Detekce a prevence v řízení informační bezpečnosti

• Kybernetické útoky zůstávají příliš dlouho neodhaleny
• Nová norma ISO/IEC 27001:2022 - klíčové změny
• Tři nové kontrolní mechanismy pro detekci a prevenci
• Technické shrnutí
• Co znamená aktualizace pro vaši certifikaci?
• Nejmodernější systém ISMS s odbornými znalostmi společnosti DQS

Kybernetické útoky zůstávají příliš dlouho neodhaleny

Výsadní hodnota informací a dat v obchodním světě 21. století stále více nutí firmy a organizace zaměřit se na informační bezpečnost a investovat do systematické ochrany svých digitálních aktiv. Proč? V dynamickém prostředí hrozeb jsou taktiky útočníků stále sofistikovanější a mnohovrstevnatější - výsledkem jsou vážné škody na image a pověsti postižených společností a miliardy dolarů ročních ekonomických ztrát po celém světě.

Odborníci se shodují, že proti kybernetickým útokům již neexistuje úplná ochrana - už jen kvůli lidskému faktoru nejistoty. O to důležitější je včasné odhalení potenciálních i skutečných útoků, aby se omezil jejich boční vektor v podnikových sítích a počet napadnutelných systémů byl co nejnižší. V této oblasti je však stále co dohánět: výzkum provedený v rámci studie společnosti IBM"Cost of a data breach 2022" ukazuje, že v roce 2022 trvalo odhalení a potlačení útoku v průměru 277 dní.

Nová norma ISO 27001:2022

S cílem pomoci společnostem a organizacím se současným standardizovaným rámcem pro systémy řízení bezpečnosti informací zveřejnila organizace ISO 25. října 2022 novou normu ISMS ISO/IEC 27001:2022. Příloha A obsahuje kontrolní mechanismy/opatření, které lze použít na úrovni konkrétní společnosti k řešení rizik v oblasti bezpečnosti informací.

Implementace opatření z přílohy A v současné verzi je podporována stejně strukturovanými pokyny pro implementaci normy ISO/IEC 27002:2022, které byly aktualizovány již v únoru. Nově jsou zahrnuta obecná kontrolní opatření pro prevenci strategických útoků a rychlejší detekci.

Tři nová kontrolní opatření pro detekci a prevenci

Nyní 93 opatření v příloze A normy ISO/IEC 27001:2022 je v rámci aktualizace přeorganizováno do čtyř témat

• Organizační opatření,
• Osobní opatření,
• Fyzická opatření a
• Technologická opatření.

Tři z jedenácti nově zavedených kontrol bezpečnosti informací se týkají prevence a včasného odhalení kybernetických útoků. Tyto tři kontroly jsou

• 5.7 Zpravodajství o hrozbách (organizační).
• 8.16 Monitorovací činnosti (technologické)
• 8.23 Filtrování webových stránek (technologické).

Níže se na tyto tři nové kontroly podíváme blíže.

Zpravodajství o hrozbách

Organizační kontrola 5.7 se zabývá systematickým shromažďováním a analýzou informací o relevantních hrozbách. Účelem tohoto opatření je, aby si organizace uvědomily vlastní situaci v oblasti hrozeb a mohly následně přijmout vhodná opatření ke zmírnění rizika. Údaje o hrozbách by měly být analyzovány strukturovaně podle tří hledisek: strategického, taktického a operativního.

Strategická analýza hrozeb poskytuje přehled o měnícím se prostředí hrozeb, jako jsou typy útoků a jejich aktéři, např. státem motivovaní aktéři, kyberzločinci, smluvní útočníci, hacktivisté. Národní a mezinárodní vládní agentury (například BSI - Německý spolkový úřad pro informační bezpečnost, enisa - Agentura Evropské unie pro kybernetickou bezpečnost, americké ministerstvo vnitřní bezpečnosti nebo NIST - Národní institut pro standardy a technologie), stejně jako neziskové organizace a příslušná fóra, poskytují dobře prozkoumané informace o hrozbách ve všech odvětvích a kritických infrastrukturách.

Taktické zpravodajství o hrozbách a jeho vyhodnocování poskytuje posouzení metod, nástrojů a technologií útočníků.

Operativní vyhodnocení konkrétních hrozeb poskytuje podrobné informace o konkrétních útocích, včetně technických ukazatelů, např. v současné době extrémní nárůst kybernetických útoků ransomwarem a jeho variantami v roce 2022.

Analýza hrozeb může poskytnout podporu následujícími způsoby:

• Procesně k začlenění údajů o hrozbách do procesu řízení rizik,
• Technicky preventivně a detekčně, např. aktualizací pravidel brány firewall, systémů detekce narušení (IDS), antimalwarových řešení,
• Pomocí vstupních informací pro specifické testovací postupy a techniky testování bezpečnosti informací.

Kvalita dat z organizační kontroly 5.7 pro určení situace hrozeb a jejich analýzu přímo ovlivňuje dvě technické kontroly pro monitorovací činnosti (8.16) a filtrování webu (8.23), o kterých je pojednáno níže a které jsou v normě ISO/IEC 27002 také nové.

Monitorovací činnosti

Detektivní a nápravná kontrola bezpečnosti informací 8.16 o technickém monitorování činností se zaměřuje na detekci anomálií jako metodu pro odvrácení hrozeb. Sítě, systémy a aplikace se chovají podle očekávaných vzorců, jako je datová propustnost, protokoly, zprávy atd. Jakákoli změna nebo odchylka od těchto očekávaných vzorců je detekována jako anomálie.

Aby bylo možné toto neobvyklé chování odhalit, musí být příslušné činnosti monitorovány v souladu s obchodními požadavky a požadavky na bezpečnost informací a případné anomálie musí být mimo jiné porovnávány s existujícími údaji o hrozbách (viz výše, požadavek 5.7). Pro monitorovací systém jsou relevantní následující aspekty:

• Příchozí a odchozí síťový, systémový a aplikační provoz,
• přístup k systémům, serverům, síťovým zařízením, monitorovacím systémům, kritickým aplikacím atd...,
• Konfigurační soubory systému a sítě na úrovni správy nebo kritické úrovně;
• Záznamy bezpečnostních nástrojů [např. antivirové programy, systémy detekce narušení (IDS), systémy prevence narušení (IPS), webové filtry, firewally, prevence úniku dat],
• protokoly událostí týkající se systémových a síťových činností,
• Ověření integrity a autorizace spustitelného kódu v systému,
• Využití zdrojů, např. výkon procesoru, kapacita disku, využití paměti, šířka pásma.

Základními požadavky pro funkční monitorování činností jsou čistě a transparentně nakonfigurovaná infrastruktura IT/OT a správně fungující sítě IT/OT. Jakákoli změna proti tomuto základnímu stavu je detekována jako potenciální ohrožení funkčnosti, a tedy jako anomálie. V závislosti na složitosti infrastruktury je implementace tohoto opatření velkou výzvou, a to i přes příslušná dodavatelská řešení. Význam systémů pro detekci anomálií byl uznán téměř současně s požadavkem 8.16 normy ISO/IEC 27002:2022 pro provozovatele tzv. kritických infrastruktur. V národním rozsahu příslušných, právních předpisů tak pro ně existuje povinnost účinně aplikovat tzv. systémy pro detekci útoků se stanovenými lhůtami.

Filtrování webových stránek

Internet je požehnáním i prokletím zároveň. Přístup k pochybným webovým stránkám je i nadále vstupní branou pro škodlivý obsah a malware. Kontrola bezpečnosti informací 8.23 Webové filtrování má preventivní účel chránit vlastní systémy organizace před průnikem malwaru a zabránit přístupu k neautorizovaným webovým zdrojům. Organizace by za tímto účelem měly stanovit pravidla pro bezpečné a vhodné používání online zdrojů - včetně povinného omezení přístupu na nežádoucí nebo nevhodné webové stránky a webové aplikace. Organizace by měla blokovat přístup k následujícím typům webových stránek:

• Webové stránky, které mají funkci nahrávání - pokud to není nutné z legitimních, pracovních důvodů,
• Známé nebo dokonce podezřelé škodlivé webové stránky,
• Příkazové a řídicí servery,
• škodlivé webové stránky, které byly jako takové identifikovány na základě údajů o hrozbách (viz také opatření 5.7),
• webové stránky s nezákonným obsahem.

Opatření filtrování webových stránek skutečně funguje pouze s vyškoleným personálem, který má dostatečné povědomí o bezpečném a vhodném používání online zdrojů.

Technický závěr

Zde popsané nové kontroly detekce a prevence hrají klíčovou roli v obraně proti organizované kybernetické kriminalitě a právem se dostaly do aktuálních verzí norem ISO/IEC 27001 a ISO/IEC 27002. Průběžnou aktualizací a analýzou dostupných informací o hrozbách, rozsáhlým monitorováním aktivit ve vlastních IT infrastrukturách a zabezpečením vlastních systémů proti pochybným webovým stránkám společnosti trvale posilují svou ochranu před průnikem nebezpečného malwaru. Zároveň se dostávají do pozice, kdy mohou včas zahájit vhodná opatření pro reakci.

Společnosti a organizace nyní musí odpovídajícím způsobem implementovat tři představené kontroly/opatření a důsledně je začlenit do svého systému ISMS, aby splnily požadavky budoucích certifikačních auditů. Společnost DQS má více než 35 let rozsáhlých zkušeností v oblasti nestranných auditů a certifikací - a ráda vás podpoří při řízení změn vašeho systému řízení bezpečnosti informací v souladu s normou ISO/IEC 27001:2022.

Co znamená aktualizace pro vaši certifikaci?

Norma ISO/IEC 27001:2022 byla zveřejněna 25. října 2022. Z toho vyplývají následující termíny a lhůty pro přechod uživatelů:

• Připravenost k certifikaci podle normy ISO/IEC 27001:2022 se očekává od června/července 2023 (v závislosti na našem akreditačním orgánu DAkkS, Deutsche Akkreditierungsstelle GmbH).
• Poslední termín pro úvodní/recertifikační audity podle "staré" normy ISO 27001:2013 je 31. října 2023 Po 31. říjnu 2023 bude DQS provádět úvodní a recertifikační audity pouze podle nové normy ISO/IEC 27001:2022.
• Převod všech stávajících certifikátů podle "staré" normy ISO/IEC 27001:2013 na novou normu ISO/IEC 27001:2022: Od 31. října 2022 bude platit tříleté přechodné období. Certifikáty vydané podle normy ISO/IEC 27001:2013 nebo DIN EN ISO/IEC 27001:2017 budou platné nejpozději do 31. října 2025 nebo musí být k tomuto datu zrušeny.

Nejmodernější systém ISMS s odbornými znalostmi společnosti DQS

Při přechodu na novou verzi normy ISO/IEC 27001 mají organizace ještě nějaký čas. Současné certifikáty založené na staré normě ztratí platnost 31. 10. 2025. Přesto se doporučuje zabývat se změněnými požadavky na ISMS včas, zahájit vhodné změnové procesy a odpovídajícím způsobem je implementovat.

Jako odborníci na audity a certifikace s více než třicetiletými zkušenostmi vás při zavádění nové normy podpoříme. Informujte se u našich četných zkušených auditorů o nejdůležitějších změnách a jejich významu pro vaši organizaci - a důvěřujte našim odborným znalostem. Společně s vámi probereme možnosti zlepšení a budeme vás podporovat až do získání nového certifikátu. Těšíme se, že se nám ozvete.