⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Obrana koncových bodů proti malwaru: důkazy pro ISO 27001 a pravidla EU

Igor Petreski

Je pondělí 07:42. Finanční manažer otevře dodavatelskou fakturu z e-mailového vlákna, které působí legitimně. O několik minut později konzole detekce na koncových bodech označí podezřelé spuštění skriptu, pokus o perzistenci a odchozí provoz na neznámou doménu. Agent EDR automaticky izoluje notebook. Řetězec ransomware je přerušen ještě před zahájením šifrování.

Bezpečnostní opatření zafungovala. Následuje však obtížnější otázka.

Ředitel informační bezpečnosti nedostane jen otázku: „Zastavili jsme malware?“ Generální ředitel a řídicí orgány se ptají: „Dokážeme prokázat, že šlo o odolnost již od návrhu, nikoli o štěstí? Dokážeme auditorům, zákazníkům, regulačním orgánům a pojišťovnám doložit, že naše ochrana koncových bodů fungovala způsobem, který splňuje ISO/IEC 27001:2022, kybernetickou hygienu podle NIS2, řízení rizik v oblasti ICT podle DORA a GDPR Article 32?“

To je určující výzva zabezpečení koncových bodů v roce 2026. Ochrana koncových bodů už není pouze funkcí provozu IT. Je to systém důkazů o souladu.

Jedno upozornění na malware na notebooku se může stát vzorkem pro audit ISO/IEC 27001:2022, posouzením významného incidentu podle NIS2, záznamem incidentu souvisejícího s ICT podle DORA, triáží porušení zabezpečení osobních údajů podle GDPR, diskusí o dodavatelském riziku a přezkumem správy a řízení na úrovni řídicího orgánu. Organizace, které to zvládají dobře, pouze nenasazují EDR. Propojují politiku, inventář, technická opatření, monitorování, reakci na incidenty, právní triáž, dodavatelské smlouvy, metriky a neustálé zlepšování do jednoho obhajitelného kontrolního příběhu.

Clarysec vidí stejný vzorec napříč prostředími SaaS, fintech, řízených služeb a regulovaných digitálních služeb. Většina organizací už má silné nástroje: EDR, antivirové řešení, MDM, skenery zranitelností, SIEM, zabezpečení e-mailu, filtrování webu, zálohovací platformy a ticketovací systémy. Mezera obvykle není v technologii. Mezera je v návrhu důkazů.

Tento článek ukazuje, jak vybudovat auditovatelný soubor důkazů ochrany koncových bodů proti malwaru s využitím ISO/IEC 27001:2022 jako páteře ISMS, podnikové politiky Clarysec Politika ochrany koncových bodů / malwaru Politika ochrany koncových bodů / malwaru, SME Politika ochrany koncových bodů – malware Politika ochrany koncových bodů – malware – SME, Zenith Blueprint: 30krokový plán auditora Zenith Blueprint a Zenith Controls: průvodce napříč požadavky souladu Zenith Controls.

Proč je obrana koncových bodů proti malwaru otázkou souladu na úrovni řídicího orgánu

Moderní koncový bod je místem, kde se setkává identita, podniková data, chování uživatelů, taktiky útočníků a regulatorní odpovědnost. Notebooky se připojují z domácích sítí a letišť. Vývojáři spouštějí lokální nástroje. Vrcholové vedení cestuje s uloženými e-maily a soubory. Dodavatelé mohou používat spravovaná nebo částečně spravovaná zařízení. Mobilní telefony schvalují výzvy MFA. Cloudové pracovní zátěže a servery se z pohledu EDR chovají jako koncové body.

V Zenith Blueprint, ve fázi Controls in Action, Step 19: Technological Controls I, popisuje Clarysec uživatelská koncová zařízení jako „dveře a okna“ do organizace:

Uživatelská koncová zařízení, notebooky, chytré telefony, tablety, stolní počítače a dokonce i tenké klienty, jsou místem, kde začíná digitální interakce. Jsou to dveře a okna do vašich systémů. A stejně jako u každé fyzické stavby musí být posílena, monitorována a řízena.

Tento rámec je důležitý, protože ochrana koncových bodů není pouze o blokování malwaru. Musí prokazovat, že organizace ví, která zařízení existují, řídí způsob jejich používání, prosazuje bezpečnostní výchozí nastavení, detekuje kompromitaci, reaguje konzistentně, uchovává důkazy, obnovuje provoz a po incidentech se zlepšuje.

Vyspělý program obrany koncových bodů proti malwaru musí bez váhání odpovědět na čtyři auditní otázky:

  1. Známe každý koncový bod, který může přistupovat k podnikovým systémům nebo osobním údajům?
  2. Je každý koncový bod chráněn schválenou a centrálně spravovanou ochranou před škodlivým kódem nebo EDR?
  3. Dokážeme doložit konfiguraci, skenování, aktualizace, upozornění, karanténu, izolaci, vyšetřování a uzavření?
  4. Dokážeme propojit události na koncových bodech s ošetřením rizik, reakcí na incidenty, regulačním oznamováním, dohledem nad dodavateli a přezkoumáním vedením?

ISO/IEC 27001:2022 poskytuje systém řízení potřebný k zodpovězení těchto otázek. Kapitoly 4.1 až 4.4 vyžadují, aby organizace definovala kontext, zainteresované strany, právní a smluvní povinnosti, rozhraní, závislosti a rozsah ISMS. U ochrany koncových bodů nesmí rozsah končit u „firemního IT“. Musí zohlednit práci na dálku, privilegované pracovní stanice, mobilní zařízení, přístup do cloudu, zařízení spravovaná dodavateli, logy koncových bodů, outsourcované služby SOC nebo MDR a jakýkoli koncový bod, který může ovlivnit bezpečnost informací.

Kapitoly 5.1 až 5.3 výslovně stanovují odpovědnost vedení. Vrcholové vedení musí podporovat ISMS, přiřazovat role, poskytovat zdroje a zajistit sladění politik. Z pohledu koncových bodů nemohou řídicí orgány schválit cíle kybernetické hygieny a zároveň ponechat nevyřešené licence EDR, backlog záplat, výjimky BYOD nebo mezery v eskalaci MDR.

Kapitoly 6.1.1 až 6.1.3 vytvářejí mechanismus ošetření rizik. Rizika malwaru na koncových bodech musí být identifikována, posouzena, ošetřena, namapována na opatření přílohy A, promítnuta do prohlášení o použitelnosti a přijata vlastníky rizik tam, kde zůstává zbytkové riziko. Kapitoly 8.1 až 8.3 následně převádějí ošetření rizik do řízeného provozu, plánovaných změn, posouzení rizik v intervalech nebo po významných změnách a výsledků ošetření rizik.

Auditní příběh nezní „nainstalovali jsme EDR“. Auditní příběh zní: „riziko malwaru na koncových bodech je identifikováno, posouzeno, ošetřeno, provozováno, monitorováno, testováno, doloženo, reportováno a zlepšováno.“

Politický most Clarysec od nastavení EDR k auditním důkazům

Politika je místo, kde se technická realita mění v auditovatelný záměr. Bez politiky jsou konfigurace koncových bodů jen nastavení nástroje. S politikou se tato nastavení stávají požadavky bezpečnostních opatření.

Podniková Politika ochrany koncových bodů / malwaru Clarysec tento most vytváří v ustanovení 1.3:

Tato politika přímo podporuje soulad s ISO/IEC 27001:2022, kapitolou 8.1 a opatřením přílohy A 8.7, a je sladěna s regionálními povinnostmi v oblasti kybernetické bezpečnosti podle GDPR, NIS2 a DORA.

Toto jediné ustanovení poskytuje organizaci přímou vazbu mezi provozem koncových bodů a ISO/IEC 27001:2022, NIS2, DORA a GDPR. Auditoři pak mohou ověřit, zda skutečný program ochrany koncových bodů odpovídá závazku uvedenému v politice.

Stejná podniková politika stanovuje očekávaný provozní model v části Požadavky na správu a řízení, ustanovení 5.2:

Všechny koncové body musí být zařazeny do centrálně spravovaných systémů ochrany před škodlivým kódem, například EDR, antivirového programu nebo rovnocenných platforem, s vynucenou Výchozí konfigurací.

Právě taková formulace je pro auditory vhodná, protože je testovatelná. Pokud musí být „všechny koncové body“ zařazeny, důkazy musí ukazovat úplnou populaci koncových bodů, očekávanou populaci v EDR, stav zařazení, výjimky, kompenzační opatření a postup nápravy.

Pro SME poskytuje Politika ochrany koncových bodů – malware přímé provozní požadavky. Ustanovení 5.1.3 říká:

Všechny koncové body musí být zaznamenány v evidenci IT aktiv a propojeny s používaným nástrojem ochrany koncových bodů

Ustanovení 5.2.1 doplňuje:

Všechny koncové body musí používat pouze organizací schválený antivirový program nebo řešení EDR (Endpoint Detection and Response)

Ustanovení 6.1.1.1 vyžaduje:

Nepřetržitě provozovat antivirové a antimalwarové skenování v reálném čase

A ustanovení 8.1.1 vyžaduje:

Události malwaru musí být nepřetržitě monitorovány prostřednictvím antivirové konzole nebo centralizovaného řídicího panelu EDR

Společně tato ustanovení vytvářejí jednoduchý, ale silný důkazní test: ukažte inventář, ukažte nástroj ochrany koncových bodů, ukažte schválenou konfiguraci, ukažte průběžné monitorování, ukažte události, ukažte tikety a ukažte uzavření.

Mapování opatření ISO/IEC 27001:2022 a ISO/IEC 27002:2022 pro koncové body

Ochrana koncových bodů často při auditech selhává, protože ji týmy chápou jako jedno opatření. Ve skutečnosti obrana koncových bodů proti malwaru závisí na více vzájemně se posilujících opatřeních.

Hlavní opatření ISO/IEC 27002:2022 jsou A.8.1 User endpoint devices a A.8.7 Protection against malware. Účinná obrana koncových bodů však závisí také na řízení zranitelností, protokolování, monitorování, reakci na incidenty, zálohování, filtrování webu, kontrole výměnných médií, omezení přístupu, řízení dodavatelů, správě cloudových služeb, zvyšování povědomí a kontinuitě činností.

Zenith Controls mapuje opatření ISO/IEC 27002:2022 A.8.7, Protection against malware, jako preventivní, detekční a nápravné. Podporuje důvěrnost, integritu a dostupnost a přirozeně se propojuje se zabezpečením systémů a sítí, ochranou informací a detekčními schopnostmi. Zároveň ukazuje, že A.8.1, User endpoint devices, je preventivní opatření podporující důvěrnost, integritu a dostupnost prostřednictvím správy aktiv a správy koncových bodů.

Oblast opatření ISO/IEC 27002:2022Důkazy o koncových bodech a malwaru, které je třeba uchovávatProč je to při auditu důležité
A.8.1 User endpoint devicesEvidence aktiv, reporty souladu MDM nebo UEM, stav šifrování, nastavení uzamčení obrazovky, možnost vzdáleného vymazání, kontroly BYODProkazuje, že koncové body jsou známé, řízené a chráněné před udělením přístupu
A.8.7 Protection against malwareReporty nasazení EDR, nastavení ochrany v reálném čase, stav aktualizací, detekce, karantény, záznamy o izolaci, řešení falešně pozitivních nálezůProkazuje, že prevence, detekce a reakce na malware jsou aktivní a centrálně spravované
A.8.8 Management of technical vulnerabilitiesSkeny zranitelností, SLA pro záplaty, tikety nápravy, schválení výjimek, kompenzační opatřeníUkazuje, že expozice vůči malwaru je snižována opravou zneužitelných slabin
A.8.15 Logging a A.8.16 Monitoring activitiesLogy koncových bodů, korelace v SIEM, triáž upozornění, důkazy o eskalaci, řídicí panely, záznamy o přezkumuUkazuje, že události malwaru jsou viditelné, přezkoumané a řešené
A.5.24 až A.5.28 Incident managementIncidentní postupy, záznamy o klasifikaci, opatření reakce, získané poznatky, uchování důkazůUkazuje, že podezření na malware přechází do řízeného zvládání incidentů, nikoli do neformálního řešení problémů
A.8.13 Backups a A.5.30 ICT readiness for business continuityReporty úspěšnosti záloh, testy obnovy, nastavení neměnných záloh, cvičení obnovyUkazuje, že odolnost vůči ransomware zahrnuje schopnost obnovy
A.5.19 až A.5.23 Supplier and cloud service controlsSmlouvy MDR, SLA služeb EDR, bezpečnostní požadavky na dodavatele, pokrytí cloudových koncových bodů, ujednání o ukončeníUkazuje, že outsourcované služby koncových bodů zůstávají pod kontrolou ISMS

Zenith Controls je obzvlášť užitečný, protože ukazuje, jak obrana koncových bodů závisí na sousedních opatřeních. Protection against malware se propojuje s A.5.7 Threat intelligence, protože obrana proti malwaru se musí přizpůsobovat měnícím se taktikám. Propojuje se s A.8.8 Management of technical vulnerabilities, protože malware často zneužívá známé slabiny. Propojuje se s A.8.15 Logging a A.8.16 Monitoring activities, protože detekce, karantény, skeny a aktualizace musí být shromažďovány a přezkoumávány. Propojuje se s A.8.23 Web filtering, protože škodlivé weby zůstávají častou cestou nákazy. Propojuje se s A.7.10 Storage media, protože výměnná média mohou při nedostatečné kontrole zavést malware do prostředí.

User endpoint devices se dále propojuje s A.5.10 Acceptable use of information and other associated assets, A.6.7 Remote working, A.8.3 Information access restriction, A.8.5 Secure authentication, A.6.3 Information security awareness, education and training a A.6.6 Confidentiality or non-disclosure agreements.

Jednoduše řečeno, bezpečný koncový bod není jen zařízení s agentem. Je to pracovní prostředí vynucované politikou.

Přeměna upozornění na malware v obhajitelný důkazní řetězec

Vraťme se k pondělní ranní události malwaru. Agent EDR izoloval notebook, ale připravenost na audit závisí na důkazním řetězci, který následuje.

Dobrý důkazní řetězec pro malware na koncovém bodu zahrnuje:

  • Záznam aktiva s vlastníkem, podnikovou funkcí, kritičností, typem zařízení, operačním systémem, profilem přístupu k datům a stavem šifrování.
  • Záznam ochrany koncového bodu se stavem agenta EDR, použitou politikou, ochranou proti manipulaci, stavem aktualizace a skenováním v reálném čase.
  • Záznam detekce s ID upozornění, časovým razítkem, stromem procesů, detekční logikou, závažností, dotčenými soubory, síťovými indikátory a automatizovanými akcemi.
  • Záznam SIEM korelující DNS, e-mail, identitu, proxy, cloud a telemetrii koncových bodů.
  • Záznam tiketu s triáží, eskalací, zamezením šíření, eradikací, obnovou, kořenovou příčinou a uzavřením.
  • Rozhodnutí o incidentu uvádějící, zda událost zůstala bezpečnostní událostí, nebo se stala incidentem.
  • Regulační triáž ukazující, zda byly posouzeny prahové hodnoty NIS2, DORA nebo GDPR.
  • Záznam získaných poznatků ukazující úpravu politiky, záplatování, aktivitu na podporu povědomí, tiket dodavatele nebo aktualizaci registru rizik.

Politika ochrany koncových bodů / malwaru tento model reakce posiluje prostřednictvím Požadavků na implementaci politiky, ustanovení 6.3, nazvaného:

Opatření reakce a zamezení šíření

Pro SME je ustanovení 6.3.1.2 ještě přímější:

Poskytovatel IT podpory musí zařízení umístit do karantény, potvrdit infekci a provést analýzu kořenové příčiny

Zablokovaná událost malwaru nesmí zmizet v konzoli. Pokud je dostatečně významná k detekci, je dostatečně významná ke klasifikaci, zdokumentování a uzavření.

Důkazy kybernetické hygieny podle NIS2 z ochrany koncových bodů

NIS2 činí ze základní kybernetické hygieny otázku správy a řízení. Dotčené organizace musí rozumět tomu, zda spadají do rozsahu, zda jsou základními nebo významnými subjekty a jak se uplatňují povinnosti podle národní transpozice.

Pro obranu koncových bodů proti malwaru je klíčovým ustanovením Article 21. Vyžaduje přiměřená a odpovídající technická, provozní a organizační opatření k řízení rizik pro síťové a informační systémy a k prevenci nebo minimalizaci dopadů incidentů. Tato opatření zahrnují analýzu rizik a politiky bezpečnosti informačních systémů, zvládání incidentů, kontinuitu činností, zabezpečení dodavatelského řetězce, bezpečné pořizování a údržbu včetně práce se zranitelnostmi, posuzování účinnosti, základní kybernetickou hygienu a školení, kryptografii, personální bezpečnost, řízení přístupu, správu aktiv a případně MFA nebo průběžnou autentizaci.

Důkazy z koncových bodů se na tato očekávání mapují přímo.

Oblast NIS2 Article 21Důkazy obrany koncových bodů proti malwaru
Analýza rizik a bezpečnostní politikyPosouzení rizik koncových bodů, Politika ochrany koncových bodů / malwaru, prohlášení o použitelnosti, plán ošetření rizik
Zvládání incidentůZáznamy upozornění EDR, incidentní tikety, posouzení závažnosti, opatření k zamezení šíření, získané poznatky
Kontinuita činnostíScénáře ransomware, reporty zálohování, testy obnovy, postupy obnovy
Zabezpečení dodavatelského řetězceSmlouvy MDR nebo MSP, matice odpovědností, podmínky podpory při incidentech, práva na audit
Práce se zranitelnostmiSLA pro záplaty, skeny zranitelností, schválení výjimek, analýza zneužitých zranitelností
Posouzení účinnostiVýsledky interního auditu, testovací detekce EDR, phishingové simulace, tabletop cvičení
Základní kybernetická hygiena a školeníSoulad s výchozí konfigurací koncových bodů, záznamy o absolvování školení, školení proti phishingu a malwaru
Řízení přístupu a správa aktivEvidence koncových bodů, mapování uživatel–zařízení, podmíněný přístup, opatření pro privilegované pracovní stanice

NIS2 Article 23 je také důležitý, protože malware se může stát významným incidentem. Pokud způsobí nebo může způsobit závažné narušení provozu, finanční ztrátu nebo značnou hmotnou či nehmotnou újmu jiným osobám, může být vyžadováno fázované oznamování. NIS2 zahrnuje včasné varování do 24 hodin, oznámení incidentu do 72 hodin, průběžné aktualizace na vyžádání a závěrečnou zprávu do jednoho měsíce po oznámení.

Důkazy z koncových bodů podporují každou fázi. Upozornění EDR poskytuje první indikátor. Evidence aktiv určuje dotčené služby a kritičnost. Data SIEM a tikety podporují analýzu dopadů. Záznamy o zamezení šíření dokazují přijatá opatření. Analýza kořenové příčiny podporuje závěrečné hlášení.

Odpověď připravená pro NIS2 nezní „máme antivirový program“. Zní: „známe své koncové body, vynucujeme ochranu, průběžně monitorujeme, klasifikujeme incidenty, školíme uživatele, řídíme zranitelnosti, uchováváme důkazy a oznamujeme, když jsou splněny prahové hodnoty.“

Řízení rizik v oblasti ICT podle DORA a obrana koncových bodů proti malwaru

Pro finanční subjekty vytváří DORA sektorově specifický rámec digitální provozní odolnosti. Obrana koncových bodů proti malwaru se silně mapuje na řízení rizik v oblasti ICT, řízení incidentů, testování, kontinuitu, obnovu a rizika třetích stran v oblasti ICT.

DORA Article 5 ukládá odpovědnost za rizika ICT řídicímu orgánu. Article 6 vyžaduje řádný, komplexní a dokumentovaný rámec řízení rizik v oblasti ICT. Articles 8 a 9 vyžadují identifikaci a klasifikaci podnikových funkcí podporovaných ICT, informačních aktiv, aktiv ICT, závislostí, kybernetických hrozeb, zranitelností, konfigurací a vzájemných závislostí. Zahrnují také politiky a nástroje pro ochranu, prevenci, detekci, řízení přístupu, silnou autentizaci, řízení změn a záplatování.

Articles 11 a 12 jsou klíčové pro odolnost vůči ransomware. Vyžadují politiku kontinuity činností v oblasti ICT, plány reakce a obnovy, politiky zálohování, postupy obnovy, testování a kontroly integrity. Article 17 vyžaduje proces řízení incidentů souvisejících s ICT pro detekci, řízení, klasifikaci, zaznamenání, eskalaci, komunikaci a obnovu provozu po incidentech. Article 19 vytváří oznamovací povinnosti pro významné incidenty související s ICT. Articles 24 až 26 řeší testování digitální provozní odolnosti. Articles 28 až 30 řeší rizika třetích stran v oblasti ICT a smluvní ujednání.

Oblast DORAUžitečné důkazy z koncových bodů
Identifikace aktiv ICTEvidence koncových bodů, vlastník, podniková funkce, kritičnost, mapování závislostí
Ochrana a prevenceVýchozí konfigurace EDR, stav záplat, řízení přístupu, šifrování, filtrování webu, bezpečná konfigurace
DetekceUpozornění EDR, korelace v SIEM, indikátory včasného varování, obohacení o informace o hrozbách
Řízení incidentů souvisejících s ICTTiket incidentu malwaru, klasifikace závažnosti, role, opatření, eskalace, kořenová příčina
Obnova a obnoveníZáznam o opětovném sestavení zařízení, důkazy o obnově ze zálohy nebo obnově souborů, kontroly integrity
Testování odolnostiSimulace EDR, phishingová simulace, skeny zranitelností, penetrační testy, tabletop cvičení
Riziko třetích stran v oblasti ICTSmlouva s dodavatelem MDR nebo EDR, SLA, práva na audit, podpora při incidentech, plány ukončení

U finančního subjektu může stejný incident malwaru, který dokládá provoz opatření A.8.7, zároveň poskytnout dohledové důkazy podle DORA: klasifikaci aktiv, provoz kontrol, řízení incidentů, schopnost obnovy, historii testování, odpovědnost třetích stran a dohled vedení.

GDPR Article 32 a triáž porušení zabezpečení osobních údajů

GDPR Article 32 vyžaduje, aby správci a zpracovatelé zavedli technická a organizační opatření odpovídající riziku. Tato opatření zahrnují důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, schopnost obnovit dostupnost a přístup k osobním údajům a pravidelné testování, posuzování a hodnocení bezpečnostních opatření.

Malware na koncovém bodu se stává důkazem podle GDPR, pokud koncový bod může přistupovat k osobním údajům: záznamům zákazníků, tiketům podpory, HR souborům, exportům, informacím souvisejícím s platbami, zdravotním informacím, zvláštním kategoriím údajů, autentizačním logům nebo cloudovým aplikacím obsahujícím osobní údaje.

Otázka ochrany soukromí je skutkově specifická. Spustil se malware? Přistoupil k souborům? Zachytil přihlašovací údaje? Byly odcizeny tokeny? Došlo k exfiltraci dat? Byl koncový bod šifrovaný? Byl účet deaktivován? Byly relace odvolány? Byly k dispozici logy? Byly identifikovány dotčené osobní údaje? Bylo posouzeno riziko pro fyzické osoby?

Telemetrie koncových bodů je často jediným způsobem, jak na tyto otázky věrohodně odpovědět.

Balíček důkazů z koncových bodů připravený pro GDPR by měl propojit klasifikaci dat a záznamy o zpracování, cesty přístupu z koncových bodů, šifrování, omezení přístupu, telemetrii EDR, logy SIEM, analýzu exfiltrace, resetování přihlašovacích údajů, záznamy o obnovení, právní přezkum, rozhodnutí o porušení zabezpečení a získané poznatky.

Týmy ochrany soukromí by se měly podílet na návrhu playbooků pro incidenty na koncových bodech. Čekat až po incidentu malwaru s otázkou, zda byly zasaženy osobní údaje, vytváří zbytečné riziko odpovědnosti.

Vytvořte třicetiminutový balíček důkazů o malwaru na koncových bodech

Před příštím auditem vyberte jednu detekci malwaru na koncovém bodu z posledních 90 dnů, i kdyby měla nízkou závažnost nebo šlo o zablokovaný testovací soubor. Vytvořte balíček důkazů, jako by si jej auditor vybral jako vzorek.

Použijte Zenith Blueprint, fázi Controls in Action, Step 19, jako scénář přezkumu. Step 19 ukládá týmům přezkoumat strategii ochrany před malwarem tím, že ověří, zda mají všechny koncové body nainstalovanou, aktivní a automaticky aktualizovanou centrálně spravovanou ochranu před škodlivým kódem nebo EDR, zda skenování v reálném čase pokrývá typy souborů, síťovou aktivitu a výměnná média, zda existují ochrany na bránách, zda jsou nedávné logy malwaru nebo karantény vyšetřeny a vyřešeny a zda uživatelé průběžně dostávají školení povědomí o phishingu a malwaru.

Shromážděte tyto důkazy:

  1. Záznam aktiva: název zařízení, sériové číslo, uživatel, vlastník, obchodní jednotka, umístění, typ zařízení, operační systém, kritičnost, profil přístupu k datům.
  2. Zařazení do EDR: snímek obrazovky nebo export ukazující instalovaného, aktivního a aktualizovaného agenta, použitou politiku a zapnutou ochranu proti manipulaci.
  3. Soulad s výchozí konfigurací: šifrování, uzamčení obrazovky, firewall, stav lokálního administrátora, úroveň záplat, stav zakázaného softwaru.
  4. Záznam detekce: ID upozornění, časové razítko, název nebo chování detekce, závažnost, strom procesů, dotčené soubory, síťové indikátory.
  5. Opatření k zamezení šíření: karanténa, izolace, ukončení procesu, odstranění souboru, opětovné sestavení zařízení, resetování přihlašovacích údajů.
  6. Poznámky z vyšetřování: triáž analytika, kořenová příčina, phishingová cesta, webová cesta, cesta exploitu, posouzení dotčených dat.
  7. Rozhodnutí o incidentu: bezpečnostní událost nebo incident, posouzení prahových hodnot NIS2, DORA a GDPR, pokud je relevantní.
  8. Důkazy o uzavření: uzavření tiketu, schválení, získané poznatky, případná aktualizace registru rizik.
  9. Metriky: doba do detekce, doba do zamezení šíření, doba odstranění, počet podobných upozornění, stav falešně pozitivního nálezu.
  10. Opatření ke zlepšení: zablokovaná doména, úprava pravidla poštovní schránky, nasazení záplaty, přiřazení školení povědomí uživateli, eskalace na dodavatele.

Nyní porovnejte balíček důkazů se svou politikou. Pokud podniková politika říká, že všechny koncové body musí být zařazeny do centrálně spravované ochrany před malwarem s vynucenou výchozí konfigurací, dokážete to prokázat? Pokud politika pro SME říká, že události malwaru musí být nepřetržitě monitorovány prostřednictvím antivirové konzole nebo centralizovaného řídicího panelu EDR, dokážete ukázat řídicí panel, přezkoumávající osobu, upozornění, tiket a uzavření?

Tak se z dat EDR stávají auditní důkazy.

Jak různí auditoři testují stejná opatření pro koncové body

Různé týmy zajištění budou ochranu koncových bodů posuzovat různou optikou. Důkazy mohou být stejné, ale otázky se mění.

Optika auditoraCo obvykle testujeDůkazy, které otázku splňují
Auditor ISO/IEC 27001:2022Zda jsou opatření pro koncové body vybírána prostřednictvím ošetření rizik, zahrnuta v prohlášení o použitelnosti, implementována, monitorována a zlepšovánaPosouzení rizik, záznam v SoA, politika koncových bodů, report nasazení EDR, tikety monitorování, výsledky interního auditu
Přezkoumávající kybernetickou hygienu podle NIS2Zda zabezpečení koncových bodů podporuje přiměřené řízení rizik, zvládání incidentů, práci se zranitelnostmi, řízení přístupu, správu aktiv a školeníEvidence koncových bodů, soulad s výchozí konfigurací, upozornění EDR, záznamy incidentů, metriky záplat, záznamy o školení
Přezkoumávající rizika ICT podle DORAZda obrana koncových bodů podporuje identifikaci aktiv ICT, odolnost, řízení incidentů, testování, kontinuitu a dohled nad třetími stranami v oblasti ICTMapování aktiv ICT, klasifikace incidentů, výsledky testů odolnosti, důkazy zálohování, smlouva MDR, reporting vedení
Přezkoumávající ochranu soukromí podle GDPRZda opatření pro koncové body podporují zabezpečení zpracování a posouzení porušení zabezpečeníMapování přístupu k datům, šifrování, logy, analýza exfiltrace, triáž porušení zabezpečení, důkazy o zamezení šíření a obnově
Posuzovatel NIST CSF 2.0Zda jsou výsledky v oblastech governance, identify, protect, detect, respond a recover integrovanéAktuální a cílový profil, evidence aktiv, řízení přístupu, monitorování, reakce na incidenty, důkazy obnovy
Přezkoumávající správu a řízení ve stylu COBIT 2019Zda jsou definovány vlastnictví, cíle, výkonnost, rizika a zajištěníRACI, KPI, KRI, reporting řídicím orgánům, důkazy vlastníků kontrol, výjimky, sledování nápravy
Interní auditor ISACAZda jsou kontroly účinně navrženy a konzistentně provozovány napříč vzorkyTestování vzorků, snímky obrazovky, exporty konfigurace, schválení výjimek, opětovné provedení kontrol monitorování

NIST CSF 2.0 je obzvlášť užitečný jako komunikační most pro vrcholové vedení. Jeho funkce GOVERN podporuje očekávání zainteresovaných stran, právní povinnosti, ochotu podstupovat riziko, odpovědnost, politiku, zdroje a dohled. Jeho provozní funkce pomáhají vysvětlit, jak spolu fungují správa aktiv, řízení přístupu, ochrana údajů, monitorování, reakce na incidenty, zamezení šíření, eradikace, obnova a komunikace.

V projektech Clarysec poskytuje ISO/IEC 27001:2022 formální páteř ISMS, Zenith Controls poskytuje průvodce mapováním napříč požadavky souladu a NIST CSF 2.0 poskytuje komunikační vrstvu srozumitelnou pro řídicí orgány.

Služby koncových bodů spravované dodavatelem jsou součástí důkazního modelu

Mnoho organizací outsourcuje části obrany koncových bodů na MSP, MSSP, poskytovatele MDR, poskytovatele cloudových desktopů nebo dodavatele EDR. Outsourcing může zlepšit schopnosti, ale nepřenáší odpovědnost.

NIS2 Article 21 zahrnuje zabezpečení dodavatelského řetězce a vztahy s dodavateli. DORA jde u finančních subjektů dále a vyžaduje strategii rizik třetích stran v oblasti ICT, registry smluvních ujednání, due diligence, analýzu rizika koncentrace, práva na audit a kontrolu, práva na ukončení, podporu při incidentech, exit strategie a jasné rozdělení odpovědností. ISO/IEC 27001:2022 příloha A zahrnuje opatření pro vztahy s dodavateli, smlouvy s dodavateli, opatření dodavatelského řetězce ICT, monitorování a řízení změn dodavatelských služeb a pořizování, používání, správu a ukončení cloudových služeb.

Důkazy o outsourcingu správy koncových bodů by měly zahrnovat:

  • Prověrku dodavatelů před onboardingem.
  • Smluvní ustanovení pro monitorování, oznamování incidentů, přístup, umístění dat, práva na audit, úrovně služeb a spolupráci.
  • Matici odpovědností pro triáž upozornění, izolaci, analýzu kořenové příčiny, reporting a uchování důkazů.
  • Reporty ukazující výkonnost dodavatele a dodržování SLA.
  • Důkazy, že incidenty dodavatele a výpadky platformy jsou přezkoumávány.
  • Plán ukončení pro případ, že poskytovatel EDR nebo MDR selže, bude ukončen nebo se stane nepřijatelným.
  • Potvrzení, že logy a forenzní důkazy zůstávají organizaci k dispozici.

Častým auditním selháním je řídicí panel MDR bez jasného vlastnictví. Organizace vidí upozornění, ale nedokáže prokázat, kdo vlastní riziko, co musí poskytovatel dělat, jak se přezkoumává kvalita upozornění nebo jak jsou důkazy uchovávány pro regulatorní a právní účely.

Metriky, které mění nástroje koncových bodů na důkazy pro vedení

Řídicí a regulační orgány nepotřebují syrový objem upozornění. Potřebují ukazatele, které ukazují, zda je riziko malwaru na koncových bodech pod kontrolou.

MetrikaProč je důležitá
Procento pokrytí koncových bodůUkazuje, zda jsou známé koncové body chráněny schváleným EDR nebo ochranou před škodlivým kódem
Počet nespravovaných koncových bodůZvýrazňuje selhání evidence, onboardingu nebo shadow IT
Procento zdraví agentůUkazuje, zda jsou agenti aktivní, aktualizovaní a odesílají hlášení
Soulad kritických koncových bodů se záplatamiPropojuje expozici vůči malwaru s řízením zranitelností
Průměrná doba do detekceUkazuje účinnost monitorování
Průměrná doba do izolaceUkazuje rychlost zamezení šíření u ransomware a malwaru
Opakovaný výskyt malwaru podle uživatele nebo obchodní jednotkyIdentifikuje slabiny školení, procesů nebo přístupu
Míra selhání karantényUkazuje, zda jsou opatření reakce spolehlivá
Vysoce rizikové výjimky otevřené nad rámec SLAUkazuje disciplínu správy a řízení
Míra úspěšnosti testů obnovyUkazuje odolnost, pokud malware způsobí narušení
Incidenty s dokončenou analýzou kořenové příčinyUkazuje učení a neustálé zlepšování

Tyto metriky podporují hodnocení výkonnosti a přezkoumání vedením podle ISO/IEC 27001:2022, dohled řídicího orgánu podle NIS2, správu a řízení DORA a strategii rizik ICT, odpovědnost podle GDPR a plánování interního auditu.

Podniková Politika ochrany koncových bodů / malwaru, část Vynucování a dodržování, ustanovení 8.2 uvádí:

Interní audit musí provádět pravidelné přezkumy souladu ochrany koncových bodů, včetně:

Interní audit může výše uvedené metriky převést na čtvrtletní test kontrol: vybrat vzorky koncových bodů, porovnat inventář se zařazením do EDR, ověřit skenování v reálném čase, přezkoumat stav záplat, potvrdit, že uživatelé nemohou ochranu vypnout, prověřit nedávná upozornění na malware a vysledovat vybraná upozornění od detekce po uzavření.

Běžné mezery v důkazech z koncových bodů, které Clarysec nachází

I vyspělé organizace zápasí s kvalitou důkazů z koncových bodů. Opakovaně se objevují stejné mezery:

  • Evidence aktiv a evidence EDR si neodpovídají.
  • Pracovní stanice vývojářů jsou méně kontrolované než standardní notebooky.
  • Mobilní zařízení jsou z důkazů koncových bodů vyloučena.
  • Přístup BYOD je povolen bez vynutitelných kontrol bezpečnostního stavu zařízení.
  • Agenti EDR jsou nainstalováni, ale ochrana proti manipulaci je vypnutá.
  • Upozornění monitoruje poskytovatel, ale pravidla eskalace jsou nejasná.
  • Malware v karanténě není propojen s incidentním tiketem.
  • Analýza kořenové příčiny se u „zablokovaných“ detekcí přeskakuje.
  • Výjimkám ze záplat chybí schválení vlastníkem rizika nebo datum skončení platnosti.
  • Logy jsou uchovávány příliš krátkou dobu na podporu posouzení porušení zabezpečení.
  • Obnova ze záloh se testuje obecně, nikoli proti scénářům ransomware.
  • Reporting řídicím orgánům ukazuje počty upozornění namísto snížení rizika.

Řešením nejsou další tabulky. Řešením je propojený provozní model, v němž se politika, inventář, konfigurace koncových bodů, monitorování, reakce na incidenty, řízení dodavatelů, regulační triáž, metriky a auditní testování vzájemně posilují.

Deset pracovních dnů k připravenosti obrany koncových bodů proti malwaru na audit

Pokud potřebujete rychlý výchozí bod, proveďte během příštích deseti pracovních dnů tyto kroky:

  1. Exportujte evidenci koncových bodů a evidenci EDR a následně je slaďte.
  2. Identifikujte nespravované, neaktivní, zastaralé, duplicitní koncové body a koncové body s výjimkou.
  3. Potvrďte nastavení skenování v reálném čase, ochrany proti manipulaci, automatických aktualizací, izolace a karantény.
  4. Vyberte vzorek pěti upozornění na malware a vysledujte každé z nich k vyšetřování a uzavření.
  5. Ověřte, zda události koncových bodů mohou podpořit triáž incidentů podle NIS2, DORA a GDPR.
  6. Přezkoumejte smlouvy s dodavateli MDR, MSP a EDR z hlediska podpory při incidentech, přístupu k důkazům, práv na audit, SLA a podmínek ukončení.
  7. Přidejte do reportingu vedení pokrytí koncových bodů, zdraví agentů, dobu izolace, soulad se záplatami a dokončení analýzy kořenové příčiny.
  8. Proveďte vzorek interního auditu pomocí kontrolního seznamu Zenith Blueprint Step 19.
  9. Použijte Zenith Controls k namapování A.8.1 a A.8.7 na protokolování, monitorování, řízení zranitelností, reakci na incidenty, dodavatelské kontroly a obnovu.
  10. Aktualizujte základní úroveň správy a řízení pomocí Politiky ochrany koncových bodů / malwaru Clarysec nebo SME Politiky ochrany koncových bodů – malware.

Obrana koncových bodů proti malwaru v roce 2026 není jen o zastavení ransomware. Jde o prokázání, že vaše organizace dokáže předcházet, detekovat, zamezit šíření, obnovit, oznámit a zlepšovat.

Clarysec vám může pomoci přeměnit ochranu koncových bodů z nasazení nástroje na obhajitelný systém důkazů napříč požadavky souladu. Stáhněte si Politiku ochrany koncových bodů / malwaru, začněte se SME Politikou ochrany koncových bodů – malware, pokud potřebujete štíhlejší provozní model, použijte Zenith Blueprint k implementaci opatření a Zenith Controls k propojení důkazů z koncových bodů s ISO/IEC 27001:2022, NIS2, DORA, GDPR Article 32, NIST CSF 2.0 a auditními očekáváními.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article