В этой статье мы рассмотрим приоритетный набор действий для обеспечения кибербезопасности, который формирует набор конкретных и действенных передовых методов глубокой защиты для смягчения последствий наиболее распространенных кибератак. Принципиальное преимущество элементов управления заключается в том, что они расставляют приоритеты и фокусируются на небольшом количестве действий, которые значительно снижают риск кибератак.
Критические элементы управления были представлены сообществом экспертов, которые применяют свой опыт в качестве директоров по информационной безопасности и профессионалов в области безопасности, создавая всемирно признанные передовые методы обеспечения безопасности. Эти эксперты представляют широкий спектр секторов, включая розничную торговлю, производство, здравоохранение, образование, государственные учреждения и оборону.
Почему средства контроля важны?
Средства контроля важны, поскольку они сводят к минимуму риск утечки данных, кражи интеллектуальной собственности, корпоративного шпионажа, кражи личных данных, потери конфиденциальности, отказа в обслуживании и других киберугроз.
Профессионалы в области безопасности имеют доступ к целому ряду инструментов и технологий безопасности, стандартам безопасности, обучению, сертификатам, базам данных уязвимостей, передовым методам, элементам управления безопасностью, контрольным спискам, контрольным показателям и рекомендациям.
У увлеченных специалистов по безопасности нет недостатка в информации о том, что нужно делать для обеспечения безопасности своих организаций. Но все эти технологии, информация и надзор привели к конкурирующим вариантам, приоритетам, мнениям и заявлениям, которые могут отвлечь от конечной миссии по закрытию векторов атак и сокращению поверхности атаки.
В условиях роста бизнеса, расширения зависимостей, развития угроз и ожиданий большего числа клиентов надежная кибербезопасность как никогда актуальна.
Элементы управления помогают нам ответить на такие вопросы, как:
- Каковы наиболее важные области для создания программы управления рисками?
- Какие защитные шаги представляют наибольшую ценность?
- Как мы можем отслеживать зрелость нашей программы управления рисками?
- Как мы можем поделиться своими знаниями об атаках и злоумышленниках и определить первопричины?
- Какие инструменты лучше всего использовать для решения каких проблем?
- Какие элементы управления соответствуют нормативно-правовой базе моей организации?
Почему элементы управления работают?
Элементы управления работают, потому что они:
- Предоставляют информацию о распространенных атаках и эффективной защите
- Отражают знания экспертов из компаний, правительства и частных лиц, а также секторов (правительство, энергетика, оборона, финансы, транспорт, научные круги, консалтинг, безопасность, ИТ)
- Учитывают мнение каждой стороны (отделы реагирования на угрозы и аналитики, технологи, искатели уязвимостей, производители инструментов, поставщики решений, защитники, пользователи, политики, аудиторы и т. д.)
Средства контроля были разработаны на основе согласованного списка средств контроля безопасности, которые, по мнению экспертов по безопасности, являются лучшими защитными методами для предотвращения утечек данных и уменьшения ущерба, причиняемого кибератаками.
Помимо блокирования несанкционированного доступа, элементы управления контролируют также обнаружение признаков компрометации и предотвращение дополнительных атак.
Защита, указанная в элементах управления, направлена на сокращение первоначальной поверхности атаки за счет усиления защиты серверов, выявления скомпрометированных машин, нарушения командно-административного программного обеспечения и создания адаптивной, непрерывной защиты, которая постоянно совершенствуется.
Кроме того, элементы управления учитывают реальность, с которой сталкивается большинство организаций, поскольку ресурсы ограничены и необходимо установить приоритеты.
Таким образом, средства контроля разделяются на три категории: базовые, основополагающие и организационные, независимо от отрасли. Эти категории и установление приоритетов элементов управления — вот что делает их такими эффективными.
Каковы пять важнейших принципов эффективной киберзащиты?
Пять важнейших принципов эффективной системы киберзащиты:
1. Нападение информирует о защите. Используйте реальные кибератаки, которые скомпрометировали системы, чтобы обеспечить основу для обучения и создания эффективных и практических средств защиты. Избегайте защиты, которая не останавливает атаки в реальном мире.
2. Приоритизация. Инвестируйте в средства контроля, которые обеспечивают максимальное снижение рисков и защиту от наиболее опасных атак, которые можно реализовать.
3. Измерения и метрики. Используйте общие метрики, чтобы предоставить руководителям, специалистам по безопасности, аудиторам и сотрудникам нужную информацию для измерения эффективности мер безопасности в вашей организации.
4. Непрерывная диагностика и смягчение последствий. Непрерывно контролируйте состояние безопасности, чтобы тестировать и подтверждать эффективность средств управления безопасностью и принимать меры при необходимости.
5. Автоматизация. Автоматизируйте средства защиты для надежного масштабирования и постоянного контроля за соблюдением мер. Подумайте о том, чтобы распространить это на своих сторонних поставщиков и их поставщиков, постоянно отслеживая меры безопасности сторонних поставщиков.
20 элементов управления для эффективной киберзащиты
20 критических средств контроля безопасности для эффективной киберзащиты разделены на три группы:
1. Базовые элементы управления (1-6) являются отправной точкой для обеспечения кибербезопасности любой организации.
2. Основные элементы управления (7-16)
3. Организационный контроль (17-20)
1. Инвентаризация и контроль оборудования
Злоумышленники постоянно сканируют новые и, возможно, уязвимые системы для атаки в сети. Их особенно интересуют устройства, которые приходят и уходят из корпоративной сети, такие как ноутбуки или собственные устройства (BYOD), на которые не устанавливаются обновления безопасности или которые уже могут быть скомпрометированы.
После обнаружения злоумышленники могут воспользоваться этим оборудованием и получить доступ к организации или использовать его для запуска кибератак.
Этот контроль требует, чтобы организации управляли аппаратными устройствами в своей сети, чтобы гарантировать, что только авторизованные устройства имеют доступ к конфиденциальным областям. Управляемый контроль над всеми устройствами также играет важную роль в планировании и выполнении резервного копирования системы, реагировании на инциденты и восстановлении.
2. Инвентаризация и контроль программных активов
Как и в случае с оборудованием, злоумышленники ищут уязвимости в программном обеспечении, которые можно удаленно использовать.
Хорошим примером является EternalBlue — уязвимость в старых версиях операционной системы Windows, которая использовалась для запуска компьютерного червя - вымогателя WannaCry.
Злоумышленники могут распространять вредоносное программное обеспечение через веб-сайты, фишинговые электронные письма или иным образом.
Когда вредоносное программное обеспечение получает доступ к содержимому на машине, которую можно использовать, злоумышленники могут получить доступ и установить неавторизованное программное обеспечение или различные типы вредоносных программ.
Более изощренные злоумышленники могут использовать эксплойты нулевого дня, использующие уязвимости, не указанные в CVE и для которых еще не выпущено ни одного исправления.
Без надлежащего знания или контроля программного обеспечения, развернутого в организации, сотрудники не могут должным образом защитить свои активы, что приводит к утечке данных и раскрытию конфиденциальных данных. Скомпрометированные машины в сети могут быть использованы для проведения дополнительных кибератак.
Этот элемент управления снижает риск кибератак, требуя от организаций активного управления всем программным обеспечением в сети, чтобы устанавливалось и могло выполняться только авторизованное программное обеспечение.
3. Непрерывное управление уязвимостями
Управление уязвимостями и оценка уязвимостей требуют, чтобы киберзащитники получали постоянный поток новой информации, обновлений программного обеспечения, исправлений, рекомендаций по безопасности и т. д.
Злоумышленники будут использовать эту же информацию, чтобы воспользоваться промежутками между появлением новых уязвимостей и их исправлением для атаки на свои цели.
Чтобы свести к минимуму этот риск, этот элемент управления требует, чтобы организации постоянно собирали, оценивали и принимали меры в отношении новой информации, чтобы выявлять уязвимости, устранять их и минимизировать окно возможностей.
Без сканирования на наличие уязвимостей и упреждающего решения проблем организации сталкиваются со значительным риском компрометации.
4. Контролируемое использование административных привилегий
Принцип наименьших привилегий и другие методы управления доступом предназначены для создания процессов и инструментов для отслеживания, контроля, предотвращения и исправления использования, назначения и настройки административных привилегий.
Это помогает уменьшить злоупотребление административными привилегиями, что является распространенным методом атаки для распространения внутри организации.
Злоумышленники часто используют социальную инженерию, чтобы заставить жертв открывать вредоносные файлы, которые запускаются автоматически.
Если у жертвы есть административные привилегии, злоумышленник может захватить компьютер жертвы, установив вредоносное ПО, шпионское ПО или похитив конфиденциальные данные.
5. Безопасная конфигурация аппаратного и программного обеспечения на мобильных устройствах, ноутбуках, рабочих станциях и серверах.
Конфигурации по умолчанию для операционных систем и приложений обычно ориентированы на простоту развертывания и использования, а не на безопасность. Основные элементы управления, открытые сервисы и порты, пароли по умолчанию и устаревшие протоколы могут быть использованы, если оставить их в состоянии по умолчанию.
Чтобы свести к минимуму этот риск, организации должны установить, внедрить и активно управлять конфигурацией безопасности мобильных устройств, ноутбуков, серверов и рабочих станций, используя процессы управления конфигурацией и контроля изменений, чтобы предотвратить использование злоумышленниками уязвимых служб и настроек.
6. Ведение, мониторинг и анализ журналов аудита
Недостатки в регистрации и анализе безопасности позволяют злоумышленникам скрывать свое местоположение, установку вредоносного программного обеспечения и свою активность на компьютере жертвы.
Чтобы смягчить это, организации должны собирать, управлять и анализировать журналы аудита событий, чтобы помочь в обнаружении, идентификации и восстановлении после атак.
7. Защита электронной почты и веб-браузера
Веб-браузеры и почтовые клиенты являются распространенными точками атаки из-за их технической сложности, гибкости и высокой интенсивности использования. Контент может быть создан, чтобы побудить или обмануть пользователей, что позволит украсть ценные данные или ввести вредоносный код.
Этот элемент управления может свести к минимуму поверхность атаки и возможности для злоумышленников манипулировать поведением людей используя их взаимодействие с веб-браузерами и системами электронной почты.
8. Защита от вредоносных программ
Вредоносное программное обеспечение предназначено для атаки на ваши системы, устройства и данные. Оно может проникать через устройства конечных пользователей, вложения электронной почты, веб-страницы, облачные службы, действия пользователя и съемные носители. Сложные угрозы даже предназначены для обхода и отключения средств защиты.
Организации должны контролировать установку, распространение и выполнение вредоносного кода, оптимизируя использование автоматизации, чтобы обеспечить быстрое обновление защиты, сбор данных и корректирующие действия.
9. Ограничение и контроль сетевых портов, протоколов и сервисов
Злоумышленники удаленно ищут доступные сетевые сервисы, уязвимые для эксплуатации. Типичные примеры включают плохо настроенные веб-серверы, почтовые серверы, файловые службы и службы печати, а также DNS-серверы, установленные по умолчанию.
Этот элемент управления должен управлять текущим рабочим использованием портов, протоколов и служб на сетевых устройствах, чтобы свести к минимуму окна уязвимости, доступные злоумышленникам.
10. Возможности восстановления данных
Когда злоумышленники получают доступ к машине, они могут внести существенные изменения в конфигурацию и программное обеспечение. В некоторых ситуациях они вносят незначительные изменения в хранящиеся данные, что может нанести ущерб способности организации работать.
При обнаружении злоумышленника организации должны иметь возможность удалить все аспекты присутствия злоумышленника на компьютере.
Вот почему организации должны использовать процессы и инструменты для надлежащего резервного копирования критически важной информации с проверенной методологией для ее своевременного восстановления.
11. Безопасная конфигурация для сетевых устройств, таких как брандмауэры, маршрутизаторы и коммутаторы.
Конфигурации сетевой инфраструктуры по умолчанию предназначены для простоты развертывания и использования, а не для обеспечения безопасности. Открытые службы и порты, пароли по умолчанию, поддержка старых протоколов и предустановленное программное обеспечение могут быть уязвимыми в состояниях по умолчанию.
Организации должны устанавливать, внедрять и активно управлять конфигурацией безопасности устройств сетевой инфраструктуры, используя процессы управления конфигурацией и изменениями, чтобы предотвратить использование злоумышленниками уязвимых служб и настроек.
Это непрерывный процесс, так как конфигурация оборудования и программного обеспечения не является разовым событием, злоумышленники могут воспользоваться преимуществами изменения конфигурации с течением времени, поскольку пользователи требуют исключений для законных бизнес-потребностей. Эти исключения можно оставить открытыми, когда бизнес-потребность больше не нужна, открывая потенциальные окна для векторов атак.
12. Пограничная защита
Злоумышленники сосредотачиваются на использовании систем, доступных через Интернет. Организованные преступные группы могут злоупотреблять конфигурационными и архитектурными недостатками, обнаруженными в системах периметра, сетевых устройствах и клиентских компьютерах, чтобы получить первоначальный доступ к организациям.
Элементы управления пограничной защитой обнаруживают, предотвращают и корректируют поток информации, передаваемой по сетям с разными уровнями доверия, уделяя особое внимание данным, наносящим ущерб безопасности.
13. Защита данных
Конфиденциальные данные находятся во многих местах. Защита этих данных лучше всего достигается за счет сочетания методов шифрования, защиты целостности и предотвращения потери данных.
Элементы управления защитой данных — это процессы и инструменты, предназначенные для предотвращения утечки данных, смягчения последствий утечки данных и обеспечения конфиденциальности и целостности конфиденциальной информации.
14. Контролируемый доступ
Шифрование данных обеспечивает уровень гарантии того, что даже в случае утечки данных невозможно получить доступ к открытому тексту без значительных ресурсов. Тем не менее, необходимо ввести средства контроля, чтобы в первую очередь снизить угрозу утечки данных.
Организации должны иметь процессы и инструменты для отслеживания, контроля, предотвращения и исправления безопасного доступа к критически важным активам в соответствии с правами управления доступом людей, компьютеров и приложений на основе ранее классифицированных потребностей или прав.
15. Контроль беспроводного доступа
Многие утечки данных инициируются злоумышленниками, которые получили беспроводной доступ к организациям из-за пределов физического здания, подключившись по беспроводной сети к точкам доступа.
Общедоступные сети Wi-Fi могут стать благодатной почвой для атак «человек посередине» и могут устанавливать бэкдоры, которые повторно подключаются к сети целевой организации.
Контроль беспроводного доступа — это процессы и инструменты для отслеживания, контроля, предотвращения и исправления безопасного использования беспроводных локальных сетей (WLAN), точек доступа и беспроводных клиентских систем.
16. Мониторинг и контроль аккаунта
Злоумышленники часто обнаруживают и используют законные, но неактивные учетные записи пользователей, чтобы выдавать себя за законных пользователей, что затрудняет их обнаружение сотрудниками службы безопасности.
Этот контроль требует активного управления жизненным циклом системных учетных записей и учетных записей приложений — их созданием, использованием, бездействием и удалением — чтобы свести к минимуму возможности для злоумышленников.
17. Внедрите программу повышения осведомленности и обучения безопасности
Хотя заманчиво думать о кибербезопасности в первую очередь как о технической задаче, действия сотрудников играют решающую роль в успехе или неудаче даже самой автоматизированной программы кибербезопасности, будь то разработка, внедрение, эксплуатация, использование или надзор.
Это означает, что для всех функциональных ролей, отдавая приоритет критически важным функциям или безопасности, организации должны определить конкретные знания, навыки и способности в области безопасности, необходимые для поддержки защиты организации, разработать и выполнить план для оценки, выявления пробелов и устранения с помощью политики планирования, обучения и программы повышения осведомленности.
18. Безопасность прикладного программного обеспечения
Злоумышленники часто пользуются уязвимостями, обнаруженными в веб-приложениях и других приложениях. Эти уязвимости могут быть связаны с ошибками кодирования, логическими ошибками, неполными требованиями и отсутствием проверки на наличие необычных или неожиданных условий.
Чтобы смягчить этот вектор атаки, организации должны управлять безопасностью всего собственного и приобретенного программного обеспечения на протяжении всего его жизненного цикла.
19. Реагирование на инциденты и управление ими
Организации должны защищать свою информацию и репутацию, разрабатывая и внедряя инфраструктуру реагирования на инциденты (например, планы, определенные роли, обучение, связь, контроль со стороны руководства), чтобы быстро обнаруживать атаки, а затем сдерживать ущерб, устранять доступ злоумышленника и восстанавливать целостность сети и системы.
Инциденты безопасности теперь являются частью каждой организации. Даже крупные, хорошо финансируемые и технически сложные организации вынуждены бороться с киберпреступниками, просто взгляните на Yahoo во главе крупнейших в мире утечек данных.
Когда происходит инцидент, слишком поздно разрабатывать правильные процедуры, отчетность, сбор данных, управление, юридические процедуры и стратегию коммуникации. Вот почему планирование реагирования на инциденты важно разработать до успешной атаки.
20. Тесты на проникновение и учения
Организации должны тестировать свою общую защиту (технологии, процессы и люди), моделируя цели и действия злоумышленника.
Злоумышленники часто используют разрыв между хорошим защитным дизайном и реальной реализацией. Хорошим примером является промежуток времени между обнаружением уязвимости и ее устранением на каждой уязвимой машине.
Успешная защитная позиция требует комплексной программы с эффективными политиками информационной безопасности, надежной технической защитой и соответствующими действиями людей.
Учения используют комплексный подход ко всему спектру организационных политик, процессов и средств защиты, чтобы повысить организационную готовность, улучшить подготовку специалистов по защите и проверить текущий уровень производительности.
Важно отметить то, что не только кибератаки влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.