Phát hiện và ngăn chặn trong quản lý an toàn thông tin

• Các cuộc tấn công mạng không bị phát hiện trong thời gian dài
• Những thay đổi chính của phiên bản ISO/IEC 27001:2022 mới
• Ba biện pháp kiểm soát mới để phát hiện và ngăn chặn
• Tóm tắt kỹ thuật
• Bản cập nhật có ý nghĩa gì đối với chứng nhận của bạn?
• ISMS tiên tiến nhất với chuyên môn của DQS

Các cuộc tấn công mạng không bị phát hiện trong thời gian dài

Giá trị nổi bật của thông tin và dữ liệu trong giới kinh doanh thế kỷ 21 đang ngày càng khiến các công ty và tổ chức tập trung vào bảo mật thông tin và đầu tư vào việc bảo vệ tài sản kỹ thuật số của họ một cách có hệ thống. Tại sao? Trong bối cảnh bùng nổ các mối đe dọa mạng, chiến thuật của những kẻ tấn công ngày càng trở nên tinh vi và nhiều lớp - dẫn đến thiệt hại nghiêm trọng cho hình ảnh và danh tiếng của các công ty bị ảnh hưởng và thiệt hại hàng tỷ đô la kinh tế mỗi năm trên toàn thế giới.

Các chuyên gia đồng ý rằng không còn sự bảo vệ hoàn hảo chống lại các cuộc tấn công mạng - bởi yếu tố không chắc chắn đến từ phía con người. Điều này làm cho việc phát hiện sớm các cuộc tấn công tiềm năng và thực tế trở nên quan trọng hơn để hạn chế tác động của chúng trong các mạng công ty và giữ cho số lượng hệ thống có thể bị xâm phạm ở mức thấp nhất có thể. Tuy nhiên, vẫn còn rất nhiều việc phải làm trong lĩnh vực này: nghiên cứu được thực hiện như một phần của nghiên cứu "Chi phí vi phạm dữ liệu năm 2022" của IBM cho thấy mất trung bình 277 ngày để phát hiện và ngăn chặn một cuộc tấn công vào năm 2022.

ISO 27001:2022 mới

Để hỗ trợ các công ty và tổ chức có khuôn khổ tiêu chuẩn hóa, hiện đại cho các hệ thống quản lý bảo mật thông tin, ISO đã công bố tiêu chuẩn ISMS mới ISO/IEC 27001:2022 vào ngày 25 tháng 10 năm 2022. Phụ lục A cung cấp các biện pháp kiểm soát có thể áp dụng cho một công ty cụ thể cơ sở để giải quyết các rủi ro về an toàn thông tin.

Việc triển khai các biện pháp từ Phụ lục A trong phiên bản hiện tại được hỗ trợ bởi hướng dẫn triển khai với cấu trúc giống hệt của ISO/IEC 27002:2022, đã được cập nhật vào tháng Hai. Các biện pháp kiểm soát chung để ngăn chặn cuộc tấn công chiến lược và phát hiệncác mối đe dọa nhanh hơn mới được đưa vào.

Ba biện pháp kiểm soát mới để phát hiện và ngăn chặn

93 biện pháp hiện có trong Phụ lục A của ISO/IEC 27001:2022 hiện được sắp xếp lại theo bản cập nhật thành bốn chủ đề

• Các biện pháp tổ chức,
• Các biện pháp cá nhân,
• Các biện pháp vật lý,
• Các biện pháp công nghệ.

Ba trong số mười một biện pháp kiểm soát an toàn thông tin mới được giới thiệu liên quan đến việc ngăn chặn và phát hiện kịp thời các cuộc tấn công mạng. Ba biện pháp này là

• 5.7 Mối đe dọa thông minh (thuộc về tổ chức) 
• 8.16 Hoạt động giám sát (thuộc về kỹ thuật)
• 8.23 Lọc web (thuộc về công nghệ).

Dưới đây chúng ta sẽ xem xét kỹ hơn 3 điểm mới này.

Mối đe dọa thông minh

Biện pháp kiểm soát tổ chức 5.7 liên quan đến việc thu thập và phân tích theo hệ thống các thông tin về mối đe dọa liên quan. Mục đích của biện pháp này là làm cho các tổ chức nhận thức được nguy cơ của chính họ để sau đó họ có thể có hành động thích hợp để giảm thiểu rủi ro. Dữ liệu về mối đe dọa nên được phân tích một cách có cấu trúc theo ba khía cạnh: chiến lược, chiến thuật và hoạt động.

Phân tích mối đe dọa chiến lược cung cấp thông tin về sự thay đổi, chẳng hạn như các loại tấn công và tác nhân, ví dụ: tác nhân có động cơ nhà nước, tội phạm mạng, kẻ tấn công theo yêu cầu. Các cơ quan chính phủ trong nước và quốc tế (chẳng hạn như BSI - Văn phòng An ninh Thông tin Liên bang Đức, enisa - Cơ quan An ninh mạng của Liên minh Châu Âu, Bộ An ninh Nội địa Hoa Kỳ hoặc NIST - Viện Tiêu chuẩn và Công nghệ Quốc gia), cũng như các tổ chức phi lợi nhuận và các diễn đàn liên quan, cung cấp thông tin chi tiết về mối đe dọa đã được nghiên cứu kỹ lưỡng trên tất cả các ngành và cơ sở hạ tầng quan trọng.

Thông tin về mối đe dọa chiến thuật và đánh giá của nó cung cấp các đánh giá về phương pháp, công cụ và công nghệ của kẻ tấn công.

Đánh giá hoạt động của các mối đe dọa cụ thể cung cấp thông tin chi tiết về các cuộc tấn công, bao gồm các chỉ số kỹ thuật và sự gia tăng cực độ của các cuộc tấn công mạng bằng mã độc tống tiền và các biến thể của nó vào năm 2022.

Phân tích mối đe dọa có thể cung cấp hỗ trợ theo các cách sau:

• Tích hợp dữ liệu về mối đe dọa vào quy trình quản lý rủi ro một cách tuần tự,
• Phòng ngừa và phát hiện về mặt kỹ thuật, ví dụ: bằng cách cập nhật các quy tắc tường lửa, hệ thống phát hiện xâm nhập (IDS), giải pháp chống phần mềm độc hại,
• Với thông tin đầu vào cho các quy trình kiểm tra và kỹ thuật kiểm tra cụ thể chống lại bảo mật thông tin.

Chất lượng dữ liệu từ biện pháp kiểm soát tổ chức 5.7 cho việc xác định và phân tích mối đe dọa ảnh hưởng trực tiếp đến hai biện pháp kiểm soát kỹ thuật đối với các hoạt động giám sát (8.16) và lọc web (8.23) được thảo luận bên dưới, đây cũng là những điều mới đối với ISO/IEC 27002.

Giám sát hoạt động

Biện pháp phát hiện và sửa chữa bảo mật thông tin 8.16 bằng cách giám sát hoạt động chú trọng vào phát hiện sự bất thường như một phương pháp ngăn chặn các mối nguy hại. Mạng, hệ thống và ứng dụng hoạt động theo các khuôn mẫu định trước, chẳng hạn như thông lượng dữ liệu, giao thức, thông báo, v.v. Mọi thay đổi hoặc sai lệch đều được coi là bất thường.

Để phát hiện hành vi bất thường này, các hoạt động liên quan phải được giám sát theo các yêu cầu kinh doanh và bảo mật thông tin, đồng thời mọi điểm bất thường phải được so sánh với dữ liệu về mối đe dọa hiện có, cùng với những điều khác (xem yêu cầu 5.7 ở trên). Các khía cạnh sau đây có liên quan đến hệ thống giám sát:

• Lưu lượng truy cập mạng, hệ thống và ứng dụng vào và ra,
• Truy cập vào hệ thống, máy chủ, thiết bị mạng, hệ thống giám sát, ứng dụng quan trọng, v.v...,
• Các tệp cấu hình hệ thống và mạng ở cấp hành chính hoặc nhiệm vụ quan trọng;
• Nhật ký công cụ bảo mật [ví dụ: chống vi-rút, hệ thống phát hiện xâm nhập (IDS), hệ thống ngăn chặn xâm nhập (IPS), bộ lọc web, tường lửa, ngăn chặn rò rỉ dữ liệu],
• Nhật ký sự kiện liên quan đến hoạt động của hệ thống và mạng,
• Xác minh rằng mã thực thi trong một hệ thống có tính toàn vẹn và ủy quyền,
• Sử dụng tài nguyên, ví dụ: sức mạnh bộ xử lý, dung lượng ổ đĩa, sử dụng bộ nhớ, băng thông.

Các yêu cầu cơ bản để giám sát chức năng của các hoạt động là cơ sở hạ tầng CNTT/OT được định cấu hình rõ ràng và minh bạch cũng như các mạng CNTT/OT hoạt động đúng cách. Bất kỳ thay đổi nào đối với trạng thái cơ bản này đều được phát hiện là mối đe dọa tiềm tàng đối với chức năng và do đó là sự bất thường. Tùy thuộc vào mức độ phức tạp của cơ sở hạ tầng, việc triển khai biện pháp này là một thách thức lớn bất chấp các giải pháp của nhà cung cấp phù hợp. Tầm quan trọng của hệ thống phát hiện bất thường đã được công nhận gần như đồng thời với yêu cầu 8.16 của ISO/IEC 27002:2022 đối với người vận hành cái gọi là cơ sở hạ tầng quan trọng. Do đó, trong phạm vi quốc gia của các quy định pháp lý có liên quan, các quy định này có nghĩa vụ áp dụng hiệu quả cái gọi là hệ thống phát hiện tấn công có thời hạn.

Lọc Web

Internet có hai mặt cả lợi và hại. Truy cập vào các trang web đáng ngờ tiếp tục là một cửa ngõ cho nội dung độc hại và phần mềm độc hại. Kiểm soát bảo mật thông tin 8.23 Lọc web có mục đích phòng ngừa là bảo vệ hệ thống của chính tổ chức khỏi sự xâm nhập của phần mềm độc hại và ngăn chặn truy cập vào các tài nguyên web trái phép. Các tổ chức nên thiết lập các quy tắc để sử dụng an toàn và thích hợp các tài nguyên trực tuyến cho mục đích này - bao gồm các hạn chế truy cập bắt buộc đối với các trang web và ứng dụng dựa trên web không mong muốn hoặc không phù hợp. Tổ chức nên chặn quyền truy cập vào các loại trang web sau:

• Các trang web có tính năng tải lên - trừ khi điều này là cần thiết vì lý do kinh doanh hợp pháp,
• Các trang web độc hại đã biết hoặc thậm chí bị nghi ngờ,
• Máy chủ chỉ huy và kiểm soát,
• Các trang web độc hại được xác định như vậy từ dữ liệu về mối đe dọa (xem thêm biện pháp 5.7),
• Các trang web có nội dung bất hợp pháp.

Biện pháp lọc web chỉ thực sự hiệu quả với những nhân viên được đào tạo, những người có đầy đủ nhận thức về việc sử dụng các tài nguyên trực tuyến một cách an toàn và phù hợp.

Kết luận kỹ thuật

Các biện pháp kiểm soát phát hiện và ngăn chặn mới được mô tả ở đây có vai trò quan trọng trong việc chống lại tội phạm mạng có tổ chức và các biện pháp này đã được giới thiệu trong các phiên bản hiện tại của ISO/IEC 27001 và ISO/IEC 27002. Với việc cập nhật và phân tích liên tục các biện pháp kiểm soát thông tin về mối đe dọa, giám sát hoạt động rộng rãi trong cơ sở hạ tầng CNTT và bảo vệ hệ thống của chính họ khỏi các trang web đáng ngờ, các công ty đang tăng cường một cách bền vững khả năng bảo vệ của họ trước sự xâm nhập của phần mềm độc hại nguy hiểm. Họ cũng đặt mình vào vị trí để bắt đầu các biện pháp ứng phó thích hợp ở giai đoạn đầu.

Các công ty và tổ chức hiện phải triển khai phù hợp ba biện pháp kiểm soát được trình bày và tích hợp chúng một cách nhất quán vào ISMS của họ để đáp ứng các yêu cầu của cuộc kiểm tra chứng nhận trong tương lai. DQS có hơn 35 năm kinh nghiệm chuyên môn toàn diện trong lĩnh vực đánh giá và chứng nhận khách quan - và rất sẵn lòng hỗ trợ bạn trong việc quản lý thay đổi hệ thống quản lý bảo mật thông tin của bạn theo tiêu chuẩn ISO/IEC 27001:2022.

Bản cập nhật có ý nghĩa gì đối với chứng nhận của bạn?

ISO/IEC 27001:2022 được xuất bản vào ngày 25 tháng 10 năm 2022. Điều này dẫn đến các thời hạn và khung thời gian sau đây để người dùng chuyển đổi:

• Dự kiến sẵn sàng để được chứng nhận ISO/IEC 27001:2022 từ tháng 6/tháng 7 năm 2023 (phụ thuộc vào cơ quan công nhận của chúng tôi DAkkS,  Deutsche Akkreditierungsstelle GmbH).
• Ngày cuối cùng để đánh giá lần đầu/tái chứng nhận theo tiêu chuẩn ISO 27001:2013 "cũ" là ngày 31 tháng 10 năm 2023. Sau ngày 31 tháng 10 năm 2023, DQS sẽ chỉ thực hiện đánh giá lần đầu và chứng nhận lại theo tiêu chuẩn ISO/IEC 27001:2022 mới
• Chuyển đổi tất cả các chứng chỉ hiện có theo tiêu chuẩn ISO/IEC 27001:2013 "cũ" sang tiêu chuẩn ISO/IEC 27001:2022 mới: Giai đoạn chuyển tiếp ba năm sẽ áp dụng từ ngày 31 tháng 10 năm 2022. Các chứng chỉ được cấp theo tiêu chuẩn ISO/IEC 27001: 2013 hoặc DIN EN ISO/IEC 27001:2017 sẽ có hiệu lực chậm nhất đến ngày 31 tháng 10 năm 2025 hoặc phải được rút lại vào ngày này.

ISMS hiện đại với chuyên môn của DQS

Các tổ chức vẫn còn một khoảng thời gian trong khi chuyển đổi sang phiên bản mới của ISO/IEC 27001. Các chứng chỉ hiện tại dựa trên tiêu chuẩn cũ sẽ hết hiệu lực vào ngày 31.10.2025. Tuy nhiên, bạn nên sớm thích ứng với các yêu cầu thay đổi của ISMS, bắt đầu các quy trình thay đổi phù hợp và triển khai chúng một cách tuần tự.

Với tư cách là chuyên gia đánh giá và chứng nhận với kinh nghiệm hơn ba thập kỷ, chúng tôi sẵn sàng hỗ trợ bạn trong việc triển khai tiêu chuẩn mới. Tìm hiểu từ nhiều đánh giá viên giàu kinh nghiệm của chúng tôi về những thay đổi quan trọng nhất và mức độ phù hợp của chúng đối với tổ chức của bạn - và đặt niềm tin của bạn vào chuyên môn của chúng tôi. Chúng ta sẽ cùng nhau thảo luận về tiềm năng phát triển của bạn và hỗ trợ bạn cho đến khi bạn nhận được chứng chỉ mới. Chúng tôi mong chờ tin từ bạn.