⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Lõppseadmete pahavarakaitse: ISO 27001 tõendusmaterjal EL-i nõuete jaoks

Igor Petreski

On esmaspäev kell 07:42. Finantsjuht avab tarnija arve e-kirjalõimest, mis näib õiguspärane. Mõni minut hiljem märgib EDR-konsool kahtlase skripti käivitamise, püsivuskatse ja väljamineva liikluse tundmatusse domeeni. EDR-agent isoleerib sülearvuti automaatselt. Lunavara ründeahel katkestatakse enne krüptimise algust.

Turvameede toimis. Kuid keerulisem küsimus tuleb pärast seda.

Infoturbejuhilt ei küsita ainult: „Kas me peatasime pahavara?“ Tegevjuht ja juhatus küsivad: „Kas suudame tõendada, et see oli kavandatud vastupidavus, mitte juhus? Kas suudame näidata audiitoritele, klientidele, regulaatoritele ja kindlustajatele, et meie lõppseadmete kaitse toimis viisil, mis vastab ISO/IEC 27001:2022, NIS2 küberhügieeni, DORA IKT-riski juhtimise ja GDPR Article 32 nõuetele?“

See on 2026. aasta lõppseadmete turbe keskne väljakutse. Lõppseadmete kaitse ei ole enam pelgalt IT-operatsioonide funktsioon. See on nõuetelevastavuse tõendusmaterjali süsteem.

Üks pahavarahäireteade sülearvutis võib muutuda ISO/IEC 27001:2022 auditi valimiks, NIS2 olulise intsidendi hindamiseks, DORA IKT-ga seotud intsidendi kirjeks, GDPR-i isikuandmetega seotud rikkumise triaažiks, tarnijariski aruteluks ja juhtkonnapoolseks ülevaatuseks. Organisatsioonid, kes teevad seda hästi, ei juuruta üksnes EDR-i. Nad seovad poliitika, varade registri, tehnilised kontrollimeetmed, seire, intsidentidele reageerimise, õigusliku triaaži, tarnijalepingud, mõõdikud ja pideva täiustamise üheks kaitstavaks kontrollinarratiiviks.

Clarysec näeb sama mustrit SaaS-i, fintech’i, hallatavate teenuste ja reguleeritud digikeskkondade puhul. Enamikul organisatsioonidel on juba tugevad tööriistad: EDR, viirusetõrje, MDM, haavatavuse skannerid, SIEM, e-posti turve, veebifiltreerimine, varundusplatvormid ja piletihaldussüsteemid. Puudujääk ei ole tavaliselt tehnoloogias. Puudujääk on tõendusmaterjali kavandamises.

See artikkel näitab, kuidas luua auditivalmis lõppseadmete pahavarakaitse tõendusmaterjali, kasutades ISO/IEC 27001:2022 standardit ISMS-i selgroona, Clarysec ettevõtte Lõppseadmete kaitse / pahavara poliitikat Lõppseadmete kaitse / pahavara poliitika, VKE Lõppseadmete kaitse - pahavara poliitikat Lõppseadmete kaitse - pahavara poliitika - VKE, Zenith Blueprint: audiitori 30-sammulist tegevuskava Zenith Blueprint ja Zenith Controls: valdkondadeülese nõuetelevastavuse juhendit Zenith Controls.

Miks lõppseadmete pahavarakaitse on nüüd juhatuse tasandi nõuetelevastavuse küsimus

Kaasaegne lõppseade on koht, kus kohtuvad identiteet, äriandmed, kasutajakäitumine, ründaja meetodid ja regulatiivne vastutus. Sülearvutid ühenduvad koduvõrkudest ja lennujaamadest. Arendajad käitavad kohalikke tööriistu. Tippjuhid reisivad vahemällu salvestatud e-posti ja failidega. Töövõtjad võivad kasutada hallatud või osaliselt hallatud seadmeid. Mobiiltelefonid kinnitavad MFA-päringuid. Pilve töökoormused ja serverid käituvad EDR-i vaates lõppseadmetena.

Zenith Blueprinti Controls in Action faasis, sammus 19: Technological Controls I, kirjeldab Clarysec kasutaja lõppseadmeid organisatsiooni „uste ja akendena“:

Kasutaja lõppseadmed, sülearvutid, nutitelefonid, tahvelarvutid, lauaarvutid ja isegi õhukliendid on koht, kus digitaalne suhtlus algab. Need on uksed ja aknad teie süsteemidesse. Ja nagu iga füüsilise rajatise puhul, tuleb neid tugevdada, seirata ja kontrollida.

See raamistik on oluline, sest lõppseadmete kaitse ei seisne ainult pahavara blokeerimises. See peab tõendama, et organisatsioon teab, millised seadmed on olemas, juhib nende kasutamist, rakendab turbe baaskonfiguratsioone, tuvastab kompromiteerimise, reageerib järjepidevalt, säilitab tõendusmaterjali, taastab tegevuse ja täiustab kontrollimeetmeid pärast intsidente.

Küps lõppseadmete pahavarakaitse programm peab suutma kõhklemata vastata neljale auditiküsimusele:

  1. Kas teame iga lõppseadet, millel võib olla juurdepääs ärisüsteemidele või isikuandmetele?
  2. Kas iga lõppseade on kaitstud heakskiidetud, keskhaldusega pahavarakaitse või EDR-iga?
  3. Kas suudame tõendada konfiguratsiooni, skannimist, uuendusi, häireteateid, karantiini paigutamist, isoleerimist, uurimist ja sulgemist?
  4. Kas suudame siduda lõppseadme sündmused riskikäsitluse, intsidentidele reageerimise, regulatiivse teavitamise, tarnijate järelevalve ja juhtkonnapoolse ülevaatusega?

ISO/IEC 27001:2022 annab nendele küsimustele vastamiseks vajaliku juhtimissüsteemi. Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon määratleks konteksti, huvitatud pooled, õiguslikud ja lepingulised kohustused, liidesed, sõltuvused ja ISMS-i käsitlusala. Lõppseadmete kaitse puhul ei saa käsitlusala lõppeda „ettevõtte IT-ga“. Arvesse tuleb võtta kaugtööd, privilegeeritud tööjaamu, mobiilseadmeid, pilvejuurdepääsu, tarnija hallatavaid seadmeid, lõppseadmete logisid, sisseostetud SOC- või MDR-teenuseid ja iga lõppseadet, mis võib mõjutada infoturvet.

Punktid 5.1 kuni 5.3 teevad juhtkonna vastutuse selgesõnaliseks. Tippjuhtkond peab toetama ISMS-i, määrama rollid, tagama ressursid ja kindlustama poliitikate kooskõla. Lõppseadmete kontekstis ei saa juhatus kinnitada küberhügieeni eesmärke, jättes samal ajal lahendamata EDR-i litsentsimise, paikamise tööjärje, BYOD-erandid või MDR-i eskaleerimislüngad.

Punktid 6.1.1 kuni 6.1.3 loovad riskikäsitluse mehhanismi. Lõppseadmete pahavarariskid tuleb tuvastada, hinnata, käsitleda, vastendada Annex A kontrollimeetmetega, kajastada kohaldatavusdeklaratsioonis ning riskiomanike poolt aktsepteerida seal, kus jääkrisk püsib. Punktid 8.1 kuni 8.3 muudavad riskikäsitluse seejärel kontrollitud tegevuseks, kavandatud muudatusteks, kindlate ajavahemike järel või pärast olulisi muudatusi tehtavaks riskihindamiseks ning riskikäsitluse tulemusteks.

Auditi lugu ei ole „paigaldasime EDR-i“. Auditi lugu on „lõppseadmete pahavararisk on tuvastatud, hinnatud, käsitletud, käitatud, seiratud, testitud, tõendatud, raporteeritud ja täiustatud“.

Clarysec poliitikasild EDR-i seadistustest auditi tõendusmaterjalini

Poliitika on koht, kus tehniline tegelikkus muutub auditeeritavaks kavatsuseks. Ilma poliitikata on lõppseadmete konfiguratsioonid vaid tööriista seaded. Poliitikaga muutuvad need seaded kontrollinõueteks.

Clarysec ettevõtte Lõppseadmete kaitse / pahavara poliitika loob selle silla punktis 1.3:

Käesolev poliitika toetab otseselt vastavust ISO/IEC 27001:2022 punktile 8.1 ja Annex A kontrollimeetmele 8.7 ning on kooskõlas GDPR, NIS2 ja DORA piirkondlike küberturvalisuse kohustustega.

See üks punkt annab organisatsioonile otsese seose lõppseadmete operatsioonide ning ISO/IEC 27001:2022, NIS2, DORA ja GDPR vahel. Audiitorid saavad seejärel testida, kas organisatsiooni tegelik lõppseadmete programm vastab poliitikas võetud kohustusele.

Sama ettevõtte poliitika määrab oodatava tegevusmudeli juhtimisnõuetes, punktis 5.2:

Kõik lõppseadmed peavad olema registreeritud keskhaldusega pahavarakaitsesüsteemidesse (nt EDR, viirusetõrje või samaväärsed platvormid), millele kohaldatakse kohustuslikku baaskonfiguratsiooni.

See on täpselt selline väide, mida audiitorid hindavad, sest seda saab testida. Kui „kõik lõppseadmed“ peavad olema registreeritud, peab tõendusmaterjal näitama kogu lõppseadmete kogumit, eeldatavat EDR-i kogumit, registreerimise staatust, erandeid, kompenseerivaid kontrollimeetmeid ja parandusmeetmete edenemist.

VKE-de jaoks annab Lõppseadmete kaitse - pahavara poliitika otsesed operatiivsed nõuded. Punkt 5.1.3 sätestab:

Kõik lõppseadmed tuleb kanda IT-varade registrisse ja siduda kasutatava lõppseadmete kaitse tööriistaga

Punkt 5.2.1 lisab:

Kõik lõppseadmed peavad kasutama ainult organisatsiooni heakskiidetud viirusetõrje- või EDR-lahendusi (lõppseadme tuvastus ja reageerimine)

Punkt 6.1.1.1 nõuab:

Käita reaalajas viirusetõrje ja pahavaratõrje skannimist pidevalt

Ja punkt 8.1.1 nõuab:

Pahavarasündmusi tuleb pidevalt seirata viirusetõrje konsooli või keskse EDR-i juhtpaneeli kaudu

Koos loovad need punktid lihtsa, kuid tugeva tõendustesti: näita registrit, näita lõppseadmete kaitse tööriista, näita heakskiidetud konfiguratsiooni, näita pidevat seiret, näita sündmusi, näita pileteid ja näita sulgemist.

ISO/IEC 27001:2022 ja ISO/IEC 27002:2022 lõppseadmete kontrollide vastendus

Lõppseadmete kaitse kukub auditites sageli läbi seetõttu, et meeskonnad käsitlevad seda ühe kontrollina. Tegelikult sõltub lõppseadmete pahavarakaitse mitmest üksteist tugevdavast kontrollimeetmest.

Kesksed ISO/IEC 27002:2022 kontrollid on A.8.1 User endpoint devices ja A.8.7 Protection against malware. Tõhus lõppseadmete kaitse tugineb aga ka haavatavuste haldusele, logimisele, seirele, intsidentidele reageerimisele, varundamisele, veebifiltreerimisele, teisaldatavate andmekandjate kontrollile, juurdepääsupiirangutele, tarnijahalduses, pilveteenuste juhtimisele, teadlikkusele ja talitluspidevusele.

Zenith Controls vastendab ISO/IEC 27002:2022 kontrolli A.8.7, Protection against malware, ennetava, tuvastava ja korrigeeriva kontrollina. See toetab konfidentsiaalsust, terviklust ja käideldavust ning seostub loomulikult süsteemi- ja võrguturbega, teabekaitsega ning tuvastusvõimekusega. Samuti näitab see, et A.8.1, User endpoint devices, on ennetav kontroll, mis toetab konfidentsiaalsust, terviklust ja käideldavust varahalduse ja lõppseadmete juhtimise kaudu.

ISO/IEC 27002:2022 kontrollivaldkondSäilitatav lõppseadmete ja pahavara tõendusmaterjalMiks see auditil oluline on
A.8.1 User endpoint devicesVarade register, MDM-i või UEM-i vastavusaruanded, krüpteerimise olek, ekraanilukustuse seaded, kaugkustutuse võimekus, BYOD-kontrollidTõendab, et lõppseadmed on teada, juhitud ja kaitstud enne juurdepääsu andmist
A.8.7 Protection against malwareEDR-i juurutusaruanded, reaalajaatse kaitse seaded, uuenduste olek, tuvastused, karantiini paigutamised, isoleerimiskirjed, valepositiivsete juhtumite käsitlemineTõendab, et pahavara ennetamine, tuvastamine ja reageerimine on aktiivsed ja keskhaldusega
A.8.8 Management of technical vulnerabilitiesHaavatavuse skannimised, paikamise SLA-d, parandusmeetmete piletid, erandite heakskiidud, kompenseerivad kontrollimeetmedNäitab, et pahavaraga seotud kokkupuudet vähendatakse ärakasutatavate nõrkuste kõrvaldamisega
A.8.15 Logging ja A.8.16 Monitoring activitiesLõppseadmete logid, SIEM-i korrelatsioon, häireteadete triaaž, eskaleerimise tõendusmaterjal, juhtpaneelid, läbivaatamise kirjedNäitab, et pahavarasündmused on nähtavad, läbi vaadatud ja nende põhjal tegutsetakse
A.5.24 kuni A.5.28 Incident managementIntsidendiprotseduurid, klassifitseerimiskirjed, reageerimistoimingud, õppetunnid, tõendusmaterjali säilitamineNäitab, et kahtlustatav pahavara muutub kontrollitud intsidentide käsitlemiseks, mitte mitteametlikuks tõrkeotsinguks
A.8.13 Backups ja A.5.30 ICT readiness for business continuityVarundamise edukuse aruanded, taastamistestid, muutmatute varukoopiate seaded, taasteõppusedNäitab, et lunavaravastupidavus hõlmab taastatavust
A.5.19 kuni A.5.23 Supplier and cloud service controlsMDR-lepingud, EDR-teenuse SLA-d, tarnijate turbega seotud nõuded, pilve lõppseadmete katvus, väljumisnõudedNäitab, et sisseostetud lõppseadmeteenused jäävad ISMS-i kontrolli alla

Zenith Controls on eriti kasulik, sest see näitab, kuidas lõppseadmete kaitse sõltub külgnevatest kontrollidest. Protection against malware seostub kontrolliga A.5.7 Threat intelligence, sest pahavarakaitse peab kohanema muutuvate taktikatega. See seostub kontrolliga A.8.8 Management of technical vulnerabilities, sest pahavara kasutab sageli ära teadaolevaid nõrkusi. See seostub kontrollidega A.8.15 Logging ja A.8.16 Monitoring activities, sest tuvastused, karantiinid, skannimised ja uuendused tuleb koguda ning läbi vaadata. See seostub kontrolliga A.8.23 Web filtering, sest pahatahtlikud saidid on endiselt levinud nakatumistee. See seostub kontrolliga A.7.10 Storage media, sest teisaldatavad andmekandjad võivad pahavara sisse tuua, kui neid ei kontrollita.

User endpoint devices seostub ka kontrollidega A.5.10 Acceptable use of information and other associated assets, A.6.7 Remote working, A.8.3 Information access restriction, A.8.5 Secure authentication, A.6.3 Information security awareness, education and training ning A.6.6 Confidentiality or non-disclosure agreements.

Lihtsalt öeldes ei ole turvaline lõppseade ainult agendiga seade. See on poliitikaga rakendatud töökeskkond.

Pahavarahäireteate muutmine kaitstavaks tõendusahelaks

Tuleme tagasi esmaspäeva hommikuse pahavarasündmuse juurde. EDR-agent isoleeris sülearvuti, kuid nõuetelevastavuse auditivalmidus sõltub sellele järgnevast tõendusahelast.

Hea lõppseadmete pahavara tõendusahel sisaldab järgmist:

  • Varakirje, mis näitab omanikku, ärifunktsiooni, kriitilisust, seadmetüüpi, operatsioonisüsteemi, andmetele juurdepääsu profiili ja krüpteerimise olekut.
  • Lõppseadmete kaitse kirje, mis näitab EDR-agendi tervist, rakendatud poliitikat, manipuleerimiskaitset, uuenduste olekut ja reaalajas skannimist.
  • Tuvastuskirje, mis näitab häireteate identifikaatorit, ajatemplit, protsessipuud, tuvastusloogikat, tõsidust, mõjutatud faile, võrguindikaatoreid ja automaatseid toiminguid.
  • SIEM-i kirje, mis korreleerib DNS-i, e-posti, identiteedi, proksi, pilve ja lõppseadme telemeetriat.
  • Piletikirje, mis näitab triaaži, eskaleerimist, ohjeldamist, kõrvaldamist, taastamist, algpõhjust ja sulgemist.
  • Intsidendi otsus, mis näitab, kas sündmus jäi turbesündmuseks või muutus intsidendiks.
  • Regulatiivne triaaž, mis näitab, kas NIS2, DORA või GDPR lävendeid kaaluti.
  • Õppetundide kirje, mis näitab poliitika häälestust, paikamist, teadlikkuse tõstmise tegevust, tarnijapiletit või riskiregistri uuendust.

Lõppseadmete kaitse / pahavara poliitika tugevdab seda reageerimismudelit poliitika rakendamise nõuete punktiga 6.3, pealkirjaga:

Reageerimis- ja ohjeldamistoimingud

VKE-de jaoks on punkt 6.3.1.2 veel otsesem:

IT-tugiteenuse osutaja peab seadme karantiini paigutama, nakatumise kinnitama ja tegema algpõhjuse analüüsi

Blokeeritud pahavarasündmus ei tohi konsooli kaduda. Kui see on tuvastamiseks piisavalt oluline, on see ka klassifitseerimiseks, dokumenteerimiseks ja sulgemiseks piisavalt oluline.

NIS2 küberhügieeni tõendusmaterjal lõppseadmete kaitsest

NIS2 muudab põhilise küberhügieeni juhtimisküsimuseks. Kohaldamisalasse kuuluvad organisatsioonid peavad mõistma, kas nad on nõuete kohaldamisalas, kas nad on olulised või tähtsad üksused ning kuidas rakenduvad riiklikud ülevõtmiskohustused.

Lõppseadmete pahavarakaitse puhul on keskne säte Article 21. See nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja korralduslikke meetmeid võrgu- ja infosüsteemide riskide juhtimiseks ning intsidendi mõju ennetamiseks või vähendamiseks. Meetmed hõlmavad riskianalüüsi ja infosüsteemide turbepoliitikaid, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist hankimist ja hooldust, sealhulgas haavatavuste käsitlemist, tõhususe hindamist, põhilist küberhügieeni ja koolitust, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust ning vajaduse korral MFA-d või pidevat autentimist.

Lõppseadmete tõendusmaterjal vastendub nende ootustega otse.

NIS2 Article 21 valdkondLõppseadmete pahavarakaitse tõendusmaterjal
Riskianalüüs ja turbepoliitikadLõppseadmete riskihindamine, Lõppseadmete kaitse / pahavara poliitika, kohaldatavusdeklaratsioon, riski käsitlemise plaan
Intsidentide käsitlemineEDR-i häireteadete kirjed, intsidendipiletid, tõsiduse hindamine, ohjeldamistoimingud, õppetunnid
TalitluspidevusLunavara stsenaariumid, varundusaruanded, taastamistestid, taasteprotseduurid
Tarneahela turveMDR- või MSP-lepingud, vastutusmaatriks, intsidenditoe tingimused, auditeerimisõigused
Haavatavuste käsitleminePaikamise SLA-d, haavatavuse skannimised, erandite heakskiidud, ärakasutatud haavatavuste analüüs
Tõhususe hindamineSiseauditi tulemused, EDR-i testtuvastused, andmepüügi simulatsioonid, lauaõppused
Põhiline küberhügieen ja koolitusLõppseadmete baaskonfiguratsiooni vastavus, teadlikkuskoolituse läbimise kirjed, andmepüügi- ja pahavarakoolitus
Juurdepääsukontroll ja varahaldusLõppseadmete register, kasutaja-seadme seosed, tingimuslik juurdepääs, privilegeeritud tööjaamade kontrollid

NIS2 Article 23 on samuti oluline, sest pahavara võib muutuda oluliseks intsidendiks. Kui see põhjustab või võib põhjustada raske tegevushäire, finantskahju või märkimisväärse materiaalse või mittemateriaalse kahju teistele, võib olla nõutav etapiviisiline teavitamine. NIS2 hõlmab varajast hoiatust 24 tunni jooksul, intsidenditeavitust 72 tunni jooksul, vaheuuendusi nõudmisel ja lõpparuannet ühe kuu jooksul pärast teavitamist.

Lõppseadmete tõendusmaterjal toetab iga etappi. EDR-i häireteade annab esimese indikaatori. Varade register tuvastab mõjutatud teenused ja kriitilisuse. SIEM-i andmed ja piletid toetavad mõjuhindamist. Ohjeldamiskirjed tõendavad tegutsemist. Algpõhjuse analüüs toetab lõpparuandlust.

NIS2 jaoks valmis vastus ei ole „meil on viirusetõrje“. See on „me teame oma lõppseadmeid, rakendame kaitset, seirame pidevalt, klassifitseerime intsidente, koolitame kasutajaid, haldame haavatavusi, säilitame tõendusmaterjali ja raporteerime, kui lävendid on täidetud“.

DORA IKT-riski juhtimine ja lõppseadmete pahavarakaitse

Finantsüksuste jaoks loob DORA sektoripõhise digitaalse operatsioonilise toimepidevuse raamistiku. Lõppseadmete pahavarakaitse vastendub tugevalt IKT-riski juhtimise, intsidendihalduse, testimise, talitluspidevuse, taaste ja IKT kolmanda osapoole riskiga.

DORA Article 5 paneb vastutuse IKT-riski eest juhtorganile. Article 6 nõuab usaldusväärset, terviklikku ja dokumenteeritud IKT-riski juhtimise raamistikku. Articles 8 ja 9 nõuavad IKT-toega ärifunktsioonide, teabevarade, IKT-varade, sõltuvuste, küberohtude, haavatavuste, konfiguratsioonide ja vastastiksõltuvuste tuvastamist ja klassifitseerimist. Need käsitlevad ka kaitse, ennetuse, tuvastamise, juurdepääsukontrolli, tugeva autentimise, muudatuste juhtimise ja paikamise poliitikaid ning tööriistu.

Articles 11 ja 12 on lunavaravastupidavuse seisukohast kesksed. Need nõuavad IKT talitluspidevuse poliitikat, reageerimis- ja taasteplaane, varunduspoliitikaid, taastamisprotseduure, testimist ja tervikluskontrolle. Article 17 nõuab IKT-ga seotud intsidendihalduse protsessi intsidentide tuvastamiseks, haldamiseks, klassifitseerimiseks, registreerimiseks, eskaleerimiseks, kommunikeerimiseks ja tegevuse taastamiseks pärast intsidente. Article 19 loob suurte IKT-ga seotud intsidentide teavitamiskohustused. Articles 24 kuni 26 käsitlevad digitaalse operatsioonilise toimepidevuse testimist. Articles 28 kuni 30 käsitlevad IKT kolmanda osapoole riski ja lepingulisi kokkuleppeid.

DORA teemaAbistav lõppseadmete tõendusmaterjal
IKT-varade tuvastamineLõppseadmete register, omanik, ärifunktsioon, kriitilisus, sõltuvuste kaardistamine
Kaitse ja ennetusEDR-i baaskonfiguratsioon, paikade staatus, juurdepääsukontroll, krüptimine, veebifiltreerimine, turvaline seadistamine
TuvastamineEDR-i häireteated, SIEM-i korrelatsioon, varajase hoiatuse indikaatorid, ohuteabe rikastamine
IKT-ga seotud intsidendihaldusPahavara intsidendipilet, tõsiduse klassifitseerimine, rollid, toimingud, eskaleerimine, algpõhjus
Taaste ja taastamineSeadme uuesti loomise kirje, varukoopiast või failist taastamise tõendusmaterjal, tervikluskontrollid
Toimepidevuse testimineEDR-i simulatsioon, andmepüügi simulatsioon, haavatavuse skannimised, penetratsioonitestid, lauaõppused
IKT kolmanda osapoole riskMDR- või EDR-tarnijaleping, SLA-d, auditeerimisõigused, intsidendiabi, väljumisplaanid

Finantsüksuse puhul võib sama pahavarainsident, mis tõendab A.8.7 toimimist, näidata ka DORA järelevalve tõendusmaterjali: varade klassifitseerimist, kontrollimeetmete toimimist, intsidendihaldust, taastevõimekust, testimise ajalugu, kolmanda osapoole vastutust ja juhtkonna järelevalvet.

GDPR Article 32 ja isikuandmetega seotud rikkumise triaaž

GDPR Article 32 nõuab vastutavatelt ja volitatud töötlejatelt riskile vastavate tehniliste ja korralduslike meetmete rakendamist. Need meetmed hõlmavad töötlemissüsteemide ja -teenuste konfidentsiaalsust, terviklust, käideldavust ja vastupidavust, võimet taastada isikuandmete käideldavus ja juurdepääs ning turvameetmete regulaarset testimist, hindamist ja ülevaatamist.

Lõppseadme pahavara muutub GDPR-i tõendusmaterjaliks siis, kui lõppseadmel võib olla juurdepääs isikuandmetele: kliendikirjetele, tugipiletitele, personalifailidele, eksportidele, maksetega seotud teabele, terviseandmetele, eriliigilistele isikuandmetele, autentimislogidele või isikuandmeid sisaldavatele pilverakendustele.

Privaatsusküsimus sõltub asjaoludest. Kas pahavara käivitus? Kas see pääses failidele ligi? Kas see hõivas autentimisandmeid? Kas tokenid varastati? Kas andmeid viidi välja? Kas lõppseade oli krüpteeritud? Kas konto keelati? Kas seansid tühistati? Kas logid olid olemas? Kas mõjutatud isikuandmed tuvastati? Kas hinnati riski isikutele?

Lõppseadme telemeetria on sageli ainus viis neile küsimustele usaldusväärselt vastata.

GDPR-i jaoks valmis lõppseadmete tõenduspakett peab siduma andmete klassifitseerimise ja töötlemistoimingute registri, lõppseadme juurdepääsuteed, krüptimise, juurdepääsupiirangud, EDR-i telemeetria, SIEM-i logid, andmete väljaviimise analüüsi, autentimisandmete lähtestamise toimingud, taastamise kirjed, õigusliku läbivaatuse, rikkumise otsuse ja õppetunnid.

Privaatsusmeeskonnad peavad osalema lõppseadmete intsidendi tööjuhiste kavandamises. Kui alles pärast pahavarainsidenti küsitakse, kas isikuandmed olid mõjutatud, tekib välditav vastutusrisk.

Koosta 30 minutiga lõppseadmete pahavara tõenduspakett

Enne järgmist auditit vali viimase 90 päeva jooksul üks lõppseadme pahavara tuvastus, isegi kui see oli madala tõsidusega või blokeeritud testfail. Koosta tõenduspakett nii, nagu audiitor oleks valinud selle valimiks.

Kasuta läbivaatamise juhisena Zenith Blueprinti Controls in Action faasi sammu 19. Samm 19 juhendab meeskondi pahavarakaitse strateegiat läbi vaatama, kontrollides, et kõigil lõppseadmetel oleks paigaldatud, aktiivne ja automaatselt uuenev keskhaldusega pahavaratõrje või EDR; et reaalajas skannimine kataks failitüübid, võrgutegevuse ja teisaldatavad andmekandjad; et lüüsikaitsed oleksid olemas; et hiljutised pahavaralogid või karantiinid oleksid uuritud ja lahendatud; ning et kasutajad saaksid pidevat andmepüügi- ja pahavarateadlikkuse koolitust.

Kogu järgmine tõendusmaterjal:

  1. Varakirje: seadme nimi, seerianumber, kasutaja, omanik, äriüksus, asukoht, seadmetüüp, operatsioonisüsteem, kriitilisus, andmetele juurdepääsu profiil.
  2. EDR-i registreering: ekraanitõmmis või eksport, mis näitab, et agent on paigaldatud, aktiivne, uuendatud, poliitika on rakendatud ja manipuleerimiskaitse lubatud.
  3. Baaskonfiguratsiooni vastavus: krüptimine, ekraanilukustus, tulemüür, kohaliku administraatori staatus, paikade tase, keelatud tarkvara staatus.
  4. Tuvastuskirje: häireteate identifikaator, ajatempel, tuvastuse nimi või käitumine, tõsidus, protsessipuu, mõjutatud failid, võrguindikaatorid.
  5. Ohjeldamismeede: karantiini paigutamine, isoleerimine, protsessi lõpetamine, faili eemaldamine, seadme uuesti loomine, autentimisandmete lähtestamine.
  6. Uurimismärkmed: analüütiku triaaž, algpõhjus, andmepüügi tee, veebitee, ärakasutamise tee, mõjutatud andmete hindamine.
  7. Intsidendi otsus: turbesündmus või intsident, NIS2, DORA ja GDPR lävendi hindamine, kui asjakohane.
  8. Sulgemise tõendusmaterjal: pileti sulgemine, heakskiit, õppetunnid, vajaduse korral riskiregistri uuendus.
  9. Mõõdikud: tuvastamisaeg, ohjeldamisaeg, parandamisaeg, sarnaste häireteadete arv, valepositiivse staatus.
  10. Parendustegevus: blokeeritud domeen, e-posti reegli häälestus, paiga juurutamine, kasutaja teadlikkuskoolituse määramine, tarnijale eskaleerimine.

Nüüd võrdle tõenduspaketti oma poliitikaga. Kui ettevõtte poliitika ütleb, et kõik lõppseadmed peavad olema registreeritud keskhaldusega pahavarakaitses, millel on kohustuslik baaskonfiguratsioon, kas suudad seda tõendada? Kui VKE poliitika ütleb, et pahavarasündmusi tuleb pidevalt seirata viirusetõrje konsooli või keskse EDR-i juhtpaneeli kaudu, kas suudad näidata juhtpaneeli, läbivaatajat, häireteadet, piletit ja sulgemist?

Nii muutuvad EDR-i andmed auditi tõendusmaterjaliks.

Kuidas erinevad audiitorid samu lõppseadmete kontrolle testivad

Erinevad kindlustandvad meeskonnad vaatavad lõppseadmete kaitset erineva nurga alt. Tõendusmaterjal võib olla sama, kuid küsimused muutuvad.

Audiitori vaadeMida tavaliselt testitakseTõendusmaterjal, mis küsimuse katab
ISO/IEC 27001:2022 audiitorKas lõppseadmete kontrollid on valitud riskikäsitluse kaudu, lisatud kohaldatavusdeklaratsiooni, rakendatud, seiratud ja täiustatudRiskihindamine, SoA kanne, lõppseadmete poliitika, EDR-i juurutusaruanded, seirepiletid, siseauditi tulemused
NIS2 küberhügieeni läbivaatajaKas lõppseadmete turve toetab proportsionaalset riskijuhtimist, intsidentide käsitlemist, haavatavuste käsitlemist, juurdepääsukontrolli, varahaldust ja koolitustLõppseadmete register, baaskonfiguratsiooni vastavus, EDR-i häireteated, intsidendikirjed, paikamise mõõdikud, koolituskirjed
DORA IKT-riski läbivaatajaKas lõppseadmete kaitse toetab IKT-varade tuvastamist, toimepidevust, intsidendihaldust, testimist, talitluspidevust ja IKT kolmandate osapoolte järelevalvetIKT-varade kaardistus, intsidendi klassifitseerimine, toimepidevustestide tulemused, varundamise tõendusmaterjal, MDR-leping, juhtkonnale aruandlus
GDPR privaatsuse läbivaatajaKas lõppseadmete kontrollid toetavad töötlemise turvalisust ja rikkumise hindamistAndmetele juurdepääsu kaardistus, krüptimine, logid, andmete väljaviimise analüüs, rikkumise triaaž, ohjeldamise ja taastamise tõendusmaterjal
NIST CSF 2.0 hindajaKas juhtimise, tuvastamise, kaitse, avastamise, reageerimise ja taastamise tulemused on integreeritudPraegune ja sihtprofiil, varade register, juurdepääsukontrollid, seire, intsidentidele reageerimine, taaste tõendusmaterjal
COBIT 2019 tüüpi juhtimise läbivaatajaKas omand, eesmärgid, toimivus, risk ja kindlustunne on määratletudRACI, KPI-d, KRI-d, juhatusele aruandlus, kontrollimeetme omaniku tõendusmaterjal, erandid, parandusmeetmete jälgimine
ISACA siseaudiitorKas kontrollid on tõhusalt kavandatud ja toimivad valimites järjepidevaltValimitestimine, ekraanitõmmised, konfiguratsiooniekspordid, erandite heakskiidud, seirekontrollide kordustegemine

NIST CSF 2.0 on eriti kasulik juhtkonnale mõeldud sillakeelena. Selle GOVERN funktsioon toetab sidusrühmade ootusi, õiguslikke kohustusi, riskivalmidust, vastutust, poliitikat, ressursse ja järelevalvet. Selle operatiivsed funktsioonid aitavad selgitada, kuidas varahaldus, juurdepääsukontroll, andmekaitse, seire, intsidentidele reageerimine, ohjeldamine, kõrvaldamine, taastamine ja kommunikatsioon koos toimivad.

Clarysec projektides annab ISO/IEC 27001:2022 ametliku ISMS-i selgroo, Zenith Controls annab valdkondadeülese nõuetelevastavuse vastendusjuhendi ning NIST CSF 2.0 annab juhatusele arusaadava kommunikatsioonikihi.

Tarnija hallatavad lõppseadmeteenused on osa tõendusmudelist

Paljud organisatsioonid tellivad osa lõppseadmete kaitsest sisse MSP-delt, MSSP-delt, MDR-teenuseosutajatelt, pilvetöölaua pakkujatelt või EDR-tarnijatelt. Allhange võib võimekust parandada, kuid vastutust see üle ei anna.

NIS2 Article 21 hõlmab tarneahela turvet ja tarnijasuhteid. DORA läheb finantsüksuste puhul kaugemale, nõudes IKT kolmanda osapoole riski strateegiat, lepinguliste kokkulepete registreid, taustakontrolli, kontsentratsiooniriski analüüsi, auditi- ja kontrolliõigusi, lõpetamisõigusi, intsidendiabi, väljumisstrateegiaid ning selget vastutuse jaotust. ISO/IEC 27001:2022 Annex A hõlmab tarnijasuhete kontrolle, tarnijalepinguid, IKT tarneahela kontrolle, tarnijateenuste seiret ja muudatuste juhtimist ning pilveteenuste hankimist, kasutamist, haldamist ja lõpetamist.

Lõppseadmete allhanke tõendusmaterjal peaks sisaldama järgmist:

  • Tarnija hoolsuskontroll enne kaasamist.
  • Lepinguklauslid seire, intsidenditeavituse, juurdepääsu, andmete asukoha, auditeerimisõiguste, teenustasemete ja koostöö kohta.
  • Vastutusmaatriks häireteadete triaaži, isoleerimise, algpõhjuse analüüsi, aruandluse ja tõendusmaterjali säilitamise kohta.
  • Aruanded, mis näitavad tarnija toimivust ja SLA nõuetele vastavust.
  • Tõendid, et tarnija intsidendid ja platvormikatkestused vaadatakse läbi.
  • Väljumisplaan juhuks, kui EDR- või MDR-teenuseosutaja ebaõnnestub, leping lõpetatakse või teenuseosutaja muutub vastuvõetamatuks.
  • Kinnitus, et logid ja kohtuekspertiisi tõendusmaterjal jäävad organisatsioonile kättesaadavaks.

Levinud auditipuudus on MDR-i juhtpaneel ilma omanikuta. Organisatsioon näeb häireteateid, kuid ei suuda tõendada, kes omab riski, mida teenuseosutaja peab tegema, kuidas häireteadete kvaliteeti läbi vaadatakse või kuidas tõendusmaterjali regulatiivsetel ja õiguslikel eesmärkidel säilitatakse.

Mõõdikud, mis muudavad lõppseadmete tööriistad juhtimise tõendusmaterjaliks

Juhatused ja regulaatorid ei vaja toorteavituste mahtu. Nad vajavad indikaatoreid, mis näitavad, kas lõppseadmete pahavararisk on kontrolli all.

MõõdikMiks see oluline on
Lõppseadmete katvuse protsentNäitab, kas teadaolevad lõppseadmed on kaitstud heakskiidetud EDR-i või pahavaratõrjega
Haldamata lõppseadmete arvToob esile registri, kasutuselevõtu või varjatud IT puudused
Agendi tervise protsentNäitab, kas agendid on aktiivsed, uuendatud ja raporteerivad
Kriitiliste lõppseadmete paikade vastavusSeob pahavarakokkupuute haavatavuste haldusega
Keskmine tuvastamisaegNäitab seire tõhusust
Keskmine isoleerimisaegNäitab ohjeldamise kiirust lunavara ja pahavara puhul
Pahavara kordumine kasutaja või äriüksuse lõikesTuvastab koolituse, protsessi või juurdepääsu nõrkused
Karantiini ebaõnnestumise määrNäitab, kas reageerimistoimingud on usaldusväärsed
Kõrge riskiga erandid, mis on avatud üle SLANäitab juhtimisdistsipliini
Taastamistesti edukuse määrNäitab vastupidavust, kui pahavara põhjustab häire
Intsidendid, mille algpõhjus on lõpule viidudNäitab õppimist ja pidevat täiustamist

Need mõõdikud toetavad ISO/IEC 27001:2022 tulemuslikkuse hindamist ja juhtkonnapoolset ülevaatust, NIS2 juhtorgani järelevalvet, DORA juhtimist ja IKT-riski strateegiat, GDPR-i vastutust ning siseauditi kavandamist.

Ettevõtte Lõppseadmete kaitse / pahavara poliitika rakendamise ja vastavuse jaotise punkt 8.2 sätestab:

Siseaudit peab tegema lõppseadmete kaitse vastavuse perioodilisi läbivaatamisi, sealhulgas:

Siseaudit saab ülaltoodud mõõdikud muuta kvartalipõhiseks kontrollitestiks: võtta lõppseadmetest valim, võrrelda registrit EDR-i registreeringutega, kontrollida reaalajas skannimist, vaadata üle paikade staatus, kinnitada, et kasutajad ei saa kaitset keelata, kontrollida hiljutisi pahavarahäireteateid ja jälgida valitud häireteated tuvastusest sulgemiseni.

Levinud lõppseadmete tõendusmaterjali lüngad, mida Clarysec leiab

Isegi küpsed organisatsioonid võitlevad lõppseadmete tõendusmaterjali kvaliteediga. Samad lüngad korduvad sageli:

  • Varade register ja EDR-i register ei kattu.
  • Arendajate tööjaamad on vähem kontrollitud kui tavalised sülearvutid.
  • Mobiilseadmed jäetakse lõppseadmete tõendusmaterjalist välja.
  • BYOD-juurdepääs on lubatud ilma rakendatavate seadme turvaseisundi kontrollideta.
  • EDR-agendid on paigaldatud, kuid manipuleerimiskaitse on keelatud.
  • Teenuseosutaja seirab häireteateid, kuid eskaleerimisreeglid on ebamäärased.
  • Karantiini paigutatud pahavara ei ole seotud intsidendipiletiga.
  • Algpõhjuse analüüs jäetakse „blokeeritud“ tuvastuste puhul vahele.
  • Paigaeranditel puudub riskiomaniku heakskiit või aegumiskuupäev.
  • Logisid säilitatakse liiga lühikest aega, et toetada rikkumise hindamist.
  • Varukoopiast taastamist testitakse üldiselt, kuid mitte lunavara stsenaariumide vastu.
  • Juhatusele aruandlus näitab riskivähenduse asemel häireteadete arvu.

Lahendus ei ole rohkem arvutustabeleid. Lahendus on seotud tegevusmudel, kus poliitika, register, lõppseadmete konfiguratsioon, seire, intsidentidele reageerimine, tarnijahaldus, regulatiivne triaaž, mõõdikud ja audititestimine tugevdavad üksteist.

Kümme tööpäeva lõppseadmete pahavarakaitse auditivalmiks seadmiseks

Kui vajad kiiret alguspunkti, tee järgmised toimingud järgmise kümne tööpäeva jooksul:

  1. Ekspordi lõppseadmete register ja EDR-i register ning võrdle need omavahel.
  2. Tuvasta haldamata, mitteaktiivsed, aegunud, dubleerivad ja erandina käsitletavad lõppseadmed.
  3. Kinnita reaalajas skannimise, manipuleerimiskaitse, automaatuuenduse, isoleerimise ja karantiini seaded.
  4. Võta valim viiest pahavarahäireteatest ja jälgi igaüks uurimise ning sulgemiseni.
  5. Kontrolli, kas lõppseadmete sündmused saavad toetada NIS2, DORA ja GDPR intsidenditriaaži.
  6. Vaata üle MDR-, MSP- ja EDR-tarnijalepingud intsidenditoe, tõendusmaterjalile juurdepääsu, auditeerimisõiguste, SLA-de ja väljumistingimuste osas.
  7. Lisa lõppseadmete katvus, agendi tervis, isoleerimisaeg, paikade vastavus ja algpõhjuse lõpetamine juhtkonnale aruandlusse.
  8. Tee siseauditi valim, kasutades Zenith Blueprinti sammu 19 kontrollnimekirja.
  9. Kasuta Zenith Controlsi, et vastendada A.8.1 ja A.8.7 logimise, seire, haavatavuste halduse, intsidentidele reageerimise, tarnijakontrollide ja taastega.
  10. Uuenda oma juhtimise lähtealus Clarysec ettevõtte Lõppseadmete kaitse / pahavara poliitika või VKE Lõppseadmete kaitse - pahavara poliitika abil.

Lõppseadmete pahavarakaitse 2026. aastal ei seisne ainult lunavara peatamises. See seisneb tõendamises, et teie organisatsioon suudab ennetada, tuvastada, ohjeldada, taastada, raporteerida ja täiustada.

Clarysec aitab muuta lõppseadmete kaitse tööriista juurutamisest kaitstavaks valdkondadeülese nõuetelevastavuse tõendusmaterjali süsteemiks. Laadi alla Lõppseadmete kaitse / pahavara poliitika, alusta VKE Lõppseadmete kaitse - pahavara poliitikast, kui vajad lihtsamat tegevusmudelit, kasuta kontrollimeetmete rakendamiseks Zenith Blueprinti ning kasuta Zenith Controlsi, et siduda lõppseadmete tõendusmaterjal ISO/IEC 27001:2022, NIS2, DORA, GDPR Article 32, NIST CSF 2.0 ja auditi ootustega.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article