Detekcija i prevencija u upravljanju sigurnosti informacija

• Sajber napadi ostaju nedetektovani predugo
• Novi ISO/IEC 27001:2022 - ključne promjene
• Tri nove kontrole za detekciju i prevenciju
• Tehnički sažetak
• Šta ažuriranje znači za vašu certifikaciju?
• Najsavremeniji ISMS sa ekspertizom DQS-a

Implementacija mjera iz Anexa A u trenutnoj verziji podržana je identično strukturiranim vodičem za implementaciju ISO/IEC 27002:2022, koji je već ažuriran u februaru. Generičke kontrole za prevenciju strateškog napada i brže otkrivanje su novo uključene.

Tri nove kontrole za detekciju i prevenciju 

Sadašnje 93 mjere u Anexu A standarda ISO/IEC 27001:2022 sada su reorganizirane prema ažuriranju u četiri teme

• Organizacione mjere,
• Lične mjere,
• Fizičke mjere i
• Tehnološke mjere.

Tri od jedanaest novouvedenih kontrola sigurnosti informacija odnose se na prevenciju i pravovremeno otkrivanje sajber napada. Ove tri kontrole su

• 5.7 Obavještajni podaci o prijetnjama (organizacijske).
• 8.16 Aktivnosti praćenja (tehnološke)
• 8.23 Web filtriranje (tehnološko).

U nastavku ćemo detaljnije pogledati ove 3 nove kontrole.

Obavještajni podaci o prijetnjama

Organizaciona kontrola 5.7 bavi se sistematskim prikupljanjem i analizom informacija o relevantnim pretnjama. Svrha mjere je da organizacije budu svjesne vlastite situacije prijetnje kako bi naknadno mogle poduzeti odgovarajuće mjere za ublažavanje rizika. Podatke o prijetnjama treba analizirati na strukturiran način prema tri aspekta: strateškom, taktičkom i operativnom.

Analiza strateške prijetnje pruža uvid u promjenu okruženja prijetnji, kao što su tipovi napada i akteri, na primjer, akteri motivirani državom, sajber kriminalci, napadači po ugovoru, haktivisti. Nacionalne i međunarodne vladine agencije (kao što su BSI - Njemački savezni ured za informatičku sigurnost, enisa - Agencija Evropske unije za kibernetičku sigurnost, američko Ministarstvo domovinske sigurnosti ili NIST - Nacionalni institut za standarde i tehnologiju), kao i neprofitne organizacije i relevantni forumi, pružaju dobro istražene podatke o prijetnjama u svim industrijama i kritičnim infrastrukturama.

Sajber napadi ostaju nedetektovani predugo 

Eminentna vrijednost informacija i podataka u poslovnom svijetu 21. stoljeća sve više tjera kompanije i organizacije da se fokusiraju na sigurnost informacija i ulažu u sistematsku zaštitu svojih digitalnih sredstava. Zašto? U dinamičnom okruženju prijetnji, taktike napadača postaju sve sofisticiranije i višeslojnije - što rezultira ozbiljnom štetom po imidž i reputaciju pogođenih kompanija i milijardama dolara godišnjih ekonomskih gubitaka širom svijeta.

Stručnjaci se slažu da više ne postoji potpuna zaštita od sajber napada – makar samo zbog ljudskog faktora neizvjesnosti. Ovo čini rano otkrivanje potencijalnih i stvarnih napada još važnijim kako bi se ograničio njihov lateralni vektor u korporativnim mrežama i održao što manji broj kompromitabilnih sistema. Ali još uvijek postoji ogromna količina da se nadoknadi u ovoj oblasti: istraživanje provedeno kao dio IBM-ove "Troškovi kršenja podataka 2022" studije pokazuje da je bilo potrebno u prosjeku 277 dana za otkrivanje i obuzdavanje napada 2022. godine.

Novi ISO 27001:2022

Kako bi pomogao kompanijama i organizacijama sa savremenim, standardiziranim okvirom za sisteme upravljanja sigurnosti informacija, ISO je 25. oktobra 2022. objavio novi ISMS standard ISO/IEC 27001:2022. Anex A pruža kontrole/mjere koje se mogu koristiti na specifičnoj kompaniji kao osnova za rješavanje rizika sigurnosti informacija.

Da bi se otkrilo ovo neobično ponašanje, relevantne aktivnosti moraju biti praćene u skladu sa zahtjevima sigurnosti poslovanja i informacija i sve anomalije se moraju porediti sa postojećim podacima o prijetnjama, između ostalog (vidi gore, zahtjev 5.7). Sljedeći aspekti su relevantni za sistem praćenja:

• Ulazni i odlazni mrežni, sistemski i aplikacijski promet,
• Pristup sistemima, serverima, mrežnoj opremi, sistemima za nadzor, kritičnim aplikacijama, itd.,
• Sistemske i mrežne konfiguracijske datoteke na administrativnom ili kritičnom nivou;
• Dnevnici sigurnosnih alata [npr. antivirus, sistemi za otkrivanje upada (IDS), sistem za sprječavanje upada (IPS), web filteri, zaštitni zidovi, sprječavanje curenja podataka,
• Dnevnici događaja koji se odnose na sistemske i mrežne aktivnosti,
• Provjera da izvršni kod u sistemu ima integritet i ovlaštenje,
• Upotreba resursa, na primjer, snaga procesora, kapacitet diska, upotreba memorije, propusni opseg.

Osnovni zahtjevi za funkcionalno praćenje aktivnosti su čisto i transparentno konfigurisana IT/OT infrastruktura i ispravno funkcioniranje IT/OT mreže. Svaka promjena u odnosu na ovo osnovno stanje detektuje se kao potencijalna prijetnja funkcionalnosti, a time i kao anomalija. U zavisnosti od složenosti infrastrukture, implementacija ove mjere je veliki izazov uprkos relevantnim rješenjima dobavljača. Važnost sistema za detekciju anomalija prepoznata je gotovo istovremeno sa zahtjevom 8.16 standarda ISO/IEC 27002:2022 za operatere tzv. kritične infrastrukture. Dakle, u nacionalnom obimu relevantnih, zakonskih propisa, postoji obaveza za njih da efikasno primenjuju tzv. sisteme za otkrivanje napada sa rokovima.

Web filtriranje

Internet je i blagoslov i prokletstvo. Pristup sumnjivim web stranicama i dalje je prolaz za zlonamjerni sadržaj i zlonamjerni softver. Kontrola sigurnosti informacija 8.23 Web filtriranje ima preventivnu svrhu zaštite vlastitih sistema organizacije od upada zlonamjernog softvera i sprječavanja pristupa neovlaštenim web resursima. Organizacije bi trebale uspostaviti pravila za sigurnu i odgovarajuću upotrebu online resursa u tu svrhu – uključujući obavezna ograničenja pristupa neželjenim ili neprikladnim web stranicama i web aplikacijama. Organizacija bi trebala blokirati pristup sljedećim vrstama web stranica:

• Web stranice koje imaju funkciju učitavanja - osim ako bi to bilo potrebno iz legitimnih, poslovnih razloga,
• Poznate ili čak sumnjive zlonamjerne web stranice,
• Komandni i kontrolni serveri,
• Zlonamjerne web stranice identificirane kao takve iz podataka o prijetnjama (vidi također mjeru 5.7),
• Web stranice sa ilegalnim sadržajem.

Mjera web filtriranja stvarno funkcioniše samo s obučenim osobljem koje je dovoljno svjesno sigurne i odgovarajuće upotrebe online resursa.

Taktička obavještajna informacija o prijetnjama i njena procjena pružaju procjene napadačevih metoda, alata i tehnologija.

Operativna procjena specifičnih prijetnji pruža detaljne informacije o konkretnim napadima, uključujući tehničke pokazatelje, na primjer, trenutno ekstremno povećanje sajber napada putem ransomware-a i njegovih varijanti u 2022.

Analiza prijetnji može pružiti podršku na sljedeće načine:

• Proceduralno za integraciju podataka o prijetnjama u proces upravljanja rizikom,
• Tehnička preventiva i detekcija, npr. ažuriranjem pravila zaštitnog zida, sistema za otkrivanje upada (IDS), anti-malware rješenja,
• Sa ulaznim informacijama za specifične procedure testiranja i tehnike testiranja sigurnosti informacija.

Kvalitet podataka iz organizacijske kontrole 5.7 za određivanje situacije prijetnje i njenu analizu direktno utječe na dvije tehničke kontrole za aktivnosti praćenja (8.16) i web filtriranje (8.23) o kojima se govori u nastavku, a koje su također nove za ISO/IEC 27002.

Monitoring aktivnosti

Detektivska i korektivna kontrola sigurnosti informacija 8.16 o tehničkom praćenju aktivnosti fokusira se na otkrivanje anomalija kao metodu za otklanjanje prijetnji. Mreže, sistemi i aplikacije ponašaju se prema očekivanim obrascima, kao što su protok podataka, protokoli, poruke i tako dalje. Svaka promjena ili odstupanje od ovih očekivanih obrazaca detektuje se kao anomalija.

Tehnički zaključak

Nove kontrole otkrivanja i prevencije opisane ovdje imaju ključnu ulogu u obrani od organiziranog kibernetičkog kriminala i s pravom su našle svoj put u trenutnim verzijama ISO/IEC 27001 i ISO/IEC 27002. Uz kontinuirano ažuriranje i analizu dostupnih informacije o prijetnjama, opsežno praćenje aktivnosti u vlastitim IT infrastrukturama i osiguranje vlastitih sistema od sumnjivih web stranica, kompanije na održiv način jačaju svoju zaštitu od upada opasnog zlonamjernog softvera. Oni su se također doveli u poziciju da pokrenu odgovarajuće mjere odgovora u ranoj fazi.

Kompanije i organizacije sada moraju implementirati tri prezentovane kontrole/mjere u skladu s tim i dosljedno ih integrisati u svoj ISMS kako bi ispunile zahtjeve budućih certifikacijskih audita. DQS ima više od 35 godina sveobuhvatne ekspertize u polju nepristrasnih audita i certifikacija - i rado će vam pružiti podršku u upravljanju promjenama vašeg sistema upravljanja sigurnosti informacija u skladu sa ISO/IEC 27001:2022.

Šta ažuriranje znači za vašu organizaciju?

ISO/IEC 27001:2022 objavljen je 25. oktobra 2022. Ovo rezultira sljedećim rokovima i vremenskim okvirima za korisnike za tranziciju:

Posljednji datum za inicijalni/ recertifikacijski audit u skladu sa "starim" ISO 27001:2013 

• Nakon 30. aprila 2024., DQS će provoditi inicijalne i recertifikacijske audite samo prema novom standardu ISO/IEC 27001:2022

Tranzicija svih postojećih certifikata prema "starom" ISO/IEC 27001:2013 na novi ISO/IEC 27001:2022 

• Postoji trogodišnji prelazni period počevši od 31. oktobra 2022. 
• Certifikati izdati u skladu sa ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 vrijede najkasnije do 31. oktobra 2025. ili se moraju povući ovog datuma.

Najsavremeniji ISMS sa ekspertizom DQS-a

Prilikom prelaska na novu verziju ISO/IEC 27001, organizacije još uvijek imaju vremena. Aktuelni certifikati zasnovani na starom standardu prestaju da važe 31.10.2025. Ipak, savjetujemo vam da se pozabavite promijenjenim zahtjevima ISMS-a u ranoj fazi, pokrenete odgovarajuće procese promjena i implementirate ih u skladu s tim.

Kao stručnjaci za audite i certifikaciju sa iskustvom od više od tri decenije, podržavamo vas u implementaciji novog standarda. Saznajte od naših brojnih iskusnih auditora o najvažnijim promjenama i njihovoj važnosti za vašu organizaciju - i povjerite se našoj stručnosti. Zajedno ćemo razgovarati o vašem potencijalu za poboljšanje i podržavati vas dok ne dobijete novi certifikat. Radujemo se Vašem upitu.