CISO ceļvedis auditam gatavai digitālās kriminālistikas gatavībai: NIS2, DORA, ISO 27001 un GDPR saskaņošana

Marija, vidēja lieluma finanšu tehnoloģiju uzņēmuma CISO, sajuta pazīstamu sasprindzinājumu. Uz viņas galda atradās ārējā audita ziņojums par ISO/IEC 27001:2022 sertifikāciju, un tā secinājums bija nepārprotams: būtiska neatbilstība.

Pirms trim nedēļām jaunākais izstrādātājs nejauši uz 72 minūtēm bija atklājis neproduktīvās vides datu glabātuvi publiskajam internetam. Operatīvā reaģēšana uz incidentu bija veiksmīga. Komanda rīkojās ātri, ierobežoja sistēmas pieejamību un apstiprināja, ka sensitīvi klientu dati nav bijuši iesaistīti.

No atbilstības viedokļa tas bija neveiksmīgs gadījums.

Kad auditors pieprasīja pierādījumus, lai precīzi apstiprinātu, kas notika šo 72 minūšu laikā, komandai to nepietika. Mākoņpakalpojumu sniedzēja žurnāli bija vispārīgi un pēc 24 stundām jau bija pārrakstīti. Ugunsmūra žurnāli uzrādīja savienojumus, bet nesaturēja pakešu līmeņa detalizāciju. Iekšējās lietojumprogrammas žurnāli nebija konfigurēti tā, lai reģistrētu konkrētos veiktos lietojumprogrammu saskarnes (API) izsaukumus. Komanda nevarēja nepārprotami pierādīt, ka neviena nesankcionēta persona nebija mēģinājusi paaugstināt privilēģijas vai veikt laterālu pārvietošanos uz citām sistēmām.

Audita konstatējums bija skarbs: “Organizācija nevar sniegt pietiekamus un uzticamus pierādījumus drošības notikuma laika skalas rekonstruēšanai, kas liecina par digitālās kriminālistikas gatavības trūkumu. Tas rada būtiskas bažas par atbilstību NIS2 incidentu pārvaldības prasībām, DORA prasībai nodrošināt detalizētu incidentu izsekojamību un GDPR pārskatatbildības principam.”

Marijas problēma nebija reaģēšana uz incidentiem; tā bija paredzēšanas trūkums. Viņas komanda prasmīgi dzēsa ugunsgrēkus, taču nebija izveidojusi spēju izmeklēt ļaunprātīgās darbības, kas tos izraisīja. Tieši šajā kritiskajā plaisā atrodas digitālās kriminālistikas gatavība — spēja, kas mūsdienu regulējumā vairs nav priekšrocība, bet obligāta prasība.

No reaktīvas žurnalēšanas uz proaktīvu digitālās kriminālistikas gatavību

Daudzas organizācijas, līdzīgi Marijas uzņēmumam, kļūdaini uzskata, ka “žurnālu esamība” nozīmē gatavību izmeklēšanai. Tā nav. Digitālās kriminālistikas gatavība ir stratēģiska spēja, nevis nejaušs IT operāciju blakusprodukts. Kā to nosaka starptautiskais standarts ISO/IEC 27043, organizācijām jāizveido procesi, kas nodrošina digitālo pierādījumu sagatavotību, pieejamību un izmaksu efektivitāti, paredzot iespējamus drošības incidentus.

NIS2, DORA, ISO 27001:2022 un GDPR kontekstā tas nozīmē spēju:

• Atklāt attiecīgos notikumus pietiekami ātri, lai ievērotu īsus ziņošanas termiņus.
• Rekonstruēt uzticamu notikumu secību no pret manipulācijām aizsargātiem žurnāliem.
• Pierādīt auditoriem un regulatoriem, ka žurnalēšanas un uzraudzības kontroles pasākumi ir balstīti uz risku, respektē privātumu un darbojas efektīvi.

Clarysec ieviešanas vadlīnijās Clarysec Zenith Controls: The Cross-Compliance Guide Zenith Controls tas formulēts vienkārši:

Efektīva digitālās kriminālistikas gatavība atbilstības kontekstā prasa minimizēt žurnālu datu vākšanu līdz tam, kas ir stingri nepieciešams, izvairīties no pārmērīgas personas datu vai sensitīvu datu glabāšanas un, kur iespējams, anonimizēt vai pseidonimizēt datus. Papildu labā prakse ietver stingru drošības pasākumu piemērošanu, piemēram, piekļuves kontroles pasākumus, šifrēšanu, biežus auditus un nepārtrauktu uzraudzību, kā arī GDPR saskaņotu datu glabāšanas politiku ieviešanu un regulāru nevajadzīgas informācijas dzēšanu.

Tas nozīmē būtisku domāšanas maiņu:

• No datu uzkrāšanas uz mērķtiecīgu vākšanu: nevis vākt visu, bet noteikt pierādījumus, kas nepieciešami būtisku jautājumu atbildēšanai: kurš ko darīja? Kad un kur tas notika? Kāda bija ietekme?
• No izolētiem žurnāliem uz korelētām laika skalām: ugunsmūra, lietojumprogrammu un mākoņpakalpojumu žurnāli ir atsevišķi puzles gabali. Digitālās kriminālistikas gatavība ir spēja tos salikt saskaņotā kopainā.
• No operatīva rīka uz pierādījumu aktīvu: žurnāli nav paredzēti tikai atkļūdošanai. Tie ir juridiski un regulatīvi pierādījumi, kas jāaizsargā, jāsaglabā un jāapstrādā ar skaidru pierādījumu uzraudzības ķēdi.

Nespēja pierādīt, kas noticis pārkāpuma laikā, tagad pati par sevi tiek uzskatīta par kontroles pasākuma kļūmi neatkarīgi no incidenta sākotnējās ietekmes.

Pamats: kur pārvaldība un politika satiekas ar praksi

Pirms tiek konfigurēts kaut viens žurnāls, digitālās kriminālistikas gatavības programma sākas ar skaidru pārvaldību. Auditora pirmais jautājums nebūs “Parādiet savu SIEM”, bet gan “Parādiet savu politiku”. Tieši šeit strukturēta pieeja nodrošina tūlītēju un pamatotu vērtību.

The Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint 14. solis posmā “Risks un ieviešana” ir veltīts šim pamatdarbam. Mērķis ir skaidrs:

“Izstrādāt vai pilnveidot konkrētas politikas un procedūras atbilstoši izvēlētajiem riska apstrādes pasākumiem (un Annex A kontrolēm) un nodrošināt saskaņotību ar tādiem regulējumiem kā GDPR, NIS2 un DORA.”

Šis solis liek organizācijām pārvērst lēmumus par risku dokumentētos un piemērojamos noteikumos. Tādam CISO kā Marija tas nozīmē izveidot savstarpēji saistītu politiku kopumu, kas definē organizācijas digitālās kriminālistikas spēju. Clarysec politiku veidnes nodrošina šīs struktūras arhitektūras plānu. Galvenais ir izveidot skaidras saites starp politikām, lai veidotu vienotu pārvaldības ietvaru.

Vispirms izveidojot šādu politiku ietvaru, organizācija iegūst aizstāvamu pozīciju. Piemēram, mūsu Digitālo pierādījumu iegūšanas un digitālās kriminālistikas politika norāda uz atkarību no P22 – Žurnalēšanas un uzraudzības politikas, lai nodrošinātu “notikumu žurnālu un telemetrijas pieejamību pierādījumu vākšanai un digitālās kriminālistikas korelācijai”. Šis viens teikums izveido spēcīgu mandātu, norādot, ka žurnalēšanas mērķis nav tikai operatīvs — tā kalpo digitālās kriminālistikas analīzei.

Mazākām organizācijām principi ir tie paši. Mūsu Digitālo pierādījumu iegūšanas un digitālās kriminālistikas politika SME atsaucas uz savu pamata žurnalēšanas politiku: “P22S – Žurnalēšanas un uzraudzības politika: nodrošina neapstrādātos datus, kas tiek izmantoti kā digitālās kriminālistikas pierādījumi, un nosaka glabāšanas, piekļuves kontroles un žurnalēšanas prasības.”

Šī dokumentētā stratēģija auditoriem, regulatoriem un iekšējām komandām parāda, ka pierādījumu pārvaldībai ir definēta un apzināti izveidota pieeja.

Tehniskais dzinējs: gatavības nodrošināšana ar stratēģisku uzraudzību

Kad politikas pamats ir izveidots, nākamais solis ir izveidot tehnisko dzinēju. Tas balstās uz divām būtiskām ISO/IEC 27001:2022 kontrolēm: 8.15 Žurnalēšana un 8.16 Uzraudzības darbības. Lai gan tās bieži tiek apspriestas kopā, to mērķi atšķiras. Kontrole 8.15 attiecas uz notikumu reģistrēšanu. Kontrole 8.16 attiecas uz to aktīvu analizēšanu, lai atklātu anomālijas un drošības notikumus. Tas ir digitālās kriminālistikas gatavības kodols.

Zenith Controls ceļvedis, mūsu intelektuālais īpašums, kas sasaista ISO kontroles ar globālajiem standartiem un audita praksi, skaidro, kā 8.16 Uzraudzības darbības ir centrālais elements, kas savieno neapstrādātos datus ar izmantojamu izlūkinformāciju. Tā nepastāv izolēti; tā ir daļa no cieši savstarpēji saistītas drošības ekosistēmas:

• Saistība ar 8.15 Žurnalēšana: efektīva uzraudzība nav iespējama bez uzticamas žurnalēšanas. Kontrole 8.15 nodrošina neapstrādāto datu esamību. Kontrole 8.16 nodrošina analīzes mehānismu, lai šiem datiem piešķirtu nozīmi. Bez uzraudzības žurnāli ir tikai kluss, nepārbaudīts arhīvs.
• Ievade 5.25 Informācijas drošības notikumu izvērtēšana un lēmuma pieņemšana: uzraudzības (8.16) identificētie brīdinājumi un anomālijas ir galvenie ievaddati notikumu izvērtēšanas procesam (5.25). Kā norāda Zenith Controls ceļvedis, tieši tā tiek nošķirta neliela novirze no pilnvērtīga incidenta, kam nepieciešama eskalācija.
• Balstīts uz 5.7 Draudu izlūkošana: uzraudzība nedrīkst būt statiska. Draudu izlūkošana (5.7) sniedz jaunus kompromitācijas indikatorus un uzbrukumu modeļus, kas jāizmanto uzraudzības noteikumu un meklējumu atjaunināšanai, veidojot proaktīvu atgriezeniskās saites ciklu.
• Attiecināms uz 5.22 Piegādātāju pakalpojumu uzraudzība: redzamība nedrīkst beigties pie jūsu perimetra. Mākoņpakalpojumiem un citiem piegādātājiem ir jānodrošina, ka to uzraudzības un žurnalēšanas spējas atbilst jūsu digitālās kriminālistikas prasībām, kas ir būtiski NIS2 un DORA kontekstā.

Auditam gatava žurnalēšanas un uzraudzības stratēģija sākas ar mērķi. Brīdinājumu sliekšņiem jābalstās uz risku izvērtējumu, piemēram, jāuzrauga izejošās tīkla datplūsmas pieaugumi, straujš kontu bloķēšanas gadījumu skaita pieaugums, privilēģiju paaugstināšanas notikumi, ļaunatūras atklāšana un neatļautas programmatūras instalēšana.

Tāpat žurnālu glabāšanai jābūt apzinātam lēmumam. Zenith Controls ceļvedis iesaka:

Žurnālu glabāšana un rezerves kopiju veidošana jāpārvalda iepriekš noteiktā periodā, nodrošinot aizsardzību pret nesankcionētu piekļuvi un izmaiņām. Žurnālu glabāšanas termiņi jānosaka, ņemot vērā organizācijas vajadzības, risku izvērtējumu, labo praksi un juridiskās prasības…

Tas nozīmē noteikt glabāšanas termiņus katrai sistēmai (piemēram, 12 mēneši tiešsaistē, 3–5 gadi arhīvā DORA kritiskām sistēmām) un nodrošināt, ka rezerves kopijas tiek saglabātas vismaz tik ilgi, cik regulāri tiek pārskatīti žurnāli.

Atbilstības līdzsvars: pierādījumu vākšana, nepārkāpjot GDPR

Pēc tādas audita neveiksmes kā Marijas gadījumā instinktīva reakcija varētu būt reģistrēt visu un visur. Tas rada jaunu un tikpat bīstamu problēmu: datu aizsardzības principu pārkāpšanu saskaņā ar GDPR. Digitālās kriminālistikas gatavība un privātums bieži tiek uztverti kā pretēji spēki, taču tie ir jāsaskaņo.

Tieši šeit kritiska kļūst ISO 27001:2022 kontrole 5.34 Privātums un PII aizsardzība. Tā veido tiltu starp drošības programmu un privātuma pienākumiem. Kā aprakstīts Zenith Controls, 5.34 ieviešana ir tiešs pierādījums spējai izpildīt GDPR Article 25 (integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma) un Article 32 (apstrādes drošība).

Lai sasniegtu šo līdzsvaru, digitālās kriminālistikas programmā jāintegrē būtiski privātumu uzlabojoši kontroles pasākumi:

• Integrācija ar 5.12 Informācijas klasifikācija: nodrošiniet, ka žurnāli no sistēmām, kurās tiek apstrādāta personas identificējoša informācija (PII), tiek klasificēti kā īpaši sensitīvi un tiem tiek piemērota stingrākā aizsardzība.
• 8.11 Datu maskēšana ieviešana: aktīvi izmantojiet pseidonimizāciju vai maskēšanu, lai žurnālos aizklātu personas identifikatorus, ja izmeklēšanai nav nepieciešamas neapstrādātas vērtības. Tā ir tieša datu minimizēšanas ieviešana.
• 5.15 un 5.16 (Piekļuves kontrole un Identitātes pārvaldība) piemērošana: ierobežojiet piekļuvi neapstrādātiem žurnāliem, stingri ievērojot principu “nepieciešamība zināt”, jo īpaši notikumiem, kas saistīti ar darbiniekiem vai klientiem.
• Sasaiste ar privātuma ietvariem: atbalstiet programmu ar tādiem standartiem kā ISO/IEC 27701 (PIMS), ISO/IEC 27018 (PII mākonī) un ISO/IEC 29100 (privātuma principi).

Integrējot šos kontroles pasākumus, iespējams izstrādāt žurnalēšanas un uzraudzības stratēģiju, kas vienlaikus ir pamatota digitālās kriminālistikas vajadzībām un respektē privātumu, apmierinot gan drošības komandas, gan datu aizsardzības speciālistus.

No teorijas līdz auditam: ko dažādi auditori patiesībā meklē

Lai veiksmīgi izietu auditu, jāiesniedz pareizie pierādījumi tādā veidā, kas atbilst auditora konkrētajai metodoloģijai. ISO 27001 auditors domā citādi nekā COBIT auditors, un abiem ir cits fokuss nekā NIS2 regulatoram.

Sadaļa audit_methodology mūsu Zenith Controls ceļvedī par 8.16 Uzraudzības darbības sniedz ļoti vērtīgu ceļvedi CISO, pārvēršot kontroles mērķi taustāmos pierādījumos dažādiem audita skatpunktiem.

Lūk, kā sagatavoties pārbaudei no dažādiem skatpunktiem:

Šo dažādo skatījumu izpratne ir būtiska. ISO auditoram labi dokumentēts process viltus trauksmes apstrādei ir ļoti labs pierādījums darbojošai sistēmai. NIST auditoram pārliecinošāka būs reāllaika pārbaude, kurā tiek parādīta brīdinājuma nostrādāšana. NIS2 vai DORA regulatoram vissvarīgākais ir savlaicīgas atklāšanas un eskalācijas pierādījums. Marijas komanda cieta neveiksmi, jo nevarēja sniegt pierādījumus, kas apmierinātu jebkuru no šiem skatpunktiem.

Praktiskais scenārijs: auditam gatavas pierādījumu pakotnes izveide

Piemērosim to reālam scenārijam: ļaunatūras kampaņa ietekmē vairākus galapunktus jūsu ES operācijās, un daļa no tiem apstrādā klientu personas identificējošu informāciju (PII). Jums jāapmierina GDPR, NIS2, DORA un ISO 27001 auditora prasības.

Pierādījumu pakotnei jābūt strukturētam stāstījumam, nevis vienkāršai datu izgāztuvei. Tajā jāiekļauj:

1. Tehniskā laika skala un artefakti:

   • SIEM brīdinājumi, kas parāda sākotnējo atklāšanu un ir sasaistīti ar 8.16 Uzraudzības darbības.
   • EDR žurnāli ar datņu hešvērtībām, procesu kokiem un ierobežošanas darbībām.
   • Ugunsmūra un tīkla žurnāli, kas parāda C2 komunikācijas mēģinājumus.
   • Autentifikācijas žurnāli, kas parāda laterālās pārvietošanās mēģinājumus.
   • Visu savākto žurnālu datņu hešvērtības integritātes pierādīšanai, saskaņā ar 8.24 Kriptogrāfijas izmantošana.

2. Pārvaldības un procedūru pierādījumi:

   • Jūsu Digitālo pierādījumu iegūšanas un digitālās kriminālistikas politikas kopija.
   • Jūsu Žurnalēšanas un uzraudzības politikas kopija, kas apliecina pilnvarojumu šādu datu vākšanai.
   • Attiecīgais fragments no jūsu Datu glabāšanas un dzēšanas politikas Datu glabāšanas un dzēšanas politika, kurā norādīti šo konkrēto žurnālu glabāšanas termiņi.

3. Saistība ar incidentu pārvaldību:

   • Incidentu reaģēšanas pieteikums, kas parāda klasifikāciju, smaguma pakāpes izvērtēšanu un eskalāciju, sasaistot uzraudzību (8.16) ar incidenta izvērtēšanu (5.25).
   • Ieraksti par lēmumu pieņemšanas procesu iestāžu informēšanai saskaņā ar NIS2 Article 23 vai GDPR Article 33.

4. Privātuma atbilstības pierādījumi:

   • DPO piezīme, kas apstiprina, ka pierādījumu pakotnei ir veikta privātuma pārskatīšana.
   • Demonstrācija, ka jebkura žurnālos esošā personas identificējoša informācija (PII) tika apstrādāta saskaņā ar politiku (piemēram, piekļuve bija ierobežota), saskaņā ar kontroli 5.34 Privātums un PII aizsardzība.

5. Regulatīvā komunikācija:

   • Ieraksts par jebkuru saraksti ar datu aizsardzības iestādi vai nacionālo kiberdrošības iestādi, kā ieteikts mūsu Zenith Controls vadlīnijās.

Šāda strukturēta pakotne pārvērš haotisku notikumu kontroles, procesa un sākotnējās izpētes demonstrācijā.

Pierādījumu glabātuves izveide: īstenojams plāns

Kā CISO var pāriet no reaktīva drošības stāvokļa uz nepārtrauktu, auditam gatavu digitālās kriminālistikas gatavību? Galvenais ir sistemātiski izveidot “pierādījumu glabātuvi”, kurā atrodas auditoriem nepieciešamie pierādījumi pirms to pieprasīšanas.

1. Dokumentējiet savu stratēģiju:

• Pabeidziet politikas: apstipriniet un publicējiet Žurnalēšanas un uzraudzības politiku, Pierādījumu vākšanas politiku un Datu glabāšanas politiku, izmantojot Zenith Blueprint 14. soli kā vadlīniju.
• Kartējiet datu plūsmu: uzturiet shēmu, kurā parādīts, no kurienes žurnāli tiek vākti, kur tie tiek agregēti (piemēram, SIEM) un kā tie tiek aizsargāti.

2. Konfigurējiet un validējiet rīkus:

• Nosakiet uz risku balstītus sliekšņus: dokumentējiet galveno brīdinājumu sliekšņus un pamatojiet tos ar risku izvērtējumu.
• Validējiet glabāšanas iestatījumus: saglabājiet ekrānuzņēmumus no žurnālu pārvaldības platformas vai mākoņvides konsoles, kuros skaidri redzami konfigurētie glabāšanas termiņi dažādiem datu tipiem.
• Pierādiet integritāti: izveidojiet procesu kritisku pierādījumu datņu kriptogrāfiskai hešošanai to vākšanas brīdī un glabājiet hešvērtības atsevišķi.

3. Pierādiet darbības efektivitāti:

• Uzturiet detalizētus ierakstus: saglabājiet ierakstus par to, kā apstrādājāt vismaz trīs nesenus drošības notikumus, arī viltus trauksmes. Parādiet sākotnējo brīdinājumu, triāžas piezīmes, veiktās darbības un galīgo atrisinājumu ar laikspiedoliem.
• Žurnalējiet piekļuvi žurnāliem: esiet gatavi parādīt, kam ir piekļuve neapstrādātu žurnālu skatīšanai, un sniegt audita pēdas par šo piekļuvi.
• Testējiet un reģistrējiet: uzturiet ierakstus, kas apliecina, ka uzraudzības sistēmas ir darbspējīgas un periodiskie testi (piemēram, trauksmes testi) tiek veikti un reģistrēti žurnālos.

Marijas audita neveiksme nebija tehniska — tā bija stratēģiska. Viņa smagā veidā iemācījās, ka mūsdienu regulatīvajā vidē neizmeklējams incidents ir gandrīz tikpat slikts kā pats incidents. Žurnāli vairs nav vienkāršs IT blakusprodukts; tie ir kritisks aktīvs pārvaldībai, risku pārvaldībai un atbilstībai.

Negaidiet, līdz neatbilstība atklāj jūsu trūkumus. Izveidojot patiesu digitālās kriminālistikas gatavības spēju, jūs pārvēršat drošības datus no potenciālas saistības par spēcīgāko aktīvu sākotnējās izpētes un noturības pierādīšanai.

Vai esat gatavs izveidot savu auditam gatavo digitālās kriminālistikas spēju? Izpētiet Clarysec The Zenith Blueprint: An Auditor’s 30-Step Roadmap, lai no pamatiem izveidotu dokumentētu IDPS, un iedziļinieties mūsu Zenith Controls, lai saprastu, kādus precīzus pierādījumus auditori pieprasa katram kontroles pasākumam. Ieplānojiet konsultāciju jau šodien, lai uzzinātu, kā mūsu integrētās rīkkopas var paātrināt jūsu ceļu uz pierādāmu atbilstību.