С чего начать при внедрении (модернизации) системы защиты? Что следует сделать в первую очередь, чтобы получить гарантированный и скорый результат при минимальных затратах?
Стандарты и лучшие практики определяют десятки мер, внедрение которых позволяет повысить защищенность инфраструктуры.
Одним из основополагающих международных стандартов в области кибербезопасности является документ "Критические меры безопасности для эффективной киберзащиты" (Critical Security Controls for Effective Cyber Defense) от международного Совета по вопросам кибербезопасности (The Council on CyberSecurity), в свое время этим документом так же занимался SANS.
Документ на 106 страниц включает 20 мер (Контролей), содержащих подразделы. По сути это тот самый перечень мер, внедрение которых позволяет снизить риски ИБ с их дополнительной категоризацией по приоритетности. Отечественными аналогами служат 17 и 21 приказы ФСТЭК.
Интересной особенностью стандарта является наличие в нем списка мер, которые следует внедрить в первую очередь, итак:
Топ 5 мер, оказывающих наибольшее влияние на киберзащиту инфраструктуры по мнению The Council
- Белый список приложений;
- Использование стандартных, безопасных конфигураций системы;
- Обновление прикладного программного обеспечения в течение 48 часов;
- Обновление системного программного обеспечения в течение 48 часов;
- Уменьшение количества пользователей с административными привилегиями.
Далее описание каждой меры из стандарта с указанием аналога из документов ФСТЭК:
CSC 2-1
Развертывание технологии белых списков позволяет системе запускать ПО, только если оно включено в белый список и предотвращать исполнение всех других программ в системе. Белые списки могут быть очень большими (основываться на доступных белых списках производителей ПО) и это не вызовет у пользователей неудобства при использовании общего ПО. Или, в некоторых системах специального назначения (которые требуют лишь небольшого количества ПО для обеспечения их функциональности), белые списки могут быть довольно небольшими.
Аналог в 17 приказе ФСТЭК: ОПС.3
CSC 3-1
Создание и контроль использования стандартных безопасных конфигураций ваших операционных систем. Стандартизированные образы должны представлять собой проверенные версии операционных систем и приложений, установленных в системе. Подготовка, как правило, включат в себя: удаление ненужных учетных записей (в том числе служебных), отключение или удаление ненужных служб, применение патчей, закрытие открытых и неиспользуемых сетевых портов, внедрение систем обнаружения вторжений и/или систем предотвращения вторжений, использование локальных брандмауэров. Эти образы должны проверяться и обновляться на регулярной основе для поддержания конфигурации их безопасности в свете последних уязвимостей и векторов атак.
Аналог в 17 приказе ФСТЭК: частично ОЦЛ.3 и ОДТ.2 (в 21 приказе ФСТЭК: УКФ.1-4)
CSC 3-2
Внедрение утилит и процессов автоматической установки патчей для приложений и операционных систем. Когда устаревшие системы не могут быть больше обновлены, обновление прикладного программного обеспечения до последней версии. Удаление устаревших, старых и неиспользуемых приложений из системы.
Аналог в 17 приказе ФСТЭК: АНЗ.2
CSC 3-3
Ограничить наличие административных привилегий небольшим количеством пользователей, которые имеют как знания, необходимые для администрирования ОС, так и служебную необходимость изменять конфигурации ОС. Это поможет предотвратить установку несанкционированного ПО и другие злоупотребления правами администратора.
Аналог в 17 приказе ФСТЭК: УПД.5
CSC 4-1
Автоматический запуск сканеров уязвимостей для всех систем в сети, еженедельно или чаще, последующая доставка списков с наиболее критичными уязвимостями каждому ответственному системному администратору, вместе с оценкой риска, который сравнивает эффективность системных администраторов и подразделений в снижении рисков.
Использование сканеров уязвимостей, поддерживающих протокол SCAP которые показывают как уязвимости кода (такие как описанные в Common Vulnerabilities and Exposures entries, CVE) так и уязвимости конфигураций (такие как перечисленные в Common Configuration Enumeration Project, CCE).
Аналог в 17 приказе ФСТЭК: АНЗ.1
CSC 12-1
Свести к минимуму административные привилегии и использовать учетные записи администраторов только когда они требуются. Осуществлять целенаправленный аудит использования административных привелегированных функций и осуществлять контроль аномального поведения.
Аналог в 17 приказе ФСТЭК: УПД.5
Странно, что не упоминают регулярный Бэкап, что важно для непрерывности бизнеса, да и СЗИ, контролирующие и чистящие траффик...
ОтветитьУдалить