologia segons el seu públic objectiu

editar

Depenent del seu públic objectiu ens podems trobar que un CERT pot ser:[1]

  • Un CERT/CSIRT intern a una organització
  • Un CERT/CSIRT comercial. Presten diferents serveis a canvi d'una contraprestació econòmica.
  • Un CERT/CSIRT d'infrastructures crítiqueas. Els CERT d'aquest tipus se centren principalment en la protecció de les infrastructuras crítiques i de las infrastructuras crítiques de la informació (Administració, Centrals i xarxes d'energia, Tecnologies de la informació i les comunicacions, Sistema Financer i Tributari, Sector sanitari, Espai, Instal·lacions de Recerca, Alimentació, Aigua, Transports, Indústria Nuclear i Industria Química)
  • Un CERT/CSIRT de sector. L'àrea de responsabilitat d'aquest tipus d'equips es circunscribeix al sector en el que està enquadrat. Per exemple, a Espanya hi ha l'INCIBE-CERT (antic INTECO-CERT), que dirigeix els seus serveis a la Petita i Mitjana Empresa i als ciutadans, els quals és poc viable que puguin implementar de forma individual les funcions d'un CERT.
  • Un CERT/CSIRT del sector públic/administració/governamental. El seu principal objetiu és assegurar la infrastructura TIC d'un Govern/Estat i els serveis que s'ofereixen a la població. Estan adreçats a administracions públiques i els seus diferents organismes. Un sol CERT/CSIRT pot donar servei a totes les administracions públiques del país o només a una part, deixant la resta a altre CERT/CSIRT específicos. Per ejemplo, a Espanya hi ha el CCN-CERT que és el governamental i després n'hi ha diversos a nivell autonòmic como el CSIRT-CV (Generalitat Valenciana), el CESICAT (Generalitat de Catalunya), l'Andalucía-CERT (Junta d'Andalusía)
  • Un CERT/CSIRT militar. Presten serveis a organitzacions militars amb responsabilitats en infrastructuras TIC necessàries amb fins de defensa. La seca comunitat està conformada per les institucions militars i per entidats estretament relacionades amb aquestes. El CERT militar pot ser part d'un CERT governamental o ser independent.
  • Un CERT/CSIRT nacional. La seva responsabilitat general de coordinació sobre tots els sectors de la nació. Aquest centre funciona com a punt focal de contacte tant a l'entorn nacional como per a requeriments internacionals. Es pot considerer com un “CERT de l'últim recurs”, pel seu paper de coordinació. En molts casos el CERT nacional també actua com a CERT governamental o té el seu origen en ell. Els CERT nacionals generalment han evolucionat dels CERT governamentals como una conseqüència lògica de l'ampliació dels seus serveis

Organizaciones

editar

Norte América

editar

En los Estados Unidos, en su mayoría los CSIRTs cooperan con los CERT-CC del CMU, que funciona como el Centro de Coordinación a nivel nacional y es uno de los contactos principales de corporaciones como la Apple Inc. quienes cooperan de manera cercana con organizaciones como El Centro de Coordinación de Equipos de Incidentes Informáticos (Computer Emergency Response Team Coordination Center, CERT/CC)

Centro América

editar

Sur América

editar

Europa

editar

CSIRTs en Europa colabora con TERENA task force TF-CSIRT. TERENA's Proveedor de Servicio Confiable que suministra un esquema de certificación y acreditación para los CSIRTs en Europa. Una lista completa de CSIRTs conocidos en Europa.

Asociaciones

editar

Las principales asociaciones son:[1]

  • Forum of Incident Response and Security Teams (FIRST). Asociación global de los CSIRTs. Su principal objetivo es promover la cooperación y coordinación en la prevención de incidentes, así como compartir información entre sus miembros y la Comunidad en su conjunto. A través de sus miembros de pleno derecho, FIRST constituye una “red de confianza” para la respuesta a incidentes globales. En la actualidad cuenta con 218 miembros de 48 países distintos, repartidos por los cinco continentes.
  • European Government CERT (EGC Group). Grupo informal de Equipos de Respuesta Gubernamentales europeos que está desarrollando una cooperación eficaz en materia de respuesta a incidentes entre sus miembros. Creado en 2001 A fecha de 2011 tiene como miembros: GovCERT.AT (Austria),Danish_GovCERT (Dinamarca), CERT-FI (Finlandia), CERTA (Francia), CERT-Bund (Alemania), CERT-Hungary (Hungría), GOVCERT.NL (Holanda), NorCERT (Noruega), CCN-CERT (España), CERT-SE (Suecia), GovCERT.ch (Suiza), CSIRTUK (Reino Unido) GovCertUK (Reino Unido) y CSIRT UK (Reino Unido).
  • TRUST INTRODUCER. Grupo de trabajo creado por TERENA (Asociación Transeuropea de Investigación y Educación de Redes) que promueve la colaboración entre CSIRT a nivel Europeo. Su principal objetivo es proporcionar un foro (TF-CSIRT) donde sus miembros puedan intercambiar experiencias y conocimientos en un entorno de confianza
  • NATO Computer Incident Response Capability (NCIRC). En él varios CSIRT de los miembros de los países miembros de la OTAN analizan y comparten información de seguridad.[2]

Referencias

editar