Végponti kártevővédelem: ISO 27001 bizonyítékok az uniós követelményekhez

Hétfőn 07:42 van. Egy pénzügyi vezető megnyit egy beszállítói számlát egy legitimnek tűnő e-mail-beszélgetésből. Percekkel később a végponti észlelési konzol gyanús szkriptfuttatást, perzisztencia-kísérletet és egy ismeretlen domain felé irányuló kimenő forgalmat jelez. Az EDR-ügynök automatikusan elszigeteli a laptopot. A zsarolóvírus-lánc még a titkosítás megkezdése előtt megszakad.
A biztonsági üzemeltetés eredményes volt. A nehéz kérdés azonban ezután következik.
Az információbiztonsági vezetőtől nemcsak azt kérdezik: „Megállítottuk a kártevőt?” A vezérigazgató és az igazgatóság azt kérdezi: „Bizonyítani tudjuk, hogy ez nem szerencse volt, hanem tervezetten kialakított reziliencia? Meg tudjuk mutatni az auditoroknak, ügyfeleknek, szabályozó hatóságoknak és biztosítóknak, hogy a végpontvédelmünk az ISO/IEC 27001:2022, a NIS2 szerinti kiberhigiénia, a DORA szerinti IKT-kockázatkezelés és a GDPR Article 32 követelményeinek megfelelően működött?”
Ez a végpontbiztonság meghatározó kihívása 2026-ban. A végpontvédelem már nem pusztán informatikai üzemeltetési funkció. Megfelelőségi bizonyítékrendszer.
Egyetlen laptopon keletkezett kártevőriasztásból lehet ISO/IEC 27001:2022 auditminta, NIS2 szerinti jelentős incidens értékelése, DORA szerinti IKT-hoz kapcsolódó incidensnyilvántartás, GDPR szerinti adatvédelmi incidens triázsa, beszállítói kockázati egyeztetés és igazgatósági irányítási felülvizsgálat. Az ezt jól kezelő szervezetek nem csupán EDR-t vezetnek be. A szabályzatot, az eszköznyilvántartást, a technikai kontrollokat, a monitorozást, az incidensreagálást, a jogi triázst, a beszállítói szerződéseket, a mutatókat és a folyamatos fejlesztést egyetlen igazolható kontrollnarratívába kapcsolják össze.
A Clarysec ugyanazt a mintát látja a SaaS-, fintech-, menedzselt szolgáltatási és szabályozott digitális környezetekben. A legtöbb szervezetnek már megvannak az erős eszközei: EDR, vírusvédelem, MDM, sérülékenységvizsgálók, SIEM, e-mail-biztonság, webszűrés, biztonsági mentési platformok és jegykezelő rendszerek. A hiányosság rendszerint nem a technológia. A hiányosság a bizonyítékok kialakításában van.
Ez a cikk bemutatja, hogyan építhetők auditkész végponti kártevővédelmi bizonyítékok az ISO/IEC 27001:2022 IBIR-gerincként való használatával, a Clarysec Végpontvédelem / kártevővédelmi szabályzat Végpontvédelem / kártevővédelmi szabályzat, a KKV-knak szóló Végpontvédelem – kártevővédelmi szabályzat Végpontvédelem – kártevővédelmi szabályzat – KKV, a Zenith Blueprint: auditoroknak szóló 30 lépéses ütemterv Zenith Blueprint, valamint a Zenith Controls: keresztmegfelelési útmutató Zenith Controls alapján.
Miért vált a végponti kártevővédelem igazgatósági szintű megfelelőségi kérdéssé
A modern végpont az a hely, ahol az identitás, az üzleti adatok, a felhasználói viselkedés, a támadói módszertan és a szabályozói elszámoltathatóság találkozik. A laptopok otthoni hálózatokról és repülőterekről kapcsolódnak. A fejlesztők helyi eszközöket futtatnak. A felső vezetők gyorsítótárazott e-mailekkel és fájlokkal utaznak. A vállalkozók felügyelt vagy részben felügyelt eszközöket használhatnak. A mobiltelefonok MFA-jóváhagyási kérelmeket hagynak jóvá. A felhőalapú munkaterhelések és szerverek EDR-szempontból végpontként viselkednek.
A Zenith Blueprint Controls in Action szakaszának 19. lépésében, a Technological Controls I részben a Clarysec a felhasználói végponti eszközöket a szervezet „ajtóinak és ablakainak” nevezi:
A felhasználói végponti eszközök — laptopok, okostelefonok, táblagépek, asztali gépek és akár vékonykliensek — azok a pontok, ahol a digitális interakció megkezdődik. Ezek jelentik a rendszereibe vezető ajtókat és ablakokat. És mint bármely fizikai szerkezet esetében, ezeket meg kell erősíteni, monitorozni kell, és kontroll alatt kell tartani.
Ez a keretezés azért fontos, mert a végpontvédelem nem csak a kártevők blokkolásáról szól. Bizonyítania kell, hogy a szervezet tudja, mely eszközök léteznek, szabályozza azok használatát, érvényesíti a biztonsági alapkonfigurációkat, észleli a kompromittálódást, következetesen reagál, megőrzi a bizonyítékokat, helyreállítja a működést, és az incidensek után fejleszt.
Egy érett végponti kártevővédelmi programnak habozás nélkül meg kell tudnia válaszolni négy auditkérdést:
- Ismerjük-e az összes olyan végpontot, amely üzleti rendszerekhez vagy személyes adatokhoz férhet hozzá?
- Minden végpontot jóváhagyott, központilag kezelt kártevővédelmi megoldás vagy EDR véd?
- Tudjuk-e bizonyítani a konfigurációt, a vizsgálatot, a frissítéseket, a riasztásokat, a karantént, az elszigetelést, a kivizsgálást és a lezárást?
- Össze tudjuk-e kapcsolni a végponti eseményeket a kockázatkezeléssel, az incidensreagálással, a szabályozói jelentéstétellel, a beszállítói felügyelettel és a vezetőségi felülvizsgálattal?
Az ISO/IEC 27001:2022 biztosítja az ezek megválaszolásához szükséges irányítási rendszert. A 4.1–4.4 pontok előírják, hogy a szervezet határozza meg a kontextust, az érdekelt feleket, a jogi és szerződéses kötelezettségeket, az interfészeket, a függőségeket és az IBIR alkalmazási területét. A végpontvédelem esetében az alkalmazási terület nem állhat meg a „vállalati IT”-nál. Figyelembe kell vennie a távmunkát, a kiemelt jogosultságú munkaállomásokat, a mobil eszközöket, a felhőhozzáférést, a beszállító által kezelt eszközöket, a végponti naplókat, a kiszervezett SOC- vagy MDR-szolgáltatásokat, valamint minden olyan végpontot, amely hatással lehet az információbiztonságra.
Az 5.1–5.3 pontok egyértelművé teszik a vezetői elszámoltathatóságot. A felső vezetésnek támogatnia kell az IBIR-t, ki kell jelölnie a szerepköröket, biztosítania kell az erőforrásokat, és gondoskodnia kell a szabályzatokkal való összhangról. Végponti szempontból az igazgatóság nem hagyhat jóvá kiberhigiéniai célokat úgy, hogy közben az EDR-licencelés, a javítási elmaradások, a BYOD-kivételek vagy az MDR-eszkalációs hiányosságok megoldatlanok maradnak.
A 6.1.1–6.1.3 pontok hozzák létre a kockázatkezelési motort. A végponti kártevőkockázatokat azonosítani, értékelni és kezelni kell, meg kell feleltetni az A melléklet kontrolljainak, szerepeltetni kell az alkalmazhatósági nyilatkozatban, és ahol maradványkockázat marad, azt a kockázatgazdáknak el kell fogadniuk. A 8.1–8.3 pontok ezt követően a kockázatkezelést szabályozott működéssé, tervezett változtatásokká, időszakos vagy jelentős változás utáni kockázatértékeléssé és kockázatkezelési eredményekké alakítják.
Az audittörténet nem az, hogy „telepítettük az EDR-t”. Az audittörténet az, hogy „a végponti kártevőkockázat azonosított, értékelt, kezelt, működtetett, monitorozott, tesztelt, bizonyítékokkal alátámasztott, jelentett és fejlesztett”.
A Clarysec szabályzati hídja az EDR-beállításoktól az auditbizonyítékokig
A szabályzat az a pont, ahol a technikai valóság auditálható szándékká válik. Szabályzat nélkül a végponti konfigurációk csupán eszközbeállítások. Szabályzattal ezek a beállítások kontrollkövetelményekké válnak.
A Clarysec vállalati Végpontvédelem / kártevővédelmi szabályzat dokumentuma az 1.3 pontban teremti meg ezt a hidat:
Ez a szabályzat közvetlenül támogatja az ISO/IEC 27001:2022 8.1 pontja és az A melléklet 8.7 kontrollja szerinti megfelelést, és összhangban áll a GDPR, a NIS2 és a DORA szerinti regionális kiberbiztonsági kötelezettségekkel.
Ez az egy pont közvetlen kapcsolatot teremt a szervezet számára a végponti működés és az ISO/IEC 27001:2022, a NIS2, a DORA és a GDPR között. Az auditorok ezután tesztelhetik, hogy a szervezet tényleges végponti programja megfelel-e a szabályzati vállalásnak.
Ugyanez a vállalati szabályzat az Irányítási követelmények 5.2 pontjában rögzíti az elvárt működési modellt:
Minden végpontot központilag kezelt kártevővédelmi rendszerekbe (például EDR, vírusvédelem vagy egyenértékű platformok) kell regisztrálni, érvényesített előírt alapkonfigurációval.
Pontosan az ilyen állításokat kedvelik az auditorok, mert tesztelhetők. Ha „minden végpontot” regisztrálni kell, a bizonyítékoknak meg kell mutatniuk a teljes végpontállományt, az elvárt EDR-állományt, a regisztrációs állapotot, a kivételeket, a kompenzáló kontrollokat és a javító intézkedések előrehaladását.
KKV-k számára a Végpontvédelem – kártevővédelmi szabályzat közvetlen, operatív követelményeket ad. Az 5.1.3 pont kimondja:
Minden végpontot rögzíteni kell az IT-eszköznyilvántartásban, és össze kell kapcsolni a használt végpontvédelmi eszközzel.
Az 5.2.1 pont hozzáteszi:
Minden végpont kizárólag a szervezet által jóváhagyott vírusvédelmi vagy EDR- (végponti észlelési és reagálási) megoldást futtathat.
A 6.1.1.1 pont előírja:
A valós idejű vírusvédelmi és kártevőellenes vizsgálatot folyamatosan futtatni kell.
A 8.1.1 pont pedig előírja:
A kártevőeseményeket folyamatosan monitorozni kell a vírusvédelmi konzolon vagy a központosított EDR-irányítópulton keresztül.
Ezek a pontok együtt egyszerű, de erős bizonyítéktesztet hoznak létre: mutassa be a nyilvántartást, mutassa be a végpontvédelmi eszközt, mutassa be a jóváhagyott konfigurációt, mutassa be a folyamatos monitorozást, mutassa be az eseményeket, mutassa be a jegyeket és a lezárást.
ISO/IEC 27001:2022 és ISO/IEC 27002:2022 végponti kontrollmegfeleltetés
A végpontvédelem gyakran azért bukik el auditon, mert a csapatok egyetlen kontrollként kezelik. Valójában a végponti kártevővédelem több, egymást erősítő kontrolltól függ.
A központi ISO/IEC 27002:2022 kontrollok az A.8.1 Felhasználói végponti eszközök és az A.8.7 Kártevők elleni védelem. A hatékony végpontvédelem azonban a sérülékenységkezelésre, a naplózásra, a monitorozásra, az incidensreagálásra, a biztonsági mentésre, a webszűrésre, a hordozható adathordozók kezelésére, a hozzáférés-korlátozásra, a beszállító-kezelésre, a felhőszolgáltatások irányítására, a tudatosságra és az üzletmenet-folytonosságra is támaszkodik.
A Zenith Controls az ISO/IEC 27002:2022 A.8.7 Kártevők elleni védelem kontrollt megelőző, észlelő és korrekciós kontrollként térképezi fel. Támogatja a bizalmasságot, a sértetlenséget és a rendelkezésre állást, valamint természetes módon kapcsolódik a rendszer- és hálózatbiztonsághoz, az információvédelemhez és az észlelési képességekhez. Azt is megmutatja, hogy az A.8.1 Felhasználói végponti eszközök megelőző kontroll, amely az eszközkezelésen és a végpontirányításon keresztül támogatja a bizalmasságot, a sértetlenséget és a rendelkezésre állást.
| ISO/IEC 27002:2022 kontrollterület | Megőrzendő végponti és kártevővédelmi bizonyíték | Miért fontos audit során |
|---|---|---|
| A.8.1 Felhasználói végponti eszközök | Eszköznyilvántartás, MDM- vagy UEM-megfelelőségi jelentések, titkosítási állapot, képernyőzár-beállítások, távoli törlés lehetősége, BYOD-kontrollok | Bizonyítja, hogy a végpontok ismertek, irányítottak és védettek a hozzáférés engedélyezése előtt |
| A.8.7 Kártevők elleni védelem | EDR-telepítési jelentések, valós idejű védelmi beállítások, frissítési állapot, észlelések, karanténok, elkülönítési bejegyzések, téves pozitív találatok kezelése | Bizonyítja, hogy a kártevőmegelőzés, -észlelés és -reagálás aktív és központilag kezelt |
| A.8.8 Technikai sérülékenységek kezelése | Sérülékenységvizsgálatok, javítási SLA-k, javító intézkedési jegyek, kivételjóváhagyások, kompenzáló kontrollok | Megmutatja, hogy a kártevőkitettség csökken a kihasználható gyengeségek javításával |
| A.8.15 Naplózás és A.8.16 Monitorozási tevékenységek | Végponti naplók, SIEM-korreláció, riasztási triázs, eszkalációs bizonyítékok, irányítópultok, felülvizsgálati feljegyzések | Megmutatja, hogy a kártevőesemények láthatók, felülvizsgáltak és intézkedés követi őket |
| A.5.24 to A.5.28 Incidenskezelés | Incidenseljárások, besorolási bejegyzések, reagálási intézkedések, tanulságok, bizonyítékmegőrzés | Megmutatja, hogy a gyanított kártevőesemény kontrollált incidenskezeléssé válik, nem informális hibaelhárítássá |
| A.8.13 Biztonsági mentések és A.5.30 IKT-felkészültség az üzletmenet-folytonosságra | Sikeres biztonsági mentési jelentések, helyreállítási tesztek, módosíthatatlan biztonsági mentések beállításai, helyreállítási gyakorlatok | Megmutatja, hogy a zsarolóvírussal szembeni reziliencia magában foglalja a helyreállíthatóságot |
| A.5.19 to A.5.23 Beszállítói és felhőszolgáltatási kontrollok | MDR-szerződések, EDR-szolgáltatási SLA-k, beszállítói biztonsági követelmények, felhőalapú végponti lefedettség, kilépési megállapodások | Megmutatja, hogy a kiszervezett végponti szolgáltatások az IBIR kontrollja alatt maradnak |
A Zenith Controls különösen hasznos, mert megmutatja, hogy a végpontvédelem hogyan függ a kapcsolódó kontrolloktól. A Kártevők elleni védelem kapcsolódik az A.5.7 Fenyegetettségi információk kontrollhoz, mert a kártevők elleni védekezésnek alkalmazkodnia kell a változó taktikákhoz. Kapcsolódik az A.8.8 Technikai sérülékenységek kezelése kontrollhoz, mert a kártevők gyakran ismert gyengeségeket használnak ki. Kapcsolódik az A.8.15 Naplózás és az A.8.16 Monitorozási tevékenységek kontrollokhoz, mert az észleléseket, karanténokat, vizsgálatokat és frissítéseket gyűjteni és felülvizsgálni kell. Kapcsolódik az A.8.23 Webszűrés kontrollhoz, mert a rosszindulatú webhelyek továbbra is gyakori fertőzési útvonalak. Kapcsolódik az A.7.10 Adathordozók kontrollhoz, mert a hordozható adathordozók kártevőket juttathatnak be, ha nincsenek kontroll alatt.
A Felhasználói végponti eszközök kapcsolódik továbbá az A.5.10 Információk és egyéb kapcsolódó vagyonelemek elfogadható használata, az A.6.7 Távmunka, az A.8.3 Információ-hozzáférés korlátozása, az A.8.5 Biztonságos hitelesítés, az A.6.3 Információbiztonsági tudatosság, oktatás és képzés, valamint az A.6.6 Titoktartási vagy bizalmas kezelési megállapodások kontrollokhoz.
Egyszerűen fogalmazva: a biztonságos végpont nem csupán egy ügynökkel ellátott eszköz. Szabályzattal érvényesített munkakörnyezet.
Kártevőriasztás átalakítása igazolható bizonyítéklánccá
Térjünk vissza a hétfő reggeli kártevőeseményhez. Az EDR-ügynök elszigetelte a laptopot, de a megfelelőségi felkészültség az ezt követő bizonyítéklánctól függ.
Egy jó végponti kártevővédelmi bizonyítéklánc tartalmazza:
- Az eszköznyilvántartási bejegyzést, amely mutatja a tulajdonost, az üzleti funkciót, a kritikusságot, az eszköztípust, az operációs rendszert, az adathozzáférési profilt és a titkosítási állapotot.
- A végpontvédelmi bejegyzést, amely mutatja az EDR-ügynök működőképességét, az alkalmazott szabályzatot, a manipuláció elleni védelmet, a frissítési állapotot és a valós idejű vizsgálatot.
- Az észlelési bejegyzést, amely mutatja a riasztásazonosítót, az időbélyeget, a folyamatfát, az észlelési logikát, a súlyosságot, az érintett fájlokat, a hálózati indikátorokat és az automatizált intézkedéseket.
- A SIEM-bejegyzést, amely korrelálja a DNS-, e-mail-, identitás-, proxy-, felhő- és végponti telemetriát.
- A jegybejegyzést, amely mutatja a triázst, az eszkalációt, az elszigetelést, az eltávolítást, a helyreállítást, a gyökérokot és a lezárást.
- Az incidensdöntést, amely mutatja, hogy az esemény biztonsági esemény maradt-e, vagy incidenssé vált.
- A szabályozói triázst, amely mutatja, hogy a NIS2, a DORA vagy a GDPR küszöbértékeit figyelembe vették-e.
- A tanulságok bejegyzését, amely mutatja a szabályzathangolást, a javítások telepítését, a tudatossági intézkedést, a beszállítói jegyet vagy a kockázati nyilvántartás frissítését.
A Végpontvédelem / kártevővédelmi szabályzat a szabályzat végrehajtásának követelményei között, a 6.3 pontban erősíti meg ezt a reagálási modellt, amelynek címe:
Reagálási és elszigetelési intézkedések
KKV-k esetében a 6.3.1.2 pont még közvetlenebb:
Az IT-támogatási szolgáltatónak karanténba kell helyeznie az eszközt, meg kell erősítenie a fertőzést, és gyökérok-elemzést kell végeznie.
Egy blokkolt kártevőesemény nem tűnhet el a konzolban. Ha elég fontos ahhoz, hogy észleljük, akkor elég fontos ahhoz is, hogy besoroljuk, dokumentáljuk és lezárjuk.
NIS2 kiberhigiéniai bizonyítékok a végpontvédelemből
A NIS2 az alapvető kiberhigiéniát irányítási kérdéssé teszi. Az érintett szervezeteknek érteniük kell, hogy hatály alá tartoznak-e, alapvető vagy fontos szervezetnek minősülnek-e, és hogyan vonatkoznak rájuk a nemzeti átültetési kötelezettségek.
A végponti kártevővédelem szempontjából az Article 21 a kulcsrendelkezés. Megfelelő és arányos technikai, operatív és szervezeti intézkedéseket követel meg a hálózati és információs rendszereket érintő kockázatok kezelésére, valamint az incidensek hatásának megelőzésére vagy minimalizálására. Az intézkedések közé tartoznak a kockázatelemzési és információs rendszerbiztonsági szabályzatok, az incidenskezelés, az üzletmenet-folytonosság, az ellátási lánc biztonsága, a biztonságos beszerzés és karbantartás, beleértve a sérülékenységek kezelését, az eredményesség értékelése, az alapvető kiberhigiénia és képzés, a kriptográfia, a HR-biztonság, a hozzáférés-szabályozás, az eszközkezelés, valamint adott esetben a többtényezős hitelesítés vagy a folyamatos hitelesítés.
A végponti bizonyítékok közvetlenül megfeleltethetők ezeknek az elvárásoknak.
| NIS2 Article 21 terület | Végponti kártevővédelmi bizonyítékok |
|---|---|
| Kockázatelemzés és biztonsági szabályzatok | Végponti kockázatértékelés, Végpontvédelem / kártevővédelmi szabályzat, alkalmazhatósági nyilatkozat, kockázatkezelési terv |
| Incidenskezelés | EDR-riasztási bejegyzések, incidensjegyek, súlyossági értékelés, elszigetelési intézkedések, tanulságok |
| Üzletmenet-folytonosság | Zsarolóvírus-forgatókönyvek, biztonsági mentési jelentések, helyreállítási tesztek, helyreállítási eljárások |
| Ellátási lánc biztonsága | MDR- vagy MSP-szerződések, felelősségi mátrix, incidens támogatási feltételek, auditálási jogok |
| Sérülékenységek kezelése | Javítási SLA-k, sérülékenységvizsgálatok, kivételjóváhagyások, kihasznált sérülékenységek elemzése |
| Eredményesség értékelése | Belső audit eredmények, EDR-tesztdetekciók, adathalászati szimulációk, asztali gyakorlatok |
| Alapvető kiberhigiénia és képzés | Végponti alapkonfigurációknak való megfelelés, tudatossági teljesítési nyilvántartások, adathalászati és kártevővédelmi képzés |
| Hozzáférés-szabályozás és eszközkezelés | Végponti eszköznyilvántartás, felhasználó–eszköz megfeleltetés, feltételes hozzáférés, kiemelt jogosultságú munkaállomások kontrolljai |
A NIS2 Article 23 szintén fontos, mert a kártevőesemény jelentős incidenssé válhat. Ha súlyos működési zavart, pénzügyi veszteséget vagy másoknak jelentős vagyoni vagy nem vagyoni kárt okoz vagy okozhat, szakaszos jelentéstétel válhat szükségessé. A NIS2 korai figyelmeztetést ír elő 24 órán belül, incidensbejelentést 72 órán belül, kérés esetén közbenső frissítéseket, valamint végső jelentést az értesítést követő egy hónapon belül.
A végponti bizonyítékok minden szakaszt támogatnak. Az EDR-riasztás adja az első indikátort. Az eszköznyilvántartás azonosítja az érintett szolgáltatásokat és azok kritikusságát. A SIEM-adatok és a jegyek támogatják a hatáselemzést. Az elszigetelési bejegyzések bizonyítják az intézkedést. A gyökérok-elemzés támogatja a végső jelentéstételt.
A NIS2-re felkészült válasz nem az, hogy „van vírusvédelmünk”. Hanem az, hogy „ismerjük a végpontjainkat, érvényesítjük a védelmet, folyamatosan monitorozunk, besoroljuk az incidenseket, képezzük a felhasználókat, kezeljük a sérülékenységeket, megőrizzük a bizonyítékokat, és jelentünk, amikor a küszöbértékek teljesülnek”.
DORA IKT-kockázatkezelés és végponti kártevővédelem
Pénzügyi szervezetek számára a DORA ágazatspecifikus digitális működési reziliencia keretrendszert hoz létre. A végponti kártevővédelem szorosan kapcsolódik az IKT-kockázatkezeléshez, az incidenskezeléshez, a teszteléshez, a folytonossághoz, a helyreállításhoz és az IKT harmadik fél kockázatához.
A DORA Article 5 az IKT-kockázatért való felelősséget az irányító testületre helyezi. Az Article 6 megalapozott, átfogó és dokumentált IKT-kockázatkezelési keretrendszert ír elő. Az Articles 8 and 9 előírja az IKT által támogatott üzleti funkciók, információs vagyon, IKT-eszközök, függőségek, kiberfenyegetések, sérülékenységek, konfigurációk és kölcsönös függőségek azonosítását és osztályozását. Emellett lefedik a védelemhez, megelőzéshez, észleléshez, hozzáférés-szabályozáshoz, erős hitelesítéshez, változáskezeléshez és javítások telepítéséhez szükséges szabályzatokat és eszközöket.
Az Articles 11 and 12 központi jelentőségű a zsarolóvírussal szembeni reziliencia szempontjából. IKT üzletmenet-folytonossági szabályzatot, reagálási és helyreállítási terveket, biztonsági mentési szabályzatokat, helyreállítási eljárásokat, tesztelést és sértetlenség-ellenőrzéseket írnak elő. Az Article 17 IKT-hoz kapcsolódó incidenskezelési folyamatot ír elő az incidensek észlelésére, kezelésére, besorolására, rögzítésére, eszkalálására, kommunikálására és a működés helyreállítására. Az Article 19 jelentéstételi kötelezettségeket hoz létre a jelentős IKT-hoz kapcsolódó incidensekre. Az Articles 24 to 26 a digitális működési reziliencia tesztelésével foglalkozik. Az Articles 28 to 30 az IKT harmadik fél kockázatával és a szerződéses megállapodásokkal foglalkozik.
| DORA szempont | Hasznos végponti bizonyíték |
|---|---|
| IKT-eszközök azonosítása | Végponti eszköznyilvántartás, tulajdonos, üzleti funkció, kritikusság, függőségek feltérképezése |
| Védelem és megelőzés | EDR-alapkonfiguráció, javításkezelési állapot, hozzáférés-szabályozás, titkosítás, webszűrés, biztonságos konfiguráció |
| Észlelés | EDR-riasztások, SIEM-korreláció, korai figyelmeztető indikátorok, fenyegetettségi információkkal való kiegészítés |
| IKT-hoz kapcsolódó incidenskezelés | Kártevőincidens-jegy, súlyossági besorolás, szerepkörök, intézkedések, eszkaláció, gyökérok |
| Helyreállítás és visszaállítás | Eszköz újratelepítési bejegyzése, biztonsági mentésből vagy fájlból történő helyreállítás bizonyítéka, sértetlenség-ellenőrzések |
| Rezilienciatesztelés | EDR-szimuláció, adathalászati szimuláció, sérülékenységvizsgálatok, penetrációs tesztek, asztali gyakorlatok |
| IKT harmadik fél kockázata | MDR- vagy EDR-beszállítói szerződés, SLA-k, auditálási jogok, incidenssegítség, kilépési tervek |
Egy pénzügyi szervezetnél ugyanaz a kártevőincidens, amely bizonyítja az A.8.7 működését, DORA szerinti felügyeleti bizonyítékot is adhat: eszközosztályozást, kontrollműködést, incidenskezelést, helyreállítási képességet, tesztelési előzményeket, harmadik fél felelősségét és vezetőségi felügyeletet.
GDPR Article 32 és adatvédelmi incidens triázsa
A GDPR Article 32 előírja, hogy az adatkezelők és adatfeldolgozók a kockázatnak megfelelő technikai és szervezési intézkedéseket vezessenek be. Ezek az intézkedések magukban foglalják az adatkezelő rendszerek és szolgáltatások bizalmasságát, sértetlenségét, rendelkezésre állását és rezilienciáját, a személyes adatok rendelkezésre állásának és hozzáférésének helyreállítására való képességet, valamint a biztonsági intézkedések rendszeres tesztelését, felmérését és értékelését.
A végponti kártevőesemény GDPR-bizonyítékká válik, amikor egy végpont személyes adatokhoz férhet hozzá: ügyfélnyilvántartásokhoz, támogatási jegyekhez, HR-fájlokhoz, exportokhoz, fizetéssel kapcsolatos információkhoz, egészségügyi információkhoz, különleges kategóriájú adatokhoz, hitelesítési naplókhoz vagy személyes adatokat tartalmazó felhőalkalmazásokhoz.
Az adatvédelmi kérdés tényfüggő. Lefutott-e a kártevő? Hozzáfért-e fájlokhoz? Rögzített-e hitelesítő adatokat? Elloptak-e tokeneket? Történt-e adatkivitel? Titkosított volt-e a végpont? Letiltották-e a fiókot? Visszavonták-e a munkameneteket? Elérhetők voltak-e a naplók? Azonosították-e az érintett személyes adatokat? Értékelték-e az érintettekre jelentett kockázatot?
A végponti telemetria gyakran az egyetlen módja annak, hogy ezekre a kérdésekre hitelt érdemlően válaszoljunk.
Egy GDPR-ra felkészült végponti bizonyítékcsomagnak össze kell kapcsolnia az adatosztályozást és az adatkezelési nyilvántartásokat, a végponti hozzáférési útvonalakat, a titkosítást, a hozzáférés-korlátozást, az EDR-telemetriát, a SIEM-naplókat, az adatkivitel elemzését, a hitelesítő adatok visszaállítását, a helyreállítási bejegyzéseket, a jogi felülvizsgálatot, az adatvédelmi incidensre vonatkozó döntést és a tanulságokat.
Az adatvédelmi csapatoknak részt kell venniük a végponti incidensforgatókönyvek kialakításában. Ha csak egy kártevőincidens után merül fel a kérdés, hogy érintettek-e személyes adatok, az elkerülhető elszámoltathatósági kockázatot teremt.
30 perces végponti kártevővédelmi bizonyítékcsomag összeállítása
A következő audit előtt válasszon ki egy végponti kártevőészlelést az elmúlt 90 napból, még akkor is, ha alacsony súlyosságú volt vagy blokkolt tesztfájlról szólt. Állítson össze bizonyítékcsomagot úgy, mintha az auditor mintaként választotta volna ki.
Használja a Zenith Blueprint Controls in Action szakaszának 19. lépését felülvizsgálati forgatókönyvként. A 19. lépés arra utasítja a csapatokat, hogy tekintsék át a kártevővédelmi stratégiát annak ellenőrzésével, hogy minden végponton központilag kezelt kártevővédelem vagy EDR van telepítve, aktív és automatikusan frissül; hogy a valós idejű vizsgálat lefedi a fájltípusokat, a hálózati tevékenységet és a hordozható adathordozókat; hogy léteznek átjáróvédelmek; hogy a közelmúltbeli kártevőnaplókat vagy karanténokat kivizsgálták és lezárták; valamint hogy a felhasználók folyamatos adathalászati és kártevőtudatossági képzést kapnak.
Gyűjtse össze az alábbi bizonyítékokat:
- Eszköznyilvántartási bejegyzés: eszköznév, sorozatszám, felhasználó, tulajdonos, üzleti egység, helyszín, eszköztípus, operációs rendszer, kritikusság, adathozzáférési profil.
- EDR-regisztráció: képernyőkép vagy export, amely mutatja, hogy az ügynök telepítve van, aktív, frissített, szabályzat van rá alkalmazva, és a manipuláció elleni védelem engedélyezett.
- Alapkonfigurációnak való megfelelés: titkosítás, képernyőzár, tűzfal, helyi adminisztrátori állapot, javításkezelési állapot, tiltott szoftverek állapota.
- Észlelési bejegyzés: riasztásazonosító, időbélyeg, észlelési név vagy viselkedés, súlyosság, folyamatfa, érintett fájlok, hálózati indikátorok.
- Elszigetelési intézkedés: karantén, elkülönítés, folyamat leállítása, fájl eltávolítása, eszköz újratelepítése, hitelesítő adatok visszaállítása.
- Vizsgálati feljegyzések: elemzői triázs, gyökérok, adathalászati útvonal, webes útvonal, kihasználási útvonal, érintett adatok értékelése.
- Incidensdöntés: biztonsági esemény vagy incidens, adott esetben NIS2-, DORA- és GDPR-küszöbértékek értékelése.
- Lezárási bizonyíték: jegy lezárása, jóváhagyás, tanulságok, szükség esetén kockázati nyilvántartás frissítése.
- Mutatók: észlelésig eltelt idő, elszigetelésig eltelt idő, javítási idő, hasonló riasztások száma, téves pozitív állapot.
- Fejlesztési intézkedés: blokkolt domain, levelezési szabályhangolás, javítás telepítése, felhasználói tudatossági feladat, beszállítói eszkaláció.
Most hasonlítsa össze a bizonyítékcsomagot a szabályzatával. Ha a vállalati szabályzat szerint minden végpontot központilag kezelt kártevővédelmi rendszerbe kell regisztrálni érvényesített alapkonfigurációval, tudja ezt bizonyítani? Ha a KKV-szabályzat szerint a kártevőeseményeket folyamatosan monitorozni kell a vírusvédelmi konzolon vagy a központosított EDR-irányítópulton keresztül, be tudja mutatni az irányítópultot, a felülvizsgálót, a riasztást, a jegyet és a lezárást?
Így válik az EDR-adat auditbizonyítékká.
Hogyan tesztelik különböző auditorok ugyanazokat a végponti kontrollokat
A különböző bizonyosságot nyújtó csapatok eltérő szemszögből vizsgálják a végpontvédelmet. A bizonyíték lehet ugyanaz, de a kérdések változnak.
| Auditori nézőpont | Amit rendszerint tesztelnek | A kérdést kielégítő bizonyíték |
|---|---|---|
| ISO/IEC 27001:2022 auditor | A végponti kontrollokat kockázatkezelés alapján választották-e ki, szerepelnek-e az alkalmazhatósági nyilatkozatban, bevezették-e, monitorozzák-e és fejlesztik-e őket | Kockázatértékelés, SoA-bejegyzés, végponti szabályzat, EDR-telepítési jelentés, felügyeleti jegyek, belső audit eredmények |
| NIS2 kiberhigiéniai felülvizsgáló | A végpontbiztonság támogatja-e az arányos kockázatkezelést, az incidenskezelést, a sérülékenységek kezelését, a hozzáférés-szabályozást, az eszközkezelést és a képzést | Végponti eszköznyilvántartás, alapkonfigurációnak való megfelelés, EDR-riasztások, incidensnyilvántartások, javítási mutatók, képzési nyilvántartások |
| DORA IKT-kockázati felülvizsgáló | A végpontvédelem támogatja-e az IKT-eszközök azonosítását, a rezilienciát, az incidenskezelést, a tesztelést, a folytonosságot és az IKT harmadik felek felügyeletét | IKT-eszközök feltérképezése, incidensbesorolás, rezilienciateszt-eredmények, biztonsági mentési bizonyítékok, MDR-szerződés, vezetőségi jelentéstétel |
| GDPR adatvédelmi felülvizsgáló | A végponti kontrollok támogatják-e az adatkezelés biztonságát és az adatvédelmi incidens értékelését | Adathozzáférés feltérképezése, titkosítás, naplók, adatkivitel elemzése, adatvédelmi incidens triázsa, elszigetelési és helyreállítási bizonyítékok |
| NIST CSF 2.0 értékelő | Az irányítási, azonosítási, védelmi, észlelési, reagálási és helyreállítási eredmények integráltak-e | Jelenlegi és célprofil, eszköznyilvántartás, hozzáférés-szabályozás, monitorozás, incidensreagálás, helyreállítási bizonyítékok |
| COBIT 2019 jellegű irányítási felülvizsgáló | Meghatározták-e a tulajdonosi felelősséget, célkitűzéseket, teljesítményt, kockázatot és bizonyosságot | RACI, KPI-k, KRI-k, igazgatósági jelentéstétel, kontrollgazdai bizonyítékok, kivételek, helyesbítő intézkedések nyomon követése |
| ISACA belső auditor | Hatékonyan tervezték-e meg a kontrollokat, és következetesen működnek-e a mintákon | Mintatesztelés, képernyőképek, konfigurációs exportok, kivételjóváhagyások, felügyeleti ellenőrzések újravégrehajtása |
A NIST CSF 2.0 különösen hasznos vezetői hídnyelvként. GOVERN funkciója támogatja az érdekelt felek elvárásait, a jogi kötelezettségeket, a kockázatvállalási hajlandóságot, az elszámoltathatóságot, a szabályzatot, az erőforrásokat és a felügyeletet. Operatív funkciói segítenek elmagyarázni, hogyan működik együtt az eszközkezelés, a hozzáférés-szabályozás, az adatvédelem, a monitorozás, az incidensreagálás, az elszigetelés, az eltávolítás, a helyreállítás és a kommunikáció.
A Clarysec-projektekben az ISO/IEC 27001:2022 adja a formális IBIR-gerincet, a Zenith Controls biztosítja a keresztmegfelelési megfeleltetési útmutatót, a NIST CSF 2.0 pedig igazgatóság számára érthető kommunikációs réteget nyújt.
A beszállító által kezelt végponti szolgáltatások a bizonyítékmodell részét képezik
Sok szervezet a végpontvédelem egyes részeit MSP-kre, MSSP-kre, MDR-szolgáltatókra, felhőalapú asztali szolgáltatókra vagy EDR-beszállítókra szervezi ki. A kiszervezés javíthatja a képességeket, de az elszámoltathatóság nem szervezhető ki.
A NIS2 Article 21 magában foglalja az ellátási lánc biztonságát és a beszállítói kapcsolatokat. A DORA ennél tovább megy a pénzügyi szervezetek esetében: előírja az IKT harmadik fél kockázati stratégiát, a szerződéses megállapodások nyilvántartását, a kellő gondosságot, a koncentrációs kockázat elemzését, az audit- és ellenőrzési jogokat, a felmondási jogokat, az incidenssegítséget, a kilépési stratégiákat és a felelősségek egyértelmű elosztását. Az ISO/IEC 27001:2022 A melléklete tartalmazza a beszállítói kapcsolatok kontrolljait, a beszállítói megállapodásokat, az IKT-ellátási lánc kontrolljait, a beszállítói szolgáltatások monitorozását és változáskezelését, valamint a felhőszolgáltatások beszerzését, használatát, kezelését és elhagyását.
A végponti kiszervezés bizonyítékainak tartalmazniuk kell:
- Beszállítói átvilágítás a beléptetés előtt.
- Szerződéses kikötések a monitorozásra, az incidensbejelentésre, a hozzáférésre, az adattárolás földrajzi helyére, az auditálási jogokra, a szolgáltatási szintekre és az együttműködésre.
- Felelősségi mátrix a riasztási triázsra, az elkülönítésre, a gyökérok-elemzésre, a jelentéstételre és a bizonyítékmegőrzésre.
- Jelentések a beszállítói teljesítményről és az SLA-megfelelésről.
- Bizonyíték arra, hogy a beszállítói incidenseket és platformkieséseket felülvizsgálják.
- Kilépési terv arra az esetre, ha az EDR- vagy MDR-szolgáltató meghibásodik, a szerződés megszűnik, vagy a szolgáltató elfogadhatatlanná válik.
- Megerősítés arról, hogy a naplók és a forenzikus bizonyítékok a szervezet számára továbbra is elérhetők.
Gyakori audithiba az olyan MDR-irányítópult, amelyhez nincs tulajdonosi felelősség rendelve. A szervezet látja a riasztásokat, de nem tudja bizonyítani, ki birtokolja a kockázatot, mit kell tennie a szolgáltatónak, hogyan vizsgálják felül a riasztások minőségét, vagy hogyan őrzik meg a bizonyítékokat szabályozói és jogi célokra.
Mutatók, amelyek a végponti eszközöket vezetőségi bizonyítékká alakítják
Az igazgatóságoknak és a szabályozó hatóságoknak nincs szükségük nyers riasztási volumenre. Olyan indikátorokra van szükségük, amelyek megmutatják, hogy a végponti kártevőkockázat kontroll alatt áll-e.
| Mutató | Miért fontos |
|---|---|
| Végponti lefedettség százaléka | Megmutatja, hogy az ismert végpontokat jóváhagyott EDR vagy kártevővédelem védi-e |
| Nem kezelt végpontok száma | Rámutat az eszköznyilvántartás, a beléptetés vagy az árnyék-IT hibáira |
| Ügynökök működőképességi aránya | Megmutatja, hogy az ügynökök aktívak, frissítettek és jelentenek-e |
| Kritikus végpontok javításkezelési megfelelése | Összekapcsolja a kártevőkitettséget a sérülékenységkezeléssel |
| Észlelésig eltelt átlagos idő | Megmutatja a monitorozás eredményességét |
| Elkülönítésig eltelt átlagos idő | Megmutatja az elszigetelés sebességét zsarolóvírus és kártevő esetén |
| Kártevő-ismétlődés felhasználó vagy üzleti egység szerint | Azonosítja a képzési, folyamatbeli vagy hozzáférési gyengeségeket |
| Karanténhibák aránya | Megmutatja, hogy a reagálási intézkedések megbízhatók-e |
| SLA-n túl nyitott magas kockázatú kivételek | Megmutatja az irányítási fegyelmet |
| Helyreállítási teszt sikerességi aránya | Megmutatja a rezilienciát, ha a kártevő működési zavart okoz |
| Gyökérok-elemzéssel lezárt incidensek | Megmutatja a tanulást és a folyamatos fejlesztést |
Ezek a mutatók támogatják az ISO/IEC 27001:2022 szerinti teljesítményértékelést és vezetőségi felülvizsgálatot, a NIS2 szerinti irányító testületi felügyeletet, a DORA szerinti irányítást és IKT-kockázati stratégiát, a GDPR szerinti elszámoltathatóságot és a belső audit tervezését.
A vállalati Végpontvédelem / kártevővédelmi szabályzat Betartatás és megfelelés szakaszának 8.2 pontja kimondja:
A belső auditnak időszakos felülvizsgálatokat kell végeznie a végpontvédelem megfeleléséről, beleértve:
A belső audit a fenti mutatókat negyedéves kontrolltesztté alakíthatja: végpontok mintavétele, eszköznyilvántartás összevetése az EDR-regisztrációval, valós idejű vizsgálat ellenőrzése, javításkezelési állapot felülvizsgálata, annak megerősítése, hogy a felhasználók nem tilthatják le a védelmet, a közelmúltbeli kártevőriasztások ellenőrzése, valamint a kiválasztott riasztások végigkövetése az észleléstől a lezárásig.
Gyakori végponti bizonyítékhiányosságok, amelyeket a Clarysec talál
Még az érett szervezetek is küzdenek a végponti bizonyítékok minőségével. Ugyanazok a hiányosságok ismétlődnek:
- Az eszköznyilvántartás és az EDR-nyilvántartás nem egyezik.
- A fejlesztői munkaállomások kevésbé kontrolláltak, mint a standard laptopok.
- A mobil eszközök kimaradnak a végponti bizonyítékokból.
- A BYOD-hozzáférés kikényszeríthető eszközállapot-kontrollok nélkül engedélyezett.
- Az EDR-ügynökök telepítve vannak, de a manipuláció elleni védelem le van tiltva.
- A riasztásokat szolgáltató figyeli, de az eszkalációs szabályok homályosak.
- A karanténba helyezett kártevő nincs incidensjegyhez kapcsolva.
- A gyökérok-elemzés kimarad a „blokkolt” észleléseknél.
- A javítási kivételekből hiányzik a kockázatgazdai jóváhagyás vagy a lejárati dátum.
- A naplókat túl rövid ideig őrzik meg ahhoz, hogy támogassák az adatvédelmi incidens értékelését.
- A biztonsági mentésből történő helyreállítást általánosan tesztelik, de nem zsarolóvírus-forgatókönyvekkel szemben.
- Az igazgatósági jelentéstétel riasztásszámokat mutat, nem kockázatcsökkentést.
A megoldás nem több táblázat. A megoldás egy összekapcsolt működési modell, amelyben a szabályzat, az eszköznyilvántartás, a végponti konfiguráció, a monitorozás, az incidensreagálás, a beszállító-kezelés, a szabályozói triázs, a mutatók és az audittesztelés egymást erősítik.
Tíz munkanap a végponti kártevővédelem auditkész állapotba hozásához
Ha gyors kezdőpontra van szüksége, hajtsa végre az alábbiakat a következő tíz munkanapban:
- Exportálja a végponti eszköznyilvántartást és az EDR-nyilvántartást, majd egyeztesse őket.
- Azonosítsa a nem kezelt, inaktív, elavult, duplikált és kivételként kezelt végpontokat.
- Erősítse meg a valós idejű vizsgálat, a manipuláció elleni védelem, az automatikus frissítés, az elkülönítés és a karantén beállításait.
- Vegyen mintát öt kártevőriasztásból, és kövesse végig mindegyiket a kivizsgálásig és a lezárásig.
- Ellenőrizze, hogy a végponti események támogatják-e a NIS2, a DORA és a GDPR szerinti incidens-triázst.
- Vizsgálja felül az MDR-, MSP- és EDR-beszállítói szerződéseket incidenssegítség, bizonyítékhozzáférés, auditálási jogok, SLA-k és kilépési feltételek szempontjából.
- Vegye fel a vezetőségi jelentéstételbe a végponti lefedettséget, az ügynökök működőképességét, az elkülönítési időt, a javításkezelési megfelelést és a gyökérok-elemzés teljesítését.
- Futtasson belső auditmintát a Zenith Blueprint 19. lépésének ellenőrzőlistájával.
- Használja a Zenith Controls útmutatót az A.8.1 és A.8.7 megfeleltetésére a naplózáshoz, a monitorozáshoz, a sérülékenységkezeléshez, az incidensreagáláshoz, a beszállítói kontrollokhoz és a helyreállításhoz.
- Frissítse irányítási alapvonalát a Clarysec Végpontvédelem / kártevővédelmi szabályzat vagy a KKV-knak szóló Végpontvédelem – kártevővédelmi szabályzat használatával.
A végponti kártevővédelem 2026-ban nem csak a zsarolóvírus megállításáról szól. Arról szól, hogy bizonyítani tudja: szervezete képes megelőzni, észlelni, elszigetelni, helyreállni, jelenteni és fejlődni.
A Clarysec segíthet abban, hogy a végpontvédelmet eszközbevezetésből igazolható keresztmegfelelési bizonyítékrendszerré alakítsa. Töltse le a Végpontvédelem / kártevővédelmi szabályzat dokumentumot, kezdje a KKV-knak szóló Végpontvédelem – kártevővédelmi szabályzat használatával, ha karcsúbb működési modellre van szüksége, használja a Zenith Blueprint útmutatót a kontrollok bevezetéséhez, és használja a Zenith Controls útmutatót végponti bizonyítékainak összekapcsolására az ISO/IEC 27001:2022, a NIS2, a DORA, a GDPR Article 32, a NIST CSF 2.0 és az audit elvárásaival.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council