Разкриване и превенция в управлението на информационната сигурност

• Кибератаките остават неразкрити твърде дълго време
• Новият стандарт ISO/IEC 27001:2022 - ключови промени
• Три нови контроли за откриване и предотвратяване
• Техническо резюме
• Какво означава актуализацията за вашата сертификация?
• Най-съвременна ISMS с опита на DQS

Кибератаките остават неразкрити твърде дълго

Изключителната стойност на информацията и данните в света на бизнеса през 21-ви век все повече принуждава компаниите и организациите да се фокусират върху информационната сигурност и да инвестират в системна защита на своите цифрови активи. Защо? В динамичните пейзажи на заплахите тактиките на нападателите стават все по-сложни и многопластови - което води до сериозни щети върху имиджа и репутацията на засегнатите компании и до милиарди долари годишни икономически загуби в световен мащаб.

Експертите са единодушни, че вече не съществува пълна защита срещу кибератаки - най-малкото заради човешкия фактор на несигурност. Поради това ранното откриване на потенциални и реални атаки е още по-важно, за да се ограничи техният страничен вектор в корпоративните мрежи и да се запази броят на компрометираните системи възможно най-нисък. Но в тази област все още има да се наваксва огромно количество: проучване, проведено като част от проучването на IBM "Стойност на нарушенията на сигурността на данните 2022 г.", показва, че през 2022 г. са били необходими средно 277 дни за откриване и ограничаване на атака.

Новият стандарт ISO 27001:2022

За да подпомогне компаниите и организациите със съвременна, стандартизирана рамка за системи за управление на информационната сигурност, ISO публикува новия стандарт за ISMS ISO/IEC 27001:2022 на 25 октомври 2022 г. Приложение А предоставя контроли/мерки, които могат да се използват на специфична за компанията основа за справяне с рисковете за информационната сигурност.

Прилагането на мерките от приложение А в настоящата версия се подпомага от идентично структурираните насоки за прилагане на ISO/IEC 27002:2022, които вече бяха актуализирани. Общите контроли за стратегическо предотвратяване на атаки и по-бързото им откриване са включени наново.

Три нови контроли за откриване и превенция

Сегашните 93 мерки в приложение А на ISO/IEC 27001:2022 са реорганизирани в рамките на актуализацията в четири теми

• Организационни мерки,
• Персонални мерки,
• Физически мерки и
• Технологични мерки.

Три от единадесетте нововъведени контроли за информационна сигурност са свързани с предотвратяването и своевременното откриване на кибератаки. Тези три контрола са

• 5.7 Разузнаване на заплахите (организационно).
• 8.16 Дейности по наблюдение (технологични)
• 8.23 Филтриране на уебсайтове (технологично).

По-долу ще разгледаме по-подробно тези три нови контроли.

Разузнаване на заплахите

Организационният контрол 5.7 се занимава със систематичното събиране и анализиране на информация за съответните заплахи. Целта на мярката е организациите да запознаят собствената си ситуация със заплахите, за да могат впоследствие да предприемат подходящи действия за намаляване на риска. Данните за заплахите трябва да се анализират по структуриран начин в съответствие с три аспекта: стратегически, тактически и оперативен.

Стратегическият анализ на заплахите дава представа за променящите се пейзажи на заплахите, като например видовете атаки и участниците в тях, напр. мотивирани от държавата участници, киберпрестъпници, поръчкови атакуващи, хактивисти. Националните и международните правителствени агенции (като BSI - Германската федерална служба за информационна сигурност, enisa - Агенцията на Европейския съюз за киберсигурност, Министерството на вътрешната сигурност на САЩ или NIST - Националният институт за стандарти и технологии), както и организациите с нестопанска цел и съответните форуми, предоставят добре проучена информация за заплахите във всички отрасли и критични инфраструктури.

Тактическото разузнаване на заплахите и неговата оценка предоставят оценки на методите, инструментите и технологиите на нападателите.

Оперативната оценка на конкретни заплахи предоставя подробна информация за конкретни атаки, включително технически индикатори, напр. понастоящем екстремното нарастване на кибератаките чрез ransomware и неговите варианти през 2022 г.

Анализът на заплахите може да осигури подкрепа по следните начини:

• Процедурно за интегриране на данните за заплахите в процеса на управление на риска,
• Технически - за превенция и откриване, напр. чрез актуализиране на правилата на защитната стена, системите за откриване на прониквания (IDS), решенията за борба със зловреден софтуер,
• С входна информация за специфични процедури за изпитване и техники за изпитване на информационната сигурност.

Качеството на данните от организационен контрол 5.7 за определяне на ситуацията на заплаха и нейното анализиране влияе пряко върху двете технически контроли за дейности по наблюдение (8.16) и филтриране на уебсайтове (8.23), разгледани по-долу, които също са нови за ISO/IEC 27002.

Дейности по наблюдение

Детективният и коригиращ контрол за информационна сигурност 8.16 за техническо наблюдение на дейностите се фокусира върху откриването на аномалии като метод за предотвратяване на заплахи. Мрежите, системите и приложенията се държат в съответствие с очакваните модели, като например пропускателна способност на данните, протоколи, съобщения и т.н. Всяка промяна или отклонение от тези очаквани модели се открива като аномалия.

За да се открие това необичайно поведение, съответните дейности трябва да се наблюдават в съответствие с изискванията за бизнес и информационна сигурност и всички аномалии трябва да се сравняват със съществуващите данни за заплахи, наред с други неща (вж. по-горе, изискване 5.7). Следните аспекти са от значение за системата за наблюдение:

• Входящ и изходящ мрежов, системен и приложен трафик,
• Достъп до системи, сървъри, мрежово оборудване, системи за наблюдение, критични приложения и др,
• Файлове за системна и мрежова конфигурация на административно или критично ниво;
• Протоколи на инструменти за сигурност [напр. антивирусни програми, системи за откриване на проникване (IDS), системи за предотвратяване на проникване (IPS), уеб филтри, защитни стени, предотвратяване на изтичане на данни],
• Протоколи за събития, свързани със системни и мрежови дейности,
• Проверка на целостта и оторизацията на изпълнимия код в системата,
• Използване на ресурси, например процесорна мощност, капацитет на диска, използване на паметта, пропускателна способност.

Основните изисквания за функциониращо наблюдение на дейностите са чисто и прозрачно конфигурирана IT/OT инфраструктура и правилно функциониращи IT/OT мрежи. Всяка промяна срещу това основно състояние се открива като потенциална заплаха за функционалността и следователно като аномалия. В зависимост от сложността на инфраструктурата прилагането на тази мярка е голямо предизвикателство въпреки съответните решения на доставчиците. Важността на системите за откриване на аномалии беше призната почти едновременно с изискването 8.16 на ISO/IEC 27002:2022 за операторите на т.нар. критични инфраструктури. По този начин в националния обхват на съответните, законови разпоредби, съществува задължение за тях да прилагат ефективно т.нар. системи за откриване на атаки със срокове.

Уеб филтриране

Интернет е едновременно благословия и проклятие. Достъпът до съмнителни уебсайтове продължава да бъде входна врата за зловредно съдържание и зловреден софтуер. Контролът на информационната сигурност 8.23 Уеб филтриране има превантивна цел да защити собствените системи на организацията от проникване на злонамерен софтуер и да предотврати достъпа до неоторизирани уеб ресурси. За тази цел организациите трябва да установят правила за безопасно и подходящо използване на онлайн ресурсите - включително задължителни ограничения на достъпа до нежелани или неподходящи уебсайтове и уеб базирани приложения. Достъпът до следните видове уебсайтове трябва да бъде блокиран от организацията:

• Уебсайтове, които имат функция за качване - освен ако това не е необходимо по законни, бизнес причини,
• Известни или дори предполагаеми злонамерени уебсайтове,
• Командни и контролни сървъри,
• Злонамерени уебсайтове, идентифицирани като такива от данните за заплахите (вж. също мярка 5.7),
• Уебсайтове с незаконно съдържание.

Мярката за филтриране на уеб страници работи реално само с обучен персонал, който е достатъчно осведомен за безопасното и подходящо използване на онлайн ресурси.

Техническо заключение

Описаните тук нови мерки за откриване и превенция играят ключова роля в защитата срещу организираната киберпрестъпност и с право са намерили място в настоящите версии на ISO/IEC 27001 и ISO/IEC 27002. С непрекъснатото актуализиране и анализиране на наличната информация за заплахите, широкото наблюдение на активността в собствените ИТ инфраструктури и защитата на собствените системи от съмнителни уебсайтове, компаниите трайно засилват защитата си срещу проникването на опасен зловреден софтуер. Освен това те се поставят в позиция да инициират подходящи мерки за реакция на ранен етап.

Сега дружествата и организациите трябва да приложат съответно трите представени контроли/мерки и да ги интегрират последователно в своята ISMS, за да отговорят на изискванията на бъдещите сертификационни одити. DQS има повече от 35 години всеобхватен опит в областта на безпристрастните одити и сертифициране - и с удоволствие ще Ви подкрепи в управлението на промените във Вашата система за управление на информационната сигурност в съответствие с ISO/IEC 27001:2022.

Какво означава актуализацията за Вашата сертификация?

ISO/IEC 27001:2022 е публикуван на 25 октомври 2022 г. Това води до следните крайни срокове и времеви рамки за преход на потребителите:

Последна дата за сертификация по "стария" ISO 27001:2013:

• След 30 април 2024 г. DQS ще извършва първоначални и ресертификационни одити само по новия стандарт ISO/IEC 27001:2022
• Преобразуване на всички съществуващи сертификати съгласно "стария" ISO/IEC 27001:2013 към новия ISO/IEC 27001:2022: От 31 октомври 2022 г. се прилага тригодишен преходен период. Сертификатите, издадени съгласно ISO/IEC 27001:2013 или DIN EN ISO/IEC 27001:2017, ще бъдат валидни най-късно до 31 октомври 2025 г. или трябва да бъдат оттеглени на тази дата.

Най-съвременна ISMS с опита на DQS

При преминаването към новата версия на ISO/IEC 27001 организациите все още разполагат с известно време. Настоящите сертификати, базирани на стария стандарт, ще загубят валидността си на 31.10.2025 г. Въпреки това е добре да се справите с променените изисквания на ISMS на ранен етап, да инициирате подходящи процеси на промяна и да ги приложите по подходящ начин.

В качеството си на експерти по одити и сертифициране с опит от повече от три десетилетия, ние Ви подкрепяме в прилагането на новия стандарт. Научете от нашите многобройни опитни одитори за най-важните промени и тяхното значение за Вашата организация - и се доверете на нашата експертиза. Заедно ще обсъдим потенциала Ви за подобрение и ще Ви подкрепим, докато получите новия сертификат. Ще се радваме да се свържем с Вас.