НТЦ ЕВРААС начинает цикл статей о фреймворках информационной безопасности. О видах фреймворков вы можете прочитать тут:
О фреймворке Cyber Essentials тут:
CIS 20 Controls представляет собой список приоритетных действий, которые создают каркас системы информационной безопасности как для больших, так и для малых организаций.
Приняв эти наборы средств контроля, организации могут предотвратить большинство кибератак.
1. Инвентаризация и контроль технических средств
Контроль информационной безопасности требует активного управления всеми техническими средствами с сетевым доступом для предотвращения доступа неавторизованных устройств.
Почему это важно? Без инвентаризации невозможно контролировать и поддерживать безопасность аппаратных средств организации. Обновления и исправления безопасности требуют общесистемного покрытия, и это особенно важно в ситуациях, когда персоналу разрешено использовать собственное устройство (BYOD) для работы или удаленно подключаться к сети организации.
Инвентаризация всех устройств в вашей сети — это первый шаг к уменьшению площади возможных кибератак.
Осуществляйте управление (инвентаризацию, отслеживание и исправление) всеми информационными активами таким образом, чтобы только авторизованные устройства получали доступ к вашей сети.
Инструменты и процедуры:
- Инструменты инвентаризации цифровых активов
2. Инвентаризация и контроль ПО
Этот критический контроль безопасности, подобно первому, требует от организации управления (отслеживание, анализ, исправление и удаление) всем программным обеспечением. Это необходимо для того, чтобы гарантировать, что неавторизованное программное обеспечение не будет установлено или выполнено.
Почему это важно? Злоумышленники постоянно сканируют сети на наличие брешей в защите, и уязвимости программного обеспечения не исключение. В конце концов, вы не можете отслеживать и защищать активы, о которых вы не знаете.
Инструменты и процедуры:
- Программное обеспечение для управления информацией и событиями в области безопасности (SIEM)
- Инвентаризация программного обеспечения. Создание «белых списков» ПО
Системы обнаружения вторжений (IDS)
- Антивирусное ПО (имеют встроенные инструменты инвентаризации)
3. Непрерывное управление уязвимостями
Управление уязвимостями преследует одну главную цель: предотвратить доступ злоумышленников в сеть организации. На практике это требует постоянного выявления слабых мест и уязвимостей безопасности и их эффективного устранения.
Почему это важно? Уязвимости технических средств и ПО являются повседневным явлением. Организации должны принимамть проактивные меры, которые сведут к минимуму риски атак.
Регулярное сканирование сети на наличие уязвимостей поможет определить угрозы безопасности до того, как они приведут к фактической компрометации данных. Очень важно выполнять автоматизированное сканирование всей цифровой среды.
Инструменты и процедуры:
- План реагирования на инциденты кибербезопасности
- Инструменты сканирования уязвимостей (XSpider, MaxPatrol, RedCheck, Nessus и др.)
4. Контроль администрирования
Организация должна отслеживать и управлять (анализировать, исправлять и удалять) учетными записями с привилегиями администратора. Привилегии администратора, по сути, дают возможность пользователю сети вносить любые изменения, будь то предоставление другим пользователям доступа к сети, установка или выполнение программ и т.д.
Почему это важно? Контроль за использованием и распределением привилегий администратора необходим, так как злоупотребление привилегиями администратора или ошибки пользователя могут привести к угрозам для сети и информационных активов предприятия. Злоумышленники, которые каким-то образом получили привилегии администратора, возможно, с помощью социальной инженерии, могут заблокировать любого пользователя, установить вредоносные программы или кейлоггеры. По сути, это даст им контроль над всей системой.
Административные учетные записи являются основной мишенью для киберпреступников. К счастью, есть несколько шагов, которые можно предпринять для их защиты, например, инвентаризация учетных записей администраторов и изменение паролей по умолчанию.
Процессы и инструменты:
- Инвентаризация и ограничение возможностей учетных записей администраторов
- PAM (Privileged Access Management) - системы контроля действий привилегированных записей (Zecurion, SafeInspect, Wallix, Indeed)
5. Защищенные настройки мобильных устройств, АРМ и серверов
Предусматривает строгое отслеживание и исправление конфигураций безопасности для всего аппаратного и программного обеспечения на устройствах, рабочих станциях и серверах.
Почему это важно? Аппаратное и программное обеспечение, как правило, конфигурируется таким образом, чтобы облегчить установку и начальную работу пользователя. На практике это означает, что настройки безопасности находятся на самом низком уровне, а злоумышленники используют хорошо известные уязвимости.
Этот элемент говорит и о необходимости автоматизации систем мониторинга конфигурации таким образом, чтобы отклонения от базовых настроек мгновенно детектировались.
Инструменты и процедуры:
- Политика стандартной конфигурации безопасности для всех авторизованных устройств
- Протокол автоматизации управления данными безопасности (SCAP)
6. Сбор, мониторинг и анализ событий безопасности
Требует от организаций вести детальный учет всех событий, происходящих в сети. Анализ журналов событий поможет определить, где находится брешь и в какой степени система была скомпрометирована.
Почему это важно? Если организация не ведет даже основных журналов, злоумышленник может оставаться незамеченным в сети очень долго. Системные журналы обеспечивают учет всей деятельности в вашей сети. Это означает, что в случае инцидента, связанного с кибербезопасностью, журналы событий дадут вам все необходимые данные о том, где, когда и как произошел данный инцидент.
Инструменты и процедуры:
- Межсетевые экраны и антивирусное ПО со встроенными возможностями ведения логов
- SIEM
7. Защита электронной почты и браузера
Требует повышенной защиты для электронной почты и браузеров, чтобы свести к минимуму риск манипулирования поведением сотрудников персоналом при взаимодействии с веб-браузерами и почтовыми системами.
Почему это важно? Социальная инженерия –наиболее распространенная точка входа в сеть. Еще одна угроза - инъекция или активация вредоносного кода, передаваемого по ссылкам через вредоносные веб-сайты и электронную почту
Инструменты и процедуры:
- Разрешены только авторизованные и полностью поддерживаемые веб-браузеры
- Политики DMARC (политика защиты пользователей от спама и фишинговых писем) и верификации
- Антивирусное ПО
- Межсетевые экраны
8. Антивирусная защита
Использование ПО для активного сканирования и удаления угроз, а также исправления конфигураций защиты.
Почему это важно? Вредоносные программы являются излюбленным инструментом злоумышленника, так как их относительно легко развернуть в незащищенных сетях.
Убедитесь, что антивирусное ПО хорошо интегрируются с другими инструментами безопасности.
Инструменты и процедуры:
- Антивирусное ПО
- Системы обнаружения вторжений (CISCO, Код Безопасности, Fortinet, Traffic Inspector)
9. Ограничение и контроль сетевых портов, протоколов и сервисов.
Все порты, протоколы и сервисы должны активно отслеживаться и контролироваться.
Почему это важно? Злоумышленники используют удаленные точки входа в сеть организации, которые часто появляются в виде предустановленного программного обеспечения, полностью открытых портов и плохо настроенных серверов доменных имен.
Реализация этого контроля поможет вам уменьшить поверхность атак.
Инструменты и процедуры:
- Межсетевые экраны
- Регулярно выполняйте сканирование портов (убедитесь, что подключены только авторизованные устройства)
10. Восстановление данных
Своевременное резервное копирования и восстановления критической информации.
Почему это важно? Когда злоумышленники успешно внедряются в систему, они, скорее всего, внесут изменения в конфигурацию системы, программное обеспечение или данные. Кроме того, работа информационных активов предприятия может быть нарушена ошибочными действиями сотрудников. Эти изменения, даже незначительные, поставят под угрозу эффективность деятельности организации. Без инструментов резервного копирования организации будет проблематично восстановить системы и данные после инцидентов.
Инструменты и процедуры:
- Использование ПО для резервного копирования и восстановления данных
- Регулярно запускать процессы резервного копирования
11. Защищенные настройки сетевых устройств и межсетевых экранов
Контроль относится к защите устройств сетевой инфраструктуры посредством активного управления конфигурациями безопасности.
Почему это важно? Любые уязвимости сетевой инфраструктуры – это серьезная проблема для безопасности предприятия, позволяющая злоумышленникам получить доступ к конфиденциальным данным, перенаправить потоки трафика и даже подорвать работу ИТ-систем за счет долгосрочного необнаруженного доступа к сети.
Создавайте, внедряйте и управляйте конфигурацией безопасности устройств сетевой инфраструктуры, чтобы предотвратить использование злоумышленниками уязвимых служб и настроек.
Инструменты и процедуры:
- Сетевые устройства защищены с помощью многофакторной аутентификации
- Сравните настройки безопасности устройств с утвержденными стандартами
- Использовать многофакторную аутентификацию для управляемых сетевых устройств
12. Защита периметра
Этот пункт касается того, как вы контролируете (обнаруживаете/предупреждаете/изменяете) потоки информации, передаваемой по сетям с различными уровнями доверия через границы вашей сети. Его реализация требует использования сетевых датчиков IDS и систем предотвращения вторжений.
Почему это важно? Злоумышленники будут пытаться использовать любое слабое место для совершения атаки, а системы, находящиеся на периметре сети являются потенциальным вектором атаки.
Инструменты и процедуры:
- Сегментация внутренней сети для ограничения доступа злоумышленников
- Межсетевое экранирование
- Систем обнаружения и предотвращения вторжений (IPS/IDS)
13. Защита данных
Данные должны классифицироваться в соответствии с их уровнем чувствительности и соответствующим уровнем защиты.
Почему это важно? Организации часто используют один и тот же уровень защиты для всех своих данных, независимо от их важности. Самый легкий способ понять необходимость категоризации и усиленной защиты конфиденциальных данных состоит в том, чтобы задать простой вопрос: каково будет воздействие компрометации (или потери) этих данных?
Контроль по защите данных, несмотря на его простое название, является одним из наиболее сложных и трудно реализуемых на практике.
Инструменты и процедуры:
- Системы шифрования данных
- DLP системы (InfoWatch Traffic Monitor, Гарда Предприятие, SearchInform КИБ, Solar Dozor и др.)
- Системы классификации и маркирования документов (SafeCopy, SearchInform Fileauditor, ZecurionDiscovery и др.)
14. Контролируемый доступ на основе ролей
Организации должны ограничивать доступ к критически важным активам и информации для персонала и сотрудников на основе уровня ролей (утвержденной классификации). Таким образом, доступ к информации или активам будут иметь только те сотрудники, которым необходим доступ.
Почему это важно? С помощью шифрования информации и отключения связи между рабочими станциями можно начать ограничивать потенциальные инциденты безопасности, которые могут произойти, когда права доступа к данным слишком слабые.
Инструменты и процедуры:
- Системы многоуровневого шифрования
- Системы управления доступом (iDM)
15. Контроль беспроводного доступа
Беспроводные локальные сети, беспроводные клиентские системы и точки доступа должны активно управляться посредством процессов и процедур, которые отслеживают, контролируют, обнаруживают и предотвращают вредоносную активность.
Почему это важно? По своей природе беспроводные устройства позволяют осуществлять удаленный доступ и становятся возможной точкой входа для злоумышленников. Подключение мобильных устройств организации к незащищенному и общедоступному беспроводному интернету является основной проблемой безопасности, которая подчеркивает необходимость активно управляемого контроля беспроводного доступа.
Первым шагом в реализации этого контроля является инвентаризация беспроводных точек доступа вашей сети.
Процессы и инструменты:
- Безопасные конфигурации для сетевых устройств
- Мониторинг и блокировка несанкционированного сетевого трафика
- Сегментация сети
- Убедитесь, что к удаленным устройствам, подключенным к внутренней сети, применяются те же политики, что и к локальным устройствам
- Используйте стандарта расширенного шифрования (Advanced Encryption Standard - AES)
16. Мониторинг и контроль учетных записей
Системное управление жизненным циклами учетных записей.
Почему это важно? Как и многие другие важные элементы контроля безопасности, злоумышленники всегда сканируют систему на наличие потенциальных векторов атаки. Неправильное управление жизненным циклом учетных записей может означать, что злоумышленники могут использовать неактивные учетные записи и получать доступ к критической информации, что в свою очередь может привести к полному доступу к системе.
Инструменты и процедуры:
- Убедитесь, что учетные записи подрядчиков/неактивные учетные записи сотрудников удалены
- Применить политику управления учетными записями и жизненным циклом записей
- Использовать многофакторную аутентификацию для всех учетных записей в сети
- Используйте системы управления доступом iDM, MDM, PIM
17. Программа повышения осведомленности в ИБ
Организации часто упускают из виду роли персонала в обеспечении повышенной безопасности. Повышение осведомленности о вопросах кибербезопасности особенно актуально для критически важных для бизнеса ролей, а также для персонала, вовлеченного в выполнение технических задач.
Почему это важно? Организации часто называют кибербезопасность "IT", что приводит к значительному недопониманию угроз для критически важной инфраструктуры и эффективного функционирования организации, включая соответствие нормативным требованиям.
В большинстве организаций подготовка по вопросам безопасности должна стать более важным направлением, отчасти в связи с увеличивающимся дефицитом навыков в области кибербезопасности.
Этот контроль подчеркивает необходимость постоянной подготовки по вопросам безопасности, а не разовых занятий.
Для всех функциональных ролей в организации определите конкретные знания, необходимые для обеспечения безопасности предприятия; разработайте и внедрите комплексный план по оценке знаний. Устраняйте пробелы в знания с помощью политик, обучения и программ повышения осведомленности в вопросах кибергигиены.
Инструменты и процедуры:
- Анализ пробелов в навыках (определение общей квалификации рабочей силы)
- Проведение имитационных фишинговых кампаний
18. Защита прикладного ПО
Организации должны управлять стандартами безопасности разработки собственного и приобретенного программного обеспечения. Это необходимо для того, чтобы организация могла исправлять, предотвращать и отслеживать слабые места в безопасности.
Почему это важно? Без таких стандартов безопасности, как политика кодирования, ориентированная на безопасность, злоумышленники могут использовать уязвимости прикладного ПО. Ошибки при кодировании могут быть использованы злоумышленниками.
Инструменты и процедуры:
- Практика безопасной разработки для собственного ПО (через политику и обучение)
- Система статического и динамического анализа кода
19. Управление и реагирование на инциденты ИБ
Внедрение системы реагирования на инциденты, включающей в себя все элементы, необходимые для быстрого и эффективного обнаружения, реагирования, смягчения и устранения атак.
Почему это важно? Большинство положений о защите данных включает требование к наличию систем реагирования на инциденты.
Защита информации организации, а также ее репутации подразумевает разработку и внедрения инфраструктуры реагирования на инциденты (например, планов, определенных ролей, обучения, коммуникаций), минимизации ущерба и восстановления целостности сети и систем.
Инструменты и процедуры:
- Политика реагирования на инциденты (конкретные действия)
- Системы IRP (Incident Response Platforms)
20. Пентест и проверки Red Team
Данный контроль - практическая проверка 19 предыдущих мероприятий. С помощью тестирования на проникновение организация может имитировать атаку на сеть. Таким образом они могут увидеть, есть ли еще уязвимые места, которые могут использовать злоумышленники.
Почему это важно? Тест на проникновение поможет организации определить уязвимые места и проверить устойчивость архитектуры кибербезопасности предприятия в целом.
Инструменты и процедуры:
- Средства тестирования на проникновение
- Услуги экспертов в области кибербезопасности
Коротко о "НТЦ ЕВРААС"
Работаем на рынке информационной безопасности с 1996 года. Эксперты "НТЦ ЕВРААС" предлагают комплексные решения в сфере кибербезопасности.
Мы проектируем системы под конкретные нужды и специфику организации, тем самым гарантируя, что система информационнои безопасности комплексно решает все задачи и обеспечивает надежную круглосуточную защиту ваших корпоративных ресурсов и данных.