Защита на крайните точки от зловреден софтуер: доказателства по ISO 27001 за изискванията на ЕС

Понеделник е, 07:42 ч. Финансов мениджър отваря фактура от доставчик в имейл кореспонденция, която изглежда легитимна. Минути по-късно конзолата за откриване на заплахи по крайните точки маркира подозрително изпълнение на скрипт, опит за установяване на устойчиво присъствие и изходящ трафик към непознат домейн. EDR агентът автоматично изолира лаптопа. Веригата на ransomware е прекъсната преди началото на криптирането.
Сигурността е сработила. Но трудният въпрос идва след това.
Директорът по информационна сигурност (CISO) не получава само въпроса „Спряхме ли зловредния софтуер?“. Изпълнителният директор и управителният съвет питат: „Можем ли да докажем, че това е устойчивост по дизайн, а не късмет? Можем ли да покажем на одитори, клиенти, регулатори и застрахователи, че нашата защита на крайните точки е сработила по начин, който удовлетворява ISO/IEC 27001:2022, киберхигиената по NIS2, управлението на ИКТ риска по DORA и GDPR Article 32?“
Това е определящото предизвикателство пред сигурността на крайните точки през 2026 г. Защитата на крайните точки вече не е само функция на ИТ операциите. Тя е система от доказателства за съответствие.
Едно предупреждение за зловреден софтуер на лаптоп може да стане одитна извадка по ISO/IEC 27001:2022, оценка на значим инцидент по NIS2, запис за инцидент, свързан с ИКТ, по DORA, триаж на нарушение на сигурността на личните данни по GDPR, обсъждане на риск, свързан с доставчик, и преглед на управлението от съвета. Организациите, които се справят добре с това, не просто внедряват EDR. Те свързват политика, инвентар, технически контроли, мониторинг, реагиране при инциденти, правен триаж, договори с доставчици, показатели и непрекъснато подобрение в един защитим разказ за контрола.
Clarysec наблюдава същия модел в SaaS, финтех, управлявани услуги и регулирани цифрови среди. Повечето организации вече разполагат със силни инструменти: EDR, антивирусен софтуер, MDM, скенери за уязвимости, SIEM, сигурност на електронната поща, уеб филтриране, платформи за резервно копиране и системи за управление на заявки. Пропускът обикновено не е технологията. Пропускът е проектирането на доказателствата.
Тази статия показва как да изградите готови за одит доказателства за защита на крайните точки от зловреден софтуер, като използвате ISO/IEC 27001:2022 като основа на системата за управление на информационната сигурност (СУИС), Политика за защита на крайните точки / зловреден софтуер на Clarysec Политика за защита на крайните точки / зловреден софтуер, SME Политика за защита на крайните точки от зловреден софтуер Политика за защита на крайните точки от зловреден софтуер - SME, Zenith Blueprint: 30-стъпкова пътна карта за одитори Zenith Blueprint и Zenith Controls: ръководство за кръстосано съответствие Zenith Controls.
Защо защитата на крайните точки от зловреден софтуер вече е въпрос на съответствие на ниво управителен съвет
Съвременната крайна точка е мястото, където се срещат идентичност, служебна информация, потребителско поведение, техники на атакуващите и регулаторна отчетност. Лаптопите се свързват от домашни мрежи и летища. Разработчиците използват локални инструменти. Висши ръководители пътуват с кеширана електронна поща и файлове. Изпълнителите могат да използват управлявани или частично управлявани устройства. Мобилните телефони одобряват MFA заявки. Облачните работни натоварвания и сървърите се държат като крайни точки от гледна точка на EDR.
В Zenith Blueprint, фаза Controls in Action, Step 19: Technological Controls I, Clarysec описва потребителските крайни устройства като „вратите и прозорците“ към организацията:
Потребителските крайни устройства — лаптопи, смартфони, таблети, настолни компютри и дори thin clients — са мястото, от което започва цифровото взаимодействие. Те са вратите и прозорците към вашите системи. И както всяка физическа структура, те трябва да бъдат укрепени, наблюдавани и контролирани.
Тази рамка е важна, защото защитата на крайните точки не се свежда само до блокиране на зловреден софтуер. Тя трябва да доказва, че организацията знае кои устройства съществуват, управлява начина им на използване, прилага базови изисквания за сигурност, открива компрометиране, реагира последователно, запазва доказателства, възстановява операциите и се подобрява след инциденти.
Зряла програма за защита на крайните точки от зловреден софтуер трябва без колебание да отговаря на четири одитни въпроса:
- Знаем ли всяка крайна точка, която може да достъпва бизнес системи или лични данни?
- Защитена ли е всяка крайна точка с одобрена, централно управлявана защита от зловреден софтуер или EDR?
- Можем ли да докажем конфигурация, сканиране, актуализации, предупреждения, карантина, изолация, разследване и приключване?
- Можем ли да свържем събитията от крайните точки с третиране на риска, реагиране при инциденти, регулаторно докладване, надзор върху доставчици и преглед от ръководството?
ISO/IEC 27001:2022 предоставя системата за управление, необходима за отговор на тези въпроси. Clauses 4.1 to 4.4 изискват организацията да дефинира контекст, заинтересовани страни, правни и договорни задължения, интерфейси, зависимости и обхват на СУИС. За защитата на крайните точки обхватът не може да спира до „корпоративни ИТ“. Той трябва да отчита дистанционна работа, привилегировани работни станции, мобилни устройства, облачен достъп, устройства, управлявани от доставчик, логове от крайни точки, външно възложени SOC или MDR услуги и всяка крайна точка, която може да влияе върху информационната сигурност.
Clauses 5.1 to 5.3 правят отчетността на ръководството явна. Висшето ръководство трябва да подкрепя СУИС, да възлага роли, да осигурява ресурси и да гарантира съгласуваност на политиките. В контекста на крайните точки съветът не може да одобрява цели за киберхигиена, докато оставя нерешени лицензирането на EDR, backlog за корекции, изключения за BYOD или пропуски в ескалацията към MDR.
Clauses 6.1.1 to 6.1.3 създават механизма за третиране на риска. Рисковете от зловреден софтуер по крайните точки трябва да бъдат идентифицирани, оценени, третирани, картографирани към контролите от Приложение A, отразени в Декларацията за приложимост и приети от собствениците на риска, когато остава остатъчен риск. Clauses 8.1 to 8.3 след това превръщат третирането на риска в контролирани операции, планирани промени, оценка на риска на интервали или след съществени промени и резултати от третирането на риска.
Одитният разказ не е „инсталирахме EDR“. Одитният разказ е „рискът от зловреден софтуер по крайните точки е идентифициран, оценен, третиран, управляван, наблюдаван, тестван, доказан, докладван и подобряван“.
Мостът на политиката на Clarysec от EDR настройките към одитните доказателства
Политиката е мястото, където техническата реалност става одитируемо намерение. Без политика конфигурациите на крайните точки са просто настройки на инструмент. С политика тези настройки стават изисквания към контролите.
Корпоративната Политика за защита на крайните точки / зловреден софтуер на Clarysec установява този мост в clause 1.3:
Тази политика пряко подпомага съответствието с ISO/IEC 27001:2022 Clause 8.1 и Annex A Control 8.7 и е съгласувана с регионалните задължения по киберсигурност съгласно GDPR, NIS2 и DORA.
Тази една клауза дава на организацията пряка връзка от операциите по крайните точки към ISO/IEC 27001:2022, NIS2, DORA и GDPR. След това одиторите могат да тестват дали реалната програма за крайни точки на организацията съответства на ангажимента в политиката.
Същата корпоративна политика определя очаквания оперативен модел в Governance Requirements, clause 5.2:
Всички крайни точки трябва да бъдат включени в централно управлявани системи за защита от зловреден софтуер (напр. EDR, антивирусен софтуер или еквивалентни платформи) с наложена базова конфигурация.
Точно такъв тип твърдение предпочитат одиторите, защото е проверимо. Ако „всички крайни точки“ трябва да бъдат включени, доказателствата трябва да показват пълната популация от крайни точки, очакваната EDR популация, статус на включване, изключения, компенсиращи контроли и напредък по отстраняване.
За SME Политика за защита на крайните точки от зловреден софтуер дава преки оперативни изисквания. Clause 5.1.3 гласи:
Всички крайни точки трябва да бъдат записани в инвентара на ИТ активите и свързани с използвания инструмент за защита на крайните точки
Clause 5.2.1 добавя:
Всички крайни точки трябва да използват само одобрен от организацията антивирусен софтуер или EDR (endpoint detection and response) решения
Clause 6.1.1.1 изисква:
Непрекъснато изпълнявайте антивирусно и antimalware сканиране в реално време
А clause 8.1.1 изисква:
Събития, свързани със зловреден софтуер, трябва да бъдат наблюдавани непрекъснато чрез антивирусната конзола или централизирано информационно табло на EDR
Заедно тези клаузи създават прост, но силен тест на доказателствата: покажете инвентара, покажете инструмента за защита на крайните точки, покажете одобрената конфигурация, покажете непрекъснатия мониторинг, покажете събитията, покажете заявките и покажете приключването.
Картографиране на контролите за крайни точки по ISO/IEC 27001:2022 и ISO/IEC 27002:2022
Защитата на крайните точки често се проваля при одити, защото екипите я третират като един контрол. В действителност защитата на крайните точки от зловреден софтуер зависи от множество взаимно подсилващи се контроли.
Централните контроли по ISO/IEC 27002:2022 са A.8.1 User endpoint devices и A.8.7 Protection against malware. Но ефективната защита на крайните точки зависи също от управление на уязвимостите, логване, мониторинг, реагиране при инциденти, резервни копия, уеб филтриране, контрол на преносими носители, ограничаване на достъпа, управление на доставчици, управление на облачни услуги, осведоменост и непрекъсваемост на дейността.
Zenith Controls картографира ISO/IEC 27002:2022 control A.8.7, Protection against malware, като превантивен, откриващ и коригиращ контрол. Той подпомага поверителността, целостта и наличността и естествено се свързва със сигурността на системите и мрежите, защитата на информацията и възможностите за откриване. Той също така показва, че A.8.1, User endpoint devices, е превантивен контрол, който подпомага поверителност, цялостност и наличност чрез управление на активите и управление на крайните точки.
| Област на контрол по ISO/IEC 27002:2022 | Доказателства за крайни точки и зловреден софтуер, които да се съхраняват | Защо е важно при одит |
|---|---|---|
| A.8.1 User endpoint devices | Инвентар на активите, отчети за съответствие от MDM или UEM, статус на криптиране, настройки за заключване на екрана, възможност за дистанционно изтриване, BYOD контроли | Доказва, че крайните точки са известни, управлявани и защитени преди предоставяне на достъп |
| A.8.7 Protection against malware | Отчети за внедряване на EDR, настройки за защита в реално време, статус на актуализации, откривания, карантини, записи за изолация, обработване на фалшиво положителни резултати | Доказва, че предотвратяването, откриването и реагирането при зловреден софтуер са активни и централно управлявани |
| A.8.8 Management of technical vulnerabilities | Сканирания за уязвимости, SLA за корекции, заявки за отстраняване, одобрения на изключения, компенсиращи контроли | Показва, че експозицията към зловреден софтуер се намалява чрез отстраняване на експлоатируеми слабости |
| A.8.15 Logging и A.8.16 Monitoring activities | Логове от крайни точки, SIEM корелация, триаж на предупреждения, доказателства за ескалация, информационни табла, записи от преглед | Показва, че събитията, свързани със зловреден софтуер, са видими, преглеждани и обработвани |
| A.5.24 to A.5.28 Incident management | Процедури за инциденти, записи за класификация, действия по реагиране, извлечени поуки, запазване на доказателства | Показва, че подозираният зловреден софтуер се превръща в контролирано обработване на инциденти, а не в неформално отстраняване на проблеми |
| A.8.13 Backups и A.5.30 ICT readiness for business continuity | Отчети за успешно резервно копиране, тестове за възстановяване, настройки за неизменяеми резервни копия, упражнения за възстановяване | Показва, че устойчивостта срещу ransomware включва възстановимост |
| A.5.19 to A.5.23 Supplier and cloud service controls | MDR договори, SLA за EDR услуги, изисквания за сигурност към доставчици, покритие на облачни крайни точки, договорености за изход | Показва, че външно възложените услуги за крайни точки остават под контрола на СУИС |
Zenith Controls е особено полезен, защото показва как защитата на крайните точки зависи от съседни контроли. Protection against malware се свързва с A.5.7 Threat intelligence, защото защитите срещу зловреден софтуер трябва да се адаптират към променящите се тактики. Той се свързва с A.8.8 Management of technical vulnerabilities, защото зловредният софтуер често експлоатира известни слабости. Той се свързва с A.8.15 Logging и A.8.16 Monitoring activities, защото откриванията, карантините, сканиранията и актуализациите трябва да бъдат събирани и преглеждани. Той се свързва с A.8.23 Web filtering, защото злонамерените сайтове остават често срещан път за заразяване. Той се свързва с A.7.10 Storage media, защото преносимите носители могат да внесат зловреден софтуер, ако не са контролирани.
User endpoint devices също се свързва с A.5.10 Acceptable use of information and other associated assets, A.6.7 Remote working, A.8.3 Information access restriction, A.8.5 Secure authentication, A.6.3 Information security awareness, education and training и A.6.6 Confidentiality or non-disclosure agreements.
На ясен език: сигурната крайна точка не е само устройство с агент. Тя е работна среда, в която политиката се прилага.
Превръщане на предупреждение за зловреден софтуер в защитима доказателствена верига
Да се върнем към събитието със зловреден софтуер в понеделник сутринта. EDR агентът е изолирал лаптопа, но готовността за съответствие зависи от доказателствената верига, която следва.
Добрата доказателствена верига за зловреден софтуер по крайни точки включва:
- Запис за актив, показващ собственик, бизнес функция, критичност, тип устройство, операционна система, профил на достъп до данни и статус на криптиране.
- Запис за защита на крайните точки, показващ техническо състояние на EDR агента, приложена политика, защита срещу подправяне, статус на актуализация и сканиране в реално време.
- Запис за откриване, показващ ID на предупреждението, времеви маркер, дърво на процесите, логика на откриване, степен на сериозност, засегнати файлове, мрежови индикатори и автоматизирани действия.
- SIEM запис, корелиращ DNS, електронна поща, идентичност, proxy, облак и телеметрия от крайни точки.
- Запис в заявка, показващ триаж, ескалация, ограничаване, отстраняване, възстановяване, първопричина и приключване.
- Решение за инцидента, показващо дали събитието е останало събитие по сигурността или е станало инцидент.
- Регулаторен триаж, показващ дали са разгледани праговете по NIS2, DORA или GDPR.
- Запис за извлечени поуки, показващ настройка на политика, прилагане на корекции, действие за осведоменост, заявка към доставчик или актуализация на регистъра на риска.
Политика за защита на крайните точки / зловреден софтуер подсилва този модел за реагиране чрез своите Policy Implementation Requirements, clause 6.3, озаглавена:
Действия по реагиране и ограничаване
За SME clause 6.3.1.2 е още по-пряка:
Доставчикът на ИТ поддръжка трябва да постави устройството под карантина, да потвърди заразяването и да извърши анализ на първопричините
Блокирано събитие със зловреден софтуер не трябва да изчезва в конзола. Ако е достатъчно важно, за да бъде открито, то е достатъчно важно, за да бъде класифицирано, документирано и приключено.
Доказателства за киберхигиена по NIS2 от защитата на крайните точки
NIS2 превръща базовата киберхигиена във въпрос на управление. Обхванатите организации трябва да разбират дали попадат в обхвата, дали са съществени или важни субекти и как се прилагат националните задължения за транспониране.
За защитата на крайните точки от зловреден софтуер Article 21 е ключовата разпоредба. Той изисква подходящи и пропорционални технически, оперативни и организационни мерки за управление на рисковете за мрежови и информационни системи и за предотвратяване или минимизиране на въздействието от инциденти. Мерките включват анализ на риска и политики за сигурност на информационните системи, обработване на инциденти, непрекъсваемост на дейността, сигурност на веригата на доставки, сигурно придобиване и поддръжка, включително обработване на уязвимости, оценка на ефективността, базова киберхигиена и обучение, криптография, сигурност на човешките ресурси, контрол на достъпа, управление на активите и, когато е уместно, MFA или непрекъсната автентикация.
Доказателствата за крайни точки се картографират директно към тези очаквания.
| Област по NIS2 Article 21 | Доказателства за защита на крайните точки от зловреден софтуер |
|---|---|
| Анализ на риска и политики за сигурност | Оценка на риска за крайни точки, Политика за защита на крайните точки / зловреден софтуер, Декларация за приложимост, план за третиране на риска |
| Обработване на инциденти | Записи за EDR предупреждения, заявки за инциденти, оценка на тежестта, действия по ограничаване, извлечени поуки |
| Непрекъсваемост на дейността | Сценарии за ransomware, отчети за резервни копия, тестове за възстановяване, процедури за възстановяване |
| Сигурност на веригата на доставки | MDR или MSP договори, матрица на отговорностите, условия за съдействие при инциденти, права на одит |
| Обработване на уязвимости | SLA за корекции, сканирания за уязвимости, одобрения на изключения, анализ на експлоатирани уязвимости |
| Оценка на ефективността | Резултати от вътрешен одит, тестови откривания чрез EDR, фишинг симулации, настолни упражнения |
| Базова киберхигиена и обучение | Съответствие с базовите настройки на крайните точки, записи за завършено обучение, обучение за фишинг и зловреден софтуер |
| Контрол на достъпа и управление на активите | Инвентар на крайни точки, съпоставяне потребител-устройство, условен достъп, контроли за привилегировани работни станции |
NIS2 Article 23 също е важен, защото зловредният софтуер може да се превърне в значим инцидент. Ако причинява или може да причини тежко оперативно прекъсване, финансова загуба или значителна материална или нематериална вреда на други лица, може да се изисква поетапно докладване. NIS2 включва ранно предупреждение в рамките на 24 часа, уведомление за инцидент в рамките на 72 часа, междинни актуализации при поискване и окончателен доклад в рамките на един месец след уведомлението.
Доказателствата за крайни точки подпомагат всеки етап. EDR предупреждението предоставя първия индикатор. Инвентарът на активите идентифицира засегнатите услуги и критичност. SIEM данните и заявките подпомагат анализа на въздействието. Записите за ограничаване доказват предприетите действия. Анализът на първопричините подпомага окончателното докладване.
Отговор, готов за NIS2, не е „имаме антивирусен софтуер“. Той е „знаем крайните си точки, прилагаме защита, наблюдаваме непрекъснато, класифицираме инциденти, обучаваме потребители, управляваме уязвимости, запазваме доказателства и докладваме, когато праговете са достигнати“.
Управление на ИКТ риска по DORA и защита на крайните точки от зловреден софтуер
За финансовите субекти DORA създава секторна рамка за цифрова оперативна устойчивост. Защитата на крайните точки от зловреден софтуер се картографира пряко към управление на ИКТ риска, управление на инциденти, тестване, непрекъсваемост, възстановяване и ИКТ риск от трети страни.
DORA Article 5 възлага отговорността за ИКТ риска на ръководния орган. Article 6 изисква стабилна, всеобхватна и документирана рамка за управление на ИКТ риска. Articles 8 и 9 изискват идентификация и класификация на бизнес функции, поддържани от ИКТ, информационни активи, ИКТ активи, зависимости, киберзаплахи, уязвимости, конфигурации и взаимозависимости. Те обхващат също политики и инструменти за защита, превенция, откриване, контрол на достъпа, силна автентикация, управление на промените и прилагане на корекции.
Articles 11 и 12 са централни за устойчивостта срещу ransomware. Те изискват политика за непрекъсваемост на дейността в областта на ИКТ, планове за реагиране и възстановяване, политики за резервни копия, процедури за възстановяване, тестване и проверки на целостта. Article 17 изисква процес за управление на инциденти, свързани с ИКТ, за откриване, управление, класифициране, записване, ескалиране, комуникиране и възстановяване на операциите след инциденти. Article 19 създава задължения за докладване на съществени инциденти, свързани с ИКТ. Articles 24 to 26 разглеждат тестване на цифровата оперативна устойчивост. Articles 28 to 30 разглеждат ИКТ риск от трети страни и договорни споразумения.
| Област по DORA | Полезни доказателства за крайни точки |
|---|---|
| Идентификация на ИКТ активи | Инвентар на крайни точки, собственик, бизнес функция, критичност, картографиране на зависимостите |
| Защита и превенция | Базова EDR конфигурация, статус на корекции, контрол на достъпа, криптиране, уеб филтриране, сигурна конфигурация |
| Откриване | EDR предупреждения, SIEM корелация, индикатори за ранно предупреждение, обогатяване с разузнаване за заплахи |
| Управление на инциденти, свързани с ИКТ | Заявка за инцидент със зловреден софтуер, класификация на тежестта, роли, действия, ескалация, първопричина |
| Възстановяване | Запис за преинсталиране на устройство, доказателства за възстановяване от резервно копие или файл, проверки на целостта |
| Тестване на устойчивостта | EDR симулация, фишинг симулация, сканирания за уязвимости, тестове за проникване, настолни упражнения |
| ИКТ риск от трети страни | Договор с MDR или EDR доставчик, SLA, права на одит, съдействие при инциденти, планове за изход |
За финансов субект същият инцидент със зловреден софтуер, който доказва работата на A.8.7, може да покаже и надзорни доказателства по DORA: класификация на активи, функциониране на контролите, управление на инциденти, способност за възстановяване, история на тестване, отговорност на трети страни и управленски надзор.
GDPR Article 32 и триаж на нарушение на сигурността на личните данни
GDPR Article 32 изисква администраторите и обработващите лични данни да прилагат технически и организационни мерки, съответстващи на риска. Тези мерки включват поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване, способност за възстановяване на наличността и достъпа до лични данни и редовно тестване, оценяване и преценка на мерките за сигурност.
Зловредният софтуер по крайни точки става доказателство по GDPR, когато крайна точка може да достъпва лични данни: клиентски записи, заявки за поддръжка, файлове на човешки ресурси, експорти, информация, свързана с плащания, здравна информация, специални категории данни, логове за автентикация или облачни приложения, съдържащи лични данни.
Въпросът за поверителността зависи от фактите. Изпълнил ли се е зловредният софтуер? Достъпил ли е файлове? Заснел ли е удостоверителни данни? Откраднати ли са токени? Ексфилтрирани ли са данни? Криптирана ли е крайната точка? Деактивиран ли е акаунтът? Отнети ли са сесиите? Налични ли са логове? Идентифицирани ли са засегнати лични данни? Оценен ли е рискът за физическите лица?
Телеметрията от крайни точки често е единственият начин тези въпроси да получат достоверен отговор.
Пакет с доказателства за крайни точки, готов за GDPR, трябва да свързва класификация на данни и записи за дейностите по обработване на данни, пътища за достъп от крайни точки, криптиране, ограничение на достъпа, EDR телеметрия, SIEM логове, анализ на ексфилтрация на данни, действия по нулиране на удостоверителни данни, записи за възстановяване, правен преглед, вземане на решение за нарушение и извлечени поуки.
Екипите по поверителност трябва да участват в проектирането на наръчниците за инциденти с крайни точки. Изчакването до след инцидент със зловреден софтуер, за да се попита дали са засегнати лични данни, създава предотвратим риск за отчетността.
Изградете пакет с доказателства за зловреден софтуер по крайни точки за 30 минути
Преди следващия си одит изберете едно откриване на зловреден софтуер по крайна точка от последните 90 дни, дори ако е било с ниска тежест или блокиран тестов файл. Изградете пакет с доказателства така, сякаш одиторът го е избрал като извадка.
Използвайте Zenith Blueprint, фаза Controls in Action, Step 19, като сценарий за преглед. Step 19 инструктира екипите да прегледат стратегията за защита от зловреден софтуер, като проверят дали всички крайни точки имат централно управляван anti-malware или EDR, инсталиран, активен и автоматично актуализиран; дали сканирането в реално време обхваща типове файлове, мрежова активност и преносими носители; дали съществуват gateway защити; дали последните логове за зловреден софтуер или карантини са разследвани и разрешени; и дали потребителите получават текущо обучение за осведоменост относно фишинг и зловреден софтуер.
Съберете следните доказателства:
- Запис за актив: име на устройство, сериен номер, потребител, собственик, бизнес звено, местоположение, тип устройство, операционна система, критичност, профил на достъп до данни.
- Включване в EDR: екранна снимка или експорт, показващи инсталиран, активен и актуализиран агент, приложена политика, активирана защита срещу подправяне.
- Съответствие с базовите настройки: криптиране, заключване на екрана, защитна стена, статус на локален администратор, ниво на корекции, статус на забранен софтуер.
- Запис за откриване: ID на предупреждението, времеви маркер, име или поведение на откриването, степен на сериозност, дърво на процесите, засегнати файлове, мрежови индикатори.
- Действие по ограничаване: карантина, изолация, прекратяване на процес, премахване на файл, преинсталиране на устройство, нулиране на удостоверителни данни.
- Бележки от разследване: триаж от анализатор, първопричина, фишинг път, уеб път, път на експлойт, оценка на засегнати данни.
- Решение за инцидент: събитие по сигурността или инцидент, оценка на праговете по NIS2, DORA и GDPR, когато е приложимо.
- Доказателства за приключване: приключване на заявка, одобрение, извлечени поуки, актуализация на регистъра на риска при необходимост.
- Показатели: време до откриване, време до ограничаване, време до отстраняване, брой подобни предупреждения, статус на фалшиво положителен резултат.
- Действие за подобрение: блокиран домейн, настройка на правило за поща, внедряване на корекция, назначено обучение за осведоменост на потребител, ескалация към доставчик.
Сега сравнете пакета с доказателства с вашата политика. Ако корпоративната политика казва, че всички крайни точки трябва да бъдат включени в централно управлявана защита от зловреден софтуер с наложена базова конфигурация, можете ли да го докажете? Ако SME политиката казва, че събитията със зловреден софтуер трябва да се наблюдават непрекъснато чрез антивирусната конзола или централизирано информационно табло на EDR, можете ли да покажете таблото, преглеждащото лице, предупреждението, заявката и приключването?
Така EDR данните се превръщат в одитно доказателство.
Как различните одитори тестват едни и същи контроли за крайни точки
Различните екипи за увереност ще разглеждат защитата на крайните точки през различни призми. Доказателствата могат да бъдат едни и същи, но въпросите се променят.
| Одиторска перспектива | Какво обикновено тестват | Доказателства, които удовлетворяват въпроса |
|---|---|---|
| Одитор по ISO/IEC 27001:2022 | Дали контролите за крайни точки са избрани чрез третиране на риска, включени в Декларацията за приложимост, внедрени, наблюдавани и подобрявани | Оценка на риска, запис в SoA, политика за крайни точки, отчет за внедряване на EDR, заявки от мониторинг, резултати от вътрешен одит |
| Преглеждащ киберхигиена по NIS2 | Дали сигурността на крайните точки подпомага пропорционално управление на риска, обработване на инциденти, обработване на уязвимости, контрол на достъпа, управление на активите и обучение | Инвентар на крайни точки, съответствие с базовите настройки, EDR предупреждения, записи за инциденти, показатели за корекции, записи за обучение |
| Преглеждащ ИКТ риск по DORA | Дали защитата на крайните точки подпомага идентификация на ИКТ активи, устойчивост, управление на инциденти, тестване, непрекъсваемост и надзор върху ИКТ трети страни | Картографиране на ИКТ активи, класификация на инциденти, резултати от тестове за устойчивост, доказателства за резервни копия, MDR договор, управленско докладване |
| Преглеждащ поверителност по GDPR | Дали контролите за крайни точки подпомагат сигурността на обработването и оценката на нарушения | Картографиране на достъпа до данни, криптиране, логове, анализ на ексфилтрация на данни, триаж на нарушение, доказателства за ограничаване и възстановяване |
| Оценител по NIST CSF 2.0 | Дали резултатите от управление, идентифициране, защита, откриване, реагиране и възстановяване са интегрирани | Текущ и целеви профил, инвентар на активите, контроли за достъп, мониторинг, реагиране при инциденти, доказателства за възстановяване |
| Преглеждащ управление в стил COBIT 2019 | Дали собствеността, целите, резултатността, рискът и увереността са дефинирани | RACI, KPI, KRI, докладване към съвета, доказателства от собственик на контрол, изключения, проследяване на отстраняване |
| Вътрешен одитор ISACA | Дали контролите са проектирани ефективно и функционират последователно във всички извадки | Извадково тестване, екранни снимки, експорти на конфигурации, одобрения на изключения, повторно изпълнение на проверки от мониторинг |
NIST CSF 2.0 е особено полезен като управленски мост към изпълнителното ръководство. Неговата функция GOVERN подпомага очакванията на заинтересованите страни, правни задължения, апетит за риск, отчетност, политика, ресурси и надзор. Оперативните му функции помагат да се обясни как управление на активите, контрол на достъпа, защита на данните, мониторинг, реагиране при инциденти, ограничаване, отстраняване, възстановяване и комуникации работят заедно.
В проектите на Clarysec ISO/IEC 27001:2022 предоставя формалната основа на СУИС, Zenith Controls предоставя ръководството за картографиране на кръстосано съответствие, а NIST CSF 2.0 предоставя комуникационен слой, разбираем за управителния съвет.
Услугите за крайни точки, управлявани от доставчици, са част от модела на доказателствата
Много организации възлагат части от защитата на крайните точки на MSP, MSSP, MDR доставчици, доставчици на cloud desktop или EDR доставчици. Възлагането на външен изпълнител може да подобри способностите, но не прехвърля отчетността.
NIS2 Article 21 включва сигурност на веригата на доставки и взаимоотношения с доставчици. DORA отива по-далеч за финансовите субекти, като изисква стратегия за ИКТ риск от трети страни, регистри на договорните споразумения, надлежна проверка, анализ на риска от концентрация, права за одит и проверка, права за прекратяване, съдействие при инциденти, стратегии за изход и ясно разпределение на отговорностите. ISO/IEC 27001:2022 Annex A включва контроли за взаимоотношенията с доставчици, споразумения с доставчици, контроли за ИКТ веригата на доставки, мониторинг и управление на промените на услуги от доставчици и придобиване, използване, управление и изход от облачни услуги.
Доказателствата за външно възложени услуги за крайни точки трябва да включват:
- Надлежна проверка на доставчик преди въвеждане.
- Договорни клаузи за мониторинг, уведомяване при инциденти, достъп, местонахождение на данните, права на одит, нива на обслужване и сътрудничество.
- Матрица на отговорностите за триаж на предупреждения, изолация, анализ на първопричините, докладване и запазване на доказателства.
- Отчети, показващи резултатността на доставчика и съответствие със SLA.
- Доказателства, че инцидентите при доставчици и недостъпността на платформи се преглеждат.
- План за изход, ако EDR или MDR доставчикът откаже, договорът бъде прекратен или доставчикът стане неприемлив.
- Потвърждение, че логовете и форензичните доказателства остават налични за организацията.
Често срещан одитен пропуск е MDR информационно табло без собственост. Организацията може да вижда предупреждения, но не може да докаже кой притежава риска, какво трябва да направи доставчикът, как се преглежда качеството на предупрежденията или как доказателствата се запазват за регулаторни и правни цели.
Показатели, които превръщат инструментите за крайни точки в управленски доказателства
Съветите и регулаторите не се нуждаят от суров обем предупреждения. Те се нуждаят от индикатори, които показват дали рискът от зловреден софтуер по крайните точки е контролиран.
| Показател | Защо е важен |
|---|---|
| Процент на покритие на крайните точки | Показва дали известните крайни точки са защитени с одобрен EDR или anti-malware |
| Брой неуправлявани крайни точки | Подчертава пропуски в инвентара, въвеждането или shadow IT |
| Процент на техническо състояние на агентите | Показва дали агентите са активни, актуализирани и докладват |
| Съответствие на критични крайни точки с корекции | Свързва експозицията към зловреден софтуер с управление на уязвимостите |
| Средно време до откриване | Показва ефективността на мониторинга |
| Средно време до изолиране | Показва скоростта на ограничаване при ransomware и зловреден софтуер |
| Повторяемост на зловреден софтуер по потребител или бизнес звено | Идентифицира слабости в обучението, процесите или достъпа |
| Честота на отказите при карантина | Показва дали действията по реагиране са надеждни |
| Високорискови изключения, отворени извън SLA | Показва дисциплина в управлението |
| Процент на успешни тестове за възстановяване | Показва устойчивост, ако зловреден софтуер причини прекъсване |
| Инциденти със завършен анализ на първопричините | Показва учене и непрекъснато подобрение |
Тези показатели подпомагат оценка на резултатността и преглед от ръководството по ISO/IEC 27001:2022, надзора от ръководния орган по NIS2, управлението и стратегията за ИКТ риска по DORA, отчетността по GDPR и планирането на вътрешен одит.
Корпоративната Политика за защита на крайните точки / зловреден софтуер, раздел Enforcement and Compliance, clause 8.2 гласи:
Вътрешният одит трябва да извършва периодични прегледи на съответствието на защитата на крайните точки, включително:
Вътрешният одит може да превърне горните показатели в тримесечен тест на контролите: да вземе извадка от крайни точки, да сравни инвентара с включването в EDR, да провери сканирането в реално време, да прегледа статуса на корекциите, да потвърди, че потребителите не могат да деактивират защитата, да инспектира последните предупреждения за зловреден софтуер и да проследи избрани предупреждения от откриване до приключване.
Често срещани пропуски в доказателствата за крайни точки, които Clarysec открива
Дори зрелите организации срещат трудности с качеството на доказателствата за крайни точки. Едни и същи пропуски се появяват многократно:
- Инвентарът на активите и EDR инвентарът не съвпадат.
- Работните станции на разработчиците са по-слабо контролирани от стандартните лаптопи.
- Мобилните устройства са изключени от доказателствата за крайни точки.
- BYOD достъп е разрешен без приложими контроли за състояние на устройството.
- EDR агентите са инсталирани, но защитата срещу подправяне е деактивирана.
- Предупрежденията се наблюдават от доставчик, но правилата за ескалация са неясни.
- Карантиниран зловреден софтуер не е свързан със заявка за инцидент.
- Анализът на първопричините се пропуска за „блокирани“ откривания.
- Изключенията за корекции нямат одобрение от собственик на риска или дати на изтичане.
- Логовете се съхраняват твърде кратко, за да подпомогнат оценка на нарушение.
- Възстановяването от резервно копие се тества общо, но не и спрямо сценарии за ransomware.
- Докладването към съвета показва брой предупреждения, а не намаляване на риска.
Решението не са повече електронни таблици. Решението е свързан оперативен модел, в който политика, инвентар, конфигурация на крайни точки, мониторинг, реагиране при инциденти, управление на доставчици, регулаторен триаж, показатели и одитно тестване взаимно се подсилват.
Десет работни дни за готова за одит защита на крайните точки от зловреден софтуер
Ако ви е необходима бърза отправна точка, предприемете тези действия през следващите десет работни дни:
- Експортирайте инвентара на крайните точки и EDR инвентара, след което ги сверете.
- Идентифицирайте неуправлявани, неактивни, остарели, дублирани крайни точки и крайни точки с изключения.
- Потвърдете настройките за сканиране в реално време, защита срещу подправяне, автоматични актуализации, изолация и карантина.
- Вземете извадка от пет предупреждения за зловреден софтуер и проследете всяко до разследване и приключване.
- Проверете дали събитията от крайни точки могат да подпомогнат триаж на инциденти по NIS2, DORA и GDPR.
- Прегледайте договорите с MDR, MSP и EDR доставчици за съдействие при инциденти, достъп до доказателства, права на одит, SLA и условия за изход.
- Добавете покритие на крайни точки, техническо състояние на агентите, време за изолация, съответствие с корекции и завършен анализ на първопричините към управленското докладване.
- Изпълнете вътрешна одитна извадка, използвайки контролния списък от Zenith Blueprint Step 19.
- Използвайте Zenith Controls, за да картографирате A.8.1 и A.8.7 към логване, мониторинг, управление на уязвимостите, реагиране при инциденти, контроли за доставчици и възстановяване.
- Актуализирайте управленската си базова линия, използвайки Политика за защита на крайните точки / зловреден софтуер на Clarysec или SME Политика за защита на крайните точки от зловреден софтуер.
Защитата на крайните точки от зловреден софтуер през 2026 г. не е само спиране на ransomware. Тя е доказване, че вашата организация може да предотвратява, открива, ограничава, възстановява, докладва и подобрява.
Clarysec може да ви помогне да превърнете защитата на крайните точки от внедряване на инструмент в защитима система от доказателства за кръстосано съответствие. Изтеглете Политика за защита на крайните точки / зловреден софтуер, започнете със SME Политика за защита на крайните точки от зловреден софтуер, ако имате нужда от по-лек оперативен модел, използвайте Zenith Blueprint, за да внедрите контролите, и използвайте Zenith Controls, за да свържете доказателствата за крайните точки с ISO/IEC 27001:2022, NIS2, DORA, GDPR Article 32, NIST CSF 2.0 и одитните очаквания.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council