Galinių įrenginių apsauga nuo kenkimo programinės įrangos: ISO 27001 įrodymai ES reikalavimams

Pirmadienis, 07:42. Finansų vadovas atidaro tiekėjo sąskaitą iš el. pašto gijos, kuri atrodo teisėta. Po kelių minučių galinių įrenginių aptikimo konsolė pažymi įtartiną scenarijaus vykdymą, išliekamumo bandymą ir išeinantį srautą į nepažįstamą domeną. EDR agentas automatiškai izoliuoja nešiojamąjį kompiuterį. Išpirkos reikalaujančios programinės įrangos grandinė nutraukiama dar prieš prasidedant šifravimui.
Saugumo kontrolės priemonės suveikė. Tačiau po to kyla sunkesnis klausimas.
Informacijos saugumo vadovo (CISO) klausiama ne tik: „Ar sustabdėme kenkimo programinę įrangą?“ Generalinis direktorius ir valdyba klausia: „Ar galime įrodyti, kad tai buvo projektuojant numatytas atsparumas, o ne sėkmė? Ar galime auditoriams, klientams, priežiūros institucijoms ir draudikams parodyti, kad mūsų galinių įrenginių apsauga veikė taip, kaip reikalauja ISO/IEC 27001:2022, NIS2 kibernetinė higiena, DORA IRT rizikos valdymas ir GDPR Article 32?“
Tai yra pagrindinis galinių įrenginių saugumo iššūkis 2026 m. Galinių įrenginių apsauga nebėra tik IT operacijų funkcija. Ji tapo atitikties įrodymų sistema.
Vienas kenkimo programinės įrangos įspėjimas nešiojamajame kompiuteryje gali tapti ISO/IEC 27001:2022 audito imtimi, NIS2 reikšmingo incidento vertinimu, DORA su IRT susijusio incidento įrašu, GDPR asmens duomenų saugumo pažeidimo pirminiu vertinimu, tiekėjų rizikos aptarimu ir valdybos valdysenos peržiūra. Organizacijos, kurios tai valdo gerai, ne tik diegia EDR. Jos sujungia politiką, inventorių, technines kontrolės priemones, stebėseną, reagavimą į incidentus, teisinį vertinimą, tiekėjų sutartis, rodiklius ir nuolatinį tobulinimą į vieną pagrįstą kontrolės naratyvą.
Clarysec tą patį modelį mato SaaS, finansinių technologijų, valdomų paslaugų ir reguliuojamose skaitmeninėse aplinkose. Dauguma organizacijų jau turi stiprias priemones: EDR, antivirusinę programinę įrangą, MDM, pažeidžiamumų skenerius, SIEM, el. pašto saugumą, žiniatinklio filtravimą, atsarginių kopijų platformas ir ITSM įrašų valdymo sistemas. Spraga dažniausiai nėra technologija. Spraga yra įrodymų modeliavimas.
Šiame straipsnyje parodoma, kaip sukurti auditui tinkamus galinių įrenginių apsaugos nuo kenkimo programinės įrangos įrodymus naudojant ISO/IEC 27001:2022 kaip ISVS pagrindą, Clarysec Endpoint Protection / Malware Policy (Galinių įrenginių apsaugos nuo kenkimo programinės įrangos politiką), MVĮ skirtą Galinių įrenginių apsaugos nuo kenkėjiškos programinės įrangos politiką (Galinių įrenginių apsaugos nuo kenkėjiškos programinės įrangos politika MVĮ), Zenith Blueprint: An Auditor’s 30-Step Roadmap (Zenith Blueprint) ir Zenith Controls: The Cross-Compliance Guide (Zenith Controls).
Kodėl galinių įrenginių apsauga nuo kenkimo programinės įrangos dabar yra valdybos lygmens atitikties klausimas
Šiuolaikinis galinis įrenginys yra vieta, kur susikerta tapatybė, veiklos duomenys, naudotojų elgsena, atakuotojų metodai ir reglamentavimo atskaitomybė. Nešiojamieji kompiuteriai jungiasi iš namų tinklų ir oro uostų. Kūrėjai vykdo vietines priemones. Vadovai keliauja su talpykloje saugomais el. laiškais ir failais. Rangovai gali naudoti valdomus arba iš dalies valdomus įrenginius. Mobilieji telefonai tvirtina MFA užklausas. Debesijos darbo krūviai ir serveriai EDR požiūriu elgiasi kaip galiniai įrenginiai.
Zenith Blueprint etape „Controls in Action“, Step 19: Technological Controls I, Clarysec naudotojų galinius įrenginius apibūdina kaip organizacijos „duris ir langus“:
Naudotojų galiniai įrenginiai, nešiojamieji kompiuteriai, išmanieji telefonai, planšetiniai kompiuteriai, staliniai kompiuteriai ir net plonieji klientai yra ta vieta, kur prasideda skaitmeninė sąveika. Tai durys ir langai į jūsų sistemas. Ir, kaip bet kuri fizinė struktūra, jie turi būti sustiprinti, stebimi ir kontroliuojami.
Šis požiūris svarbus, nes galinių įrenginių apsauga nėra vien kenkimo programinės įrangos blokavimas. Ji turi įrodyti, kad organizacija žino, kokie įrenginiai egzistuoja, valdo jų naudojimą, taiko bazinius saugumo reikalavimus, aptinka kompromitavimą, nuosekliai reaguoja, išsaugo įrodymus, atkuria operacijas ir tobulėja po incidentų.
Brandus galinių įrenginių apsaugos nuo kenkimo programinės įrangos procesas turi nedvejodamas atsakyti į keturis audito klausimus:
- Ar žinome kiekvieną galinį įrenginį, kuris gali pasiekti verslo sistemas arba asmens duomenis?
- Ar kiekvienas galinis įrenginys apsaugotas patvirtinta ir centralizuotai valdoma apsauga nuo kenkimo programinės įrangos arba EDR?
- Ar galime pagrįsti konfigūraciją, skenavimą, atnaujinimus, įspėjimus, karantinavimą, izoliavimą, tyrimą ir uždarymą?
- Ar galime susieti galinių įrenginių įvykius su rizikos valdymu, reagavimu į incidentus, pranešimu priežiūros institucijai, tiekėjų priežiūra ir vadovybės peržiūra?
ISO/IEC 27001:2022 suteikia valdymo sistemą, reikalingą šiems klausimams atsakyti. 4.1–4.4 punktai reikalauja, kad organizacija apibrėžtų kontekstą, suinteresuotąsias šalis, teisines ir sutartines prievoles, sąsajas, priklausomybes ir ISVS taikymo sritį. Galinių įrenginių apsaugos taikymo sritis negali baigtis ties „organizacijos IT“. Ji turi apimti nuotolinį darbą, privilegijuotas darbo vietas, mobiliuosius įrenginius, debesijos prieigą, tiekėjų valdomus įrenginius, galinių įrenginių žurnalus, išorinį SOC arba MDR paslaugas ir bet kurį galinį įrenginį, galintį paveikti informacijos saugumą.
5.1–5.3 punktai aiškiai nustato vadovybės atskaitomybę. Aukščiausioji vadovybė turi remti ISVS, priskirti vaidmenis, suteikti išteklius ir užtikrinti politikų suderinamumą. Galinių įrenginių kontekste valdyba negali patvirtinti kibernetinės higienos tikslų, palikdama neišspręstus EDR licencijavimo, pataisų diegimo eilės, BYOD išimčių ar MDR eskalavimo trūkumus.
6.1.1–6.1.3 punktai sukuria rizikos valdymo mechanizmą. Galinių įrenginių kenkimo programinės įrangos rizikos turi būti identifikuotos, įvertintos, tvarkomos, susietos su Annex A kontrolės priemonėmis, atspindėtos Taikomumo pareiškime ir priimtos rizikos savininkų, kai išlieka liekamoji rizika. 8.1–8.3 punktai rizikos valdymą paverčia kontroliuojamomis operacijomis, planuojamais pakeitimais, periodiniu arba po reikšmingų pokyčių atliekamu rizikos vertinimu ir rizikos valdymo rezultatais.
Audito istorija nėra „įdiegėme EDR“. Audito istorija yra „galinių įrenginių kenkimo programinės įrangos rizika identifikuojama, vertinama, tvarkoma, valdoma, stebima, testuojama, pagrindžiama įrodymais, apie ją teikiamos ataskaitos ir ji nuolat mažinama“.
Clarysec politikos tiltas nuo EDR nustatymų iki audito įrodymų
Politika yra vieta, kur techninė realybė tampa audituojamu ketinimu. Be politikos galinių įrenginių konfigūracijos tėra priemonės nustatymai. Su politika tie nustatymai tampa kontrolės reikalavimais.
Clarysec organizacijoms skirta Endpoint Protection / Malware Policy šį tiltą nustato 1.3 punkte:
Ši politika tiesiogiai palaiko atitiktį ISO/IEC 27001:2022 8.1 punktui ir Annex A kontrolei 8.7 ir yra suderinta su regioniniais kibernetinio saugumo įpareigojimais pagal GDPR, NIS2 ir DORA.
Šis vienas punktas organizacijai suteikia tiesioginę liniją nuo galinių įrenginių operacijų iki ISO/IEC 27001:2022, NIS2, DORA ir GDPR. Auditoriai tada gali tikrinti, ar faktinė organizacijos galinių įrenginių programa atitinka politikos įsipareigojimą.
Ta pati organizacijoms skirta politika numato tikėtiną veikimo modelį Valdysenos reikalavimų 5.2 punkte:
Visi galiniai įrenginiai turi būti įtraukti į centralizuotai valdomas apsaugos nuo kenkimo programinės įrangos sistemas (pvz., EDR, antivirusinę programinę įrangą arba lygiavertes platformas), taikant privalomą bazinę konfigūraciją.
Būtent tokie teiginiai patinka auditoriams, nes juos galima patikrinti. Jei „visi galiniai įrenginiai“ turi būti įtraukti, įrodymai turi parodyti visą galinių įrenginių populiaciją, tikėtiną EDR populiaciją, įtraukimo būseną, išimtis, kompensuojančias kontrolės priemones ir taisomųjų veiksmų pažangą.
MVĮ skirta Galinių įrenginių apsaugos nuo kenkėjiškos programinės įrangos politika pateikia tiesioginius operacinius reikalavimus. 5.1.3 punkte nurodyta:
Visi galiniai įrenginiai turi būti užregistruoti IT turto apskaitoje ir susieti su naudojama galinių įrenginių apsaugos priemone
5.2.1 punktas papildo:
Visuose galiniuose įrenginiuose turi veikti tik organizacijos patvirtinti antivirusinės programinės įrangos arba EDR (galinių įrenginių aptikimo ir reagavimo) sprendimai
6.1.1.1 punktas reikalauja:
Nuolat vykdyti antivirusinį ir apsaugos nuo kenkimo programinės įrangos skenavimą realiuoju laiku
O 8.1.1 punktas reikalauja:
Kenkimo programinės įrangos įvykiai turi būti nuolat stebimi per antivirusinę konsolę arba centralizuotą EDR valdymo skydą
Kartu šie punktai sukuria paprastą, bet stiprų įrodymų testą: parodykite inventorių, parodykite galinių įrenginių apsaugos priemonę, parodykite patvirtintą konfigūraciją, parodykite nuolatinę stebėseną, parodykite įvykius, parodykite tyrimo įrašus ir parodykite uždarymą.
ISO/IEC 27001:2022 ir ISO/IEC 27002:2022 galinių įrenginių kontrolės priemonių susiejimas
Galinių įrenginių apsauga audituose dažnai žlunga todėl, kad komandos ją laiko viena kontrole. Iš tikrųjų galinių įrenginių apsauga nuo kenkimo programinės įrangos priklauso nuo kelių viena kitą stiprinančių kontrolės priemonių.
Pagrindinės ISO/IEC 27002:2022 kontrolės yra A.8.1 User endpoint devices ir A.8.7 Protection against malware. Tačiau veiksminga galinių įrenginių apsauga taip pat remiasi pažeidžiamumų valdymu, žurnalų tvarkymu, stebėsena, reagavimu į incidentus, atsarginėmis kopijomis, žiniatinklio filtravimu, keičiamųjų laikmenų kontrole, prieigos ribojimu, tiekėjų valdymu, debesijos paslaugų valdysena, informuotumu ir veiklos tęstinumu.
Zenith Controls ISO/IEC 27002:2022 kontrolę A.8.7 Protection against malware priskiria prevencinėms, aptikimo ir korekcinėms kontrolės priemonėms. Ji palaiko konfidencialumą, vientisumą ir prieinamumą bei natūraliai siejasi su sistemų ir tinklo saugumu, informacijos apsauga ir aptikimo galimybėmis. Ji taip pat parodo, kad A.8.1 User endpoint devices yra prevencinė kontrolė, palaikanti konfidencialumą, vientisumą ir prieinamumą per turto valdymą ir galinių įrenginių valdyseną.
| ISO/IEC 27002:2022 kontrolės sritis | Saugotini galinių įrenginių ir kenkimo programinės įrangos įrodymai | Kodėl tai svarbu audite |
|---|---|---|
| A.8.1 User endpoint devices | Turto apskaita, MDM arba UEM atitikties ataskaitos, šifravimo būsena, ekrano užrakinimo nustatymai, nuotolinio ištrynimo galimybė, BYOD kontrolės priemonės | Įrodo, kad galiniai įrenginiai yra žinomi, valdomi ir apsaugoti prieš suteikiant prieigą |
| A.8.7 Protection against malware | EDR diegimo ataskaitos, apsaugos realiuoju laiku nustatymai, atnaujinimo būsena, aptikimai, karantinai, izoliavimo įrašai, klaidingai teigiamų atvejų valdymas | Įrodo, kad kenkimo programinės įrangos prevencija, aptikimas ir reagavimas yra aktyvūs ir centralizuotai valdomi |
| A.8.8 Management of technical vulnerabilities | Pažeidžiamumų skenavimas, pataisų SLA, taisomųjų veiksmų įrašai, išimčių patvirtinimai, kompensuojančios kontrolės priemonės | Parodo, kad kenkimo programinės įrangos rizikos ekspozicija mažinama šalinant išnaudojamas silpnąsias vietas |
| A.8.15 Logging ir A.8.16 Monitoring activities | Galinių įrenginių žurnalai, SIEM koreliacija, įspėjimų pirminis vertinimas, eskalavimo įrodymai, valdymo skydai, peržiūros įrašai | Parodo, kad kenkimo programinės įrangos įvykiai yra matomi, peržiūrimi ir pagal juos imamasi veiksmų |
| A.5.24 iki A.5.28 Incident management | Incidentų procedūros, klasifikavimo įrašai, reagavimo veiksmai, įgyta patirtis, įrodymų išsaugojimas | Parodo, kad įtariama kenkimo programinė įranga pereina į kontroliuojamą incidentų valdymą, o ne neformalų trikčių šalinimą |
| A.8.13 Backups ir A.5.30 ICT readiness for business continuity | Atsarginių kopijų sėkmingumo ataskaitos, atkūrimo testai, nekintamų atsarginių kopijų nustatymai, atkūrimo pratybos | Parodo, kad atsparumas išpirkos reikalaujančiai programinei įrangai apima atkuriamumą |
| A.5.19 iki A.5.23 Supplier and cloud service controls | MDR sutartys, EDR paslaugų SLA, tiekėjų saugumo reikalavimai, galinių įrenginių aprėptis debesijoje, pasitraukimo susitarimai | Parodo, kad išorinės galinių įrenginių paslaugos išlieka ISVS kontrolėje |
Zenith Controls ypač naudinga, nes parodo, kaip galinių įrenginių apsauga priklauso nuo gretimų kontrolės priemonių. Protection against malware siejasi su A.5.7 Threat intelligence, nes apsauga nuo kenkimo programinės įrangos turi prisitaikyti prie kintančių taktikų. Ji siejasi su A.8.8 Management of technical vulnerabilities, nes kenkimo programinė įranga dažnai išnaudoja žinomas silpnąsias vietas. Ji siejasi su A.8.15 Logging ir A.8.16 Monitoring activities, nes aptikimai, karantinai, skenavimai ir atnaujinimai turi būti renkami ir peržiūrimi. Ji siejasi su A.8.23 Web filtering, nes kenkėjiškos svetainės išlieka dažnu užkrėtimo keliu. Ji siejasi su A.7.10 Storage media, nes keičiamoji laikmena gali įnešti kenkimo programinę įrangą, jei nėra kontroliuojama.
User endpoint devices taip pat siejasi su A.5.10 Acceptable use of information and other associated assets, A.6.7 Remote working, A.8.3 Information access restriction, A.8.5 Secure authentication, A.6.3 Information security awareness, education and training ir A.6.6 Confidentiality or non-disclosure agreements.
Paprastai tariant, saugus galinis įrenginys nėra tik įrenginys su agentu. Tai politikos reikalavimais valdoma darbo aplinka.
Kaip kenkimo programinės įrangos įspėjimą paversti pagrįsta įrodymų grandine
Grįžkime prie pirmadienio ryto kenkimo programinės įrangos įvykio. EDR agentas izoliavo nešiojamąjį kompiuterį, tačiau pasirengimas atitikčiai priklauso nuo po to einančios įrodymų grandinės.
Tinkama galinių įrenginių kenkimo programinės įrangos įrodymų grandinė apima:
- Turto įrašą, rodantį savininką, verslo funkciją, kritiškumą, įrenginio tipą, operacinę sistemą, duomenų prieigos profilį ir šifravimo būseną.
- Galinių įrenginių apsaugos įrašą, rodantį EDR agento būklę, pritaikytą politiką, apsaugą nuo manipuliavimo, atnaujinimo būseną ir skenavimą realiuoju laiku.
- Aptikimo įrašą, rodantį įspėjimo ID, laiko žymą, procesų medį, aptikimo logiką, sunkumą, paveiktus failus, tinklo indikatorius ir automatinius veiksmus.
- SIEM įrašą, koreliuojantį DNS, el. pašto, tapatybės, tarpinio serverio, debesijos ir galinių įrenginių telemetriją.
- Tyrimo įrašą, rodantį pirminį vertinimą, eskalavimą, suvaldymą, pašalinimą, atkūrimą, pagrindinę priežastį ir uždarymą.
- Incidento sprendimą, rodantį, ar įvykis liko saugumo įvykiu, ar tapo incidentu.
- Reglamentavimo slenksčių vertinimą, rodantį, ar buvo įvertinti NIS2, DORA arba GDPR slenksčiai.
- Įgytos patirties įrašą, rodantį politikos koregavimą, pataisų diegimą, informuotumo veiksmą, tiekėjo užklausą arba rizikų registro atnaujinimą.
Endpoint Protection / Malware Policy šį reagavimo modelį sustiprina per Politikos įgyvendinimo reikalavimų 6.3 punktą, pavadintą:
Reagavimo ir suvaldymo veiksmai
MVĮ 6.3.1.2 punktas yra dar tiesesnis:
IT pagalbos teikėjas turi karantinuoti įrenginį, patvirtinti užkrėtimą ir atlikti pagrindinės priežasties analizę
Užblokuotas kenkimo programinės įrangos įvykis neturi pradingti konsolėje. Jei jis pakankamai svarbus aptikti, jis pakankamai svarbus klasifikuoti, dokumentuoti ir uždaryti.
NIS2 kibernetinės higienos įrodymai iš galinių įrenginių apsaugos
NIS2 bazinę kibernetinę higieną paverčia valdysenos klausimu. Į taikymo sritį patenkančios organizacijos turi suprasti, ar jos patenka į taikymo sritį, ar yra esminiai ar svarbūs subjektai, ir kaip taikomi nacionalinio perkėlimo įpareigojimai.
Galinių įrenginių apsaugai nuo kenkimo programinės įrangos svarbiausia nuostata yra Article 21. Jis reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių tinklų ir informacinių sistemų rizikoms valdyti bei incidentų poveikiui išvengti arba sumažinti. Priemonės apima rizikos analizę ir informacinių sistemų saugumo politikas, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų įsigijimą ir priežiūrą, įskaitant pažeidžiamumų valdymą, veiksmingumo vertinimą, bazinę kibernetinę higieną ir mokymus, kriptografiją, žmogiškųjų išteklių saugumą, prieigos kontrolę, turto valdymą ir, kai tinkama, MFA arba tęstinį autentifikavimą.
Galinių įrenginių įrodymai tiesiogiai atitinka šiuos lūkesčius.
| NIS2 Article 21 sritis | Galinių įrenginių apsaugos nuo kenkimo programinės įrangos įrodymai |
|---|---|
| Rizikos analizė ir saugumo politikos | Galinių įrenginių rizikos vertinimas, Endpoint Protection / Malware Policy, Taikomumo pareiškimas, rizikos valdymo planas |
| Incidentų valdymas | EDR įspėjimų įrašai, incidentų įrašai, sunkumo vertinimas, suvaldymo veiksmai, įgyta patirtis |
| Veiklos tęstinumas | Išpirkos reikalaujančios programinės įrangos scenarijai, atsarginių kopijų ataskaitos, atkūrimo testai, atkūrimo procedūros |
| Tiekimo grandinės saugumas | MDR arba MSP sutartys, atsakomybių matrica, pagalbos incidentų metu sąlygos, audito teisės |
| Pažeidžiamumų valdymas | Pataisų SLA, pažeidžiamumų skenavimas, išimčių patvirtinimai, išnaudoto pažeidžiamumo analizė |
| Veiksmingumo vertinimas | Vidaus audito rezultatai, EDR testiniai aptikimai, fišingo simuliacijos, stalo pratybos |
| Bazinė kibernetinė higiena ir mokymai | Galinių įrenginių bazinės konfigūracijos atitiktis, informuotumo mokymų baigimo įrašai, fišingo ir kenkimo programinės įrangos mokymai |
| Prieigos kontrolė ir turto valdymas | Galinių įrenginių apskaita, naudotojų ir įrenginių susiejimas, sąlyginė prieiga, privilegijuotų darbo vietų kontrolės priemonės |
NIS2 Article 23 taip pat svarbus, nes kenkimo programinė įranga gali tapti reikšmingu incidentu. Jei ji sukelia arba gali sukelti didelį veiklos sutrikimą, finansinius nuostolius arba reikšmingą materialinę ar nematerialinę žalą kitiems, gali būti privalomas etapinis pranešimas. NIS2 numato ankstyvąjį įspėjimą per 24 valandas, pranešimą apie incidentą per 72 valandas, tarpinius atnaujinimus, jei jų prašoma, ir galutinę ataskaitą per vieną mėnesį po pranešimo.
Galinių įrenginių įrodymai palaiko kiekvieną etapą. EDR įspėjimas pateikia pirmąjį indikatorių. Turto apskaita identifikuoja paveiktas paslaugas ir kritiškumą. SIEM duomenys ir incidentų įrašai palaiko poveikio analizę. Suvaldymo įrašai įrodo veiksmus. Pagrindinės priežasties analizė palaiko galutinę ataskaitą.
NIS2 parengtas atsakymas nėra „turime antivirusinę programinę įrangą“. Jis yra „žinome savo galinius įrenginius, taikome apsaugą, nuolat stebime, klasifikuojame incidentus, mokome naudotojus, valdome pažeidžiamumus, išsaugome įrodymus ir pranešame, kai pasiekiami slenksčiai“.
DORA IRT rizikos valdymas ir galinių įrenginių apsauga nuo kenkimo programinės įrangos
Finansų subjektams DORA sukuria sektoriui specifinę skaitmeninio operacinio atsparumo sistemą. Galinių įrenginių apsauga nuo kenkimo programinės įrangos stipriai siejasi su IRT rizikos valdymu, incidentų valdymu, testavimu, tęstinumu, atkūrimu ir IRT trečiųjų šalių rizika.
DORA Article 5 atsakomybę už IRT riziką priskiria valdymo organui. Article 6 reikalauja patikimos, išsamios ir dokumentuotos IRT rizikos valdymo sistemos. Articles 8 ir 9 reikalauja identifikuoti ir klasifikuoti IRT palaikomas verslo funkcijas, informacijos išteklius, IRT turtą, priklausomybes, kibernetines grėsmes, pažeidžiamumus, konfigūracijas ir tarpusavio priklausomybes. Jie taip pat apima apsaugos, prevencijos, aptikimo, prieigos kontrolės, stipraus autentifikavimo, pakeitimų valdymo ir pataisų diegimo politikas bei priemones.
Articles 11 ir 12 yra esminiai atsparumui išpirkos reikalaujančiai programinei įrangai. Jie reikalauja IRT veiklos tęstinumo politikos, reagavimo ir atkūrimo planų, atsarginių kopijų politikų, atkūrimo procedūrų, testavimo ir vientisumo patikrų. Article 17 reikalauja su IRT susijusių incidentų valdymo proceso, kuris aptiktų, valdytų, klasifikuotų, registruotų, eskaluotų, komunikuotų ir atkurtų operacijas po incidentų. Article 19 nustato pranešimo pareigas dėl reikšmingų su IRT susijusių incidentų. Articles 24–26 skirti skaitmeninio operacinio atsparumo testavimui. Articles 28–30 skirti IRT trečiųjų šalių rizikai ir sutartiniams susitarimams.
| DORA klausimas | Naudingi galinių įrenginių įrodymai |
|---|---|
| IRT turto identifikavimas | Galinių įrenginių apskaita, savininkas, verslo funkcija, kritiškumas, priklausomybių atvaizdavimas |
| Apsauga ir prevencija | EDR bazinė konfigūracija, pataisų būsena, prieigos kontrolė, šifravimas, žiniatinklio filtravimas, saugus konfigūravimas |
| Aptikimas | EDR įspėjimai, SIEM koreliacija, ankstyvojo įspėjimo indikatoriai, grėsmių žvalgybos praturtinimas |
| Su IRT susijusių incidentų valdymas | Kenkimo programinės įrangos incidento įrašas, sunkumo klasifikavimas, vaidmenys, veiksmai, eskalavimas, pagrindinė priežastis |
| Atkūrimas | Įrenginio perdiegimo įrašas, atsarginės kopijos arba failo atkūrimo įrodymai, vientisumo patikros |
| Atsparumo testavimas | EDR simuliacija, fišingo simuliacija, pažeidžiamumų skenavimas, įsiskverbimo testai, stalo pratybos |
| IRT trečiųjų šalių rizika | MDR arba EDR tiekėjo sutartis, SLA, audito teisės, pagalba incidento metu, pasitraukimo planai |
Finansų subjektui tas pats kenkimo programinės įrangos incidentas, kuris įrodo A.8.7 veikimą, taip pat gali pateikti DORA priežiūros įrodymus: turto klasifikavimą, kontrolės veikimą, incidentų valdymą, atkūrimo galimybes, testavimo istoriją, trečiosios šalies atsakomybę ir vadovybės priežiūrą.
GDPR Article 32 ir asmens duomenų saugumo pažeidimo pirminis vertinimas
GDPR Article 32 reikalauja, kad duomenų valdytojai ir tvarkytojai įgyvendintų rizikai tinkamas technines ir organizacines priemones. Šios priemonės apima tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą, gebėjimą atkurti asmens duomenų prieinamumą ir prieigą prie jų, taip pat reguliarų saugumo priemonių testavimą, analizę ir vertinimą.
Galinių įrenginių kenkimo programinė įranga tampa GDPR įrodymu, kai galinis įrenginys gali pasiekti asmens duomenis: klientų įrašus, pagalbos užklausas, žmogiškųjų išteklių failus, eksportus, su mokėjimais susijusią informaciją, sveikatos informaciją, specialių kategorijų duomenis, autentifikavimo žurnalus arba debesijos taikomąsias programas, kuriose yra asmens duomenų.
Privatumo klausimas priklauso nuo faktų. Ar kenkimo programinė įranga buvo vykdoma? Ar ji pasiekė failus? Ar užfiksavo prisijungimo duomenis? Ar buvo pavogti prieigos raktai? Ar duomenys buvo iškelti? Ar galinis įrenginys buvo šifruotas? Ar paskyra buvo išjungta? Ar sesijos buvo atšauktos? Ar žurnalai buvo prieinami? Ar buvo identifikuoti paveikti asmens duomenys? Ar įvertinta rizika fiziniams asmenims?
Galinių įrenginių telemetrija dažnai yra vienintelis būdas patikimai atsakyti į šiuos klausimus.
GDPR parengtas galinių įrenginių įrodymų paketas turi susieti duomenų klasifikavimą ir tvarkymo įrašus, galinių įrenginių prieigos kelius, šifravimą, prieigos ribojimą, EDR telemetriją, SIEM žurnalus, duomenų iškėlimo analizę, prisijungimo duomenų atstatymo veiksmus, atkūrimo įrašus, teisinę peržiūrą, sprendimus dėl pažeidimo ir įgytą patirtį.
Privatumo komandos turėtų dalyvauti rengiant galinių įrenginių incidentų veiksmų planus. Laukti, kol po kenkimo programinės įrangos incidento bus klausiama, ar paveikti asmens duomenys, reiškia išvengiamą atskaitomybės riziką.
Sukurkite 30 minučių galinių įrenginių kenkimo programinės įrangos įrodymų paketą
Prieš kitą auditą pasirinkite vieną galinių įrenginių kenkimo programinės įrangos aptikimą iš paskutinių 90 dienų, net jei jis buvo mažo sunkumo arba tai buvo užblokuotas testinis failas. Sukurkite įrodymų paketą taip, lyg auditorius būtų jį pasirinkęs kaip imtį.
Naudokite Zenith Blueprint etapą „Controls in Action“, Step 19, kaip peržiūros scenarijų. Step 19 nurodo komandoms peržiūrėti apsaugos nuo kenkimo programinės įrangos strategiją patikrinant, ar visuose galiniuose įrenginiuose įdiegta, aktyvi ir automatiškai atnaujinama centralizuotai valdoma apsauga nuo kenkimo programinės įrangos arba EDR, ar skenavimas realiuoju laiku apima failų tipus, tinklo veiklą ir keičiamąsias laikmenas, ar yra šliuzo apsaugos priemonių, ar naujausi kenkimo programinės įrangos žurnalai arba karantinai yra tiriami ir išspręsti, ir ar naudotojai gauna nuolatinius fišingo ir kenkimo programinės įrangos informuotumo mokymus.
Surinkite šiuos įrodymus:
- Turto įrašas: įrenginio pavadinimas, serijos numeris, naudotojas, savininkas, verslo padalinys, vieta, įrenginio tipas, operacinė sistema, kritiškumas, duomenų prieigos profilis.
- EDR įtraukimas: ekrano kopija arba eksportas, rodantis, kad agentas įdiegtas, aktyvus, atnaujintas, politika pritaikyta, apsauga nuo manipuliavimo įjungta.
- Bazinės konfigūracijos atitiktis: šifravimas, ekrano užrakinimas, ugniasienė, vietinio administratoriaus būsena, pataisų lygis, draudžiamos programinės įrangos būsena.
- Aptikimo įrašas: įspėjimo ID, laiko žyma, aptikimo pavadinimas arba elgsena, sunkumas, procesų medis, paveikti failai, tinklo indikatoriai.
- Suvaldymo veiksmas: karantinavimas, izoliavimas, proceso nutraukimas, failo pašalinimas, įrenginio perdiegimas, prisijungimo duomenų atstatymas.
- Tyrimo pastabos: analitiko pirminis vertinimas, pagrindinė priežastis, fišingo kelias, žiniatinklio kelias, išnaudojimo kelias, paveiktų duomenų vertinimas.
- Incidento sprendimas: saugumo įvykis arba incidentas, NIS2, DORA ir GDPR slenksčių vertinimas, kai aktualu.
- Uždarymo įrodymai: incidento įrašo uždarymas, patvirtinimas, įgyta patirtis, rizikų registro atnaujinimas, jei reikia.
- Rodikliai: aptikimo laikas, suvaldymo laikas, taisymo laikas, panašių įspėjimų skaičius, klaidingai teigiamo atvejo būsena.
- Tobulinimo veiksmas: užblokuotas domenas, pašto taisyklės koregavimas, pataisos diegimas, naudotojo informuotumo užduotis, tiekėjo eskalavimas.
Dabar palyginkite įrodymų paketą su savo politika. Jei organizacijoms skirta politika nurodo, kad visi galiniai įrenginiai turi būti įtraukti į centralizuotai valdomą apsaugą nuo kenkimo programinės įrangos su privaloma bazine konfigūracija, ar galite tai įrodyti? Jei MVĮ politika nurodo, kad kenkimo programinės įrangos įvykiai turi būti nuolat stebimi per antivirusinę konsolę arba centralizuotą EDR valdymo skydą, ar galite parodyti valdymo skydą, peržiūrą atlikusį asmenį, įspėjimą, incidento įrašą ir uždarymą?
Taip EDR duomenys tampa audito įrodymais.
Kaip skirtingi auditoriai testuoja tas pačias galinių įrenginių kontrolės priemones
Skirtingos patikinimo komandos galinių įrenginių apsaugą vertins per skirtingas prizmes. Įrodymai gali būti tie patys, bet klausimai skiriasi.
| Auditoriaus perspektyva | Ką paprastai tikrina | Įrodymai, atsakantys į klausimą |
|---|---|---|
| ISO/IEC 27001:2022 auditorius | Ar galinių įrenginių kontrolės priemonės parinktos per rizikos valdymą, įtrauktos į Taikomumo pareiškimą, įgyvendintos, stebimos ir tobulinamos | Rizikos vertinimas, SoA įrašas, galinių įrenginių politika, EDR diegimo ataskaita, stebėsenos įrašai, vidaus audito rezultatai |
| NIS2 kibernetinės higienos peržiūros vykdytojas | Ar galinių įrenginių saugumas palaiko proporcingą rizikos valdymą, incidentų valdymą, pažeidžiamumų valdymą, prieigos kontrolę, turto valdymą ir mokymus | Galinių įrenginių apskaita, bazinės konfigūracijos atitiktis, EDR įspėjimai, incidentų įrašai, pataisų rodikliai, mokymų įrašai |
| DORA IRT rizikos peržiūros vykdytojas | Ar galinių įrenginių apsauga palaiko IRT turto identifikavimą, atsparumą, incidentų valdymą, testavimą, tęstinumą ir IRT trečiųjų šalių priežiūrą | IRT turto atvaizdavimas, incidentų klasifikavimas, atsparumo testų rezultatai, atsarginių kopijų įrodymai, MDR sutartis, vadovybei teikiamos ataskaitos |
| GDPR privatumo peržiūros vykdytojas | Ar galinių įrenginių kontrolės priemonės palaiko tvarkymo saugumą ir pažeidimo vertinimą | Duomenų prieigos atvaizdavimas, šifravimas, žurnalai, duomenų iškėlimo analizė, pažeidimo pirminis vertinimas, suvaldymo ir atkūrimo įrodymai |
| NIST CSF 2.0 vertintojas | Ar valdysenos, identifikavimo, apsaugos, aptikimo, reagavimo ir atkūrimo rezultatai yra integruoti | Esamas ir tikslinis profilis, turto apskaita, prieigos kontrolės priemonės, stebėsena, reagavimas į incidentus, atkūrimo įrodymai |
| COBIT 2019 stiliaus valdysenos peržiūros vykdytojas | Ar apibrėžta savininkystė, tikslai, veiksmingumas, rizika ir patikinimas | RACI, KPI, KRI, ataskaitos valdybai, kontrolės savininko įrodymai, išimtys, taisomųjų veiksmų sekimas |
| ISACA vidaus auditorius | Ar kontrolės priemonės tinkamai suprojektuotos ir nuosekliai veikia imtyse | Imčių testavimas, ekrano kopijos, konfigūracijos eksportai, išimčių patvirtinimai, pakartotinis stebėsenos patikrų atlikimas |
NIST CSF 2.0 ypač naudingas kaip vadovybei suprantamas tarpinis kalbos sluoksnis. Jo GOVERN funkcija palaiko suinteresuotųjų šalių lūkesčius, teisines prievoles, rizikos apetitą, atskaitomybę, politiką, išteklius ir priežiūrą. Jo operacinės funkcijos padeda paaiškinti, kaip turto valdymas, prieigos kontrolė, duomenų apsauga, stebėsena, reagavimas į incidentus, suvaldymas, pašalinimas, atkūrimas ir komunikacija veikia kartu.
Clarysec projektuose ISO/IEC 27001:2022 suteikia formalų ISVS pagrindą, Zenith Controls pateikia kelių atitikties sričių susiejimo vadovą, o NIST CSF 2.0 suteikia valdybai tinkamą komunikacijos sluoksnį.
Tiekėjų valdomos galinių įrenginių paslaugos yra įrodymų modelio dalis
Daug organizacijų dalį galinių įrenginių apsaugos perduoda MSP, MSSP, MDR teikėjams, debesijos darbalaukių teikėjams arba EDR tiekėjams. Išorinių paslaugų naudojimas gali pagerinti pajėgumus, tačiau atskaitomybės jis nepanaikina.
NIS2 Article 21 apima tiekimo grandinės saugumą ir tiekėjų santykius. DORA finansų subjektams numato dar daugiau: IRT trečiųjų šalių rizikos strategiją, sutartinių susitarimų registrus, deramą rūpestingumą, koncentracijos rizikos analizę, audito ir patikrinimo teises, nutraukimo teises, pagalbą incidentų metu, pasitraukimo strategijas ir aiškų atsakomybių paskirstymą. ISO/IEC 27001:2022 Annex A apima tiekėjų santykių kontrolės priemones, tiekėjų susitarimus, IRT tiekimo grandinės kontrolės priemones, tiekėjų paslaugų stebėseną ir pakeitimų valdymą, taip pat debesijos paslaugų įsigijimą, naudojimą, valdymą ir pasitraukimą.
Galinių įrenginių išorinių paslaugų įrodymai turėtų apimti:
- Tiekėjo deramą patikrinimą prieš įtraukimą.
- Sutartines nuostatas dėl stebėsenos, pranešimo apie incidentus, prieigos, duomenų vietos, audito teisių, paslaugų lygių ir bendradarbiavimo.
- Atsakomybių matricą dėl įspėjimų pirminio vertinimo, izoliavimo, pagrindinės priežasties analizės, ataskaitų teikimo ir įrodymų išsaugojimo.
- Ataskaitas, rodančias tiekėjo veiksmingumą ir SLA laikymąsi.
- Įrodymus, kad tiekėjo incidentai ir platformos nepasiekiamumas peržiūrimi.
- Pasitraukimo planą, jei EDR arba MDR teikėjas neveikia, yra nutraukiamas arba tampa nepriimtinas.
- Patvirtinimą, kad žurnalai ir skaitmeninės ekspertizės įrodymai išlieka prieinami organizacijai.
Dažna audito nesėkmė yra MDR valdymo skydas be savininkystės. Organizacija mato įspėjimus, bet negali įrodyti, kas valdo riziką, ką teikėjas privalo daryti, kaip peržiūrima įspėjimų kokybė arba kaip įrodymai išsaugomi reglamentavimo ir teisiniais tikslais.
Rodikliai, paverčiantys galinių įrenginių priemones vadovybės įrodymais
Valdyboms ir priežiūros institucijoms nereikia neapdoroto įspėjimų kiekio. Jiems reikia rodiklių, rodančių, ar galinių įrenginių kenkimo programinės įrangos rizika kontroliuojama.
| Rodiklis | Kodėl tai svarbu |
|---|---|
| Galinių įrenginių aprėpties procentas | Parodo, ar žinomi galiniai įrenginiai apsaugoti patvirtinta EDR arba apsauga nuo kenkimo programinės įrangos |
| Nevaldomų galinių įrenginių skaičius | Išryškina inventoriaus, įvedimo į eksploatavimą arba shadow IT nesėkmes |
| Agento būklės procentas | Parodo, ar agentai yra aktyvūs, atnaujinti ir teikia ataskaitas |
| Kritinių galinių įrenginių pataisų atitiktis | Susieja kenkimo programinės įrangos rizikos ekspoziciją su pažeidžiamumų valdymu |
| Vidutinis aptikimo laikas | Parodo stebėsenos veiksmingumą |
| Vidutinis izoliavimo laikas | Parodo suvaldymo greitį išpirkos reikalaujančios ir kitos kenkimo programinės įrangos atvejais |
| Kenkimo programinės įrangos pasikartojimas pagal naudotoją arba verslo padalinį | Identifikuoja mokymų, proceso arba prieigos silpnąsias vietas |
| Karantinavimo nesėkmių rodiklis | Parodo, ar reagavimo veiksmai yra patikimi |
| Didelės rizikos išimtys, atviros ilgiau nei SLA | Parodo valdysenos discipliną |
| Atkūrimo testo sėkmingumo rodiklis | Parodo atsparumą, jei kenkimo programinė įranga sukelia sutrikimą |
| Incidentai su užbaigta pagrindinės priežasties analize | Parodo mokymąsi ir nuolatinį tobulinimą |
Šie rodikliai palaiko ISO/IEC 27001:2022 veiklos vertinimą ir vadovybės peržiūrą, NIS2 valdymo organo priežiūrą, DORA valdyseną ir IRT rizikos strategiją, GDPR atskaitomybę ir vidaus audito planavimą.
Organizacijoms skirtos Endpoint Protection / Malware Policy Įgyvendinimo ir atitikties skyriaus 8.2 punkte nurodyta:
Vidaus auditas turi atlikti periodines galinių įrenginių apsaugos atitikties peržiūras, įskaitant:
Vidaus auditas gali aukščiau nurodytus rodiklius paversti ketvirtiniu kontrolės testu: atrinkti galinius įrenginius, palyginti inventorių su EDR įtraukimu, patikrinti skenavimą realiuoju laiku, peržiūrėti pataisų būseną, patvirtinti, kad naudotojai negali išjungti apsaugos, patikrinti naujausius kenkimo programinės įrangos įspėjimus ir susieti atrinktus įspėjimus nuo aptikimo iki uždarymo.
Dažnos galinių įrenginių įrodymų spragos, kurias nustato Clarysec
Net brandžios organizacijos susiduria su galinių įrenginių įrodymų kokybės problemomis. Tos pačios spragos kartojasi nuolat:
- Turto apskaita ir EDR inventorius nesutampa.
- Kūrėjų darbo vietos kontroliuojamos silpniau nei standartiniai nešiojamieji kompiuteriai.
- Mobilieji įrenginiai neįtraukiami į galinių įrenginių įrodymus.
- BYOD prieiga leidžiama be įgyvendinamų įrenginio saugumo būsenos kontrolės priemonių.
- EDR agentai įdiegti, bet apsauga nuo manipuliavimo išjungta.
- Įspėjimus stebi teikėjas, tačiau eskalavimo taisyklės neaiškios.
- Karantinuota kenkimo programinė įranga nesusieta su incidento įrašu.
- Pagrindinės priežasties analizė praleidžiama dėl „užblokuotų“ aptikimų.
- Pataisų išimtims trūksta rizikos savininko patvirtinimo arba galiojimo pabaigos datų.
- Žurnalai saugomi per trumpai, kad palaikytų pažeidimo vertinimą.
- Atsarginių kopijų atkūrimas testuojamas bendrai, bet ne pagal išpirkos reikalaujančios programinės įrangos scenarijus.
- Ataskaitose valdybai rodomi įspėjimų skaičiai, o ne rizikos mažėjimas.
Sprendimas nėra daugiau skaičiuoklių. Sprendimas yra susietas veiklos modelis, kuriame politika, inventorius, galinių įrenginių konfigūracija, stebėsena, reagavimas į incidentus, tiekėjų valdymas, reglamentavimo slenksčių vertinimas, rodikliai ir audito testavimas stiprina vieni kitus.
Dešimt darbo dienų galinių įrenginių apsaugai nuo kenkimo programinės įrangos parengti auditui
Jei reikia greitos pradžios, per artimiausias dešimt darbo dienų atlikite šiuos veiksmus:
- Eksportuokite galinių įrenginių inventorių ir EDR inventorių, tada juos suderinkite.
- Identifikuokite nevaldomus, neaktyvius, pasenusius, pasikartojančius ir išimtinius galinius įrenginius.
- Patvirtinkite skenavimą realiuoju laiku, apsaugą nuo manipuliavimo, automatinį atnaujinimą, izoliavimo ir karantinavimo nustatymus.
- Atrinkite penkis kenkimo programinės įrangos įspėjimus ir susiekite kiekvieną su tyrimu ir uždarymu.
- Patikrinkite, ar galinių įrenginių įvykiai gali palaikyti NIS2, DORA ir GDPR incidentų pirminį vertinimą.
- Peržiūrėkite MDR, MSP ir EDR tiekėjų sutartis dėl pagalbos incidentų metu, prieigos prie įrodymų, audito teisių, SLA ir pasitraukimo sąlygų.
- Į vadovybės ataskaitas įtraukite galinių įrenginių aprėptį, agentų būklę, izoliavimo laiką, pataisų atitiktį ir pagrindinės priežasties analizės užbaigimą.
- Atlikite vidaus audito imtį naudodami Zenith Blueprint Step 19 kontrolinį sąrašą.
- Naudokite Zenith Controls, kad susietumėte A.8.1 ir A.8.7 su žurnalų tvarkymu, stebėsena, pažeidžiamumų valdymu, reagavimu į incidentus, tiekėjų kontrolės priemonėmis ir atkūrimu.
- Atnaujinkite savo valdysenos bazinį rinkinį naudodami Clarysec Endpoint Protection / Malware Policy arba MVĮ skirtą Galinių įrenginių apsaugos nuo kenkėjiškos programinės įrangos politiką.
Galinių įrenginių apsauga nuo kenkimo programinės įrangos 2026 m. nėra vien išpirkos reikalaujančios programinės įrangos sustabdymas. Tai gebėjimas įrodyti, kad jūsų organizacija gali užkirsti kelią, aptikti, suvaldyti, atkurti, pranešti ir tobulėti.
Clarysec gali padėti galinių įrenginių apsaugą paversti iš priemonės diegimo į pagrįstą kelių atitikties sričių įrodymų sistemą. Atsisiųskite Endpoint Protection / Malware Policy, pradėkite nuo MVĮ skirtos Galinių įrenginių apsaugos nuo kenkėjiškos programinės įrangos politikos, jei reikia paprastesnio veiklos modelio, naudokite Zenith Blueprint kontrolėms įgyvendinti ir Zenith Controls, kad susietumėte galinių įrenginių įrodymus su ISO/IEC 27001:2022, NIS2, DORA, GDPR Article 32, NIST CSF 2.0 ir audito lūkesčiais.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council