С чего начать при внедрении (модернизации) системы защиты? Что следует сделать в первую очередь, чтобы получить гарантированный и скорый результат при минимальных затратах?Стандарты и лучшие практики определяют десятки мер, внедрение которых позволяет повысить защищенность инфраструктуры.
Одним из основополагающих международных стандартов в области кибербезопасности является документ "Критические меры безопасности для эффективной киберзащиты" ( Critical Security Controls for Effective Cyber Defense ) от международного Совета по вопросам кибербезопасности (The Council on CyberSecurity), в свое время этим документом так же занимался SANS .
Документ на 106 страниц включает 20 мер (Контролей), содержащих подразделы. По сути это тот самый перечень мер, внедрение которых позволяет снизить риски ИБ с их дополнительной категоризацией по приоритетности. Отечественными аналогами служат 17 и 21 приказы ФСТЭК.
Интересной особенностью стандарта является наличие в нем списка мер, которые следует внедрить в первую очередь, итак:
name='more'> Топ 5 мер, оказывающих наибольшее влияние на киберзащиту инфраструктуры по мнению The Council
- Белый список приложений;
- Использование стандартных, безопасных конфигураций системы;
- Обновление прикладного программного обеспечения в течение 48 часов;
- Обновление системного программного обеспечения в течение 48 часов;
- Уменьшение количества пользователей с административными привилегиями.
Далее описание каждой меры из стандарта с указанием аналога из документов ФСТЭК:
CSC 2-1
Развертывание технологии белых списков позволяет системе запускать ПО, только если оно включено в белый список и предотвращать исполнение всех других программ в системе. Белые списки могут быть очень большими (основываться на доступных белых списках производителей ПО) и это не вызовет у пользователей неудобства при использовании общего ПО. Или, в некоторых системах специального назначения (которые требуют лишь небольшого количества ПО для обеспечения их функциональности), белые списки могут быть довольно небольшими.
Аналог в 17 приказе ФСТЭК: ОПС.3 CSC 3-1
Создание и контроль использования стандартных безопасных конфигураций ваших операционных систем. Стандартизированные образы должны представлять собой проверенные версии операционных систем и приложений, установленных в системе. Подготовка, как правило, включат в себя: удаление ненужных учетных записей (в том числе служебных), отключение или удаление ненужных служб, применение патчей, закрытие открытых и неиспользуемых сетевых портов, внедрение систем обнаружения вторжений и/или систем предотвращения вторжений, использование локальных брандмауэров. Эти образы должны проверяться и обновляться на регулярной основе для поддержания конфигурации их безопасности в свете последних уязвимостей и векторов атак.
Аналог в 17 приказе ФСТЭК: частично ОЦЛ.3 и ОДТ.2 (в 21 приказе ФСТЭК: УКФ.1-4)CSC 3-2
Внедрение утилит и процессов автоматической установки патчей для приложений и операционных систем. Когда устаревшие системы не могут быть больше обновлены, обновление прикладного программного обеспечения до последней версии. Удаление устаревших, старых и неиспользуемых приложений из системы.
Аналог в 17 приказе ФСТЭК: АНЗ.2CSC 3-3
Ограничить наличие административных привилегий небольшим количеством пользователей, которые имеют как знания, необходимые для администрирования ОС, так и служебную необходимость изменять конфигурации ОС. Это поможет предотвратить установку несанкционированного ПО и другие злоупотребления правами администратора.
Аналог в 17 приказе ФСТЭК: УПД.5CSC 4-1
Автоматический запуск сканеров уязвимостей для всех систем в сети, еженедельно или чаще, последующая доставка списков с наиболее критичными уязвимостями каждому ответственному системному администратору, вместе с оценкой риска, который сравнивает эффективность системных администраторов и подразделений в снижении рисков.
Использование сканеров уязвимостей, поддерживающих протокол SCAP которые показывают как уязвимости кода (такие как описанные в Common Vulnerabilities and Exposures entries, CVE ) так и уязвимости конфигураций (такие как перечисленные в Common Configuration Enumeration Project, CCE ).
Аналог в 17 приказе ФСТЭК: АНЗ.1 CSC 12-1
Свести к минимуму административные привилегии и использовать учетные записи администраторов только когда они требуются. Осуществлять целенаправленный аудит использования административных привелегированных функций и осуществлять контроль аномального поведения.
Аналог в 17 приказе ФСТЭК: УПД.5
