ISO 27001 grėsmių žvalgyba NIS2 ir DORA reikalavimams
Antradienio rytą 07:42 Europos fintech įmonės CISO dar iki kavos gauna keturis pranešimus.
Pirmasis – nacionalinio CERT įspėjimas, kad nuotolinės prieigos pažeidžiamumas aktyviai išnaudojamas. Antrasis – tiekėjo biuletenis, patvirtinantis, kad paveiktas komponentas naudojamas valdomoje failų perdavimo paslaugoje. Trečiasis – valdomo aptikimo ir reagavimo pranešimas apie neįprastą išeinantį srautą iš neprodukcinio potinklio. Ketvirtasis – CFO klausimas: „Ar tai paveikia mūsų DORA pasirengimo paketą ir ar pagal NIS2 turime kam nors pranešti?“
Tai yra 2026 m. grėsmių žvalgybos problema. Esmė nėra surinkti daugiau kanalų. Esmė – pagrįsti, kad aktuali kibernetinių grėsmių žvalgybos informacija gaunama, validuojama, nukreipiama, pagal ją imamasi veiksmų ir ji paverčiama rizikos, aptikimo, pažeidžiamumų, incidentų, tiekėjų ir valdybos lygmens įrodymais.
Daugelis organizacijų jau prenumeruoja tiekėjų saugumo pranešimus, CISA įspėjimus, ENISA atnaujinimus, nacionalinių CERT pranešimus, ISAC biuletenius, debesijos paslaugų teikėjų saugumo pranešimus, CVE kanalus, MDR ataskaitas, išnaudojamumo duomenų bazes ir tamsiojo interneto stebėseną. Tačiau gavus realų saugumo pranešimą komandos vis tiek veikia skubotai. SOC rengia aptikimo taisyklę. Infrastruktūros komanda ieško turto registruose, kurie gali būti neatnaujinti. Atitikties funkcija klausia, ar įvykis aktualus NIS2 arba DORA. Vadovybė nori aiškaus atsakymo dar prieš organizacijai sužinant, ar pažeidžiamas komponentas veikia produkcinėje aplinkoje.
Problema nėra duomenų trūkumas. Problema yra audituojamo veiklos modelio nebuvimas.
Grėsmių kanalas, kurio niekas nenaudoja, nėra kontrolės priemonė. Pažeidžiamumo pranešimas, kuris nepakeičia pataisų prioriteto, nėra įrodymas. Tiekėjo pranešimas, kuris niekada nepasiekia rizikų registro, nėra tiekimo grandinės saugumas. CSIRT įspėjimas, kuris neatnaujina stebėsenos, pirminio incidentų vertinimo ar vadovybės ataskaitų, yra tik triukšmas pašto dėžutėje.
Clarysec požiūris paprastas: grėsmių žvalgyba turi tapti rizikos sprendimų veiklos sistema. Ji turi būti integruota į ISVS taikymo sritį, rizikos vertinimą, Taikomumo pareiškimą, incidentų veiksmų planus, pažeidžiamumų triažą, žurnalų valdymą ir stebėseną, tiekėjų valdyseną, vadovybės ataskaitas ir audito įrodymų paketą.
Kodėl grėsmių žvalgyba dabar yra valdybos lygmens kontrolės priemonė
NIS2 pakeitė kibernetinio saugumo valdysenos toną. Į jos taikymo sritį patenka daug SaaS teikėjų, debesijos paslaugų teikėjų, valdomų paslaugų teikėjų, valdomų saugumo paslaugų teikėjų, skaitmeninės infrastruktūros organizacijų ir skaitmeninių paslaugų teikėjų, kurie, priklausomai nuo sektoriaus, dydžio ir valstybės narės priskyrimo, laikomi esminiais arba svarbiais subjektais.
NIS2 Article 21 reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių rizikos valdymo priemonių. Tai apima rizikos analizę, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugumą įsigijimo, kūrimo ir priežiūros procesuose, įskaitant pažeidžiamumų valdymą ir atskleidimą, veiksmingumo vertinimą, bazinę kibernetinę higieną ir mokymus, kriptografiją, žmogiškųjų išteklių saugumą, prieigos kontrolę, turto valdymą ir MFA arba tęstinį autentifikavimą, kai tai tinkama.
NIS2 Article 20 taip pat reikalauja, kad valdymo organai patvirtintų kibernetinio saugumo rizikos valdymo priemones, prižiūrėtų jų įgyvendinimą ir dalyvautų mokymuose. Esminiams subjektams didžiausia administracinė bauda gali siekti bent 10 mln. EUR arba 2 procentus pasaulinės metinės apyvartos, priklausomai nuo to, kuri suma didesnė. Svarbiems subjektams ji gali siekti bent 7 mln. EUR arba 1,4 procento.
Grėsmių žvalgybos kontekste valdybos lygmens klausimas yra toks: kaip žinome, kad naujos grėsmės keičia mūsų kontrolės priemones dar prieš joms tampant incidentais?
DORA finansų subjektams ir atitinkamiems trečiųjų šalių IRT paslaugų teikėjams prideda dar vieną sluoksnį. Ji taikoma nuo 2025 m. sausio 17 d. ir reikalauja patikimos, išsamios ir tinkamai dokumentuotos IRT rizikos valdymo sistemos, integruotos į bendrą rizikos valdymo sistemą. DORA sistema tikisi, kad organizacijos identifikuos ir klasifikuos IRT palaikomas verslo funkcijas ir turtą, taikys apsaugos ir prevencijos priemones, aptiks anomalų aktyvumą, reaguos ir atkurs veiklą, valdys atsarginių kopijų kūrimą ir atkūrimą, mokysis iš IRT incidentų, komunikuos krizių metu ir valdys trečiųjų šalių IRT riziką.
DORA taip pat reikalauja su IRT susijusių incidentų valdymo, klasifikavimo ir pranešimo. Articles 17, 18 ir 19 apima incidentų valdymo procesus, su IRT susijusių incidentų ir kibernetinių grėsmių klasifikavimą bei pranešimą apie didelius su IRT susijusius incidentus. Article 10 orientuotas į anomalaus aktyvumo aptikimą. Articles 6 to 11 aprašo IRT rizikos valdymo sistemą, identifikavimo, apsaugos, prevencijos, aptikimo, reagavimo ir atkūrimo lūkesčius.
Paprastai tariant, DORA tikisi grėsmėmis grindžiamo atsparumo. Ne statinio atsparumo. Ne kartą per metus atnaujinamos politikos atsparumo. Grėsmėmis grindžiamo atsparumo.
ISO/IEC 27001:2022 suteikia vadybos sistemos mechanizmą, kuris sujungia šiuos lūkesčius. Clauses 4.1 to 4.4 reikalauja, kad organizacija suprastų savo vidinį ir išorinį kontekstą, suinteresuotąsias šalis, teisinius ir reglamentavimo įpareigojimus, ISVS taikymo sritį, priklausomybes ir sąveikaujančius procesus. Clauses 6.1.1 to 6.1.3 reikalauja pakartojamo rizikos vertinimo ir rizikos tvarkymo proceso, kontrolės priemonių parinkimo, palyginimo su Annex A, Taikomumo pareiškimo, tvarkymo planavimo ir rizikos savininko patvirtinto likutinės rizikos priėmimo.
Grėsmių žvalgyba priklauso būtent ten – ne kaip šalutinis prietaisų skydelis, o kaip įvestis kontekstui, rizikai, kontrolės priemonių parinkimui, tvarkymui, stebėsenai, vadovybės peržiūrai ir nuolatiniam tobulinimui.
Atitikties spąstai: grėsmių kanalai be sprendimų atsekamumo
Dažniausias nesėkmės modelis apgaulingai paprastas: organizacija gauna grėsmių žvalgybą, bet negali pagrįsti, kaip ji keičia sprendimus.
Silpna įrodymų grandinė paprastai atrodo taip:
| Gautas signalas | Silpna reakcija | Auditoriaus susirūpinimas |
|---|---|---|
| CERT įspėjimas apie aktyvų išnaudojimą | Persiųsta į IT pašto dėžutę | Nėra rizikos vertinimo, savininkystės ar veiksmų įrodymų |
| Tiekėjo biuletenis apie kritinę pataisą | Įtraukta į užklausų darbų sąrašą | Nėra prioritetizavimo pagal turto kritiškumą ar išnaudojimo aktyvumą |
| MDR aptiktas įtartinas komandinės eilutės naudojimas | Uždaryta kaip klaidingai teigiamas atvejis | Nėra dokumentuotų triažo kriterijų ar mokymosi ciklo |
| Tiekėjo pranešimas apie kompromituotą priklausomybę | Įdėta į pirkimų aplanką | Nėra tiekėjo rizikos atnaujinimo ar kompensuojančių kontrolės priemonių peržiūros |
| ISAC įspėjimas apie sektoriaus kampaniją | Paminėta SOC susitikime | Nėra stebėsenos, informuotumo ar incidentų veiksmų plano atnaujinimo |
Čia Clarysec įgyvendinimo metodas padeda organizacijoms pereiti nuo „gauname žvalgybą“ prie „integruojame žvalgybą į veiklos procesus“.
Dokumente Zenith Blueprint: auditoriaus 30 žingsnių planas Zenith Blueprint fazė „Kontrolės priemonės veikloje“ grėsmių žvalgybą aiškiai paverčia audituojama praktika. 22 žingsnis „Organizacinės kontrolės priemonės“ nurodo:
Sudarykite dokumentuotą grėsmių žvalgybos šaltinių sąrašą (5.7) iš tiekėjų, ISAC arba atvirųjų šaltinių ir nustatykite, kaip žvalgybos informacija validuojama ir integruojama į sprendimų priėmimą. Apibrėžkite, kas gauna grėsmių atnaujinimus ir kaip jie taikomi (pvz., pataisų prioritetizavimui, informuotumo mokymams). Parenkite trumpą ketvirtinę grėsmių tendencijų apžvalgą pagrindinėms suinteresuotosioms šalims.
Ši instrukcija yra tiltas tarp grėsmių duomenų ir atitikties įrodymų. Grėsmių žvalgybos registras nėra vien šaltinių sąrašas. Jis pagrindžia aktualumą, savininkystę, validavimą, nukreipimą, integravimą ir naudojimą versle.
ISO 27001 kontrolės logika: grėsmių žvalgybos grandinė
ISO/IEC 27002:2022 kontrolės priemonė 5.7 „Grėsmių žvalgyba“ reikalauja, kad organizacijos rinktų ir analizuotų informaciją, susijusią su informacijos saugumo grėsmėmis, ir naudotų ją grėsmių žvalgybai rengti. Dokumente Zenith Controls: kryžminės atitikties vadovas Zenith Controls kontrolės priemonė 5.7 klasifikuojama kaip prevencinė, nustatomoji ir korekcinė. Ji palaiko konfidencialumą, vientisumą ir prieinamumą, atitinka kibernetinio saugumo sąvokas „Identify“, „Detect“ ir „Respond“ ir yra grėsmių bei pažeidžiamumų valdymo operacinis pajėgumas.
Ši klasifikacija svarbi. Grėsmių žvalgyba veikia prevenciškai, nes informuoja saugumo stiprinimą, pataisų diegimą, mokymus ir tiekėjų kontrolės priemones. Ji padeda aptikti, nes formuoja stebėseną, SIEM taisykles ir grėsmių paieškos užduotis. Ji veikia korekciškai, nes gerina reagavimą į incidentus, įgytos patirties taikymą ir rizikos tvarkymą.
Zenith Controls taip pat susieja ISO/IEC 27002:2022 kontrolės priemonę 5.7 su palaikančiomis kontrolės priemonėmis:
| ISO/IEC 27002:2022 kontrolės ryšys | Kodėl tai svarbu praktikoje |
|---|---|
| 5.6 Ryšys su specialių interesų grupėmis | ISAC, CERT, profesiniai forumai ir sektoriaus bendruomenės yra žvalgybos šaltiniai, o ne papildomas tinklaveikos elementas |
| 8.7 Apsauga nuo kenkėjiškos programinės įrangos | Kompromitavimo indikatoriai, kenkėjiški URL, maišos reikšmės, valdymo ir kontrolės infrastruktūra ir atakų modeliai atnaujina galinių įrenginių ir el. pašto apsaugas |
| 8.8 Techninių pažeidžiamumų valdymas | Realaus išnaudojimo žvalgyba keičia pažeidžiamumo prioritetą ir pataisos skubumą |
| 8.15 Žurnalų valdymas | Žurnalai suteikia faktinį įrašą, reikalingą indikatoriams ieškoti ir veiklai rekonstruoti |
| 8.16 Stebėsenos veiklos | Grėsmių žvalgyba nurodo SOC, ką stebėti, o stebėsena sukuria vidinę žvalgybą |
| 5.25 Informacijos saugumo įvykių vertinimas ir sprendimas | Žvalgyba pagrįstas triažas padeda nuspręsti, ar įvykis yra saugumo incidentas |
Pažeidžiamumų sąsaja ypač svarbi. Zenith Controls kontrolės priemonę 8.8 „Techninių pažeidžiamumų valdymas“ traktuoja kaip prevencinę ir tiesiogiai susijusią su kontrole 5.7, nes realaus pasaulio grėsmių žvalgyba parodo, kurie pažeidžiamumai aktyviai išnaudojami. Ji taip pat susieja 8.8 su 8.16 „Stebėsenos veiklos“, nes pastebėti išnaudojimo bandymai turi didinti pataisų diegimo skubumą.
Tai sukuria praktinę grėsmių žvalgybos grandinę:
- Gaunama išorinė arba vidinė žvalgybos informacija.
- Aktualumas validuojamas pagal turtą, tiekėjus, geografiją, sektorių, verslo paslaugas ir duomenis.
- Atnaujinama rizika.
- Keičiasi pataisų ir konfigūracijos prioritetai.
- Koreguojama aptikimo logika.
- Peržiūrimi incidentų veiksmų planai ir klasifikavimo slenksčiai.
- Tikrinamos tiekėjų ir debesijos priklausomybės.
- Vadovybė gauna tendencijų ataskaitas.
- Įrodymai saugomi auditoriams, reguliuotojams ir klientams.
Politikos, paverčiančios žvalgybą atsakingu elgesiu
Politikos yra vieta, kur kontrolės logika tampa vaidmenimis pagrįsta atskaitomybe. Clarysec MVĮ ir įmonių politikų rinkiniai apima grėsmių žvalgybos sąsajas rizikos valdymo, galinių įrenginių apsaugos, pažeidžiamumų valdymo, žurnalų valdymo, stebėsenos ir audito įrodymų srityse.
MVĮ skirtame dokumente Galinių įrenginių apsaugos nuo kenkėjiškos programinės įrangos politika Galinių įrenginių apsaugos nuo kenkėjiškos programinės įrangos politika - MVĮ Valdysenos reikalavimų clause 5.4.1 nustato tiesioginį lūkestį:
IT pagalbos teikėjas privalo stebėti patikimus grėsmių žvalgybos šaltinius (pvz., CISA, ENISA, pagrindinius antivirusinės programinės įrangos tiekėjus) ir užtikrinti, kad aptikimo parašai išliktų aktualūs
Šios nuostatos vertė yra atsakomybės priskyrimas. Grėsmių žvalgyba nėra „kažkas IT turėtų tikrinti įspėjimus“. Tai aiškus paslaugų teikėjo įsipareigojimas.
Pažeidžiamumų ir pataisų valdymo politika Pažeidžiamumų ir pataisų valdymo politika - MVĮ tą patį modelį sustiprina Vaidmenų ir atsakomybių clause 4.2.1:
Stebi sistemas dėl pažeidžiamumų ir prieinamų pataisų naudodamas tiekėjų įspėjimus, grėsmių žvalgybos pranešimus ir operacinės sistemos pranešimus
Ji taip pat Politikos įgyvendinimo reikalavimų clause 6.2.1.3 nurodo, kokio tipo šaltinis turi inicijuoti veiksmą:
Patikimi grėsmių žvalgybos pranešimai (pvz., CISA, ENISA, nacionalinių CERT įspėjimai)
Įmonėms skirta Pažeidžiamumų ir pataisų valdymo politika Pažeidžiamumų ir pataisų valdymo politika Vaidmenų ir atsakomybių clause 4.5.1 nurodo:
Stebėti grėsmių pranešimus (pvz., CVE, CISA KEV, tiekėjų biuletenius) ir eskaluoti kritinius pažeidžiamumus.
Eskalavimo reikalavimas yra esminis. Pažeidžiamumas tampa skubus, kai sutampa išnaudojamumas, pasiekiamumas, verslo kritiškumas, duomenų jautrumas ir grėsmių aktyvumas.
Rizikos valdymo politika Rizikos valdymo politika į analizę įtraukia grėsmių žvalgybą. Politikos įgyvendinimo reikalavimų clause 6.2.2 nurodo:
Analizėje turi būti atsižvelgiama į esamų kontrolės priemonių veiksmingumą, aktualią grėsmių žvalgybą, turto kritiškumą ir pažeidžiamumo sunkumą.
Ši nuostata yra auditui tinkamos grėsmių žvalgybos esmė. Ji pagrindžia, kad rizikos analizė nėra teorinė.
Žurnalų valdymo ir stebėsenos politika Žurnalų tvarkymo ir stebėsenos politika žvalgybą paverčia aptikimu. Jos Tikslo clause 1.2 nurodo:
Audito žurnalavimas, stebėsena ir grėsmių aptikimas yra būtini anomalijoms aptikti, reaguoti į grėsmes, atlikti kriminalistinę peržiūrą, užtikrinti pasirengimą auditui ir teisinę atitiktį. Ši politika užtikrina, kad visi sistemų generuojami įvykiai būtų tinkamai registruojami, saugomi ir koreliuojami naudojant sinchronizuoto laiko tikslumą.
Galiausiai Audito ir atitikties stebėsenos politika Audito ir atitikties stebėsenos politika paaiškina, kodėl svarbi įrodymų disciplina. Tikslų clause 3.4 reikalauja, kad organizacija generuotų įrodymus:
Generuoti dokumentuotus įrodymus ir audito pėdsaką reglamentavimo institucijų paklausimams, teisiniams procesams arba klientų patikinimo prašymams pagrįsti.
Kai NIS2, DORA, klientas arba ISO auditorius klausia, ką žinojote, kada tai sužinojote, kas priėmė sprendimą ir kas pasikeitė, šis įrodymų pėdsakas yra skirtumas tarp brandžios patikinimo praktikos ir gynybinio skubėjimo.
Sukurkite grėsmių žvalgybos registrą
Brandus registras turi du sluoksnius: šaltinių valdyseną ir įvykių sekimą. Šaltinių valdysena apibrėžia, kuo organizacija pasitiki, kas yra savininkas, kaip šaltinis validuojamas ir kokį veiksmą jis gali inicijuoti.
| Šaltinio pavadinimas | Tipas | Validavimo procesas | Integracijos taškas | Savininkas |
|---|---|---|---|---|
| CISA KEV Catalog | Operacinis | Kryžmiškai sulyginti su turto registru ir pasiekiamumu | Inicijuoti neatidėliotiną pataisų prioritetizavimą | Pažeidžiamumų valdymas |
| ENISA pranešimai | Strateginis | Rizikos savininko arba rizikos komiteto peržiūra | Atnaujinti rizikos scenarijus ir vadovybės informavimą | CISO |
| Sektoriaus ISAC | Taktinis | Analizuoti IOC aktualumą technologijų paketui | Atnaujinti SIEM, EDR ir grėsmių paieškos užduotis | SOC vadovas |
| Debesijos paslaugų teikėjo biuleteniai | Operacinis | Patikrinti paveiktas paslaugas ir regionus | Eskaluoti debesijos inžinerijos komandai | DevOps vadovas |
| Tiekėjų pataisų pranešimai | Operacinis | Patvirtinti produktą, versiją ir diegimo apimtį | Įtraukti į pataisų ciklą arba neatidėliotiną pakeitimą | IT operacijos |
| MDR pranešimai | Taktinis ir operacinis | Atlikti triažą pagal žurnalus, turtą ir žinomus bazinius būvius | Atidaryti aptikimo, tyrimo arba incidento bylą | Saugumo operacijos |
| Tiekėjų saugumo pranešimai | Operacinis | Susieti su sutartinėmis paslaugomis ir duomenų srautais | Atnaujinti tiekėjų riziką ir kompensuojančias kontrolės priemones | Tiekėjo savininkas |
Įvykių sekimas fiksuoja, kaip konkretus pranešimas tapo įrodymu. Grįžtant prie antradienio ryto failų perdavimo scenarijaus, registro įrašas turi apimti pakankamai informacijos rizikos, reagavimo ir atitikties sprendimams pagrįsti.
| Laukas | Pavyzdinis įrašas |
|---|---|
| Gavimos data ir laikas | 2026-05-26 07:42 UTC |
| Šaltinis | Nacionalinio CERT įspėjimas, tiekėjo biuletenis, MDR pranešimas |
| Šaltinio tipas | Valstybės institucijos pranešimas, tiekėjo pranešimas, vidinis aptikimas |
| Paveikta technologija | Valdoma failų perdavimo paslauga, versijų intervalas, priklausomos bibliotekos |
| Verslo savininkas | Platformos operacijų vadovas |
| Rizikos savininkas | CISO |
| Turto sąsaja | Išorinis failų perdavimo šliuzas, klientų ataskaitų teikimo darbo eiga |
| Pradinis sunkumas | Aukštas, kol bus validuotas pasiekiamumas |
| Reikalingi veiksmai | Pasiekiamumo patikra, pataisų būsena, aptikimo peržiūra, tiekėjo patvirtinimas |
| Atitikties aktualumas | NIS2 Article 21, NIS2 Article 23, jei tenkinami reikšmingo incidento kriterijai, DORA IRT rizikos ir incidentų gyvavimo ciklas, jei taikoma |
| Įrodymų vieta | Užklausa, rizikų registro atnaujinimas, SIEM pakeitimas, vadovybės pastaba |
Tai nėra biurokratija. Tai faktinis įrašas, pagrindžiantis, kad jūsų organizacija turi apibrėžtą gavimo, validavimo, triažo, eskalavimo ir įrodymų procesą.
Nuo pranešimo iki audito įrodymų: praktinė darbo eiga
Grėsmių žvalgybos darbo eiga turi greitai atsakyti į šešis klausimus: ar esame paveikti, kiek tai rimta, kas turi pasikeisti, kas yra savininkas, ar turime pranešti ir kokius įrodymus reikia saugoti?
1. Validuokite pasiekiamumą ir poveikį verslui
ISO/IEC 27001:2022 clauses 4.1 to 4.4 reikalauja, kad ISVS atspindėtų faktinį organizacijos kontekstą, įpareigojimus ir priklausomybes. Pirmoji užduotis nėra aklas pataisų diegimas. Pirmoji užduotis – validuoti pasiekiamumą.
Klauskite:
- Ar naudojame paveiktą technologiją?
- Ar ji pasiekiama internetu?
- Ar ją naudoja kritinė verslo paslauga?
- Ar ji tvarko asmens duomenis?
- Ar ją eksploatuoja tiekėjas arba valdomų paslaugų teikėjas?
- Ar ji aktuali DORA kritinei arba svarbiai funkcijai?
- Ar ji aktuali paslaugoms, patenkančioms į NIS2 taikymo sritį?
- Ar yra sutartinių klientų informavimo įsipareigojimų?
- Ar žurnalai prieinami, išsamūs ir sinchronizuoti pagal laiką?
Jei gali būti paveikti asmens duomenys, į analizę taip pat patenka GDPR atskaitomybė. GDPR reikalauja tinkamo tvarkymo saugumo ir įrodomos atskaitomybės, įskaitant gebėjimą įvertinti, ar įvyko asmens duomenų saugumo pažeidimas ir ar reikia pranešti.
2. Atnaujinkite rizikų registrą
Rizikos valdymo politika Rizikos valdymo politika - MVĮ Valdysenos reikalavimų clause 5.1.3 pateikia paprastą laiko taisyklę:
Rizikos turi būti peržiūrimos kas ketvirtį ir atnaujinamos įvykus reikšmingiems įvykiams.
Patikimas pranešimas apie aktyvų išnaudojimą yra reikšmingas įvykis. Atnaujinimas neturi laukti kitos ketvirtinės peržiūros.
| Rizikos elementas | Atnaujintas vertinimas |
|---|---|
| Grėsmė | Aktyvus valdomos failų perdavimo paslaugos pažeidžiamumo išnaudojimas |
| Pažeidžiamumas | Paveikta versija, atvira sąsaja, silpna konfigūracija, trūkstama pataisa |
| Turtas | Klientų duomenų mainų platforma |
| Pasekmė | Paslaugos sutrikimas, neteisėta prieiga prie duomenų, pranešimas reguliuotojui, poveikis klientų pasitikėjimui |
| Tikimybė | Padidėjusi dėl aktyvaus išnaudojimo realioje aplinkoje |
| Esamos kontrolės priemonės | MFA, WAF, galinių įrenginių apsauga, SIEM stebėsena, atsarginė kopija, tiekėjo SLA |
| Kontrolės spragos | Pataisa nepatvirtinta, aptikimas nesuderintas, laukiama tiekėjo įrodymų |
| Tvarkymas | Neatidėliotina pataisa, laikinas tinklo apribojimas, IOC paieška, tiekėjo patvirtinimas, poveikio klientams vertinimas |
| Likutinės rizikos savininkas | CISO ir Platformos operacijų savininkas |
Tai tiesiogiai siejasi su ISO/IEC 27001:2022 clauses 6.1.1-6.1.3. Organizacija identifikuoja riziką, analizuoja tikimybę ir pasekmes, prioritetizuoja tvarkymą, parenka kontrolės priemones, palaiko Taikomumo pareiškimą, sudaro tvarkymo planą ir gauna likutinės rizikos patvirtinimą.
3. Prioritetizuokite pažeidžiamumų tvarkymą naudodami išnaudojimo žvalgybą
Zenith Blueprint fazės „Kontrolės priemonės veikloje“ 19 žingsnis „Technologinės kontrolės priemonės I“ paaiškina, kodėl pažeidžiamumų valdymas yra pagrindinė kibernetinė higiena:
Pažeidžiamumų valdymas yra viena kritiškiausių šiuolaikinės kibernetinės higienos sričių. Nors ugniasienės ir antivirusinės programinės įrangos priemonės suteikia apsaugą, jos gali būti apeitos, jei neatnaujintos sistemos arba neteisingai sukonfigūruotos paslaugos paliekamos pasiekiamos. Siekdamos atitikti šią kontrolės priemonę, organizacijos turi įgyvendinti struktūruotą ir pakartojamą pažeidžiamumų identifikavimo, vertinimo ir šalinimo procesą.
Vien CVSS nepakanka. Vidutinio balo pažeidžiamumas, aktyviai išnaudojamas internetu pasiekiamoje sistemoje, gali būti skubesnis nei aukšto balo pažeidžiamumas, esantis segmentuotoje laboratorijoje.
| Veiksnys | Klausimas | Įrodymai |
|---|---|---|
| Išnaudojimo aktyvumas | Ar išnaudojimas pastebėtas arba apie jį pranešė patikimi šaltiniai? | CERT įspėjimas, CISA KEV nuoroda, tiekėjo biuletenis, MDR ataskaita |
| Pasiekiamumas | Ar turtas pasiekiamas internetu arba tiekėjams? | Turto registras, debesijos saugumo laikysena, tinklo skenavimas |
| Verslo kritiškumas | Ar jis palaiko esmines paslaugas arba kritines funkcijas? | Verslo poveikio analizė, DORA funkcijų susiejimas |
| Duomenų jautrumas | Ar jis tvarko asmens duomenis, reglamentuojamus finansinius duomenis arba konfidencialius kliento duomenis? | Duomenų registras, DPIA, tvarkymo įrašai |
| Kompensuojančios kontrolės priemonės | Ar WAF, ugniasienės taisyklės, segmentavimas, EDR arba funkcijos išjungimas gali sumažinti riziką? | Pakeitimo užklausa, ugniasienės taisyklė, EDR politika |
| Operacinė rizika | Ar neatidėliotinas pataisų diegimas galėtų sutrikdyti kritinės paslaugos teikimą? | Pakeitimo vertinimas, grąžinimo į ankstesnę būseną planas, tęstinumo planas |
Tai sukuria pagrįstą sprendimą. Tai taip pat palaiko NIS2 Article 21(2)(e) dėl pažeidžiamumų valdymo, NIS2 Article 21(2)(g) dėl kibernetinės higienos ir DORA IRT rizikos valdymo lūkesčius.
4. Paverskite žvalgybą stebėsena ir aptikimu
Grėsmių žvalgyba turi pasiekti žurnalų valdymą ir stebėseną. Žurnalų valdymo ir stebėsenos politika Žurnalų tvarkymo ir stebėsenos politika - MVĮ Politikos įgyvendinimo reikalavimų clause 6.2.1 nurodo:
Saugumo priemonės (pvz., antivirusinė programinė įranga, ugniasienės, VPN) turi būti sukonfigūruotos generuoti įspėjimus pagal apibrėžtus grėsmių scenarijus, įskaitant:
Ištrauka aiškiai nustato kontrolės tikslą: apibrėžti grėsmių scenarijai turi formuoti įspėjimus.
Zenith Blueprint fazės „Kontrolės priemonės veikloje“ 19 žingsnis stebėsenos veiklas apibūdina taip:
Jei žurnalų tvarkymas yra veiksmas, kuriuo registruojama, kas vyksta jūsų aplinkoje, stebėsena yra stebėjimas, supratimas ir reagavimas į tuos įvykius. Ši kontrolės priemonė skirta aktyviai stebėti tinklus, sistemas ir taikomąsias programas, kad būtų aptikta neįprasta veikla ne tik po fakto, bet, kai įmanoma, realiuoju arba beveik realiuoju laiku.
Failų perdavimo scenarijuje SOC arba IT paslaugų teikėjas turėtų:
- Pridėti arba validuoti IOC iš CERT ir tiekėjo pranešimo.
- Ieškoti žurnaluose žinomų išnaudojimo kelių, įtartinų įkėlimų, web shell indikatorių, neįprasto procesų vykdymo ir netikėtų išeinančių jungčių.
- Patvirtinti, kad autentifikavimo, administratoriaus veiklos, failų prieigos, API ir tinklo žurnalai yra saugomi.
- Suderinti SIEM įspėjimus pagal išnaudojimo modelį.
- Sukurti bylos pastabą, paaiškinančią, ko buvo ieškota, kas rasta ir kas tai peržiūrėjo.
- Eskaluoti į incidento klasifikavimą, jei indikatoriai rodo kompromitavimą, duomenų atskleidimą arba poveikį paslaugai.
Čia pranešimas apie incidentus tampa praktinis. NIS2 Article 23 reikalauja etapinio pranešimo apie reikšmingus incidentus, įskaitant ankstyvąjį įspėjimą per 24 valandas, pranešimą per 72 valandas, tarpinius atnaujinimus pagal prašymą ir galutinę ataskaitą ne vėliau kaip per vieną mėnesį nuo pranešimo. DORA reikalauja, kad finansų subjektai aptiktų, valdytų, klasifikuotų ir praneštų apie didelius su IRT susijusius incidentus per reglamente ir susijusiuose techniniuose standartuose apibrėžtą etapais vykdomą procesą.
Grėsmių žvalgyba padeda nustatyti, ar organizacija vis dar yra pažeidžiamumo reagavimo, saugumo įvykio vertinimo ar reglamentuojamo pranešimo apie incidentą etape.
Viena darbo eiga, keli atitikties įpareigojimai
Grėsmių žvalgyba yra ideali integruota atitikties darbo eiga, nes tie patys įrodymai palaiko kelis režimus.
| Sistema arba reglamentas | Ko tikimasi | Grėsmių žvalgybos įrodymai |
|---|---|---|
| ISO/IEC 27001:2022 | Kontekstą atitinkanti ISVS, rizikos vertinimas, kontrolės priemonių parinkimas, tvarkymo planavimas, nuolatinis tobulinimas | ISVS taikymo sritis, rizikų registras, Taikomumo pareiškimas, tvarkymo planas, vadovybės peržiūros įvestys |
| ISO/IEC 27002:2022 | Grėsmių žvalgyba, pažeidžiamumų valdymas, žurnalų valdymas, stebėsena, incidentų vertinimas, apsauga nuo kenkėjiškos programinės įrangos | Grėsmių žvalgybos registras, IOC atnaujinimai, SIEM taisyklės, pataisų užklausos, incidentų triažo pastabos |
| NIS2 | Rizikos valdymas, incidentų valdymas, kibernetinė higiena, pažeidžiamumų valdymas, tiekimo grandinės saugumas, valdysenos priežiūra | Article 20 ir 21 įrodymai, vadovybės informavimas, CSIRT ataskaitų teikimo procedūra, tiekėjų pranešimų tolesni veiksmai |
| DORA | IRT rizikos sistema, aptikimas, tęstinumas, incidentų gyvavimo ciklas, atsparumo testavimas, trečiųjų šalių IRT rizika | IRT turto klasifikavimas, aptikimo bylos, incidentų klasifikavimo įrašai, atsparumo testų įvestys, IRT tiekėjų įrašai |
| GDPR | Tvarkymo saugumas, atskaitomybė, pažeidimo aptikimo ir pranešimo palaikymas | Duomenų poveikio vertinimas, prieigos žurnalai, stebėsenos įrodymai, pažeidimo vertinimo įrašas |
| NIST CSF 2.0 | Govern, Identify, Protect, Detect, Respond, Recover rezultatai | Current Profile, Target Profile, prioritetizuotas veiksmų planas, rizikos komunikacijos |
| COBIT 2019 audito perspektyva | Rizikos, kontrolių, veiksmingumo, patikinimo ir atskaitomybės valdysena | Kontrolės savininkystė, vadovybės rodikliai, patikinimo įrodymai, problemų šalinimo sekimas |
NIST CSF 2.0 ypač naudinga komunikacijai su vadovybe. Jos pagrindinės funkcijos – Govern, Identify, Protect, Detect, Respond ir Recover – techninę žvalgybą paverčia valdybai suprantama istorija:
- Govern: apibrėžti grėsmių žvalgybos šaltiniai, savininkai ir ataskaitų teikimo linijos.
- Identify: susieti paveikti turtai, tiekėjai, verslo paslaugos ir duomenys.
- Protect: atnaujintas pataisų diegimas, saugumo stiprinimas, segmentavimas ir galinių įrenginių parašai.
- Detect: įdiegtos stebėsenos taisyklės, IOC ir grėsmių paieškos užduotys.
- Respond: peržiūrėti incidentų veiksmų planai, triažo taisyklės ir pranešimo slenksčiai.
- Recover: validuotos atsarginės kopijos, atkūrimo prioritetai ir įgyta patirtis.
Taip neapdorota kibernetinių grėsmių žvalgyba paverčiama rizikos valdysena.
Auditoriaus požiūris: ko jis prašys
Stiprus grėsmių žvalgybos procesas turi atlaikyti skirtingus audito stilius. ISO auditorius, NIS2 vertintojas, DORA priežiūros institucija, NIST CSF vertintojas, į COBIT 2019 orientuotas auditorius, ISACA specialistas arba privatumo peržiūrą atliekantis asmuo gali vartoti skirtingą kalbą, tačiau visi galiausiai susitelkia į įrodymus.
| Auditoriaus perspektyva | Tikėtinas audito klausimas | Įrodymai, kurie atsako į klausimą |
|---|---|---|
| ISO/IEC 27001:2022 auditorius | Kaip išorinis ir vidinis kontekstas veikia ISVS rizikas ir kontrolės priemones? | Grėsmių žvalgybos registras, rizikos metodika, atnaujintas rizikų registras, Taikomumo pareiškimo pagrindimas |
| ISO/IEC 27002:2022 kontrolės vertintojas | Kaip susijusios kontrolės 5.7, 8.8, 8.16, 8.15, 8.7 ir 5.25? | Šaltinių sąrašas, pažeidžiamumų triažas, SIEM derinimas, kenkėjiškos programinės įrangos parašų atnaujinimai, įvykių vertinimo įrašai |
| NIS2 vertintojas | Kaip įgyvendinate vadovybės priežiūrą, kibernetinę higieną, pažeidžiamumų valdymą, incidentų valdymą ir tiekimo grandinės saugumą? | Article 20 ir 21 susiejimas, vadovybės informavimo medžiaga, CSIRT pranešimo procedūra, tiekėjų pranešimų darbo eiga |
| DORA priežiūros institucija | Kaip grėsmių žvalgyba atnaujina IRT riziką, aptikimą, atsparumo testavimą ir incidentų klasifikavimą? | IRT rizikos sistema, kritinių funkcijų susiejimas, aptikimo bylos, incidentų klasifikavimo įrašai, atsparumo testų apimtis |
| NIST CSF vertintojas | Koks yra jūsų Current Profile, Target Profile ir prioritetizuotas veiksmų planas? | CSF profilis, spragų vertinimas, veiksmų planas, nuolatinio atnaujinimo žurnalas |
| COBIT 2019 arba ISACA auditorius | Kas yra kontrolės savininkas, kaip matuojamas veiksmingumas ir kaip šalinamos išimtys? | RACI, KPI, KRI, išimčių registras, taisomųjų veiksmų užklausos, vadovybės patvirtinimas |
| GDPR auditorius arba privatumo peržiūros vykdytojas | Kaip stebėsena ir pažeidžiamumų valdymas apsaugojo asmens duomenis ir palaikė pažeidimo vertinimą? | Duomenų tvarkymo žemėlapis, žurnalai, pažeidimo vertinimas, techninių ir organizacinių priemonių įrodymai |
Zenith Controls pateikia kryžminės atitikties interpretaciją šioms diskusijoms. Kontrolei 8.16 „Stebėsenos veiklos“ vadovas susieja stebėseną su GDPR saugumu ir pažeidimų atskaitomybe, NIS2 incidentų valdymu ir pranešimu bei DORA aptikimo ir reagavimo lūkesčiais. Kontrolei 8.8 „Techninių pažeidžiamumų valdymas“ jis susieja pažeidžiamumų valdymą su GDPR tvarkymo saugumu, NIS2 Article 21(2)(e) ir DORA proaktyviu IRT rizikos valdymu.
Būtent tokios įrodymų konvergencijos auditoriai tikisi.
Vadovybės ataskaitos: ketvirtinė grėsmių tendencijų apžvalga
Grėsmių žvalgybos registras neturi likti tik SOC viduje. Zenith Blueprint rekomenduoja trumpą ketvirtinę grėsmių tendencijų apžvalgą pagrindinėms suinteresuotosioms šalims. Clarysec rekomenduoja vieno puslapio vadovybės ataskaitą iš penkių dalių:
- Trys aktualiausios grėsmių tendencijos pagal poveikį verslui.
- Labiausiai paveikiamos technologijos arba tiekėjai.
- Kritiniai pažeidžiamumai, kurie buvo pataisyti, sumažinti arba priimti.
- Įgyvendinti aptikimo ir reagavimo patobulinimai.
- Sprendimai, kurių reikia iš vadovybės.
Stipri vadovybės apžvalga neišvardija 400 CVE. Ji paaiškina rizikos pokytį. Pavyzdžiui:
- Išpirkos reikalaujanti programinė įranga, nukreipta į valdomų paslaugų teikėjus, padidino tiekėjų peržiūros prioritetą.
- Failų perdavimo platformų išnaudojimas inicijavo neatidėliotiną pataisų diegimą ir kompensuojančią ugniasienės taisyklę.
- Debesijos tapatybės atakos paskatino MFA išimčių peržiūrą ir sąlyginės prieigos stiprinimą.
- Sektoriaus ISAC žvalgyba paskatino naujas fišingo simuliacijas finansų ir pagalbos komandoms.
- DORA kritinių funkcijų susiejimas atskleidė vieną stebėsenos spragą trečiosios šalies darbo eigoje.
Ši apžvalga palaiko NIS2 vadovybės atskaitomybę, DORA IRT rizikos valdyseną, ISO/IEC 27001:2022 vadovybės peržiūrą ir klientų patikinimą.
Dažni nesėkmių modeliai
Grėsmių žvalgybos programos dažnai atrodo brandžios skaidrėse, bet silpnos audito metu. Dažniausi nesėkmių modeliai:
- Per daug kanalų ir nėra validavimo kriterijų.
- Nėra ryšio tarp žvalgybos ir turto registro.
- Nėra dokumentuoto rizikos atnaujinimo po reikšmingų pranešimų.
- Pataisų prioritetas grindžiamas tik skenerio sunkumo lygiu.
- Tiekėjų pranešimai tvarkomi už ISVS ribų.
- SOC taisyklės atnaujinamos be pakeitimų įrašų.
- Incidentų slenksčiai nesuderinti su NIS2 arba DORA pranešimo darbo eiga.
- Valdybos ataskaitose dėmesys skiriamas įspėjimų apimčiai, o ne verslo rizikai.
- Nėra įrodymų, kad įgyta patirtis pakeitė kontrolės priemones.
- Nėra grėsmių žvalgybos registro palaikymo savininko.
Sprendimas nėra dar vieno kanalo pirkimas. Sprendimas yra kontrolės priemonių integracija.
10 punktų pasirengimo kontrolinis sąrašas 2026 metams
Naudokite šį kontrolinį sąrašą kaip praktinę vidaus peržiūrą.
| Pasirengimo klausimas | Taip arba ne |
|---|---|
| Ar palaikome patvirtintą grėsmių žvalgybos registrą su šaltinių savininkais ir validavimo taisyklėmis? | |
| Ar CERT, CSIRT, ISAC, tiekėjų, debesijos, MDR ir kitų teikėjų pranešimai nukreipiami į įvardytus vaidmenis? | |
| Ar reikšmingi pranešimai inicijuoja rizikų registro peržiūrą ne ketvirtinio ciklo metu? | |
| Ar pažeidžiamumų prioritetizavimas apima išnaudojimo aktyvumą, turto kritiškumą, duomenų jautrumą ir pasiekiamumą? | |
| Ar IOC ir grėsmių scenarijai paverčiami stebėsenos taisyklėmis arba grėsmių paieškos užduotimis? | |
| Ar tikrinamas galinių įrenginių parašų, debesijos aptikimų ir dinaminių grėsmių žvalgybos kanalų aktualumas? | |
| Ar tiekėjų pranešimai vertinami pagal tiekimo grandinės riziką ir sutartinius įsipareigojimus? | |
| Ar incidentų klasifikavimo kriterijai suderinti su NIS2 ir DORA pranešimo darbo eiga, kai taikoma? | |
| Ar vadovybė gauna ketvirtinę grėsmių tendencijų apžvalgą? | |
| Ar per vieną darbo dieną galime parengti įrodymų paketą auditoriui, reguliuotojui arba klientui? |
Jei į bet kurį iš šių klausimų atsakymas yra „ne“, organizacija turi ne tik grėsmių žvalgybos problemą. Ji turi ISVS integracijos problemą.
Kaip Clarysec padeda grėsmių žvalgybą paversti įrodymais
Clarysec metodas skirtas organizacijoms, kurioms vienu metu reikia praktinio saugumo ir patikimos atitikties.
Zenith Blueprint suteikia 30 žingsnių įgyvendinimo kelią, įskaitant 22 žingsnį grėsmių žvalgybos registrui ir 19 žingsnį pažeidžiamumų valdymui bei stebėsenos veikloms. Clarysec įmonių ir MVĮ politikos šiuos lūkesčius paverčia vaidmenimis pagrįstomis rizikos valdymo, pažeidžiamumų valdymo, galinių įrenginių apsaugos, žurnalų valdymo, stebėsenos ir audito įrodymų procedūromis. Zenith Controls tada pateikia kryžminės atitikties interpretaciją, parodydama, kaip ISO/IEC 27002:2022 kontrolės priemonės siejasi su NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 ir audito įrodymais.
Antradienio rytą CISO atsakymas CFO tampa aiškus:
„Gavome pranešimą, validavome pasiekiamumą, atnaujinome rizikų registrą, prioritetizavome pataisų diegimą pagal aktyvų išnaudojimą, suderinome stebėseną, patikrinome tiekėjo priklausomybę, įvertinome pranešimo apie incidentą slenksčius, informavome vadovybę ir išsaugojome įrodymus. Mes nespėliojame. Mes laikomės savo ISVS.“
Taip 2026 m. turi atrodyti ISO 27001 grėsmių žvalgyba NIS2 kibernetinei higienai ir DORA IRT rizikos įrodymams.
Tolesni veiksmai
Jei jūsų organizacija gauna grėsmių žvalgybą, bet negali pagrįsti, kaip ji keičia rizikos sprendimus, kontrolės priemones, aptikimą, reagavimą į incidentus, tiekėjų valdymą ir reglamentavimo įrodymus, šią savaitę pradėkite nuo trijų veiksmų:
- Sukurkite arba atnaujinkite savo Grėsmių žvalgybos registrą naudodami Zenith Blueprint fazę „Kontrolės priemonės veikloje“, 22 žingsnį.
- Susiekite dabartinį procesą su ISO/IEC 27002:2022 kontrolėmis 5.7, 8.8, 8.15, 8.16, 8.7 ir 5.25 naudodami Zenith Controls.
- Suderinkite savo politikas, ypač Rizikos valdymo politiką, Pažeidžiamumų ir pataisų valdymo politiką, Žurnalų valdymo ir stebėsenos politiką ir Audito ir atitikties stebėsenos politiką, kad kiekvienas pranešimas galėtų tapti dokumentuotu įrodymu.
Clarysec gali padėti grėsmių kanalus, pranešimus, tiekėjų pranešimus, pažeidžiamumų žvalgybą ir aptikimo signalus paversti su ISO/IEC 27001:2022 suderintu, NIS2 pasirengusiu ir DORA reikalavimus atliepiančiu veiklos modeliu.
Atsisiųskite Clarysec priemonių rinkinius, paprašykite proceso peržiūros arba užsisakykite pasirengimo vertinimą, kad pamatytumėte, kaip jūsų dabartinis grėsmių žvalgybos procesas atlaikytų ISO auditoriaus, NIS2 vertintojo, DORA priežiūros institucijos arba kliento patikinimo prašymą.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
