Obrana krajnjih uređaja od zlonamjernog softvera: dokazi za ISO 27001 i propise EU-a

Ponedjeljak je, 07:42. Financijski rukovoditelj otvara račun dobavljača iz niti e-pošte koja izgleda legitimno. Nekoliko minuta poslije konzola za otkrivanje prijetnji na krajnjim uređajima označava sumnjivo izvršavanje skripte, pokušaj uspostave perzistentnosti i izlazni promet prema nepoznatoj domeni. EDR agent automatski izolira prijenosno računalo. Lanac ransomwarea prekida se prije početka šifriranja.
Sigurnost je odradila posao. No zatim slijedi teže pitanje.
CISO-a više ne pitaju samo: „Jesmo li zaustavili zlonamjerni softver?” Glavni izvršni direktor i upravljačko tijelo pitaju: „Možemo li dokazati da je riječ o otpornosti ugrađenoj u dizajn, a ne o sreći? Možemo li revizorima, klijentima, regulatorima i osiguravateljima pokazati da je naša zaštita krajnjih uređaja djelovala na način koji zadovoljava ISO/IEC 27001:2022, kibernetičku higijenu prema NIS2, upravljanje IKT rizicima prema DORA-i i GDPR Article 32?”
To je ključni izazov sigurnosti krajnjih uređaja u 2026. Zaštita krajnjih uređaja više nije samo funkcija IT operacija. Ona je sustav dokaza usklađenosti.
Jedno upozorenje o zlonamjernom softveru na prijenosnom računalu može postati revizijski uzorak za ISO/IEC 27001:2022, procjena značajnog incidenta prema NIS2, zapis o incidentu povezanom s IKT-om prema DORA-i, trijaža povrede osobnih podataka prema GDPR-u, rasprava o riziku dobavljača i upravljački pregled. Organizacije koje to dobro provode ne uvode samo EDR. One povezuju politiku, popis imovine, tehničke kontrole, praćenje, odgovor na incidente, pravnu trijažu, ugovore s dobavljačima, metrike i kontinuirano poboljšavanje u jedan dokaziv narativ o kontrolama.
Clarysec uočava isti obrazac u SaaS, fintech, upravljanim uslugama i reguliranim digitalnim okruženjima. Većina organizacija već ima snažne alate: EDR, antivirusni softver, MDM, skenere ranjivosti, SIEM, sigurnost e-pošte, web filtriranje, platforme za sigurnosno kopiranje i sustave za evidentiranje zahtjeva. Nedostatak obično nije tehnologija. Nedostatak je dizajn dokaza.
Ovaj članak prikazuje kako izgraditi dokaze o zlonamjernom softveru na krajnjim uređajima spremne za reviziju koristeći ISO/IEC 27001:2022 kao okosnicu ISMS-a, Clarysecovu Politiku zaštite krajnjih uređaja / zlonamjernog softvera Politika zaštite krajnjih uređaja / zlonamjernog softvera, SME Politiku zaštite krajnjih uređaja - zlonamjerni softver Politika zaštite krajnjih uređaja - zlonamjerni softver - SME, Zenith Blueprint: revizorov plan u 30 koraka Zenith Blueprint i Zenith Controls: vodič za višestruku usklađenost Zenith Controls.
Zašto je obrana krajnjih uređaja od zlonamjernog softvera sada pitanje usklađenosti na razini upravljačkog tijela
Suvremeni krajnji uređaj mjesto je susreta identiteta, poslovnih podataka, ponašanja korisnika, napadačkih tehnika i regulatorne odgovornosti. Prijenosna računala povezuju se iz kućnih mreža i zračnih luka. Razvojni inženjeri pokreću lokalne alate. Izvršni rukovoditelji putuju s predmemoriranom e-poštom i datotekama. Izvođači mogu koristiti upravljane ili djelomično upravljane uređaje. Mobilni telefoni odobravaju MFA zahtjeve. Radna opterećenja u oblaku i poslužitelji iz perspektive EDR-a ponašaju se kao krajnji uređaji.
U Zenith Blueprintu, u fazi Primjena kontrola, Korak 19: Tehnološke kontrole I, Clarysec opisuje korisničke krajnje uređaje kao „vrata i prozore” u organizaciju:
Korisnički krajnji uređaji, prijenosna računala, pametni telefoni, tableti, stolna računala, pa čak i tanki klijenti, mjesto su na kojem započinje digitalna interakcija. Oni su vrata i prozori u vaše sustave. I, kao svaka fizička struktura, moraju biti ojačani, nadzirani i kontrolirani.
Takav okvir važan je jer zaštita krajnjih uređaja nije samo blokiranje zlonamjernog softvera. Ona mora dokazati da organizacija zna koji uređaji postoje, upravlja načinom njihove uporabe, provodi sigurnosne polazne osnove, otkriva kompromitaciju, dosljedno odgovara, čuva dokaze, obnavlja rad i poboljšava se nakon incidenata.
Zreo program obrane krajnjih uređaja od zlonamjernog softvera mora bez oklijevanja odgovoriti na četiri revizijska pitanja:
- Poznajemo li svaki krajnji uređaj koji može pristupiti poslovnim sustavima ili osobnim podacima?
- Je li svaki krajnji uređaj zaštićen odobrenom, centralno upravljanom obranom od zlonamjernog softvera ili EDR-om?
- Možemo li dokazati konfiguraciju, skeniranje, ažuriranja, upozorenja, karantenu, izolaciju, istragu i zatvaranje?
- Možemo li povezati događaje na krajnjim uređajima s obradom rizika, odgovorom na incidente, regulatornim izvješćivanjem, nadzorom dobavljača i preispitivanjem od strane uprave?
ISO/IEC 27001:2022 pruža sustav upravljanja potreban za odgovore na ta pitanja. Točke 4.1 do 4.4 zahtijevaju da organizacija definira kontekst, zainteresirane strane, pravne i ugovorne obveze, sučelja, ovisnosti i opseg ISMS-a. Za zaštitu krajnjih uređaja opseg se ne može zaustaviti na „korporativnom IT-u”. Mora obuhvatiti rad na daljinu, radne stanice s povišenim ovlastima, mobilne uređaje, pristup oblaku, uređaje kojima upravljaju dobavljači, dnevničke zapise krajnjih uređaja, vanjski sigurnosno-operativni centar ili MDR usluge te svaki krajnji uređaj koji može utjecati na informacijsku sigurnost.
Točke 5.1 do 5.3 izričito uspostavljaju odgovornost vodstva. Najviše rukovodstvo mora podržavati ISMS, dodijeliti uloge, osigurati resurse i osigurati usklađenost politika. U kontekstu krajnjih uređaja, upravljačko tijelo ne može odobriti ciljeve kibernetičke higijene, a istodobno ostaviti neriješenima licenciranje EDR-a, zaostatak zakrpa, iznimke za BYOD ili praznine u eskalaciji MDR-a.
Točke 6.1.1 do 6.1.3 uspostavljaju mehanizam obrade rizika. Rizici zlonamjernog softvera na krajnjim uređajima moraju se identificirati, procijeniti, obraditi, mapirati na kontrole iz Priloga A, odraziti u Izjavi o primjenjivosti i, kada preostali rizik ostaje, prihvatiti od strane vlasnika rizika. Točke 8.1 do 8.3 zatim pretvaraju obradu rizika u kontrolirane operacije, planirane promjene, procjenu rizika u planiranim intervalima ili nakon značajnih promjena te rezultate obrade rizika.
Revizijski narativ nije: „instalirali smo EDR”. Revizijski narativ glasi: „rizik zlonamjernog softvera na krajnjim uređajima identificiran je, procijenjen, obrađen, operativno proveden, praćen, testiran, dokazan, prijavljen i poboljšan.”
Clarysecov most od postavki EDR-a do revizijskih dokaza
Politika je mjesto na kojem tehnička stvarnost postaje namjera provjerljiva revizijom. Bez politike, konfiguracije krajnjih uređaja samo su postavke alata. S politikom, te postavke postaju kontrolni zahtjevi.
Clarysecova korporativna Politika zaštite krajnjih uređaja / zlonamjernog softvera uspostavlja taj most u točki 1.3:
Ova politika izravno podržava usklađenost s ISO/IEC 27001:2022 Clause 8.1 i Annex A Control 8.7 te je usklađena s regionalnim obvezama kibernetičke sigurnosti prema GDPR-u, NIS2 i DORA-i.
Ta jedna točka daje organizaciji izravnu poveznicu između operacija na krajnjim uređajima i ISO/IEC 27001:2022, NIS2, DORA i GDPR. Revizori tada mogu testirati odgovara li stvarni program krajnjih uređaja obvezi iz politike.
Ista korporativna politika postavlja očekivani operativni model u Upravljačkim zahtjevima, točka 5.2:
Svi krajnji uređaji moraju biti uključeni u centralno upravljane sustave zaštite od zlonamjernog softvera (npr. EDR, antivirusni softver ili ekvivalentne platforme) s obveznom polaznom konfiguracijom.
Upravo takve izjave revizori cijene jer su provjerljive. Ako „svi krajnji uređaji” moraju biti uključeni, dokazi moraju pokazati cjelokupnu populaciju krajnjih uređaja, očekivanu populaciju u EDR-u, status uključenja, iznimke, kompenzacijske kontrole i napredak otklanjanja nedostataka.
Za SME, Politika zaštite krajnjih uređaja - zlonamjerni softver daje izravne operativne zahtjeve. Točka 5.1.3 navodi:
Svi krajnji uređaji moraju biti evidentirani u popisu IT imovine i povezani s alatom za zaštitu krajnjih uređaja koji se koristi
Točka 5.2.1 dodaje:
Svi krajnji uređaji smiju koristiti samo antivirusna ili EDR (otkrivanje i odgovor na prijetnje na krajnjim uređajima) rješenja koja je organizacija odobrila
Točka 6.1.1.1 zahtijeva:
Kontinuirano provoditi antivirusno skeniranje i skeniranje zlonamjernog softvera u stvarnom vremenu
A točka 8.1.1 zahtijeva:
Događaji povezani sa zlonamjernim softverom moraju se kontinuirano pratiti putem antivirusne konzole ili centralizirane EDR nadzorne ploče
Zajedno, te točke stvaraju jednostavan, ali snažan test dokaza: pokažite popis imovine, pokažite alat za zaštitu krajnjih uređaja, pokažite odobrenu konfiguraciju, pokažite kontinuirano praćenje, pokažite događaje, pokažite prijave i pokažite zatvaranje.
Mapiranje kontrola krajnjih uređaja prema ISO/IEC 27001:2022 i ISO/IEC 27002:2022
Zaštita krajnjih uređaja često pada na revizijama jer je timovi tretiraju kao jednu kontrolu. U stvarnosti, obrana krajnjih uređaja od zlonamjernog softvera ovisi o više međusobno pojačavajućih kontrola.
Središnje kontrole ISO/IEC 27002:2022 su A.8.1 Korisnički krajnji uređaji i A.8.7 Zaštita od zlonamjernog softvera. No učinkovita obrana krajnjih uređaja oslanja se i na upravljanje ranjivostima, zapisivanje događaja, praćenje, odgovor na incidente, sigurnosno kopiranje, web filtriranje, kontrolu prijenosnih medija, ograničenje pristupa, upravljanje dobavljačima, upravljanje uslugama u oblaku, podizanje svijesti i neprekidnost poslovanja.
Zenith Controls mapira kontrolu ISO/IEC 27002:2022 A.8.7, Zaštita od zlonamjernog softvera, kao preventivnu, detektivnu i korektivnu. Ona podržava povjerljivost, cjelovitost i dostupnost te se prirodno povezuje sa sigurnošću sustava i mreže, zaštitom informacija i sposobnostima otkrivanja. Također pokazuje da je A.8.1, Korisnički krajnji uređaji, preventivna kontrola koja podržava povjerljivost, cjelovitost i dostupnost kroz upravljanje imovinom i upravljanje krajnjim uređajima.
| Područje kontrole ISO/IEC 27002:2022 | Dokazi o krajnjim uređajima i zlonamjernom softveru koje treba čuvati | Zašto je važno u reviziji |
|---|---|---|
| A.8.1 Korisnički krajnji uređaji | Popis imovine, izvješća o usklađenosti MDM-a ili UEM-a, status šifriranja, postavke zaključavanja zaslona, mogućnost udaljenog brisanja podataka, BYOD kontrole | Dokazuje da su krajnji uređaji poznati, upravljani i zaštićeni prije odobravanja pristupa |
| A.8.7 Zaštita od zlonamjernog softvera | Izvješća o uvođenju EDR-a, postavke zaštite u stvarnom vremenu, status ažuriranja, detekcije, karantene, zapisi o izolaciji, postupanje s lažno pozitivnim rezultatima | Dokazuje da su prevencija, otkrivanje i odgovor na zlonamjerni softver aktivni i centralno upravljani |
| A.8.8 Upravljanje tehničkim ranjivostima | Skeniranja ranjivosti, SLA-ovi zakrpavanja, prijave otklanjanja nedostataka, odobrenja iznimaka, kompenzacijske kontrole | Pokazuje da se izloženost zlonamjernom softveru smanjuje otklanjanjem iskoristivih slabosti |
| A.8.15 Zapisivanje događaja i A.8.16 Aktivnosti praćenja | Dnevnički zapisi krajnjih uređaja, SIEM korelacija, trijaža upozorenja, dokazi eskalacije, nadzorne ploče, zapisi pregleda | Pokazuje da su događaji povezani sa zlonamjernim softverom vidljivi, pregledani i obrađeni |
| A.5.24 do A.5.28 Upravljanje incidentima | Postupci rješavanja incidenata, klasifikacijski zapisi, radnje odgovora, naučene lekcije, očuvanje dokaza | Pokazuje da sumnja na zlonamjerni softver postaje kontrolirano postupanje s incidentima, a ne neformalno otklanjanje poteškoća |
| A.8.13 Sigurnosne kopije i A.5.30 IKT spremnost za neprekidnost poslovanja | Izvješća o uspješnosti sigurnosnih kopija, testovi vraćanja, postavke nepromjenjivih sigurnosnih kopija, vježbe oporavka | Pokazuje da otpornost na ransomware uključuje mogućnost oporavka |
| A.5.19 do A.5.23 Kontrole dobavljača i usluga u oblaku | MDR ugovori, SLA-ovi EDR usluga, sigurnosni zahtjevi za dobavljače, obuhvat krajnjih uređaja u oblaku, izlazni aranžmani | Pokazuje da eksternalizirane usluge krajnjih uređaja ostaju pod kontrolom ISMS-a |
Zenith Controls osobito je koristan jer pokazuje kako obrana krajnjih uređaja ovisi o susjednim kontrolama. Zaštita od zlonamjernog softvera povezuje se s A.5.7 Obavještajni podaci o prijetnjama jer se obrana od zlonamjernog softvera mora prilagođavati promjenjivim taktikama. Povezuje se s A.8.8 Upravljanje tehničkim ranjivostima jer zlonamjerni softver često iskorištava poznate slabosti. Povezuje se s A.8.15 Zapisivanje događaja i A.8.16 Aktivnosti praćenja jer se detekcije, karantene, skeniranja i ažuriranja moraju prikupljati i pregledavati. Povezuje se s A.8.23 Web filtriranje jer zlonamjerne stranice ostaju čest put zaraze. Povezuje se s A.7.10 Mediji za pohranu jer prijenosni mediji mogu unijeti zlonamjerni softver ako nisu kontrolirani.
Korisnički krajnji uređaji također se povezuju s A.5.10 Prihvatljiva uporaba informacija i druge povezane imovine, A.6.7 Rad na daljinu, A.8.3 Ograničenje pristupa informacijama, A.8.5 Sigurna autentikacija, A.6.3 Svijest, edukacija i osposobljavanje o informacijskoj sigurnosti i A.6.6 Ugovori o povjerljivosti ili neotkrivanju informacija.
Jednostavno rečeno, siguran krajnji uređaj nije samo uređaj s agentom. To je radno okruženje u kojem se politika provodi.
Pretvaranje upozorenja o zlonamjernom softveru u dokaziv lanac dokaza
Vratimo se događaju zlonamjernog softvera u ponedjeljak ujutro. EDR agent izolirao je prijenosno računalo, ali spremnost za dokazivanje usklađenosti ovisi o lancu dokaza koji slijedi.
Dobar lanac dokaza za zlonamjerni softver na krajnjim uređajima uključuje:
- Zapis imovine koji prikazuje vlasnika, poslovnu funkciju, kritičnost, vrstu uređaja, operativni sustav, profil pristupa podacima i status šifriranja.
- Zapis zaštite krajnjeg uređaja koji prikazuje ispravnost rada EDR agenta, primijenjenu politiku, zaštitu od neovlaštene izmjene, status ažuriranja i skeniranje u stvarnom vremenu.
- Detekcijski zapis koji prikazuje ID upozorenja, vremensku oznaku, stablo procesa, detekcijsku logiku, ozbiljnost, zahvaćene datoteke, mrežne pokazatelje i automatizirane radnje.
- SIEM zapis koji korelira DNS, e-poštu, identitet, proxy, oblak i telemetriju krajnjeg uređaja.
- Zapis prijave koji prikazuje trijažu, eskalaciju, ograničavanje, uklanjanje prijetnje, oporavak, temeljni uzrok i zatvaranje.
- Odluku o incidentu koja pokazuje je li događaj ostao sigurnosni događaj ili je postao incident.
- Regulatornu trijažu koja pokazuje jesu li razmatrani pragovi prema NIS2, DORA ili GDPR.
- Zapis o naučenim lekcijama koji prikazuje prilagodbu politike, zakrpavanje, aktivnost podizanja svijesti, prijavu dobavljaču ili ažuriranje registra rizika.
Politika zaštite krajnjih uređaja / zlonamjernog softvera pojačava ovaj model odgovora kroz zahtjeve za provedbu politike, točka 6.3, pod naslovom:
Radnje odgovora i ograničavanja
Za SME, točka 6.3.1.2 još je izravnija:
Pružatelj IT podrške mora staviti uređaj u karantenu, potvrditi zarazu i provesti analizu temeljnog uzroka
Blokirani događaj zlonamjernog softvera ne smije nestati u konzoli. Ako je dovoljno važan za otkrivanje, dovoljno je važan za klasifikaciju, dokumentiranje i zatvaranje.
Dokazi kibernetičke higijene prema NIS2 iz zaštite krajnjih uređaja
NIS2 osnovnu kibernetičku higijenu pretvara u pitanje upravljanja. Obuhvaćene organizacije moraju razumjeti jesu li u opsegu, jesu li ključni ili važni subjekti te kako se primjenjuju obveze nacionalnog prenošenja.
Za obranu krajnjih uređaja od zlonamjernog softvera, Article 21 ključna je odredba. Zahtijeva primjerene i razmjerne tehničke, operativne i organizacijske mjere za upravljanje rizicima za mrežne i informacijske sustave te za sprječavanje ili smanjenje utjecaja incidenata. Mjere uključuju analizu rizika i politike sigurnosti informacijskih sustava, postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, sigurnu nabavu i održavanje uključujući postupanje s ranjivostima, procjenu učinkovitosti, osnovnu kibernetičku higijenu i osposobljavanje, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom te, gdje je primjereno, MFA ili kontinuiranu autentikaciju.
Dokazi s krajnjih uređaja izravno se mapiraju na ta očekivanja.
| Područje NIS2 Article 21 | Dokazi obrane krajnjih uređaja od zlonamjernog softvera |
|---|---|
| Analiza rizika i sigurnosne politike | Procjena rizika krajnjih uređaja, Politika zaštite krajnjih uređaja / zlonamjernog softvera, Izjava o primjenjivosti, plan obrade rizika |
| Postupanje s incidentima | Zapisi EDR upozorenja, prijave incidenata, procjena ozbiljnosti, radnje ograničavanja, naučene lekcije |
| Neprekidnost poslovanja | Scenariji ransomwarea, izvješća o sigurnosnim kopijama, testovi vraćanja, postupci oporavka |
| Sigurnost opskrbnog lanca | MDR ili MSP ugovori, matrica odgovornosti, uvjeti podrške za incidente, prava na reviziju |
| Postupanje s ranjivostima | SLA-ovi zakrpavanja, skeniranja ranjivosti, odobrenja iznimaka, analiza iskorištenih ranjivosti |
| Procjena učinkovitosti | Rezultati interne revizije, EDR testne detekcije, simulacije phishinga, stolne vježbe |
| Osnovna kibernetička higijena i osposobljavanje | Usklađenost polazne osnove krajnjih uređaja, zapisi o završetku obuke, osposobljavanje za phishing i zlonamjerni softver |
| Kontrola pristupa i upravljanje imovinom | Popis krajnjih uređaja, mapiranje korisnika i uređaja, uvjetni pristup, kontrole radnih stanica s povišenim ovlastima |
NIS2 Article 23 također je važan jer zlonamjerni softver može prerasti u značajan incident. Ako uzrokuje ili bi mogao uzrokovati ozbiljan operativni poremećaj, financijski gubitak ili znatnu materijalnu ili nematerijalnu štetu drugima, može biti potrebno fazno izvješćivanje. NIS2 uključuje rano upozorenje u roku od 24 sata, obavijest o incidentu u roku od 72 sata, međuažuriranja na zahtjev i završno izvješće u roku od mjesec dana nakon obavijesti.
Dokazi s krajnjih uređaja podržavaju svaku fazu. EDR upozorenje daje prvi pokazatelj. Popis imovine identificira zahvaćene usluge i kritičnost. SIEM podaci i prijave podržavaju analizu utjecaja. Zapisi o ograničavanju dokazuju poduzete radnje. Analiza temeljnog uzroka podržava završno izvješćivanje.
Odgovor spreman za NIS2 nije „imamo antivirusni softver”. Odgovor je: „poznajemo svoje krajnje uređaje, provodimo zaštitu, kontinuirano pratimo, klasificiramo incidente, osposobljavamo korisnike, upravljamo ranjivostima, čuvamo dokaze i izvješćujemo kada su pragovi ispunjeni.”
Upravljanje IKT rizicima prema DORA-i i obrana krajnjih uređaja od zlonamjernog softvera
Za financijske subjekte DORA uspostavlja sektorski okvir digitalne operativne otpornosti. Obrana krajnjih uređaja od zlonamjernog softvera snažno se mapira na upravljanje IKT rizicima, upravljanje incidentima, testiranje, neprekidnost, oporavak i rizik trećih strana u području IKT-a.
DORA Article 5 stavlja odgovornost za IKT rizik na upravljačko tijelo. Article 6 zahtijeva pouzdan, sveobuhvatan i dokumentiran okvir upravljanja IKT rizicima. Articles 8 i 9 zahtijevaju identifikaciju i klasifikaciju poslovnih funkcija podržanih IKT-om, informacijske imovine, IKT imovine, ovisnosti, kibernetičkih prijetnji, ranjivosti, konfiguracija i međuovisnosti. Obuhvaćaju i politike i alate za zaštitu, prevenciju, otkrivanje, kontrolu pristupa, snažnu autentikaciju, upravljanje promjenama i zakrpavanje.
Articles 11 i 12 ključni su za otpornost na ransomware. Zahtijevaju politiku neprekidnosti poslovanja u području IKT-a, planove odgovora i oporavka, politike sigurnosnog kopiranja, postupke vraćanja, testiranje i provjere cjelovitosti. Article 17 zahtijeva proces upravljanja incidentima povezanima s IKT-om za otkrivanje, upravljanje, klasifikaciju, evidentiranje, eskalaciju, komunikaciju i obnovu rada nakon incidenata. Article 19 uspostavlja obveze izvješćivanja o većim incidentima povezanima s IKT-om. Articles 24 do 26 obrađuju testiranje digitalne operativne otpornosti. Articles 28 do 30 obrađuju rizik trećih strana u području IKT-a i ugovorne aranžmane.
| Pitanje prema DORA-i | Dokazi s krajnjih uređaja koji pomažu |
|---|---|
| Identifikacija IKT imovine | Popis krajnjih uređaja, vlasnik, poslovna funkcija, kritičnost, mapiranje ovisnosti |
| Zaštita i prevencija | Polazna osnova EDR-a, status zakrpa, kontrola pristupa, šifriranje, web filtriranje, sigurna konfiguracija |
| Otkrivanje | EDR upozorenja, SIEM korelacija, pokazatelji ranog upozorenja, obogaćivanje obavještajnim podacima o prijetnjama |
| Upravljanje incidentima povezanima s IKT-om | Prijava incidenta zlonamjernog softvera, klasifikacija ozbiljnosti, uloge, radnje, eskalacija, temeljni uzrok |
| Oporavak i vraćanje | Zapis o ponovnoj izgradnji uređaja, dokaz vraćanja iz sigurnosne kopije ili datoteke, provjere cjelovitosti |
| Testiranje otpornosti | EDR simulacija, simulacija phishinga, skeniranja ranjivosti, penetracijska testiranja, stolne vježbe |
| Rizik trećih strana u području IKT-a | Ugovor s MDR ili EDR dobavljačem, SLA-ovi, prava na reviziju, pomoć u incidentima, izlazni planovi |
Za financijski subjekt isti incident zlonamjernog softvera koji dokazuje rad A.8.7 može pokazati i nadzorne dokaze prema DORA-i: klasifikaciju imovine, rad kontrole, upravljanje incidentom, mogućnost oporavka, povijest testiranja, odgovornost treće strane i upravljački nadzor.
GDPR Article 32 i trijaža povrede osobnih podataka
GDPR Article 32 zahtijeva od voditelja obrade i izvršitelja obrade provedbu tehničkih i organizacijskih mjera primjerenih riziku. Te mjere uključuju povjerljivost, cjelovitost, dostupnost i otpornost sustava i usluga obrade, sposobnost vraćanja dostupnosti i pristupa osobnim podacima te redovito testiranje, procjenu i vrednovanje sigurnosnih mjera.
Zlonamjerni softver na krajnjem uređaju postaje GDPR dokaz kada krajnji uređaj može pristupiti osobnim podacima: evidencijama klijenata, prijavama podrške, HR datotekama, izvozima, informacijama povezanim s plaćanjem, zdravstvenim informacijama, posebnim kategorijama podataka, zapisima dnevnika autentikacije ili aplikacijama u oblaku koje sadrže osobne podatke.
Pitanje privatnosti ovisi o činjenicama. Je li se zlonamjerni softver izvršio? Je li pristupio datotekama? Je li prikupio vjerodajnice? Jesu li tokeni ukradeni? Jesu li podaci izneseni? Je li krajnji uređaj bio šifriran? Je li račun deaktiviran? Jesu li sesije opozvane? Jesu li dnevnički zapisi bili dostupni? Jesu li zahvaćeni osobni podaci identificirani? Je li procijenjen rizik za pojedince?
Telemetrija krajnjih uređaja često je jedini vjerodostojan način odgovora na ta pitanja.
Paket dokaza s krajnjeg uređaja spreman za GDPR treba povezati klasifikaciju podataka i evidencije obrade, putove pristupa s krajnjih uređaja, šifriranje, ograničenje pristupa, EDR telemetriju, SIEM dnevničke zapise, analizu iznošenja podataka, radnje resetiranja vjerodajnica, zapise o oporavku, pravni pregled, odlučivanje o povredi i naučene lekcije.
Timovi za privatnost trebaju sudjelovati u oblikovanju operativnih uputa za incidente na krajnjim uređajima. Čekanje do nakon incidenta zlonamjernog softvera da bi se postavilo pitanje jesu li osobni podaci bili zahvaćeni stvara izbježan rizik odgovornosti.
Izgradite 30-minutni paket dokaza o zlonamjernom softveru na krajnjim uređajima
Prije sljedeće revizije odaberite jednu detekciju zlonamjernog softvera na krajnjem uređaju iz posljednjih 90 dana, čak i ako je bila niske ozbiljnosti ili blokirana testna datoteka. Izgradite paket dokaza kao da ga je revizor odabrao kao uzorak.
Koristite Zenith Blueprint, fazu Primjena kontrola, Korak 19, kao scenarij za pregled. Korak 19 upućuje timove da pregledaju strategiju zaštite od zlonamjernog softvera provjerom jesu li na svim krajnjim uređajima instalirani centralno upravljana zaštita od zlonamjernog softvera ili EDR, jesu li aktivni i automatski ažurirani, obuhvaća li skeniranje u stvarnom vremenu vrste datoteka, mrežnu aktivnost i prijenosne medije, postoje li zaštite na pristupnicima, jesu li nedavni dnevnički zapisi o zlonamjernom softveru ili karanteni istraženi i riješeni te primaju li korisnici kontinuiranu obuku o phishingu i zlonamjernom softveru.
Prikupite ove dokaze:
- Zapis imovine: naziv uređaja, serijski broj, korisnik, vlasnik, poslovna jedinica, lokacija, vrsta uređaja, operativni sustav, kritičnost, profil pristupa podacima.
- Uključenje u EDR: snimka zaslona ili izvoz koji pokazuje da je agent instaliran, aktivan, ažuriran, da je politika primijenjena i da je zaštita od neovlaštene izmjene omogućena.
- Usklađenost s polaznom osnovom: šifriranje, zaključavanje zaslona, vatrozid, status lokalnog administratora, razina zakrpanosti, status zabranjenog softvera.
- Detekcijski zapis: ID upozorenja, vremenska oznaka, naziv detekcije ili ponašanje, ozbiljnost, stablo procesa, zahvaćene datoteke, mrežni pokazatelji.
- Radnja ograničavanja: karantena, izolacija, prekid procesa, uklanjanje datoteke, ponovna izgradnja uređaja, resetiranje vjerodajnica.
- Bilješke istrage: trijaža analitičara, temeljni uzrok, phishing put, web put, put iskorištavanja, procjena zahvaćenih podataka.
- Odluka o incidentu: sigurnosni događaj ili incident, procjena pragova prema NIS2, DORA i GDPR gdje je relevantno.
- Dokaz zatvaranja: zatvaranje prijave, odobrenje, naučene lekcije, ažuriranje registra rizika ako je potrebno.
- Metrike: vrijeme do otkrivanja, vrijeme do ograničavanja, vrijeme do otklanjanja, broj sličnih upozorenja, status lažno pozitivnog rezultata.
- Radnja poboljšanja: blokirana domena, podešavanje pravila e-pošte, uvođenje zakrpe, dodjela obuke za podizanje svijesti korisnika, eskalacija dobavljaču.
Sada usporedite paket dokaza sa svojom politikom. Ako korporativna politika navodi da svi krajnji uređaji moraju biti uključeni u centralno upravljanu zaštitu od zlonamjernog softvera s obveznom polaznom osnovom, možete li to dokazati? Ako SME politika navodi da se događaji povezani sa zlonamjernim softverom moraju kontinuirano pratiti putem antivirusne konzole ili centralizirane EDR nadzorne ploče, možete li pokazati nadzornu ploču, osobu koja je pregledava, upozorenje, prijavu i zatvaranje?
Tako EDR podaci postaju revizijski dokazi.
Kako različiti revizori testiraju iste kontrole krajnjih uređaja
Različiti timovi za osiguranje promatrat će zaštitu krajnjih uređaja kroz različite perspektive. Dokazi mogu biti isti, ali pitanja se mijenjaju.
| Perspektiva revizora | Što obično testiraju | Dokazi koji zadovoljavaju pitanje |
|---|---|---|
| Revizor ISO/IEC 27001:2022 | Jesu li kontrole krajnjih uređaja odabrane kroz obradu rizika, uključene u Izjavu o primjenjivosti, implementirane, praćene i poboljšavane | Procjena rizika, unos u SoA, politika krajnjih uređaja, izvješće o uvođenju EDR-a, prijave praćenja, rezultati interne revizije |
| Pregledavatelj kibernetičke higijene prema NIS2 | Podržava li sigurnost krajnjih uređaja razmjerno upravljanje rizicima, postupanje s incidentima, postupanje s ranjivostima, kontrolu pristupa, upravljanje imovinom i osposobljavanje | Popis krajnjih uređaja, usklađenost s polaznom osnovom, EDR upozorenja, zapisi o incidentima, metrike zakrpa, zapisi osposobljavanja |
| Pregledavatelj IKT rizika prema DORA-i | Podržava li obrana krajnjih uređaja identifikaciju IKT imovine, otpornost, upravljanje incidentima, testiranje, neprekidnost i nadzor trećih strana u području IKT-a | Mapiranje IKT imovine, klasifikacija incidenta, rezultati testiranja otpornosti, dokazi o sigurnosnim kopijama, MDR ugovor, izvješćivanje upravi |
| Pregledavatelj privatnosti prema GDPR-u | Podržavaju li kontrole krajnjih uređaja sigurnost obrade i procjenu povrede | Mapiranje pristupa podacima, šifriranje, dnevnički zapisi, analiza iznošenja podataka, trijaža povrede, dokazi ograničavanja i oporavka |
| Procjenitelj NIST CSF 2.0 | Jesu li ishodi upravljanja, identifikacije, zaštite, otkrivanja, odgovora i oporavka integrirani | Trenutačni i ciljni profil, popis imovine, kontrole pristupa, praćenje, odgovor na incidente, dokazi oporavka |
| Pregledavatelj upravljanja u stilu COBIT 2019 | Jesu li vlasništvo, ciljevi, učinkovitost, rizik i osiguranje definirani | RACI, KPI-jevi, KRI-jevi, izvješćivanje upravljačkom tijelu, dokazi vlasnika kontrola, iznimke, praćenje otklanjanja nedostataka |
| Interni revizor ISACA | Jesu li kontrole učinkovito osmišljene i dosljedno operativne kroz uzorke | Testiranje uzoraka, snimke zaslona, izvozi konfiguracije, odobrenja iznimaka, ponovno izvođenje provjera praćenja |
NIST CSF 2.0 osobito je koristan kao izvršni jezik premošćivanja. Njegova funkcija GOVERN podržava očekivanja dionika, pravne obveze, apetit za rizik, odgovornost, politiku, resurse i nadzor. Njegove operativne funkcije pomažu objasniti kako upravljanje imovinom, kontrola pristupa, zaštita podataka, praćenje, odgovor na incidente, ograničavanje, uklanjanje prijetnje, oporavak i komunikacije djeluju zajedno.
U Clarysec projektima ISO/IEC 27001:2022 pruža formalnu okosnicu ISMS-a, Zenith Controls pruža vodič za mapiranje višestruke usklađenosti, a NIST CSF 2.0 pruža komunikacijski sloj razumljiv upravljačkom tijelu.
Usluge krajnjih uređaja kojima upravljaju dobavljači dio su modela dokaza
Mnoge organizacije dijelove obrane krajnjih uređaja povjeravaju MSP-ovima, MSSP-ovima, MDR pružateljima, pružateljima virtualnih radnih površina u oblaku ili EDR dobavljačima. Izdvajanje može poboljšati sposobnost, ali ne prenosi odgovornost.
NIS2 Article 21 uključuje sigurnost opskrbnog lanca i odnose s dobavljačima. DORA za financijske subjekte ide dalje i zahtijeva strategiju rizika trećih strana u području IKT-a, registre ugovornih aranžmana, dubinsku analizu dobavljača, analizu rizika koncentracije, prava na reviziju i inspekciju, prava raskida, pomoć u incidentima, izlazne strategije i jasnu dodjelu odgovornosti. ISO/IEC 27001:2022 Annex A uključuje kontrole odnosa s dobavljačima, ugovore s dobavljačima, kontrole IKT opskrbnog lanca, praćenje i upravljanje promjenama usluga dobavljača te nabavu, uporabu, upravljanje i izlazak iz usluga u oblaku.
Dokazi izdvojenih usluga krajnjih uređaja trebaju uključivati:
- Dubinsku analizu dobavljača prije uvođenja.
- Ugovorne odredbe za praćenje, obavješćivanje o incidentima, pristup, lokaciju podataka, prava na reviziju, razine usluge i suradnju.
- Matricu odgovornosti za trijažu upozorenja, izolaciju, analizu temeljnog uzroka, izvješćivanje i očuvanje dokaza.
- Izvješća koja prikazuju učinkovitost dobavljača i usklađenost sa SLA-om.
- Dokaze da se incidenti dobavljača i prekidi platforme pregledavaju.
- Izlazni plan ako EDR ili MDR pružatelj zakaže, bude raskinut ili postane neprihvatljiv.
- Potvrdu da dnevnički zapisi i forenzički dokazi ostaju dostupni organizaciji.
Čest neuspjeh na reviziji jest MDR nadzorna ploča bez vlasništva. Organizacija može vidjeti upozorenja, ali ne može dokazati tko je vlasnik rizika, što pružatelj mora učiniti, kako se pregledava kvaliteta upozorenja ili kako se dokazi čuvaju za regulatorne i pravne potrebe.
Metrike koje pretvaraju alate krajnjih uređaja u dokaze za upravljanje
Upravljačkim tijelima i regulatorima nije potreban sirovi volumen upozorenja. Potrebni su im pokazatelji koji pokazuju je li rizik zlonamjernog softvera na krajnjim uređajima pod kontrolom.
| Metrika | Zašto je važna |
|---|---|
| Postotak obuhvata krajnjih uređaja | Pokazuje jesu li poznati krajnji uređaji zaštićeni odobrenim EDR-om ili zaštitom od zlonamjernog softvera |
| Broj neupravljanih krajnjih uređaja | Ističe neuspjehe popisa imovine, uvođenja ili shadow IT-a |
| Postotak ispravnosti rada agenata | Pokazuje jesu li agenti aktivni, ažurirani i izvješćuju li |
| Usklađenost kritičnih krajnjih uređaja sa zakrpama | Povezuje izloženost zlonamjernom softveru s upravljanjem ranjivostima |
| Prosječno vrijeme do otkrivanja | Pokazuje učinkovitost praćenja |
| Prosječno vrijeme do izolacije | Pokazuje brzinu ograničavanja za ransomware i zlonamjerni softver |
| Ponavljanje zlonamjernog softvera po korisniku ili poslovnoj jedinici | Identificira slabosti u osposobljavanju, procesu ili pristupu |
| Stopa neuspjeha karantene | Pokazuje jesu li radnje odgovora pouzdane |
| Iznimke visokog rizika otvorene nakon isteka SLA-a | Pokazuje disciplinu upravljanja |
| Stopa uspješnosti testova vraćanja | Pokazuje otpornost ako zlonamjerni softver uzrokuje poremećaj |
| Incidenti s dovršenom analizom temeljnog uzroka | Pokazuje učenje i kontinuirano poboljšavanje |
Te metrike podržavaju vrednovanje učinkovitosti i preispitivanje od strane uprave prema ISO/IEC 27001:2022, nadzor upravljačkog tijela prema NIS2, upravljanje i strategiju IKT rizika prema DORA-i, odgovornost prema GDPR-u i planiranje interne revizije.
Korporativna Politika zaštite krajnjih uređaja / zlonamjernog softvera, odjeljak Provedba i usklađenost, točka 8.2 navodi:
Interna revizija mora provoditi periodične preglede usklađenosti zaštite krajnjih uređaja, uključujući:
Interna revizija može pretvoriti navedene metrike u tromjesečni test kontrole: uzorkovati krajnje uređaje, usporediti popis imovine s uključenjem u EDR, provjeriti skeniranje u stvarnom vremenu, pregledati status zakrpa, potvrditi da korisnici ne mogu onemogućiti zaštitu, pregledati nedavna upozorenja o zlonamjernom softveru i pratiti odabrana upozorenja od detekcije do zatvaranja.
Uobičajene praznine u dokazima krajnjih uređaja koje Clarysec pronalazi
Čak se i zrele organizacije bore s kvalitetom dokaza o krajnjim uređajima. Iste se praznine ponavljaju:
- Popis imovine i EDR popis nisu usklađeni.
- Radne stanice razvojnih inženjera manje su kontrolirane od standardnih prijenosnih računala.
- Mobilni uređaji isključeni su iz dokaza o krajnjim uređajima.
- BYOD pristup dopušten je bez provedivih kontrola sigurnosnog stanja uređaja.
- EDR agenti su instalirani, ali je zaštita od neovlaštene izmjene onemogućena.
- Upozorenja prati pružatelj usluga, ali su pravila eskalacije nejasna.
- Zlonamjerni softver u karanteni nije povezan s prijavom incidenta.
- Analiza temeljnog uzroka preskače se za „blokirane” detekcije.
- Iznimkama zakrpa nedostaje odobrenje vlasnika rizika ili datum isteka.
- Dnevnički zapisi čuvaju se prekratko da bi podržali procjenu povrede.
- Vraćanje iz sigurnosnih kopija testira se općenito, ali ne prema scenarijima ransomwarea.
- Izvješćivanje upravljačkom tijelu prikazuje broj upozorenja umjesto smanjenja rizika.
Rješenje nije još više proračunskih tablica. Rješenje je povezan operativni model u kojem se politika, popis imovine, konfiguracija krajnjih uređaja, praćenje, odgovor na incidente, upravljanje dobavljačima, regulatorna trijaža, metrike i revizijsko testiranje međusobno pojačavaju.
Deset radnih dana do obrane krajnjih uređaja od zlonamjernog softvera spremne za reviziju
Ako trebate brzu početnu točku, poduzmite ove radnje u sljedećih deset radnih dana:
- Izvezite popis krajnjih uređaja i EDR popis, zatim ih uskladite.
- Identificirajte neupravljane, neaktivne, zastarjele, duplicirane krajnje uređaje i krajnje uređaje s iznimkama.
- Potvrdite skeniranje u stvarnom vremenu, zaštitu od neovlaštene izmjene, automatsko ažuriranje, izolaciju i postavke karantene.
- Uzorkujte pet upozorenja o zlonamjernom softveru i pratite svako do istrage i zatvaranja.
- Provjerite mogu li događaji s krajnjih uređaja podržati trijažu incidenata prema NIS2, DORA i GDPR.
- Pregledajte ugovore s MDR, MSP i EDR dobavljačima u pogledu podrške za incidente, pristupa dokazima, prava na reviziju, SLA-ova i izlaznih uvjeta.
- Dodajte obuhvat krajnjih uređaja, ispravnost rada agenata, vrijeme izolacije, usklađenost sa zakrpama i dovršenje analize temeljnog uzroka u izvješćivanje upravi.
- Provedite uzorak interne revizije koristeći kontrolni popis Zenith Blueprint Korak 19.
- Upotrijebite Zenith Controls za mapiranje A.8.1 i A.8.7 na zapisivanje događaja, praćenje, upravljanje ranjivostima, odgovor na incidente, kontrole dobavljača i oporavak.
- Ažurirajte svoju upravljačku polaznu osnovu koristeći Clarysecovu Politiku zaštite krajnjih uređaja / zlonamjernog softvera ili SME Politiku zaštite krajnjih uređaja - zlonamjerni softver.
Obrana krajnjih uređaja od zlonamjernog softvera u 2026. nije samo zaustavljanje ransomwarea. Riječ je o dokazivanju da vaša organizacija može spriječiti, otkriti, ograničiti, oporaviti se, izvijestiti i poboljšati se.
Clarysec vam može pomoći pretvoriti zaštitu krajnjih uređaja iz uvođenja alata u dokaziv sustav dokaza višestruke usklađenosti. Preuzmite Politiku zaštite krajnjih uređaja / zlonamjernog softvera, započnite sa SME Politikom zaštite krajnjih uređaja - zlonamjerni softver ako trebate jednostavniji operativni model, upotrijebite Zenith Blueprint za implementaciju kontrola i Zenith Controls za povezivanje dokaza s krajnjih uređaja s ISO/IEC 27001:2022, NIS2, DORA, GDPR Article 32, NIST CSF 2.0 i revizijskim očekivanjima.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council