資訊安全管理中的檢測與預防

• 網路攻擊長時間未被發現
• 新的 ISO/IEC 27001:202 2 - 主要變化
• 三種新的檢測和預防控制措施
• 技術概要
• 此次更新對您的認證有何影響？
• 擁有DQS專業技術的先進資訊安全管理體系

本版本附件A中各項措施的實施得到了結構相同的ISO/IEC 27002:2022實施指南的支持，該指南已於2月份更新。新增內容包括用於預防策略性攻擊和加快偵測速度的通用控制措施。

三種新的檢測和預防控制措施

ISO/IEC 27001:2022 附件 A 中的 93 項措施，在此次更新後重新歸類為四個主題。

• 組織措施，
• 個人措施，
• 物理測量和
• 技術措施。

新推出的11項資訊安全控制措施中，有3項與預防及及時偵測網路攻擊有關。這3項控制措施是：

• 5.7 威脅情報（組織層面）。
• 8.16 監測活動（技術）
• 8.23 網路過濾（技術）。

下面我們將仔細研究這 3 個新控制項。

威脅情報

組織控制5.7涉及對相關威脅資訊進行系統性的收集和分析。該措施的目的是使組織了解自身的威脅狀況，以便隨後採取適當措施降低風險。威脅資料應根據戰略、戰術和操作三個面向進行結構化分析。

策略威脅分析能夠深入了解不斷變化的威脅情勢，例如攻擊類型和攻擊者，包括國家支持的攻擊者、網路犯罪分子、僱用攻擊者和駭客行動主義者。國家和國際政府機構（例如德國聯邦資訊安全局 (BSI)、歐盟網路安全局 (ENISA)、美國國土安全部或美國國家標準與技術研究院 (NIST)）以及非營利組織和相關論壇，都會提供涵蓋所有行業和關鍵基礎設施的、經過充分研究的威脅情報。

網路攻擊長時間未被發現

在21世紀的商業世界中，資訊和數據的重要性日益凸顯，這迫使企業和組織越來越重視資訊安全，並投資於對其數位資產的系統性保護。為什麼？在瞬息萬變的威脅情勢下，攻擊者的策略日益複雜和多層次，這不僅會嚴重損害受影響企業的形象和聲譽，還會造成全球每年數十億美元的經濟損失。

專家一致認為，網路攻擊已無法完全防範——這僅僅是因為人為因素造成的不確定性。因此，及早發現潛在和實際攻擊變得特別重要，以便限制攻擊在企業網路中的橫向傳播，並盡可能減少易受攻擊的系統數量。但該領域仍有大量工作要做：IBM 所進行的“ 2022年資料外洩的成本「研究表明，2022 年平均需要 277 天才能發現並遏制一次攻擊。

新版 ISO 27001:2022

為了幫助公司和組織建立現代化的、標準化的資訊安全管理系統框架，ISO 於 2022 年 10 月 25 日發布了新的 ISMS 標準 ISO/IEC 27001:2022。附件 A 提供了公司可以根據自身情況採取的控制/措施，以應對資訊安全風險。

為了偵測這種異常行為，必須根據業務和資訊安全要求監控相關活動，並將任何異常情況與現有威脅資料進行比較（請參閱上文要求 5.7）。以下方面與監控系統相關：

• 入站和出站網路、系統和應用程式流量
• 對系統、伺服器、網路設備、監控系統、關鍵應用程式等的存取權限…
• 管理層級或任務關鍵層級的系統和網路設定檔；
• 安全工具日誌[例如，防毒軟體、入侵偵測系統（IDS）、入侵防禦系統（IPS）、Web過濾器、防火牆、資料外洩防護]
• 與系統和網路活動相關的事件日誌
• 驗證系統中可執行程式碼的完整性和授權情況
• 資源使用情況，例如處理器效能、磁碟容量、記憶體使用、頻寬。

對活動進行有效監控的基本要求是配置清晰透明的IT/OT基礎設施和運作正常的IT/OT網路。任何偏離此基本狀態的變化都會被檢測為潛在的功能威脅，從而被視為異常。儘管有相關的供應商解決方案，但根據基礎設施的複雜性，實施這項措施仍然是一項重大挑戰。異常檢測系統的重要性幾乎與ISO/IEC 27002:2022標準中針對所謂關鍵基礎設施營運商的要求8.16同時被認可。因此，在相關國家法律法規的範圍內，這些業者有義務在規定期限內有效應用所謂的攻擊偵測系統。

網路篩選

網路既是福音也是禍根。造訪可疑網站仍然是惡意內容和惡意軟體傳播的途徑。資訊安全控制措施 8.23 網路過濾旨在預防惡意軟體入侵，保護組織本身的系統免受侵害，並防止存取未經授權的網路資源。為此，組織應制定安全合理使用線上資源的規則，包括強制限制存取不必要或不適合的網站和網路應用程式。組織應阻止訪問以下類型的網站：

• 除非出於正當的商業原因，否則具有上傳功能的網站不應上傳檔案。
• 已知或疑似惡意網站
• 指揮控制伺服器
• 根據威脅資料識別出的惡意網站（另見措施 5.7），
• 包含非法內容的網站。

網路過濾措施只有經過訓練、充分了解如何安全、合理地使用網路資源的人員才能真正發揮作用。

戰術威脅情報及其評估可以對攻擊者的方法、工具和技術進行評估。

對特定威脅的運行評估提供了有關特定攻擊的詳細信息，包括技術指標，例如，目前勒索軟體及其變種在 2022 年的網路攻擊急劇增加。

威脅分析可以從以下幾個方面提供支援：

• 在程式上將威脅資料整合到風險管理流程中，
• 技術上的預防和偵測措施，例如更新防火牆規則、入侵偵測系統（IDS）、反惡意軟體解決方案等。
• 提供針對資訊安全的具體測試程序和測試技術的輸入資訊。

組織控制 5.7 的資料品質用於確定威脅情況並對其進行分析，直接影響下文討論的監控活動 (8.16) 和網路過濾 (8.23) 的兩項技術控制，這兩項技術控制也是 ISO/IEC 27002 的新增內容。

監測活動

資訊安全控制的偵測與糾正措施 8.16 節著重於對活動進行技術監控，並強調異常偵測是防範威脅的一種方法。網路、系統和應用程式的運作遵循預期模式，例如資料吞吐量、協定、訊息等等。任何偏離這些預期模式的變化或偏差都會被檢測為異常。

技術結論

本文所述的新型檢測和預防控制措施在抵禦有組織網路犯罪方面發揮關鍵作用，它們已被納入最新版本的 ISO/IEC 27001 和 ISO/IEC 27002 標準，實至名歸。透過持續更新和分析現有威脅資訊、對其自身 IT 基礎設施進行廣泛的活動監控以及保護自身系統免受可疑網站的侵害，企業正在可持續地加強對危險惡意軟體入侵的防護。此外，它們還能使自身處於能夠及早啟動適當應對措施的位置。

為了滿足未來認證審核的要求，企業和組織現在必須相應地實施上述三項控制措施，並將其一致地整合到自身的資訊安全管理系統（ISMS）中。 DQS 在公正審核和認證領域擁有超過 35 年的豐富經驗，我們樂於根據 ISO/IEC 27001:2022 標準，協助您進行資訊安全管理系統的變更管理。

此次更新對您的認證有何影響？

ISO/IEC 27001:2022 標準於 2022 年 10 月 25 日發布。因此，使用者需要遵守以下過渡期限和時間安排：

根據「舊版」ISO 27001:2013標準，首次/重新認證審核的最後日期

• 自2024年4月30日起，DQS將僅依據新標準ISO/IEC 27001:2022進行初審和再認證審核。

所有現有證書均依照「舊」ISO/IEC 27001:2013標準過渡到新的ISO/IEC 27001:2022標準。

• 自2022年10月31日起，設有3年的過渡期。
• 根據 ISO/IEC 27001:2013 或 DIN EN ISO/IEC 27001:2017 頒發的憑證最遲有效期至 2025 年 10 月 31 日，否則必須在此日期撤銷。

擁有DQS專業技術的先進資訊安全管理體系

在過渡到新版 ISO/IEC 27001 標準時，各組織仍有一些時間。基於舊標準的現有證書將於 2025 年 10 月 31 日失效。儘管如此，我們仍建議您儘早處理變更後的資訊安全管理系統 (ISMS) 要求，啟動相應的變更流程並加以落實。

身為擁有三十餘年經驗的審核認證專家，我們將全力支持您實施新標準。我們眾多經驗豐富的審核員將為您講解最重要的變更及其對貴組織的影響，並助您信賴我們的專業能力。我們將與您共同探討改善潛力，並全程支持您直到獲得新認證。期待您的垂詢。