Я обнаружил, что большая часть опубликованных материалов об аудите и кибербезопасности предназначена для опытных специалистов. В этом нет ничего плохого — на самом деле, большинство людей, которые достаточно далеко продвинулись в своей карьере, чтобы читать статью или сообщение в блоге об аудите или кибербезопасности, вероятно, понимают материал и могут применять его в реальных ситуациях, пишет Рики Гамильтон, CISA, CCSK, LSSGB в совей статье на сайте www.isaca.org.
Однако для новоиспеченного ИТ-аудитора или специалиста по кибербезопасности объем информации может показаться огромным. От изучения фреймворков, лучших практик, профессиональных организаций (таких как ISACA), создания программ аудита, понимания отраслевых терминов и изучения инструментов поставщиков — это довольно сложная задача для любого. Часто вы будете встречать общие фразы вроде «Физическая безопасность», «Сетевая безопасность», «Уменьшение поверхности атаки», «Защитите свои системы» и «Защитите свою конечную точку». Это необходимые общие термины для объяснения и маркировки концепций, но каждый сам решает, что значит «защитить конечные точки» на более детальном уровне.
Давайте изменим это и рассмотрим некоторые конкретные элементы управления, которые вы можете добавить к своему следующему аудиту или контрольному списку, чтобы повысить уровень безопасности. В конце концов, в основе ИТ-аудита лежит контроль. Вы, вероятно, уже знакомы с категориями контроля, но для освежения информации ISACA описывает их как:
- Административные – правила, процедуры и практика, касающиеся операционной эффективности, результативности и соблюдения правил и политик управления.
- Обнаруживающий — контроль существует для обнаружения и сообщения об ошибках, упущениях и несанкционированном использовании или вводе данных.
- Превентивный — внутренний контроль, который используется для предотвращения нежелательных событий, ошибок и других событий, которые, по мнению предприятия, могут оказать негативное существенное влияние на процесс или конечный продукт.
- Корректирующий — контроль предназначен для исправления ошибок, упущений, несанкционированного использования и вторжений после их обнаружения.
На самом деле, такая простая вещь, как «Защита конечных точек», не означает, что нужно поставить антивирусную программу и покончить с этим. Вместо этого это комбинация проверки нескольких средств контроля и обеспечения их реализации в соответствии со стандартом склонности вашей организации к риску. Хотя следующие списки не предназначены для использования в качестве исчерпывающего руководства, я включил некоторые, возможно, не очень распространенные элементы управления, о которых следует подумать при аудите или исправлении. Я надеюсь, что это подтолкнет ваше мышление от широкого к детальному и укрепит концепции элементов управления.
Задача: Защитите свои конечные точки
- Политики на местах
Этот административный контроль создает подотчетность, инструктируя и предотвращая небрежное использование. Нельзя ожидать, что люди будут следовать несуществующим правилам. Узнайте, существуют ли они. - Права локального администратора
Этот превентивный контроль, возможно, является единственным лучшим средством контроля, которое вы можете проверить и внедрить на конечной точке. Это действие обычно предотвращает выполнение файлов, если кто-то загрузит вредоносный файл, и может ограничить действия злоумышленника, если он получит доступ к этому устройству. - Шифрование
- Особенно важно для мобильных телефонов, но также важно для ноутбуков и планшетов. Этот превентивный контроль может дать вам некоторое спокойствие по сравнению с незашифрованным устройством, если оно будет когда-либо потеряно или украдено.
- Установлено вредоносное ПО или антивирус
Это классический превентивный контроль. Вы наверняка слышали о необходимости антивируса всю свою жизнь, еще до того, как стали профессионалом в этой области. Это программное обеспечение может помочь остановить нежелательное событие и/или сообщить о нем. - Обновления программного обеспечения и ОС
Если существуют политики с подробным описанием того, как, когда и что будет обновляться, это может быть как административным, так и превентивным контролем. Что происходит, когда на устройстве не установлены последние обновления безопасности? Вы оставляете устройство открытым для входа. Неисправленными уязвимостями можно манипулировать, чтобы обеспечить повышение привилегий. Проще говоря, злоумышленники могут получить права доступа и администрирования из неисправленного программного обеспечения. - Внедрение SIEM
Этот элемент управления для обраружения отслеживает конечные точки (среди прочего) и предупреждает организацию о различных нежелательных событиях. Примеры включают, когда кто-то пытается войти в систему методом грубой силы или на устройстве выполняется нежелательный процесс, и это позволяет вашей команде кибербезопасности отреагировать.
Задача: Защитите свою сеть
- Установка исправлений для брандмауэров
Этот превентивный элемент управления помогает не допустить проникновения злоумышленников в вашу сеть, но он должен быть на последней выбранной версии встроенного ПО, чтобы обеспечить его защиту. Даже если вы не являетесь техническим специалистом, пусть ваша ИТ-команда пришлет вам снимок экрана версии брандмауэра, на котором он установлен, и сравните его с информацией производителя о последних исправлениях. - Сегментация сети
Сегментация — это превентивный контроль, который может помочь уменьшить ущерб, который может нанести злоумышленник, изолировав его в определенном разделе сети. Это затрудняет или делает невозможным боковое перемещение внутри сети. Проще говоря, субъект угрозы содержится в определенном месте в сети. - Надежные пароли
Надежные пароли — это средство превентивного контроля, которое является основным строительным блоком безопасности. Вы можете подумать, что все используют надежный пароль, но это, конечно, не так. Есть ли в организации политика в отношении паролей? Соблюдают ли ее? Насколько далека эта политика от общепринятых стандартов, таких как NIST? - Многофакторная аутентификация (MFA)
MFA — это надежный превентивный контроль, и его следует использовать как можно чаще, особенно в облачных средах. Запросите доказательства того, что MFA широко включена или, по крайней мере, включена, чтобы получить доступ к конфиденциальным материалам. - Блокировка Active Directory
Этот превентивный контроль может быть немного сложным. Существуют и другие меры, которые могут допускать разное количество попыток входа в систему до блокировки, и, похоже, общепринятого стандарта не существует. Я лично наблюдал следующее во время аудита: блокировка Active Directory была установлена на сотни попыток входа. Почему? Общие учетные записи использовались для всего домена, и это был способ предотвратить блокировку нескольких одновременных учетных записей. Это создает проблему подотчетности, а также означает, что кто-то может попытаться взломать несколько учетных записей с повышенными правами и остаться относительно незамеченным. - Общие учетные записи
Как отмечалось выше, общие учетные записи создают проблему подотчетности. Если эта учетная запись также имеет привилегии локального администратора, это прямой путь к катастрофе. От любопытного сотрудника, который обладает достаточными техническими ноу-хау, чтобы быть опасным, до действительно злонамеренного злоумышленника, у вас есть зияющая дыра, которую необходимо исправить.
Задача: Защитите свои данные
- Политика своевременного увольнения
Важным элементом административного контроля является наличие политики, описывающей процесс увольнения сотрудников по той или иной причине. Этот процесс, который охватывает этот элемент управления, важен для защиты вас от кражи данных и, возможно, даже от нарушения, такого как HIPAA. Если кто-то обычно получает покрываемые данные в отчете по электронной почте и увольняется, продолжает ли он получать данные, когда у него больше нет потребности участия в бизнесе? - Правила пересылки почты
Одним из средств превентивного контроля, аудит которого я не видел, являются правила пересылки почты. Разрешено ли сотрудникам создавать правила перенаправления почты на свою личную электронную почту? Какие данные в результате покидают организацию? Незашифрованные документы, которые в основном содержат регулируемые данные? Коммерческие тайны? - USB-устройства
Действительно злонамеренный злоумышленник с определенным намерением может обмануть устройство, чтобы оно действовало как устройство ввода, и обойти блокировку USB в случаях, когда для этого потребуется физический доступ. Внедрив этот превентивный контроль и отключив USB-доступ для устройств хранения данных, организация может затруднить для среднего недовольного или небрежного сотрудника перенос данных на USB-накопитель или внедрение угроз, таких как вирусы, в окружающую среду. - Резервное копирование и аварийное восстановление
Резервное копирование данных — это корректирующий элемент, защищающий ваши данные за счет возможности доступа к ним при необходимости. В эпоху программ-вымогателей это просто необходимо. Запросите доказательства резервного копирования и успешного тестового восстановления с помощью снимков экрана или журналов. Определите, сохраняется ли какая-либо удаленная резервная копия. - Повышенные привилегии и отдельные административные учетные записи
Это административный элемент управления, в котором подробно описывается, как должен определяться доступ. Следуя принципу наименьших привилегий, системные администраторы и другие сотрудники, которым время от времени требуются административные права, должны использовать их только в случае необходимости. Следите за сотрудниками, которые остаются в своей учетной записи с повышенными привилегиями почти все время, чтобы сделать работу более удобной. Они тоже могут нажать на хорошо оформленное фишинговое письмо.
Я надеюсь, что это помогло вам перейти от общих фраз к некоторым практическим особенностям в следующий раз, когда вы будете проводить аудит или исправление.
Перевод с англ. подготовлен порталом Allinsurance.kz