Detekcia a prevencia v riadení informačnej bezpečnosti

• Kybernetické útoky zostávajú príliš dlho neodhalené
• Nová norma ISO/IEC 27001:2022 - kľúčové zmeny
• Tri nové kontrolné mechanizmy na odhaľovanie a prevenciu
• Technické zhrnutie
• Čo znamená aktualizácia pre vašu certifikáciu?
• Najmodernejší systém ISMS s odbornými znalosťami spoločnosti DQS

Kybernetické útoky zostávajú príliš dlho neodhalené

Eminentná hodnota informácií a údajov v podnikateľskom svete 21. storočia čoraz viac núti spoločnosti a organizácie zamerať sa na informačnú bezpečnosť a investovať do systematickej ochrany svojich digitálnych aktív. Prečo? V dynamickom prostredí hrozieb sú taktiky útočníkov čoraz sofistikovanejšie a viacvrstvové - výsledkom sú vážne škody na imidži a reputácii postihnutých spoločností a ročné ekonomické straty vo výške miliárd dolárov na celom svete.

Odborníci sa zhodujú, že úplná ochrana pred kybernetickými útokmi už neexistuje - už len kvôli ľudskému faktoru neistoty. O to dôležitejšie je včasné odhalenie potenciálnych a skutočných útokov s cieľom obmedziť ich bočný vektor v podnikových sieťach a udržať počet kompromitovaných systémov na čo najnižšej úrovni. V tejto oblasti je však stále čo doháňať: z výskumu uskutočneného v rámci štúdie spoločnosti IBM"Cost of a data breach 2022" vyplýva, že v roku 2022 trvalo odhalenie a potlačenie útoku v priemere 277 dní.

Nová norma ISO 27001:2022

S cieľom pomôcť spoločnostiam a organizáciám so súčasným štandardizovaným rámcom pre systémy riadenia bezpečnosti informácií zverejnila organizácia ISO 25. októbra 2022 novú normu ISMS ISO/IEC 27001:2022. V prílohe A sa uvádzajú kontroly/opatrenia, ktoré sa môžu použiť na riešenie rizík informačnej bezpečnosti v konkrétnej spoločnosti.

Implementácia opatrení z prílohy A v aktuálnej verzii je podporovaná rovnako štruktúrovaným návodom na implementáciu normy ISO/IEC 27002:2022, ktorý bol aktualizovaný už vo februári. Po novom sú zahrnuté všeobecné kontrolné opatrenia na predchádzanie strategickým útokom a rýchlejšiu detekciu.

Tri nové kontrolné opatrenia na detekciu a prevenciu

V súčasnosti 93 opatrení v prílohe A normy ISO/IEC 27001:2022 je v rámci aktualizácie reorganizovaných do štyroch tém

• Organizačné opatrenia,
• Osobné opatrenia,
• Fyzické opatrenia a
• Technologické opatrenia.

Tri z jedenástich novo zavedených kontrol informačnej bezpečnosti sa týkajú prevencie a včasného odhalenia kybernetických útokov. Tieto tri kontroly sú

• 5.7. Spravodajstvo o hrozbách (organizačné).
• 8.16 Monitorovacie činnosti (technologické).
• 8.23 Filtrovanie webových stránok (technologické).

Nižšie sa bližšie pozrieme na tieto 3 nové kontroly.

Spravodajstvo o hrozbách

Organizačná kontrola 5.7 sa zaoberá systematickým zhromažďovaním a analýzou informácií o relevantných hrozbách. Účelom opatrenia je, aby si organizácie uvedomili vlastnú situáciu v oblasti hrozieb, aby mohli následne prijať vhodné opatrenia na zmiernenie rizika. Údaje o hrozbách by sa mali analyzovať štruktúrovaným spôsobom podľa troch hľadísk: strategického, taktického a operatívneho.

Strategická analýza hrozieb poskytuje pohľad na meniace sa prostredie hrozieb, ako sú typy útokov a aktéri, napr. štátom motivovaní aktéri, kybernetickí zločinci, zmluvní útočníci, hacktivisti. Národné a medzinárodné vládne agentúry (napríklad BSI - Nemecký spolkový úrad pre informačnú bezpečnosť, enisa - Agentúra Európskej únie pre kybernetickú bezpečnosť, Ministerstvo vnútornej bezpečnosti USA alebo NIST - Národný inštitút pre štandardy a technológie), ako aj neziskové organizácie a príslušné fóra poskytujú dobre preskúmané informácie o hrozbách vo všetkých odvetviach a kritických infraštruktúrach.

Taktické spravodajstvo o hrozbách a jeho vyhodnocovanie poskytuje posúdenie metód, nástrojov a technológií útočníkov.

Operatívne hodnotenie konkrétnych hrozieb poskytuje podrobné informácie o konkrétnych útokoch vrátane technických ukazovateľov, napr. v súčasnosti extrémny nárast kybernetických útokov ransomvérom a jeho variantmi v roku 2022.

Analýza hrozieb môže poskytnúť podporu nasledujúcimi spôsobmi:

• Procedurálne na integráciu údajov o hrozbách do procesu riadenia rizík,
• technicky preventívne a detekčné, napr. aktualizáciou pravidiel brány firewall, systémov detekcie narušenia (IDS), riešení proti malvéru,
• Vstupnými informáciami pre špecifické testovacie postupy a testovacie techniky proti informačnej bezpečnosti.

Kvalita údajov z organizačnej kontroly 5.7 na určenie situácie ohrozenia a jej analýzu priamo ovplyvňuje dve technické kontroly pre monitorovacie činnosti (8.16) a filtrovanie webu (8.23), o ktorých sa hovorí ďalej a ktoré sú tiež nové v norme ISO/IEC 27002.

Monitorovacie činnosti

Detekčná a nápravná kontrola informačnej bezpečnosti 8.16 o technickom monitorovaní činností sa zameriava na zisťovanie anomálií ako metódu na odvrátenie hrozieb. Siete, systémy a aplikácie sa správajú podľa očakávaných vzorcov, ako je priepustnosť údajov, protokoly, správy atď. Akákoľvek zmena alebo odchýlka od týchto očakávaných vzorcov sa zisťuje ako anomália.

Na odhalenie tohto neobvyklého správania sa musia príslušné činnosti monitorovať v súlade s obchodnými požiadavkami a požiadavkami na bezpečnosť informácií a všetky anomálie sa musia okrem iného porovnávať s existujúcimi údajmi o hrozbách (pozri vyššie požiadavku 5.7). Pre systém monitorovania sú relevantné tieto aspekty:

• Vstupná a výstupná sieťová, systémová a aplikačná prevádzka,
• prístup k systémom, serverom, sieťovým zariadeniam, monitorovacím systémom, kritickým aplikáciám atď,
• Konfiguračné súbory systému a siete na administratívnej úrovni alebo na úrovni kritických úloh;
• Protokoly bezpečnostných nástrojov [napr. antivírus, systémy detekcie narušenia (IDS), systém prevencie narušenia (IPS), webové filtre, firewally, prevencia úniku údajov],
• protokoly udalostí týkajúce sa systémových a sieťových činností,
• overenie, či má spustiteľný kód v systéme integritu a oprávnenie,
• Využitie zdrojov, napr. výkon procesora, kapacita disku, využitie pamäte, šírka pásma.

Základnými požiadavkami na funkčné monitorovanie činností sú čisto a transparentne nakonfigurovaná IT/OT infraštruktúra a správne fungujúce IT/OT siete. Akákoľvek zmena v rozpore s týmto základným stavom sa detekuje ako potenciálne ohrozenie funkčnosti, a teda ako anomália. V závislosti od zložitosti infraštruktúry je implementácia tohto opatrenia veľkou výzvou aj napriek príslušným riešeniam dodávateľa. Význam systémov na zisťovanie anomálií bol uznaný takmer súčasne s požiadavkou 8.16 normy ISO/IEC 27002:2022 pre prevádzkovateľov tzv. kritických infraštruktúr. V národnej pôsobnosti príslušných, právnych predpisov tak pre nich existuje povinnosť účinne uplatňovať tzv. systémy na detekciu útokov s termínmi.

Filtrovanie webových stránok

Internet je požehnaním aj prekliatím. Prístup na pochybné webové stránky je naďalej vstupnou bránou pre škodlivý obsah a malvér. Kontrola informačnej bezpečnosti 8.23 Webové filtrovanie má preventívny účel chrániť vlastné systémy organizácie pred prienikom škodlivého softvéru a zabrániť prístupu k nepovoleným webovým zdrojom. Organizácie by mali na tento účel stanoviť pravidlá bezpečného a vhodného používania online zdrojov - vrátane povinných obmedzení prístupu na nežiaduce alebo nevhodné webové stránky a webové aplikácie. Organizácia by mala zablokovať prístup k nasledujúcim typom webových stránok:

• Webové stránky, ktoré majú funkciu nahrávania - pokiaľ to nie je potrebné z legitímnych, pracovných dôvodov,
• známe alebo dokonca podozrivé škodlivé webové stránky,
• Príkazové a riadiace servery,
• škodlivé webové stránky, ktoré boli ako také identifikované na základe údajov o hrozbách (pozri aj opatrenie 5.7),
• webové stránky s nezákonným obsahom.

Opatrenie filtrovania webových stránok skutočne funguje len s vyškoleným personálom, ktorý je dostatočne informovaný o bezpečnom a vhodnom používaní online zdrojov.

Technický záver

Opísané nové kontrolné opatrenia na odhaľovanie a prevenciu zohrávajú kľúčovú úlohu pri obrane proti organizovanej počítačovej kriminalite a právom sa dostali do aktuálnych verzií noriem ISO/IEC 27001 a ISO/IEC 27002. Vďaka neustálej aktualizácii a analýze dostupných informácií o hrozbách, rozsiahlemu monitorovaniu činnosti vo vlastných IT infraštruktúrach a zabezpečeniu vlastných systémov proti pochybným webovým stránkam spoločnosti trvalo posilňujú svoju ochranu pred prienikom nebezpečného škodlivého softvéru. Zároveň sa dostávajú do pozície, ktorá im umožňuje včas iniciovať vhodné reakčné opatrenia.

Spoločnosti a organizácie musia teraz zodpovedajúcim spôsobom implementovať tri predstavené kontroly/opatrenia a dôsledne ich integrovať do svojho systému ISMS, aby splnili požiadavky budúcich certifikačných auditov. Spoločnosť DQS má viac ako 35 rokov komplexných skúseností v oblasti nestranných auditov a certifikácií - a rada vás podporí pri riadení zmien vášho systému riadenia informačnej bezpečnosti v súlade s normou ISO/IEC 27001:2022.

Čo znamená aktualizácia pre vašu certifikáciu?

Norma ISO/IEC 27001:2022 bola zverejnená 25. októbra 2022. Z toho vyplývajú nasledujúce termíny a časové rámce pre používateľov na prechod:

• Pripravenosť na certifikáciu podľa normy ISO/IEC 27001:2022 sa očakáva od júna/júla v závislosti od nášho akreditačného orgánu DAkkS, Deutsche Akkreditierungsstelle GmbH).
• Posledný termín pre úvodné/recertifikačné audity podľa "starej" normy ISO 27001:2013 je 31. október 2023 Po 31. októbri 2023 bude DQS vykonávať úvodné a recertifikačné audity len podľa novej normy ISO/IEC 27001:2022
• Konverzia všetkých existujúcich certifikátov podľa "starej" normy ISO/IEC 27001:2013 na novú normu ISO/IEC 27001:2022: Od 31. októbra 2022 bude platiť trojročné prechodné obdobie. Certifikáty vydané podľa normy ISO/IEC 27001:2013 alebo DIN EN ISO/IEC 27001:2017 budú platné najneskôr do 31. októbra 2025 alebo musia byť k tomuto dátumu zrušené.

Najmodernejší systém ISMS s odbornými znalosťami spoločnosti DQS

Pri prechode na novú verziu normy ISO/IEC 27001 majú organizácie ešte určitý čas. Súčasné certifikáty založené na starej norme stratia platnosť 31. 10. 2025. Napriek tomu sa odporúča zaoberať sa zmenenými požiadavkami na ISMS v počiatočnej fáze, iniciovať vhodné procesy zmien a primerane ich implementovať.

Ako odborníci na audity a certifikácie so skúsenosťami z viac ako troch desaťročí vás podporíme pri implementácii novej normy. Informujte sa u našich početných skúsených audítorov o najdôležitejších zmenách a ich význame pre vašu organizáciu - a dôverujte našim odborným znalostiam. Spoločne s vami prediskutujeme váš potenciál na zlepšenie a budeme vás podporovať až do získania nového certifikátu. Tešíme sa na vašu odpoveď.