⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Ochrona urządzeń końcowych przed złośliwym oprogramowaniem: dowody ISO 27001 dla regulacji UE

Igor Petreski

Jest 07:42 w poniedziałek. Menedżer finansowy otwiera fakturę od dostawcy z wątku e-mail, który wygląda wiarygodnie. Kilka minut później konsola detekcji na urządzeniu końcowym sygnalizuje podejrzane uruchomienie skryptu, próbę utrwalenia dostępu oraz ruch wychodzący do nieznanej domeny. Agent EDR automatycznie izoluje laptop. Łańcuch ransomware zostaje przerwany, zanim rozpocznie się szyfrowanie.

Bezpieczeństwo zadziałało. Trudne pytanie pojawia się jednak później.

Dyrektor ds. bezpieczeństwa informacji nie słyszy wyłącznie pytania: „Czy zatrzymaliśmy złośliwe oprogramowanie?”. Dyrektor generalny i zarząd pytają: „Czy możemy wykazać, że była to odporność zaprojektowana z założenia, a nie szczęśliwy traf? Czy możemy pokazać audytorom, klientom, regulatorom i ubezpieczycielom, że nasza ochrona urządzeń końcowych zadziałała w sposób spełniający ISO/IEC 27001:2022, cyberhigienę NIS2, zarządzanie ryzykiem ICT DORA oraz GDPR Article 32?”.

To jest kluczowe wyzwanie bezpieczeństwa urządzeń końcowych w 2026 r. Ochrona urządzeń końcowych nie jest już tylko funkcją operacji IT. Jest systemem dowodowym zgodności.

Pojedynczy alert dotyczący złośliwego oprogramowania na laptopie może stać się próbką audytową ISO/IEC 27001:2022, oceną istotnego incydentu NIS2, zapisem incydentu związanego z ICT dla DORA, triażem naruszenia ochrony danych osobowych na potrzeby GDPR, tematem rozmowy o ryzyku dostawcy oraz przeglądem ładu zarządczego na poziomie zarządu. Organizacje, które robią to dobrze, nie tylko wdrażają EDR. Łączą politykę, inwentarz, środki techniczne, monitorowanie, reagowanie na incydenty, triaż prawny, umowy z dostawcami, metryki oraz ciągłe doskonalenie w jedną możliwą do obrony narrację kontrolną.

Clarysec obserwuje ten sam wzorzec w środowiskach SaaS, fintech, usług zarządzanych i regulowanych środowiskach cyfrowych. Większość organizacji dysponuje już silnymi narzędziami: EDR, oprogramowaniem antywirusowym, MDM, skanerami podatności, SIEM, bezpieczeństwem poczty elektronicznej, filtrowaniem stron internetowych, platformami kopii zapasowych i systemami zgłoszeniowymi. Luka zwykle nie dotyczy technologii. Luka dotyczy projektowania dowodów.

Ten artykuł pokazuje, jak zbudować gotowe do audytu dowody ochrony urządzeń końcowych przed złośliwym oprogramowaniem, wykorzystując ISO/IEC 27001:2022 jako kręgosłup SZBI, korporacyjną Politykę ochrony urządzeń końcowych / ochrony przed złośliwym oprogramowaniem Clarysec Polityka ochrony urządzeń końcowych / ochrony przed złośliwym oprogramowaniem, wersję dla MŚP Polityka ochrony urządzeń końcowych - ochrona przed złośliwym oprogramowaniem Polityka ochrony urządzeń końcowych - ochrona przed złośliwym oprogramowaniem - MŚP, Zenith Blueprint: 30-etapowa mapa drogowa audytora Zenith Blueprint oraz Zenith Controls: przewodnik po zgodności przekrojowej Zenith Controls.

Dlaczego ochrona urządzeń końcowych przed złośliwym oprogramowaniem jest dziś kwestią zgodności na poziomie zarządu

Nowoczesne urządzenie końcowe to miejsce, w którym spotykają się tożsamość, dane biznesowe, zachowania użytkowników, techniki atakujących oraz odpowiedzialność regulacyjna. Laptopy łączą się z sieci domowych i lotniskowych. Programiści uruchamiają narzędzia lokalne. Członkowie kierownictwa podróżują z pocztą i plikami przechowywanymi w pamięci podręcznej. Wykonawcy mogą korzystać z urządzeń zarządzanych lub częściowo zarządzanych. Telefony komórkowe zatwierdzają wezwania MFA. Obciążenia chmurowe i serwery zachowują się jak urządzenia końcowe z perspektywy EDR.

W Zenith Blueprint, w fazie „Kontrole w działaniu”, krok 19: Techniczne środki kontrolne I, Clarysec opisuje urządzenia końcowe użytkowników jako „drzwi i okna” organizacji:

Urządzenia końcowe użytkowników, laptopy, smartfony, tablety, komputery stacjonarne, a nawet cienkie klienty, są miejscem, w którym zaczyna się interakcja cyfrowa. Są drzwiami i oknami do Twoich systemów. I tak jak każda konstrukcja fizyczna, muszą być wzmacniane, monitorowane i kontrolowane.

Takie ujęcie ma znaczenie, ponieważ ochrona urządzeń końcowych nie polega wyłącznie na blokowaniu złośliwego oprogramowania. Musi wykazać, że organizacja wie, jakie urządzenia istnieją, nadzoruje sposób ich używania, egzekwuje bazowe konfiguracje bezpieczeństwa, wykrywa naruszenia bezpieczeństwa, reaguje spójnie, zachowuje dowody, odtwarza operacje i doskonali się po incydentach.

Dojrzały program ochrony urządzeń końcowych przed złośliwym oprogramowaniem powinien bez wahania odpowiadać na cztery pytania audytowe:

  1. Czy znamy każde urządzenie końcowe, które może uzyskać dostęp do systemów biznesowych lub danych osobowych?
  2. Czy każde urządzenie końcowe jest chronione przez zatwierdzoną, centralnie zarządzaną ochronę przed złośliwym oprogramowaniem lub EDR?
  3. Czy możemy wykazać konfigurację, skanowanie, aktualizacje, alerty, kwarantannę, izolację, dochodzenie i zamknięcie?
  4. Czy możemy powiązać zdarzenia z urządzeń końcowych z postępowaniem z ryzykiem, reagowaniem na incydenty, zgłoszeniami regulacyjnymi, nadzorem nad dostawcami i przeglądem zarządzania?

ISO/IEC 27001:2022 zapewnia system zarządzania potrzebny do udzielenia odpowiedzi na te pytania. Klauzule 4.1 do 4.4 wymagają, aby organizacja określiła kontekst, strony zainteresowane, obowiązki prawne i umowne, interfejsy, zależności oraz zakres SZBI. W przypadku ochrony urządzeń końcowych zakres nie może kończyć się na „korporacyjnym IT”. Musi uwzględniać pracę zdalną, uprzywilejowane stacje robocze, urządzenia mobilne, dostęp do chmury obliczeniowej, urządzenia zarządzane przez dostawców, logi urządzeń końcowych, zewnętrzny SOC lub usługi MDR oraz każde urządzenie końcowe, które może wpływać na bezpieczeństwo informacji.

Klauzule 5.1 do 5.3 jednoznacznie określają odpowiedzialność kierownictwa. Najwyższe kierownictwo musi wspierać SZBI, przypisywać role, zapewniać zasoby i dbać o spójność polityk. W kontekście urządzeń końcowych zarząd nie może zatwierdzać celów cyberhigieny, pozostawiając nierozwiązane kwestie licencjonowania EDR, zaległości we wdrażaniu poprawek, wyjątków BYOD lub luk w eskalacji MDR.

Klauzule 6.1.1 do 6.1.3 tworzą mechanizm postępowania z ryzykiem. Ryzyka związane ze złośliwym oprogramowaniem na urządzeniach końcowych muszą być identyfikowane, oceniane, objęte postępowaniem z ryzykiem, zmapowane do środków kontrolnych z Załącznika A, odzwierciedlone w Deklaracji stosowania oraz zaakceptowane przez właścicieli ryzyka tam, gdzie pozostaje ryzyko szczątkowe. Klauzule 8.1 do 8.3 przekształcają następnie postępowanie z ryzykiem w kontrolowane operacje, planowane zmiany, ocenę ryzyka prowadzoną okresowo lub po istotnych zmianach oraz wyniki postępowania z ryzykiem.

Narracja audytowa nie brzmi: „zainstalowaliśmy EDR”. Narracja audytowa brzmi: „ryzyko złośliwego oprogramowania na urządzeniach końcowych jest identyfikowane, oceniane, objęte postępowaniem, obsługiwane operacyjnie, monitorowane, testowane, dokumentowane dowodowo, raportowane i doskonalone”.

Most polityk Clarysec między ustawieniami EDR a dowodami audytowymi

Polityka jest miejscem, w którym rzeczywistość techniczna staje się intencją możliwą do kontroli audytowej. Bez polityki konfiguracje urządzeń końcowych są tylko ustawieniami narzędzia. Z polityką te ustawienia stają się wymaganiami kontrolnymi.

Korporacyjna Polityka ochrony urządzeń końcowych / ochrony przed złośliwym oprogramowaniem Clarysec ustanawia ten most w klauzuli 1.3:

Niniejsza polityka bezpośrednio wspiera zgodność z ISO/IEC 27001:2022, klauzulą 8.1 oraz środkiem kontrolnym 8.7 z Załącznika A, i jest dostosowana do regionalnych obowiązków w zakresie cyberbezpieczeństwa wynikających z GDPR, NIS2 i DORA.

Ta jedna klauzula daje organizacji bezpośrednie powiązanie między operacjami na urządzeniach końcowych a ISO/IEC 27001:2022, NIS2, DORA i GDPR. Audytorzy mogą następnie sprawdzić, czy rzeczywisty program ochrony urządzeń końcowych odpowiada zobowiązaniu wynikającemu z polityki.

Ta sama polityka korporacyjna określa oczekiwany model operacyjny w wymaganiach ładu zarządczego, klauzuli 5.2:

Wszystkie urządzenia końcowe muszą być zarejestrowane w centralnie zarządzanych systemach ochrony przed złośliwym oprogramowaniem (np. EDR, oprogramowanie antywirusowe lub równoważne platformy) z wymuszoną konfiguracją bazową.

To dokładnie taki zapis, który audytorzy cenią, ponieważ można go przetestować. Jeżeli „wszystkie urządzenia końcowe” muszą być zarejestrowane, dowody muszą pokazywać pełną populację urządzeń końcowych, oczekiwaną populację EDR, status rejestracji, wyjątki, środki kompensujące oraz postęp działań naprawczych.

Dla MŚP Polityka ochrony urządzeń końcowych - ochrona przed złośliwym oprogramowaniem zawiera bezpośrednie wymagania operacyjne. Klauzula 5.1.3 stanowi:

Wszystkie urządzenia końcowe muszą być ujęte w inwentarzu aktywów IT i powiązane z używanym narzędziem ochrony urządzeń końcowych

Klauzula 5.2.1 dodaje:

Na wszystkich urządzeniach końcowych muszą działać wyłącznie zatwierdzone przez organizację rozwiązania antywirusowe lub EDR (endpoint detection and response)

Klauzula 6.1.1.1 wymaga:

Ciągłego uruchomienia skanowania antywirusowego i antymalware w czasie rzeczywistym

A klauzula 8.1.1 wymaga:

Zdarzenia związane ze złośliwym oprogramowaniem muszą być monitorowane w sposób ciągły przez konsolę antywirusową lub scentralizowany panel EDR

Łącznie te klauzule tworzą prosty, ale silny test dowodowy: pokaż inwentarz, pokaż narzędzie ochrony urządzeń końcowych, pokaż zatwierdzoną konfigurację, pokaż ciągłe monitorowanie, pokaż zdarzenia, pokaż zgłoszenia i pokaż zamknięcie.

Mapowanie środków kontrolnych ISO/IEC 27001:2022 i ISO/IEC 27002:2022 dla urządzeń końcowych

Ochrona urządzeń końcowych często nie przechodzi audytu, ponieważ zespoły traktują ją jako jeden środek kontrolny. W rzeczywistości ochrona urządzeń końcowych przed złośliwym oprogramowaniem zależy od wielu wzajemnie wzmacniających się środków.

Centralnymi środkami kontrolnymi ISO/IEC 27002:2022 są A.8.1 Urządzenia końcowe użytkowników oraz A.8.7 Ochrona przed złośliwym oprogramowaniem. Skuteczna ochrona urządzeń końcowych opiera się jednak również na zarządzaniu podatnościami, logowaniu, monitorowaniu, reagowaniu na incydenty, kopiach zapasowych, filtrowaniu stron internetowych, kontroli nośników wymiennych, ograniczeniach dostępu, zarządzaniu dostawcami, nadzorze nad usługami chmurowymi, budowaniu świadomości i ciągłości działania.

Zenith Controls mapuje środek kontrolny ISO/IEC 27002:2022 A.8.7, Ochrona przed złośliwym oprogramowaniem, jako zapobiegawczy, detekcyjny i korygujący. Wspiera on poufność, integralność i dostępność oraz naturalnie łączy się z bezpieczeństwem systemów i sieci, ochroną informacji oraz zdolnościami wykrywania. Pokazuje również, że A.8.1, Urządzenia końcowe użytkowników, jest środkiem zapobiegawczym wspierającym poufność, integralność i dostępność poprzez zarządzanie aktywami i nadzór nad urządzeniami końcowymi.

Obszar środka kontrolnego ISO/IEC 27002:2022Dowody dotyczące urządzeń końcowych i złośliwego oprogramowania, które należy zachowaćDlaczego ma to znaczenie w audycie
A.8.1 Urządzenia końcowe użytkownikówInwentarz aktywów, raporty zgodności MDM lub UEM, status szyfrowania, ustawienia blokady ekranu, możliwość zdalnego wymazywania, kontrole BYODWykazuje, że urządzenia końcowe są znane, nadzorowane i chronione przed przyznaniem dostępu
A.8.7 Ochrona przed złośliwym oprogramowaniemRaporty wdrożenia EDR, ustawienia ochrony w czasie rzeczywistym, status aktualizacji, wykrycia, kwarantanny, zapisy izolacji, obsługa fałszywych alarmówWykazuje, że zapobieganie złośliwemu oprogramowaniu, jego wykrywanie i reakcja są aktywne oraz centralnie zarządzane
A.8.8 Zarządzanie podatnościami technicznymiSkany podatności, SLA dla poprawek, zgłoszenia działań naprawczych, zatwierdzenia wyjątków, środki kompensującePokazuje, że ekspozycja na złośliwe oprogramowanie jest ograniczana przez usuwanie możliwych do wykorzystania słabości
A.8.15 Logowanie i A.8.16 Monitorowanie działańLogi urządzeń końcowych, korelacja SIEM, triaż alertów, dowody eskalacji, panele, zapisy z przeglądówPokazuje, że zdarzenia związane ze złośliwym oprogramowaniem są widoczne, przeglądane i obsługiwane
A.5.24 do A.5.28 Zarządzanie incydentamiProcedury incydentowe, zapisy klasyfikacji, działania reakcyjne, wnioski wyciągnięte po incydencie, zabezpieczenie materiału dowodowegoPokazuje, że podejrzenie złośliwego oprogramowania uruchamia kontrolowaną obsługę incydentu, a nie nieformalną diagnostykę
A.8.13 Kopie zapasowe i A.5.30 Gotowość ICT do zapewnienia ciągłości działaniaRaporty powodzenia kopii zapasowych, testy odtwarzania, ustawienia niemodyfikowalnych kopii zapasowych, ćwiczenia odzyskiwaniaPokazuje, że odporność na ransomware obejmuje możliwość odzyskania danych
A.5.19 do A.5.23 Środki kontrolne dotyczące dostawców i usług chmurowychUmowy MDR, SLA usług EDR, wymagania bezpieczeństwa wobec dostawców, pokrycie urządzeń końcowych w chmurze obliczeniowej, uzgodnienia wyjściaPokazuje, że zlecane na zewnątrz usługi ochrony urządzeń końcowych pozostają pod kontrolą SZBI

Zenith Controls jest szczególnie użyteczny, ponieważ pokazuje, jak ochrona urządzeń końcowych zależy od sąsiadujących środków kontrolnych. Ochrona przed złośliwym oprogramowaniem łączy się z A.5.7 Informacje o zagrożeniach, ponieważ mechanizmy ochrony przed złośliwym oprogramowaniem muszą dostosowywać się do zmieniających się taktyk. Łączy się z A.8.8 Zarządzanie podatnościami technicznymi, ponieważ złośliwe oprogramowanie często wykorzystuje znane słabości. Łączy się z A.8.15 Logowanie i A.8.16 Monitorowanie działań, ponieważ wykrycia, kwarantanny, skany i aktualizacje muszą być zbierane oraz przeglądane. Łączy się z A.8.23 Filtrowanie stron internetowych, ponieważ złośliwe strony pozostają powszechną ścieżką infekcji. Łączy się z A.7.10 Nośniki danych, ponieważ nośniki wymienne mogą wprowadzać złośliwe oprogramowanie, jeśli nie są kontrolowane.

Urządzenia końcowe użytkowników łączą się również z A.5.10 Dopuszczalne użycie informacji i innych powiązanych aktywów, A.6.7 Praca zdalna, A.8.3 Ograniczanie dostępu do informacji, A.8.5 Bezpieczne uwierzytelnianie, A.6.3 Świadomość, edukacja i szkolenia w zakresie bezpieczeństwa informacji oraz A.6.6 Umowy o poufności lub nieujawnianiu informacji.

Mówiąc prościej, bezpieczne urządzenie końcowe to nie tylko urządzenie z agentem. To środowisko pracy, w którym wymagania polityki są egzekwowane.

Przekształcenie alertu o złośliwym oprogramowaniu w możliwy do obrony łańcuch dowodowy

Wróćmy do poniedziałkowego porannego zdarzenia złośliwego oprogramowania. Agent EDR odizolował laptop, ale gotowość do wykazania zgodności zależy od dalszego łańcucha dowodowego.

Dobry łańcuch dowodowy dotyczący złośliwego oprogramowania na urządzeniu końcowym obejmuje:

  • Zapis aktywa pokazujący właściciela, funkcję biznesową, krytyczność, typ urządzenia, system operacyjny, profil dostępu do danych i status szyfrowania.
  • Zapis ochrony urządzenia końcowego pokazujący stan agenta EDR, zastosowaną politykę, ochronę przed manipulacją, status aktualizacji i skanowanie w czasie rzeczywistym.
  • Zapis wykrycia pokazujący identyfikator alertu, znacznik czasu, drzewo procesów, logikę detekcji, wagę, pliki objęte zdarzeniem, wskaźniki sieciowe i działania automatyczne.
  • Zapis SIEM korelujący DNS, pocztę elektroniczną, tożsamość, proxy, chmurę obliczeniową i telemetrię urządzenia końcowego.
  • Zapis zgłoszenia pokazujący triaż, eskalację, powstrzymanie, usunięcie zagrożenia, odzyskiwanie, przyczynę źródłową i zamknięcie.
  • Decyzję incydentową pokazującą, czy zdarzenie pozostało zdarzeniem bezpieczeństwa informacji, czy stało się incydentem.
  • Triaż regulacyjny pokazujący, czy rozważono progi NIS2, DORA lub GDPR.
  • Zapis wniosków z incydentu pokazujący dostrojenie polityki, wdrożenie poprawek, działanie uświadamiające, zgłoszenie do dostawcy lub aktualizację rejestru ryzyk.

Polityka ochrony urządzeń końcowych / ochrony przed złośliwym oprogramowaniem wzmacnia ten model reakcji poprzez wymagania wdrożenia polityki, klauzulę 6.3 zatytułowaną:

Działania reagowania i powstrzymania

Dla MŚP klauzula 6.3.1.2 jest jeszcze bardziej bezpośrednia:

Dostawca wsparcia IT musi poddać urządzenie kwarantannie, potwierdzić infekcję i przeprowadzić analizę przyczyny źródłowej

Zablokowane zdarzenie złośliwego oprogramowania nie powinno zniknąć w konsoli. Jeżeli jest na tyle istotne, aby je wykryć, jest również na tyle istotne, aby je sklasyfikować, udokumentować i zamknąć.

Dowody cyberhigieny NIS2 z ochrony urządzeń końcowych

NIS2 czyni podstawową cyberhigienę kwestią ładu zarządczego. Organizacje objęte regulacją muszą rozumieć, czy wchodzą w zakres, czy są podmiotami kluczowymi czy ważnymi oraz jak stosują się do nich krajowe obowiązki transpozycyjne.

Dla ochrony urządzeń końcowych przed złośliwym oprogramowaniem kluczowym przepisem jest Article 21. Wymaga on odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych służących zarządzaniu ryzykami dla systemów sieciowych i informacyjnych oraz zapobieganiu skutkom incydentów lub ich minimalizacji. Środki obejmują analizę ryzyka i polityki bezpieczeństwa systemów informatycznych, obsługę incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, bezpieczne nabywanie i utrzymanie, w tym obsługę podatności, ocenę skuteczności, podstawową cyberhigienę i szkolenia, kryptografię, bezpieczeństwo HR, kontrolę dostępu, zarządzanie aktywami oraz, w stosownych przypadkach, MFA lub ciągłe uwierzytelnianie.

Dowody dotyczące urządzeń końcowych mapują się bezpośrednio na te oczekiwania.

Obszar NIS2 Article 21Dowody ochrony urządzeń końcowych przed złośliwym oprogramowaniem
Analiza ryzyka i polityki bezpieczeństwaOcena ryzyka urządzeń końcowych, Polityka ochrony urządzeń końcowych / ochrony przed złośliwym oprogramowaniem, Deklaracja stosowania, plan postępowania z ryzykiem
Obsługa incydentówZapisy alertów EDR, zgłoszenia incydentów, ocena wagi, działania powstrzymujące, wnioski z incydentu
Ciągłość działaniaScenariusze ransomware, raporty z kopii zapasowych, testy odtwarzania, procedury odzyskiwania
Bezpieczeństwo łańcucha dostawUmowy MDR lub MSP, macierz odpowiedzialności, warunki wsparcia incydentowego, prawo do audytu
Obsługa podatnościSLA dla poprawek, skany podatności, zatwierdzenia wyjątków, analiza wykorzystanych podatności
Ocena skutecznościWyniki audytu wewnętrznego, testowe wykrycia EDR, symulacje phishingowe, ćwiczenia typu tabletop
Podstawowa cyberhigiena i szkoleniaZgodność z bazową konfiguracją urządzeń końcowych, zapisy o ukończeniu szkoleń uświadamiających, szkolenia z phishingu i złośliwego oprogramowania
Kontrola dostępu i zarządzanie aktywamiInwentarz urządzeń końcowych, mapowanie użytkownik–urządzenie, dostęp warunkowy, kontrole uprzywilejowanych stacji roboczych

NIS2 Article 23 również ma znaczenie, ponieważ złośliwe oprogramowanie może stać się istotnym incydentem. Jeżeli powoduje lub może spowodować poważne zakłócenie operacyjne, stratę finansową albo znaczną szkodę materialną lub niematerialną dla innych podmiotów, może być wymagane etapowe raportowanie. NIS2 obejmuje wczesne ostrzeżenie w ciągu 24 godzin, powiadomienie o incydencie w ciągu 72 godzin, aktualizacje pośrednie na żądanie oraz raport końcowy w ciągu jednego miesiąca od powiadomienia.

Dowody dotyczące urządzeń końcowych wspierają każdy etap. Alert EDR zapewnia pierwszy wskaźnik. Inwentarz aktywów identyfikuje usługi objęte zdarzeniem i ich krytyczność. Dane SIEM i zgłoszenia wspierają analizę wpływu. Zapisy działań powstrzymujących wykazują podjęcie działania. Analiza przyczyny źródłowej wspiera raportowanie końcowe.

Odpowiedź gotowa na NIS2 nie brzmi: „mamy oprogramowanie antywirusowe”. Brzmi: „znamy nasze urządzenia końcowe, egzekwujemy ochronę, monitorujemy w sposób ciągły, klasyfikujemy incydenty, szkolimy użytkowników, zarządzamy podatnościami, zachowujemy dowody i raportujemy, gdy progi są spełnione”.

Zarządzanie ryzykiem ICT DORA i ochrona urządzeń końcowych przed złośliwym oprogramowaniem

Dla podmiotów finansowych DORA tworzy sektorowe ramy cyfrowej odporności operacyjnej. Ochrona urządzeń końcowych przed złośliwym oprogramowaniem silnie mapuje się na zarządzanie ryzykiem ICT, zarządzanie incydentami, testowanie, ciągłość, odzyskiwanie oraz ryzyko stron trzecich ICT.

DORA Article 5 przypisuje odpowiedzialność za ryzyko ICT organowi zarządzającemu. Article 6 wymaga solidnych, kompleksowych i udokumentowanych ram zarządzania ryzykiem ICT. Articles 8 and 9 wymagają identyfikacji i klasyfikacji funkcji biznesowych wspieranych przez ICT, aktywów informacyjnych, aktywów ICT, zależności, cyberzagrożeń, podatności, konfiguracji i współzależności. Obejmują również polityki i narzędzia ochrony, zapobiegania, wykrywania, kontroli dostępu, silnego uwierzytelniania, zarządzania zmianami i wdrażania poprawek.

Articles 11 and 12 są kluczowe dla odporności na ransomware. Wymagają polityki ciągłości działania ICT, planów reagowania i odzyskiwania, polityk kopii zapasowych, procedur odtwarzania, testowania i kontroli integralności. Article 17 wymaga procesu zarządzania incydentami związanymi z ICT w celu wykrywania, zarządzania, klasyfikowania, rejestrowania, eskalowania, komunikowania i odtwarzania operacji po incydentach. Article 19 ustanawia obowiązki raportowania poważnych incydentów związanych z ICT. Articles 24 to 26 dotyczą testowania cyfrowej odporności operacyjnej. Articles 28 to 30 dotyczą ryzyka stron trzecich ICT i uzgodnień umownych.

Obszar DORAPomocne dowody dotyczące urządzeń końcowych
Identyfikacja aktywów ICTInwentarz urządzeń końcowych, właściciel, funkcja biznesowa, krytyczność, mapowanie zależności
Ochrona i zapobieganieBazowa konfiguracja EDR, status poprawek, kontrola dostępu, szyfrowanie, filtrowanie stron internetowych, bezpieczna konfiguracja
WykrywanieAlerty EDR, korelacja SIEM, wskaźniki wczesnego ostrzegania, wzbogacenie o informacje o zagrożeniach
Zarządzanie incydentami związanymi z ICTZgłoszenie incydentu złośliwego oprogramowania, klasyfikacja wagi, role, działania, eskalacja, przyczyna źródłowa
Odzyskiwanie i odtwarzanieZapis odbudowy urządzenia, dowód odtworzenia kopii zapasowej lub pliku, kontrole integralności
Testowanie odpornościSymulacja EDR, symulacja phishingowa, skany podatności, testy penetracyjne, ćwiczenia typu tabletop
Ryzyko stron trzecich ICTUmowa z dostawcą MDR lub EDR, SLA, prawo do audytu, wsparcie incydentowe, plany wyjścia

Dla podmiotu finansowego ten sam incydent złośliwego oprogramowania, który potwierdza działanie A.8.7, może również pokazać dowody nadzorcze DORA: klasyfikację aktywów, działanie środka kontrolnego, zarządzanie incydentem, zdolność odzyskiwania, historię testów, odpowiedzialność strony trzeciej oraz nadzór kierownictwa.

GDPR Article 32 i triaż naruszenia ochrony danych osobowych

GDPR Article 32 wymaga od administratorów i podmiotów przetwarzających wdrożenia środków technicznych i organizacyjnych odpowiednich do ryzyka. Środki te obejmują poufność, integralność, dostępność i odporność systemów i usług przetwarzania, zdolność do przywrócenia dostępności i dostępu do danych osobowych oraz regularne testowanie, ocenę i ewaluację środków bezpieczeństwa.

Złośliwe oprogramowanie na urządzeniu końcowym staje się dowodem na potrzeby GDPR, gdy urządzenie końcowe może uzyskać dostęp do danych osobowych: rejestrów klientów, zgłoszeń wsparcia, plików HR, eksportów, informacji związanych z płatnościami, informacji zdrowotnych, danych szczególnych kategorii, logów uwierzytelniania lub aplikacji chmurowych zawierających dane osobowe.

Pytanie z zakresu prywatności zależy od faktów. Czy złośliwe oprogramowanie zostało wykonane? Czy uzyskało dostęp do plików? Czy przechwyciło dane uwierzytelniające? Czy tokeny zostały skradzione? Czy doszło do eksfiltracji danych? Czy urządzenie końcowe było szyfrowane? Czy konto zostało wyłączone? Czy sesje zostały unieważnione? Czy logi były dostępne? Czy zidentyfikowano dane osobowe objęte zdarzeniem? Czy oceniono ryzyko dla osób fizycznych?

Telemetria urządzeń końcowych jest często jedynym sposobem, aby wiarygodnie odpowiedzieć na te pytania.

Pakiet dowodowy urządzenia końcowego gotowy na potrzeby GDPR powinien łączyć klasyfikację danych i rejestry przetwarzania, ścieżki dostępu z urządzenia końcowego, szyfrowanie, ograniczenie dostępu, telemetrię EDR, logi SIEM, analizę eksfiltracji, działania resetowania danych uwierzytelniających, zapisy odtworzenia, przegląd prawny, decyzję dotyczącą naruszenia oraz wnioski z incydentu.

Zespoły ds. prywatności powinny uczestniczyć w projektowaniu podręczników postępowania dla incydentów na urządzeniach końcowych. Oczekiwanie do momentu po incydencie złośliwego oprogramowania, aby zapytać, czy dane osobowe były objęte zdarzeniem, tworzy możliwe do uniknięcia ryzyko rozliczalności.

Zbuduj 30-minutowy pakiet dowodowy złośliwego oprogramowania na urządzeniu końcowym

Przed kolejnym audytem wybierz jedno wykrycie złośliwego oprogramowania na urządzeniu końcowym z ostatnich 90 dni, nawet jeśli miało niską wagę lub dotyczyło zablokowanego pliku testowego. Zbuduj pakiet dowodowy tak, jakby audytor wybrał go jako próbkę.

Użyj Zenith Blueprint, fazy „Kontrole w działaniu”, kroku 19, jako scenariusza przeglądu. Krok 19 nakazuje zespołom przegląd strategii ochrony przed złośliwym oprogramowaniem poprzez sprawdzenie, czy wszystkie urządzenia końcowe mają zainstalowane, aktywne i automatycznie aktualizowane centralnie zarządzane rozwiązanie antymalware lub EDR, czy skanowanie w czasie rzeczywistym obejmuje typy plików, aktywność sieciową i nośniki wymienne, czy istnieją zabezpieczenia bramowe, czy ostatnie logi złośliwego oprogramowania lub kwarantanny są badane i rozwiązywane oraz czy użytkownicy otrzymują bieżące szkolenia z zakresu świadomości phishingu i złośliwego oprogramowania.

Zbierz następujące dowody:

  1. Zapis aktywa: nazwa urządzenia, numer seryjny, użytkownik, właściciel, jednostka biznesowa, lokalizacja, typ urządzenia, system operacyjny, krytyczność, profil dostępu do danych.
  2. Rejestracja w EDR: zrzut ekranu lub eksport pokazujący zainstalowanego, aktywnego i zaktualizowanego agenta, zastosowaną politykę oraz włączoną ochronę przed manipulacją.
  3. Zgodność z konfiguracją bazową: szyfrowanie, blokada ekranu, zapora, status lokalnego administratora, poziom poprawek, status zabronionego oprogramowania.
  4. Zapis wykrycia: identyfikator alertu, znacznik czasu, nazwa lub zachowanie wykrycia, waga, drzewo procesów, pliki objęte zdarzeniem, wskaźniki sieciowe.
  5. Działanie powstrzymujące: kwarantanna, izolacja, zakończenie procesu, usunięcie pliku, odbudowa urządzenia, reset danych uwierzytelniających.
  6. Notatki z dochodzenia: triaż analityka, przyczyna źródłowa, ścieżka phishingowa, ścieżka webowa, ścieżka exploitu, ocena danych objętych zdarzeniem.
  7. Decyzja incydentowa: zdarzenie bezpieczeństwa informacji lub incydent, ocena progów NIS2, DORA i GDPR, gdy ma zastosowanie.
  8. Dowód zamknięcia: zamknięcie zgłoszenia, akceptacja, wnioski z incydentu, aktualizacja rejestru ryzyk, jeśli potrzebna.
  9. Metryki: czas wykrycia, czas powstrzymania, czas remediacji, liczba podobnych alertów, status fałszywego alarmu.
  10. Działanie doskonalące: zablokowana domena, dostrojenie reguły pocztowej, wdrożenie poprawki, przypisanie szkolenia uświadamiającego użytkownikowi, eskalacja do dostawcy.

Następnie porównaj pakiet dowodowy ze swoją polityką. Jeżeli polityka korporacyjna mówi, że wszystkie urządzenia końcowe muszą być zarejestrowane w centralnie zarządzanej ochronie przed złośliwym oprogramowaniem z wymuszoną konfiguracją bazową, czy możesz to wykazać? Jeżeli polityka dla MŚP mówi, że zdarzenia złośliwego oprogramowania muszą być stale monitorowane przez konsolę antywirusową lub scentralizowany panel EDR, czy możesz pokazać panel, osobę dokonującą przeglądu, alert, zgłoszenie i zamknięcie?

Właśnie w ten sposób dane EDR stają się dowodem audytowym.

Jak różni audytorzy testują te same środki kontrolne urządzeń końcowych

Różne zespoły zapewnienia będą patrzeć na ochronę urządzeń końcowych z różnych perspektyw. Dowody mogą być te same, ale pytania się zmieniają.

Perspektywa audytoraCo zwykle testujeDowody spełniające oczekiwanie
Audytor ISO/IEC 27001:2022Czy środki kontrolne urządzeń końcowych są dobrane w ramach postępowania z ryzykiem, ujęte w Deklaracji stosowania, wdrożone, monitorowane i doskonaloneOcena ryzyka, wpis w SoA, polityka urządzeń końcowych, raport wdrożenia EDR, zgłoszenia z monitorowania, wyniki audytu wewnętrznego
Przegląd cyberhigieny NIS2Czy bezpieczeństwo urządzeń końcowych wspiera proporcjonalne zarządzanie ryzykiem, obsługę incydentów, obsługę podatności, kontrolę dostępu, zarządzanie aktywami i szkoleniaInwentarz urządzeń końcowych, zgodność z konfiguracją bazową, alerty EDR, zapisy incydentów, metryki poprawek, zapisy szkoleń
Przegląd ryzyka ICT DORACzy ochrona urządzeń końcowych wspiera identyfikację aktywów ICT, odporność, zarządzanie incydentami, testowanie, ciągłość i nadzór nad stronami trzecimi ICTMapowanie aktywów ICT, klasyfikacja incydentu, wyniki testów odporności, dowody kopii zapasowych, umowa MDR, raportowanie zarządcze
Przegląd prywatności GDPRCzy środki kontrolne urządzeń końcowych wspierają bezpieczeństwo przetwarzania i ocenę naruszeniaMapowanie dostępu do danych, szyfrowanie, logi, analiza eksfiltracji, triaż naruszenia, dowody powstrzymania i odtworzenia
Asesor NIST CSF 2.0Czy wyniki w obszarach zarządzania, identyfikacji, ochrony, wykrywania, reagowania i odzyskiwania są zintegrowaneProfil obecny i docelowy, inwentarz aktywów, kontrola dostępu, monitorowanie, reagowanie na incydenty, dowody odzyskiwania
Przegląd ładu zarządczego w stylu COBIT 2019Czy zdefiniowano własność, cele, wyniki, ryzyko i zapewnienieRACI, KPI, KRI, raportowanie do zarządu, dowody właściciela kontroli, wyjątki, śledzenie działań naprawczych
Audytor wewnętrzny ISACACzy środki kontrolne są skutecznie zaprojektowane i działają spójnie w próbkachTestowanie próbek, zrzuty ekranu, eksporty konfiguracji, zatwierdzenia wyjątków, ponowne wykonanie kontroli monitorowania

NIST CSF 2.0 jest szczególnie użyteczny jako język pomostowy dla kierownictwa. Jego funkcja GOVERN wspiera oczekiwania interesariuszy, obowiązki prawne, apetyt na ryzyko, rozliczalność, politykę, zasoby i nadzór. Funkcje operacyjne pomagają wyjaśnić, jak zarządzanie aktywami, kontrola dostępu, ochrona danych, monitorowanie, reagowanie na incydenty, powstrzymanie, usunięcie zagrożenia, odzyskiwanie i komunikacja działają razem.

W projektach Clarysec ISO/IEC 27001:2022 zapewnia formalny kręgosłup SZBI, Zenith Controls zapewnia przewodnik mapowania zgodności przekrojowej, a NIST CSF 2.0 zapewnia warstwę komunikacyjną zrozumiałą dla zarządu.

Usługi ochrony urządzeń końcowych zarządzane przez dostawców są częścią modelu dowodowego

Wiele organizacji zleca część ochrony urządzeń końcowych MSP, MSSP, dostawcom MDR, dostawcom pulpitów chmurowych lub dostawcom EDR. Outsourcing może zwiększać zdolności, ale nie przenosi odpowiedzialności.

NIS2 Article 21 obejmuje bezpieczeństwo łańcucha dostaw i relacje z dostawcami. DORA idzie dalej w przypadku podmiotów finansowych, wymagając strategii ryzyka stron trzecich ICT, rejestrów uzgodnień umownych, due diligence, analizy ryzyka koncentracji, praw audytu i inspekcji, praw wypowiedzenia, wsparcia incydentowego, strategii wyjścia oraz jasnego podziału odpowiedzialności. Załącznik A ISO/IEC 27001:2022 obejmuje środki kontrolne relacji z dostawcami, umowy z dostawcami, środki kontrolne łańcucha dostaw ICT, monitorowanie i zarządzanie zmianami usług dostawców oraz nabywanie, używanie, zarządzanie i wyjście z usług chmurowych.

Dowody outsourcingu ochrony urządzeń końcowych powinny obejmować:

  • Due diligence dostawcy przed wdrożeniem.
  • Klauzule umowne dotyczące monitorowania, powiadamiania o incydentach, dostępu, lokalizacji danych, prawa do audytu, poziomów usług i współpracy.
  • Macierz odpowiedzialności za triaż alertów, izolację, analizę przyczyny źródłowej, raportowanie i zabezpieczenie materiału dowodowego.
  • Raporty pokazujące wyniki dostawcy i zgodność z SLA.
  • Dowody, że incydenty dostawcy i niedostępności platformy są przeglądane.
  • Plan wyjścia, jeżeli dostawca EDR lub MDR zawiedzie, zostanie rozwiązany albo stanie się nieakceptowalny.
  • Potwierdzenie, że logi i dowody z analizy śledczej pozostają dostępne dla organizacji.

Częstą słabością audytową jest panel MDR bez przypisanej własności. Organizacja widzi alerty, ale nie potrafi wykazać, kto jest właścicielem ryzyka, co dostawca musi zrobić, jak przeglądana jest jakość alertów ani jak dowody są zachowywane na potrzeby regulacyjne i prawne.

Metryki, które przekształcają narzędzia ochrony urządzeń końcowych w dowody zarządcze

Zarządy i regulatorzy nie potrzebują surowej liczby alertów. Potrzebują wskaźników pokazujących, czy ryzyko złośliwego oprogramowania na urządzeniach końcowych jest kontrolowane.

MetrykaDlaczego ma znaczenie
Procent pokrycia urządzeń końcowychPokazuje, czy znane urządzenia końcowe są chronione przez zatwierdzony EDR lub antymalware
Liczba niezarządzanych urządzeń końcowychUjawnia nieskuteczności inwentarza, wdrażania urządzeń lub niekontrolowanego IT
Procent sprawnych agentówPokazuje, czy agenci są aktywni, zaktualizowani i raportują
Zgodność poprawek na krytycznych urządzeniach końcowychŁączy ekspozycję na złośliwe oprogramowanie z zarządzaniem podatnościami
Średni czas wykrycia (MTTD)Pokazuje skuteczność monitorowania
Średni czas do izolacjiPokazuje szybkość powstrzymania ransomware i złośliwego oprogramowania
Powtarzalność złośliwego oprogramowania według użytkownika lub jednostki biznesowejIdentyfikuje słabości szkoleniowe, procesowe lub dostępowe
Wskaźnik niepowodzeń kwarantannyPokazuje, czy działania reakcyjne są niezawodne
Wyjątki wysokiego ryzyka otwarte po przekroczeniu SLAPokazuje dyscyplinę ładu zarządczego
Wskaźnik powodzenia testów odtworzeniowychPokazuje odporność, jeśli złośliwe oprogramowanie spowoduje zakłócenie
Incydenty z ukończoną analizą przyczyny źródłowejPokazuje uczenie się i ciągłe doskonalenie

Te metryki wspierają ocenę wyników i przegląd zarządzania ISO/IEC 27001:2022, nadzór organu zarządzającego NIS2, ład zarządczy DORA i strategię ryzyka ICT, rozliczalność GDPR oraz planowanie audytu wewnętrznego.

Korporacyjna Polityka ochrony urządzeń końcowych / ochrony przed złośliwym oprogramowaniem, sekcja Egzekwowanie i zgodność, klauzula 8.2 stanowi:

Audyt wewnętrzny musi przeprowadzać okresowe przeglądy zgodności ochrony urządzeń końcowych, w tym:

Audyt wewnętrzny może przekształcić powyższe metryki w kwartalny test kontrolny: dobrać próbkę urządzeń końcowych, porównać inwentarz z rejestracją w EDR, zweryfikować skanowanie w czasie rzeczywistym, przejrzeć status poprawek, potwierdzić, że użytkownicy nie mogą wyłączać ochrony, sprawdzić ostatnie alerty dotyczące złośliwego oprogramowania oraz prześledzić wybrane alerty od wykrycia do zamknięcia.

Typowe luki dowodowe dotyczące urządzeń końcowych, które znajduje Clarysec

Nawet dojrzałe organizacje mają trudności z jakością dowodów dotyczących urządzeń końcowych. Te same luki pojawiają się wielokrotnie:

  • Inwentarz aktywów i inwentarz EDR nie są zgodne.
  • Stacje robocze programistów są mniej kontrolowane niż standardowe laptopy.
  • Urządzenia mobilne są wyłączone z dowodów dotyczących urządzeń końcowych.
  • Dostęp BYOD jest dozwolony bez egzekwowalnych kontroli stanu bezpieczeństwa urządzenia.
  • Agenci EDR są zainstalowani, ale ochrona przed manipulacją jest wyłączona.
  • Alerty są monitorowane przez dostawcę, ale reguły eskalacji są nieprecyzyjne.
  • Złośliwe oprogramowanie poddane kwarantannie nie jest powiązane ze zgłoszeniem incydentu.
  • Analiza przyczyny źródłowej jest pomijana dla „zablokowanych” wykryć.
  • Wyjątki dotyczące poprawek nie mają zatwierdzenia właściciela ryzyka ani dat wygaśnięcia.
  • Logi są przechowywane zbyt krótko, aby wspierać ocenę naruszenia.
  • Odtwarzanie kopii zapasowych jest testowane ogólnie, ale nie względem scenariuszy ransomware.
  • Raportowanie do zarządu pokazuje liczbę alertów zamiast redukcji ryzyka.

Rozwiązaniem nie jest więcej arkuszy kalkulacyjnych. Rozwiązaniem jest połączony model operacyjny, w którym polityka, inwentarz, konfiguracja urządzeń końcowych, monitorowanie, reagowanie na incydenty, zarządzanie dostawcami, triaż regulacyjny, metryki i testy audytowe wzmacniają się wzajemnie.

Dziesięć dni roboczych do przygotowania ochrony urządzeń końcowych przed złośliwym oprogramowaniem do audytu

Jeżeli potrzebujesz szybkiego punktu startowego, wykonaj te działania w ciągu najbliższych dziesięciu dni roboczych:

  1. Wyeksportuj inwentarz urządzeń końcowych i inwentarz EDR, a następnie je uzgodnij.
  2. Zidentyfikuj urządzenia końcowe niezarządzane, nieaktywne, nieaktualne, zdublowane i objęte wyjątkami.
  3. Potwierdź ustawienia skanowania w czasie rzeczywistym, ochrony przed manipulacją, automatycznych aktualizacji, izolacji i kwarantanny.
  4. Wybierz próbkę pięciu alertów dotyczących złośliwego oprogramowania i prześledź każdy z nich do dochodzenia i zamknięcia.
  5. Sprawdź, czy zdarzenia z urządzeń końcowych mogą wspierać triaż incydentów NIS2, DORA i GDPR.
  6. Przejrzyj umowy z dostawcami MDR, MSP i EDR pod kątem wsparcia incydentowego, dostępu do dowodów, prawa do audytu, SLA i warunków wyjścia.
  7. Dodaj pokrycie urządzeń końcowych, stan agentów, czas izolacji, zgodność poprawek i ukończenie analizy przyczyny źródłowej do raportowania zarządczego.
  8. Przeprowadź próbkę audytu wewnętrznego z wykorzystaniem listy kontrolnej Zenith Blueprint kroku 19.
  9. Użyj Zenith Controls, aby zmapować A.8.1 i A.8.7 na logowanie, monitorowanie, zarządzanie podatnościami, reagowanie na incydenty, środki kontrolne dostawców i odzyskiwanie.
  10. Zaktualizuj bazę ładu zarządczego, korzystając z Polityki ochrony urządzeń końcowych / ochrony przed złośliwym oprogramowaniem Clarysec albo wersji dla MŚP Polityka ochrony urządzeń końcowych - ochrona przed złośliwym oprogramowaniem.

Ochrona urządzeń końcowych przed złośliwym oprogramowaniem w 2026 r. nie polega wyłącznie na zatrzymaniu ransomware. Polega na wykazaniu, że organizacja potrafi zapobiegać, wykrywać, powstrzymywać, odzyskiwać, raportować i doskonalić się.

Clarysec może pomóc przekształcić ochronę urządzeń końcowych z wdrożenia narzędzia w możliwy do obrony system dowodowy zgodności przekrojowej. Pobierz Politykę ochrony urządzeń końcowych / ochrony przed złośliwym oprogramowaniem, zacznij od wersji dla MŚP Polityka ochrony urządzeń końcowych - ochrona przed złośliwym oprogramowaniem, jeśli potrzebujesz lżejszego modelu operacyjnego, użyj Zenith Blueprint do wdrożenia środków kontrolnych, a Zenith Controls do powiązania dowodów z urządzeń końcowych z ISO/IEC 27001:2022, NIS2, DORA, GDPR Article 32, NIST CSF 2.0 oraz oczekiwaniami audytowymi.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article