⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Protecția endpoint împotriva malware-ului: dovezi ISO 27001 pentru cerințele UE

Igor Petreski

Este ora 07:42 într-o zi de luni. Un manager financiar deschide o factură de la un furnizor, primită într-un fir de e-mail care pare legitim. Câteva minute mai târziu, consola de detecție endpoint semnalează executarea suspectă a unui script, o tentativă de persistență și trafic de ieșire către un domeniu necunoscut. Agentul EDR izolează automat laptopul. Lanțul ransomware este întrerupt înainte ca procesul de criptare să înceapă.

Securitatea a funcționat. Dar întrebarea dificilă abia urmează.

CISO nu este întrebat doar: „Am oprit malware-ul?” CEO și consiliul de administrație întreabă: „Putem demonstra că aceasta a fost reziliență prin proiectare, nu noroc? Putem arăta auditorilor, clienților, autorităților de reglementare și asigurătorilor că protecția endpoint a funcționat într-un mod care satisface ISO/IEC 27001:2022, igiena cibernetică NIS2, managementul riscurilor TIC conform DORA și GDPR Article 32?”

Aceasta este provocarea definitorie a securității endpoint în 2026. Protecția endpoint nu mai este doar o funcție a operațiunilor IT. Este un sistem de dovezi de conformitate.

O singură alertă malware pe un laptop poate deveni un eșantion de audit ISO/IEC 27001:2022, o evaluare a unui incident semnificativ NIS2, o înregistrare de incident legat de TIC conform DORA, un triaj privind încălcarea securității datelor cu caracter personal în sensul GDPR, o discuție despre riscul asociat furnizorilor și o analiză de guvernanță la nivelul consiliului de administrație. Organizațiile care gestionează bine acest proces nu se limitează la implementarea EDR. Ele conectează politica, inventarul, controalele tehnice, monitorizarea, răspunsul la incidente, triajul juridic, contractele cu furnizorii, metricile și îmbunătățirea continuă într-o narațiune de control solidă și defensabilă.

Clarysec observă același tipar în medii SaaS, fintech, servicii administrate și medii digitale reglementate. Majoritatea organizațiilor au deja instrumente solide: EDR, antivirus, MDM, scanere de vulnerabilitate, SIEM, securitatea e-mailului, filtrare web, platforme de backup și sisteme de ticketing. Lacuna nu este, de regulă, tehnologia. Lacuna este proiectarea dovezilor.

Acest articol arată cum se construiesc dovezi pregătite pentru audit privind protecția endpoint împotriva malware-ului, utilizând ISO/IEC 27001:2022 ca structură de bază a SMSI, Politica privind protecția punctelor terminale / protecția antimalware a Clarysec Politica privind protecția punctelor terminale / protecția antimalware, Politica privind protecția punctelor terminale - Politica privind malware-ul pentru IMM-uri Politica privind protecția punctelor terminale - Politica privind malware-ul - IMM, Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului Zenith Blueprint și Zenith Controls: ghidul de conformitate transversală Zenith Controls.

De ce protecția endpoint împotriva malware-ului este acum o problemă de conformitate la nivelul consiliului de administrație

Endpoint-ul modern este locul în care se întâlnesc identitatea, datele de business, comportamentul utilizatorilor, tehnicile atacatorilor și răspunderea de reglementare. Laptopurile se conectează din rețele de acasă și din aeroporturi. Dezvoltatorii rulează instrumente locale. Executivii călătoresc cu e-mailuri și fișiere stocate în cache. Contractanții pot utiliza dispozitive administrate sau semi-administrate. Telefoanele mobile aprobă solicitări MFA. Sarcinile de lucru cloud și serverele se comportă ca endpoint-uri din perspectiva EDR.

În Zenith Blueprint, faza Controale în acțiune, Pasul 19: Controale tehnologice I, Clarysec descrie dispozitivele endpoint ale utilizatorilor drept „ușile și ferestrele” organizației:

Dispozitivele endpoint ale utilizatorilor, laptopuri, smartphone-uri, tablete, desktopuri și chiar thin clients, sunt locul în care începe interacțiunea digitală. Ele sunt ușile și ferestrele către sistemele dumneavoastră. Și, asemenea oricărei structuri fizice, trebuie consolidate, monitorizate și controlate.

Această încadrare contează deoarece protecția endpoint nu înseamnă doar blocarea malware-ului. Ea trebuie să demonstreze că organizația știe ce dispozitive există, guvernează modul în care sunt utilizate, aplică cerințe de securitate de bază, detectează compromiterea, răspunde consecvent, păstrează dovezi, restaurează operațiunile și se îmbunătățește după incidente.

Un program matur de protecție endpoint împotriva malware-ului trebuie să răspundă fără ezitare la patru întrebări de audit:

  1. Cunoaștem fiecare endpoint care poate accesa sisteme de business sau date cu caracter personal?
  2. Este fiecare endpoint protejat printr-o soluție antimalware aprobată și administrată central sau prin EDR?
  3. Putem demonstra configurarea, scanarea, actualizările, alertele, carantina, izolarea, investigarea și închiderea?
  4. Putem conecta evenimentele endpoint la tratarea riscurilor, răspunsul la incidente, raportarea de reglementare, supravegherea furnizorilor și analiza efectuată de management?

ISO/IEC 27001:2022 oferă sistemul de management necesar pentru a răspunde acestor întrebări. Clauzele 4.1 până la 4.4 cer organizației să definească contextul, părțile interesate, obligațiile legale și contractuale, interfețele, dependențele și domeniul de aplicare al SMSI. Pentru protecția endpoint, domeniul de aplicare nu se poate opri la „IT corporativ”. El trebuie să ia în considerare lucrul la distanță, stațiile de lucru privilegiate, dispozitivele mobile, accesul cloud, dispozitivele administrate de furnizori, jurnalele endpoint, serviciile SOC sau MDR externalizate și orice endpoint care poate afecta securitatea informațiilor.

Clauzele 5.1 până la 5.3 fac explicită responsabilitatea conducerii. Conducerea de vârf trebuie să susțină SMSI, să atribuie roluri, să asigure resurse și să asigure alinierea politicilor. În termeni endpoint, consiliul de administrație nu poate aproba obiective de igienă cibernetică în timp ce lasă nerezolvate licențierea EDR, restanțele de patching, excepțiile BYOD sau lacunele de escaladare MDR.

Clauzele 6.1.1 până la 6.1.3 creează motorul tratării riscurilor. Riscurile de malware la nivel endpoint trebuie identificate, evaluate, tratate, mapate la controalele din Anexa A, reflectate în Declarația de aplicabilitate și acceptate de proprietarii riscurilor acolo unde rămâne risc rezidual. Clauzele 8.1 până la 8.3 transformă apoi tratarea riscurilor în operațiuni controlate, modificări planificate, evaluarea riscurilor la intervale definite sau după schimbări semnificative și rezultate ale tratării riscurilor.

Povestea de audit nu este „am instalat EDR”. Povestea de audit este „riscul de malware la nivel endpoint este identificat, evaluat, tratat, operat, monitorizat, testat, susținut prin dovezi, raportat și îmbunătățit”.

Puntea politicii Clarysec de la setările EDR la dovezile de audit

Politica este locul în care realitatea tehnică devine intenție verificabilă în audit. Fără politică, configurațiile endpoint sunt doar setări de instrument. Cu politică, acele setări devin cerințe de control.

Politica enterprise Clarysec Politica privind protecția punctelor terminale / protecția antimalware stabilește această punte în clauza 1.3:

Această politică susține direct conformitatea cu ISO/IEC 27001:2022 Clause 8.1 și Annex A Control 8.7 și este aliniată cu obligațiile regionale de securitate cibernetică prevăzute de GDPR, NIS2 și DORA.

Această clauză oferă organizației o legătură directă între operațiunile endpoint și ISO/IEC 27001:2022, NIS2, DORA și GDPR. Auditorii pot apoi testa dacă programul endpoint efectiv al organizației corespunde angajamentului din politică.

Aceeași politică enterprise stabilește modelul operațional așteptat în Cerințe de guvernanță, clauza 5.2:

Toate punctele terminale trebuie înrolate în sisteme de protecție antimalware administrate central (de exemplu, EDR, Antivirus sau platforme echivalente), cu o configurație de referință aplicată obligatoriu.

Acesta este exact tipul de enunț pe care auditorii îl apreciază, deoarece este testabil. Dacă „toate punctele terminale” trebuie înrolate, dovezile trebuie să arate populația completă de endpoint-uri, populația EDR așteptată, starea înrolării, excepțiile, controalele compensatorii și progresul remedierii.

Pentru IMM-uri, Politica privind protecția punctelor terminale - Politica privind malware-ul oferă cerințe directe, operaționale. Clauza 5.1.3 prevede:

Toate punctele terminale trebuie înregistrate în inventarul activelor IT și asociate cu instrumentul de protecție endpoint utilizat

Clauza 5.2.1 adaugă:

Toate punctele terminale trebuie să ruleze numai soluții Antivirus sau EDR (Endpoint Detection and Response) aprobate de organizație

Clauza 6.1.1.1 cere:

Rularea continuă a scanării Antivirus și antimalware în timp real

Iar clauza 8.1.1 cere:

Evenimentele malware trebuie monitorizate continuu prin consola Antivirus sau prin tabloul de bord EDR centralizat

Împreună, aceste clauze creează un test de dovezi simplu, dar puternic: arătați inventarul, arătați instrumentul de protecție endpoint, arătați configurația aprobată, arătați monitorizarea continuă, arătați evenimentele, arătați tichetele și arătați închiderea.

Maparea controalelor endpoint ISO/IEC 27001:2022 și ISO/IEC 27002:2022

Protecția endpoint eșuează frecvent în audituri deoarece echipele o tratează ca pe un singur control. În realitate, protecția endpoint împotriva malware-ului depinde de mai multe controale care se consolidează reciproc.

Controalele centrale ISO/IEC 27002:2022 sunt A.8.1 Dispozitive endpoint ale utilizatorilor și A.8.7 Protecția împotriva malware-ului. Însă o protecție endpoint eficace se bazează și pe managementul vulnerabilităților, jurnalizare, monitorizare, răspuns la incidente, backup, filtrare web, controlul mediilor amovibile, restricționarea accesului, managementul furnizorilor, guvernanța serviciilor cloud, conștientizare și continuitatea activității.

Zenith Controls mapează controlul ISO/IEC 27002:2022 A.8.7, Protecția împotriva malware-ului, ca preventiv, detectiv și corectiv. Acesta susține confidențialitatea, integritatea și disponibilitatea și se conectează natural la securitatea sistemelor și rețelelor, protecția informațiilor și capabilitățile de detecție. De asemenea, arată că A.8.1, Dispozitive endpoint ale utilizatorilor, este un control preventiv care susține confidențialitatea, integritatea și disponibilitatea prin managementul activelor și guvernanța endpoint.

Zona de control ISO/IEC 27002:2022Dovezi endpoint și malware de păstratDe ce contează în audit
A.8.1 Dispozitive endpoint ale utilizatorilorInventarul activelor, rapoarte de conformitate MDM sau UEM, starea criptării, setări de blocare a ecranului, capabilitate de ștergere la distanță, controale BYODDemonstrează că endpoint-urile sunt cunoscute, guvernate și protejate înainte de acordarea accesului
A.8.7 Protecția împotriva malware-uluiRapoarte de implementare EDR, setări de protecție în timp real, stare de actualizare, detecții, carantine, înregistrări de izolare, gestionarea rezultatelor fals pozitiveDemonstrează că prevenirea, detectarea și răspunsul la malware sunt active și administrate central
A.8.8 Managementul vulnerabilităților tehniceScanări de vulnerabilitate, SLA-uri de patching, tichete de remediere, aprobări ale excepțiilor, controale compensatoriiArată că expunerea la malware este redusă prin remedierea punctelor slabe exploatabile
A.8.15 Jurnalizare și A.8.16 Activități de monitorizareJurnale endpoint, corelare SIEM, triajul alertelor, dovezi de escaladare, tablouri de bord, înregistrări ale revizuirilorArată că evenimentele malware sunt vizibile, revizuite și tratate
A.5.24 până la A.5.28 Managementul incidentelorProceduri de incident, înregistrări de clasificare, acțiuni de răspuns, lecții învățate, păstrarea dovezilorArată că malware-ul suspectat intră într-un proces controlat de gestionare a incidentelor, nu în depanare informală
A.8.13 Backup-uri și A.5.30 Pregătirea TIC pentru continuitatea activitățiiRapoarte de succes ale backup-urilor, teste de restaurare, setări de backup imuabil, exerciții de recuperareArată că reziliența la ransomware include capacitatea de recuperare
A.5.19 până la A.5.23 Controale privind furnizorii și serviciile cloudContracte MDR, SLA-uri pentru servicii EDR, cerințe de securitate pentru furnizori, acoperire endpoint în cloud, aranjamente de ieșireArată că serviciile endpoint externalizate rămân sub controlul SMSI

Zenith Controls este deosebit de util deoarece arată cum protecția endpoint depinde de controale adiacente. Protecția împotriva malware-ului se conectează la A.5.7 Informații privind amenințările, deoarece apărările antimalware trebuie să se adapteze la tactici în schimbare. Se conectează la A.8.8 Managementul vulnerabilităților tehnice, deoarece malware-ul exploatează frecvent puncte slabe cunoscute. Se conectează la A.8.15 Jurnalizare și A.8.16 Activități de monitorizare, deoarece detecțiile, carantinele, scanările și actualizările trebuie colectate și revizuite. Se conectează la A.8.23 Filtrare web, deoarece site-urile malițioase rămân o cale comună de infectare. Se conectează la A.7.10 Medii de stocare, deoarece mediile amovibile pot introduce malware dacă nu sunt controlate.

Dispozitivele endpoint ale utilizatorilor se conectează și la A.5.10 Utilizarea acceptabilă a informațiilor și a altor active asociate, A.6.7 Lucrul la distanță, A.8.3 Restricționarea accesului la informații, A.8.5 Autentificare securizată, A.6.3 Conștientizare, educare și instruire în domeniul securității informației și A.6.6 Acorduri de confidențialitate sau de nedivulgare.

În termeni simpli, un endpoint securizat nu este doar un dispozitiv cu un agent instalat. Este un mediu de lucru guvernat prin politică.

Transformarea unei alerte malware într-un lanț de dovezi defensabil

Să revenim la evenimentul malware de luni dimineață. Agentul EDR a izolat laptopul, dar pregătirea pentru conformitate depinde de lanțul de dovezi care urmează.

Un lanț bun de dovezi privind malware-ul la nivel endpoint include:

  • Înregistrarea activului, care arată proprietarul, funcția de business, criticitatea, tipul dispozitivului, sistemul de operare, profilul de acces la date și starea criptării.
  • Înregistrarea protecției endpoint, care arată starea agentului EDR, politica aplicată, protecția împotriva alterării, starea actualizărilor și scanarea în timp real.
  • Înregistrarea detecției, care arată ID-ul alertei, marcajul temporal, arborele de procese, logica detecției, severitatea, fișierele afectate, indicatorii de rețea și acțiunile automatizate.
  • Înregistrarea SIEM, care corelează telemetria DNS, e-mail, identitate, proxy, cloud și endpoint.
  • Înregistrarea tichetului, care arată triajul, escaladarea, izolarea, eradicarea, recuperarea, cauza principală și închiderea.
  • Decizia privind incidentul, care arată dacă evenimentul a rămas un eveniment de securitate sau a devenit incident.
  • Triajul de reglementare, care arată dacă pragurile NIS2, DORA sau GDPR au fost luate în considerare.
  • Înregistrarea lecțiilor învățate, care arată ajustarea politicii, patchingul, acțiunea de conștientizare, tichetul către furnizor sau actualizarea Registrului de riscuri.

Politica privind protecția punctelor terminale / protecția antimalware consolidează acest model de răspuns prin Cerințe de implementare a politicii, clauza 6.3, intitulată:

Acțiuni de răspuns și conținere

Pentru IMM-uri, clauza 6.3.1.2 este și mai directă:

Furnizorul de Suport IT trebuie să plaseze dispozitivul în carantină, să confirme infectarea și să efectueze analiza cauzei principale

Un eveniment malware blocat nu trebuie să dispară într-o consolă. Dacă este suficient de important pentru a fi detectat, este suficient de important pentru a fi clasificat, documentat și închis.

Dovezi de igienă cibernetică NIS2 din protecția endpoint

NIS2 transformă igiena cibernetică de bază într-o problemă de guvernanță. Organizațiile vizate trebuie să înțeleagă dacă intră în domeniul de aplicare, dacă sunt entități esențiale sau importante și cum se aplică obligațiile de transpunere națională.

Pentru protecția endpoint împotriva malware-ului, Article 21 este dispoziția-cheie. Acesta cere măsuri tehnice, operaționale și organizaționale adecvate și proporționale pentru gestionarea riscurilor la adresa rețelelor și sistemelor informatice și pentru prevenirea sau reducerea impactului incidentelor. Măsurile includ analiza riscului și politicile de securitate a sistemelor informatice, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, achiziția și mentenanța securizată, inclusiv gestionarea vulnerabilităților, evaluarea eficacității, igiena cibernetică de bază și instruirea, criptografia, securitatea resurselor umane, controlul accesului, managementul activelor și, după caz, MFA sau autentificare continuă.

Dovezile endpoint se mapează direct la aceste așteptări.

Zona NIS2 Article 21Dovezi privind protecția endpoint împotriva malware-ului
Analiza riscului și politici de securitateEvaluarea riscului endpoint, Politica privind protecția punctelor terminale / protecția antimalware, Declarația de aplicabilitate, Planul de tratare a riscurilor
Gestionarea incidentelorÎnregistrări ale alertelor EDR, tichete de incident, evaluarea severității, acțiuni de izolare, lecții învățate
Continuitatea activitățiiScenarii ransomware, rapoarte privind backup-urile, teste de restaurare, proceduri de recuperare
Securitatea lanțului de aprovizionareContracte MDR sau MSP, matricea responsabilităților, termeni privind suportul pentru incidente, drepturi de audit
Gestionarea vulnerabilitățilorSLA-uri de patching, scanări de vulnerabilitate, aprobări ale excepțiilor, analiza vulnerabilităților exploatate
Evaluarea eficacitățiiRezultatele auditului intern, detecții de test EDR, simulări de phishing, exerciții de tip tabletop
Igienă cibernetică de bază și instruireConformitate cu cerințele de bază endpoint, înregistrări privind finalizarea programelor de conștientizare, instruire privind phishingul și malware-ul
Controlul accesului și managementul activelorInventar endpoint, maparea utilizator-dispozitiv, acces condiționat, controale pentru stații de lucru privilegiate

NIS2 Article 23 contează, de asemenea, deoarece malware-ul poate deveni un incident semnificativ. Dacă acesta cauzează sau ar putea cauza perturbări operaționale severe, pierderi financiare ori prejudicii materiale sau nemateriale considerabile pentru alte persoane, poate fi necesară raportarea etapizată. NIS2 include o avertizare timpurie în termen de 24 de ore, notificarea incidentului în termen de 72 de ore, actualizări intermediare dacă sunt solicitate și un raport final în termen de o lună de la notificare.

Dovezile endpoint susțin fiecare etapă. Alerta EDR furnizează primul indicator. Inventarul activelor identifică serviciile afectate și criticitatea. Datele SIEM și tichetele susțin analiza impactului. Înregistrările de izolare demonstrează acțiunea. Analiza cauzei principale susține raportarea finală.

Un răspuns pregătit pentru NIS2 nu este „avem antivirus”. Este „ne cunoaștem endpoint-urile, aplicăm protecția, monitorizăm continuu, clasificăm incidentele, instruim utilizatorii, gestionăm vulnerabilitățile, păstrăm dovezile și raportăm când pragurile sunt îndeplinite”.

Managementul riscurilor TIC DORA și protecția endpoint împotriva malware-ului

Pentru entitățile financiare, DORA creează un cadru sectorial de reziliență operațională digitală. Protecția endpoint împotriva malware-ului se mapează puternic la managementul riscurilor TIC, managementul incidentelor, testare, continuitate, recuperare și riscul asociat terților TIC.

DORA Article 5 plasează responsabilitatea pentru riscul TIC la nivelul organului de conducere. Article 6 cere un cadru de management al riscurilor TIC solid, cuprinzător și documentat. Articles 8 și 9 cer identificarea și clasificarea funcțiilor de business susținute de TIC, a activelor informaționale, a activelor TIC, a dependențelor, amenințărilor cibernetice, vulnerabilităților, configurațiilor și interdependențelor. Ele acoperă și politicile și instrumentele pentru protecție, prevenire, detecție, controlul accesului, autentificare puternică, managementul schimbărilor și patching.

Articles 11 și 12 sunt centrale pentru reziliența la ransomware. Acestea cer o politică de continuitate a activității TIC, planuri de răspuns și recuperare, politici de backup, proceduri de restaurare, testare și verificări de integritate. Article 17 cere un proces de gestionare a incidentelor legate de TIC pentru a detecta, gestiona, clasifica, înregistra, escalada, comunica și restaura operațiunile după incidente. Article 19 creează obligații de raportare pentru incidente majore legate de TIC. Articles 24 până la 26 abordează testarea rezilienței operaționale digitale. Articles 28 până la 30 abordează riscul asociat terților TIC și aranjamentele contractuale.

Preocupare DORADovezi endpoint utile
Identificarea activelor TICInventar endpoint, proprietar, funcție de business, criticitate, maparea dependențelor
Protecție și prevenireConfigurație de referință EDR, stare de patch, controlul accesului, criptare, filtrare web, configurare securizată
DetecțieAlerte EDR, corelare SIEM, indicatori de avertizare timpurie, îmbogățire cu informații privind amenințările
Gestionarea incidentelor legate de TICTichet de incident malware, clasificarea severității, roluri, acțiuni, escaladare, cauză principală
Recuperare și restaurareÎnregistrare privind reconstruirea dispozitivului, dovadă de backup sau restaurare a fișierelor, verificări de integritate
Testarea reziliențeiSimulare EDR, simulare de phishing, scanări de vulnerabilitate, teste de penetrare, exerciții de tip tabletop
Riscul asociat terților TICContract cu furnizorul MDR sau EDR, SLA-uri, drepturi de audit, asistență la incidente, planuri de ieșire

Pentru o entitate financiară, același incident malware care demonstrează operarea A.8.7 poate arăta și dovezi de supraveghere DORA: clasificarea activelor, funcționarea controlului, managementul incidentelor, capabilitatea de recuperare, istoricul testării, responsabilitatea terților și supravegherea de către conducere.

GDPR Article 32 și triajul încălcărilor securității datelor cu caracter personal

GDPR Article 32 cere operatorilor și persoanelor împuternicite să implementeze măsuri tehnice și organizatorice adecvate riscului. Aceste măsuri includ confidențialitatea, integritatea, disponibilitatea și reziliența sistemelor și serviciilor de prelucrare, capacitatea de a restabili disponibilitatea și accesul la date cu caracter personal și testarea, evaluarea și aprecierea periodică a eficacității măsurilor de securitate.

Malware-ul la nivel endpoint devine dovadă GDPR atunci când un endpoint poate accesa date cu caracter personal: înregistrări despre clienți, tichete de suport, fișiere HR, exporturi, informații legate de plăți, informații de sănătate, categorii speciale de date, jurnale de autentificare sau aplicații cloud care conțin date cu caracter personal.

Întrebarea privind confidențialitatea depinde de fapte. A fost executat malware-ul? A accesat fișiere? A capturat credențiale? Au fost furate token-uri? Au fost exfiltrate date? Era endpoint-ul criptat? A fost dezactivat contul? Au fost revocate sesiunile? Au fost disponibile jurnale? Au fost identificate datele cu caracter personal afectate? A fost evaluat riscul pentru persoane?

Telemetria endpoint este adesea singura modalitate de a răspunde credibil la aceste întrebări.

Un pachet de dovezi endpoint pregătit pentru GDPR trebuie să conecteze clasificarea datelor și evidența activităților de prelucrare, căile de acces endpoint, criptarea, restricționarea accesului, telemetria EDR, jurnalele SIEM, analiza exfiltrării, acțiunile de resetare a credențialelor, înregistrările de restaurare, revizuirea juridică, decizia privind încălcarea și lecțiile învățate.

Echipele de protecție a datelor trebuie să participe la proiectarea playbook-urilor pentru incidente endpoint. A aștepta până după un incident malware pentru a întreba dacă datele cu caracter personal au fost afectate creează un risc evitabil privind responsabilitatea.

Construiți în 30 de minute un pachet de dovezi privind malware-ul endpoint

Înainte de următorul audit, alegeți o detecție malware endpoint din ultimele 90 de zile, chiar dacă a avut severitate redusă sau a fost un fișier de test blocat. Construiți un pachet de dovezi ca și cum auditorul l-ar fi selectat ca eșantion.

Utilizați Zenith Blueprint, faza Controale în acțiune, Pasul 19, ca script de revizuire. Pasul 19 instruiește echipele să revizuiască strategia de protecție împotriva malware-ului verificând că toate endpoint-urile au antimalware sau EDR administrat central instalat, activ și actualizat automat, că scanarea în timp real acoperă tipuri de fișiere, activitatea de rețea și mediile amovibile, că există protecții la nivel de gateway, că jurnalele malware recente sau carantinele sunt investigate și rezolvate și că utilizatorii primesc instruire continuă de conștientizare privind phishingul și malware-ul.

Colectați aceste dovezi:

  1. Înregistrarea activului: numele dispozitivului, numărul de serie, utilizatorul, proprietarul, unitatea de business, locația, tipul dispozitivului, sistemul de operare, criticitatea, profilul de acces la date.
  2. Înrolarea EDR: captură de ecran sau export care arată agentul instalat, activ, actualizat, politica aplicată, protecția împotriva alterării activată.
  3. Conformitatea cu cerințele de bază: criptare, blocarea ecranului, firewall, statut de administrator local, nivel de patch, statutul software-ului interzis.
  4. Înregistrarea detecției: ID-ul alertei, marcajul temporal, numele sau comportamentul detecției, severitatea, arborele de procese, fișierele afectate, indicatorii de rețea.
  5. Acțiunea de izolare: carantină, izolare, oprirea procesului, eliminarea fișierului, reconstruirea dispozitivului, resetarea credențialelor.
  6. Notele de investigație: triajul analistului, cauza principală, calea prin phishing, calea web, calea de exploit, evaluarea datelor afectate.
  7. Decizia privind incidentul: eveniment de securitate sau incident, evaluarea pragurilor NIS2, DORA și GDPR acolo unde este relevant.
  8. Dovezi de închidere: închiderea tichetului, aprobare, lecții învățate, actualizarea Registrului de riscuri dacă este necesar.
  9. Metrici: timp de detectare, timp de izolare, timp de remediere, număr de alerte similare, statut de fals pozitiv.
  10. Acțiune de îmbunătățire: domeniu blocat, ajustarea regulilor de e-mail, implementarea patch-urilor, alocarea unei instruiri de conștientizare pentru utilizator, escaladare către furnizor.

Comparați apoi pachetul de dovezi cu politica dumneavoastră. Dacă politica enterprise spune că toate punctele terminale trebuie înrolate în protecție antimalware administrată central cu o configurație de referință aplicată obligatoriu, puteți demonstra acest lucru? Dacă politica pentru IMM-uri spune că evenimentele malware trebuie monitorizate continuu prin consola antivirus sau prin tabloul de bord EDR centralizat, puteți arăta tabloul de bord, revizorul, alerta, tichetul și închiderea?

Așa devin datele EDR dovezi de audit.

Cum testează auditori diferiți aceleași controale endpoint

Echipele de asigurare vor privi protecția endpoint prin lentile diferite. Dovezile pot fi aceleași, dar întrebările se schimbă.

Perspectiva auditoruluiCe testează de regulăDovezi care satisfac întrebarea
Auditor ISO/IEC 27001:2022Dacă controalele endpoint sunt selectate prin tratarea riscurilor, incluse în Declarația de aplicabilitate, implementate, monitorizate și îmbunătățiteEvaluarea riscurilor, intrare în SoA, politică endpoint, raport de implementare EDR, tichete de monitorizare, rezultate ale auditului intern
Revizor de igienă cibernetică NIS2Dacă securitatea endpoint susține managementul proporțional al riscului, gestionarea incidentelor, gestionarea vulnerabilităților, controlul accesului, managementul activelor și instruireaInventar endpoint, conformitate cu cerințele de bază, alerte EDR, înregistrări de incident, metrici de patching, registre de instruire
Revizor de risc TIC DORADacă protecția endpoint susține identificarea activelor TIC, reziliența, managementul incidentelor, testarea, continuitatea și supravegherea terților TICMaparea activelor TIC, clasificarea incidentelor, rezultate ale testelor de reziliență, dovezi de backup, contract MDR, raportare către conducere
Revizor de protecție a datelor GDPRDacă controalele endpoint susțin securitatea prelucrării și evaluarea încălcărilorMaparea accesului la date, criptare, jurnale, analiza exfiltrării, triajul încălcării, dovezi de izolare și restaurare
Evaluator NIST CSF 2.0Dacă rezultatele privind guvernanța, identificarea, protecția, detectarea, răspunsul și recuperarea sunt integrateProfil curent și țintă, inventarul activelor, controale de acces, monitorizare, răspuns la incidente, dovezi de recuperare
Revizor de guvernanță în stil COBIT 2019Dacă proprietatea, obiectivele, performanța, riscul și asigurarea sunt definiteRACI, KPI, KRI, raportare către consiliul de administrație, dovezi ale proprietarului controlului, excepții, urmărirea remedierii
Auditor intern ISACADacă controalele sunt proiectate eficace și operează consecvent în eșantioaneTestarea eșantioanelor, capturi de ecran, exporturi de configurație, aprobări ale excepțiilor, reefectuarea verificărilor de monitorizare

NIST CSF 2.0 este deosebit de util ca limbaj-punte pentru executivi. Funcția sa GOVERN susține așteptările părților interesate, obligațiile legale, apetitul la risc, responsabilitatea, politica, resursele și supravegherea. Funcțiile sale operaționale ajută la explicarea modului în care managementul activelor, controlul accesului, protecția datelor, monitorizarea, răspunsul la incidente, izolarea, eradicarea, recuperarea și comunicările funcționează împreună.

În proiectele Clarysec, ISO/IEC 27001:2022 oferă structura formală de bază a SMSI, Zenith Controls oferă ghidul de mapare pentru conformitate transversală, iar NIST CSF 2.0 oferă un strat de comunicare adecvat consiliului de administrație.

Serviciile endpoint administrate de furnizori fac parte din modelul de dovezi

Multe organizații externalizează părți ale protecției endpoint către MSP-uri, MSSP-uri, furnizori MDR, furnizori de desktopuri cloud sau furnizori EDR. Externalizarea poate îmbunătăți capabilitatea, dar nu externalizează responsabilitatea.

NIS2 Article 21 include securitatea lanțului de aprovizionare și relațiile cu furnizorii. DORA merge mai departe pentru entitățile financiare, cerând strategie de risc asociat terților TIC, registre ale aranjamentelor contractuale, verificare prealabilă, analiză a riscului de concentrare, drepturi de audit și inspecție, drepturi de încetare, asistență la incidente, strategii de ieșire și alocarea clară a responsabilităților. ISO/IEC 27001:2022 Anexa A include controale privind relațiile cu furnizorii, acorduri cu furnizorii, controale ale lanțului de aprovizionare TIC, monitorizarea și managementul schimbărilor pentru serviciile furnizorilor, precum și achiziția, utilizarea, managementul și ieșirea din servicii cloud.

Dovezile privind externalizarea endpoint trebuie să includă:

  • Verificarea prealabilă a furnizorilor înainte de integrare.
  • Clauze contractuale pentru monitorizare, notificarea incidentelor, acces, localizarea datelor, drepturi de audit, niveluri de serviciu și cooperare.
  • Matricea responsabilităților pentru triajul alertelor, izolare, analiza cauzei principale, raportare și păstrarea dovezilor.
  • Rapoarte care arată performanța furnizorului și conformitatea cu SLA.
  • Dovezi că incidentele furnizorului și indisponibilitățile platformei sunt revizuite.
  • Plan de ieșire dacă furnizorul EDR sau MDR eșuează, este reziliat ori devine inacceptabil.
  • Confirmarea că jurnalele și probele criminalistice rămân disponibile organizației.

Un eșec comun în audit este un tablou de bord MDR fără proprietate clară. Organizația poate vedea alertele, dar nu poate demonstra cine deține riscul, ce trebuie să facă furnizorul, cum este revizuită calitatea alertelor sau cum sunt păstrate dovezile în scopuri de reglementare și juridice.

Metrici care transformă instrumentele endpoint în dovezi de management

Consiliile de administrație și autoritățile de reglementare nu au nevoie de volum brut de alerte. Au nevoie de indicatori care arată dacă riscul de malware la nivel endpoint este controlat.

MetricăDe ce contează
Procentul de acoperire endpointArată dacă endpoint-urile cunoscute sunt protejate prin EDR sau antimalware aprobat
Număr de endpoint-uri neadministrateEvidențiază eșecuri de inventar, înrolare sau shadow IT
Procent privind starea agențilorArată dacă agenții sunt activi, actualizați și raportează
Conformitatea patch-urilor pe endpoint-urile criticeConectează expunerea la malware cu managementul vulnerabilităților
Timpul mediu de detectareArată eficacitatea monitorizării
Timpul mediu de izolareArată viteza de izolare pentru ransomware și malware
Recurența malware pe utilizator sau unitate de businessIdentifică puncte slabe de instruire, proces sau acces
Rata de eșec a carantineiArată dacă acțiunile de răspuns sunt fiabile
Excepții cu risc ridicat deschise peste SLAArată disciplina de guvernanță
Rata de succes a testelor de restaurareArată reziliența dacă malware-ul cauzează perturbări
Incidente cu analiza cauzei principale finalizatăArată învățare și îmbunătățire continuă

Aceste metrici susțin evaluarea performanței și analiza efectuată de management în ISO/IEC 27001:2022, supravegherea de către organul de conducere NIS2, guvernanța DORA și strategia de risc TIC, responsabilitatea GDPR și planificarea auditului intern.

Politica enterprise Politica privind protecția punctelor terminale / protecția antimalware, secțiunea Aplicare și conformitate, clauza 8.2 prevede:

Auditul Intern trebuie să efectueze revizuiri periodice ale conformității protecției punctelor terminale, inclusiv:

Auditul intern poate transforma metricile de mai sus într-un test trimestrial de control: eșantionați endpoint-uri, comparați inventarul cu înrolarea EDR, verificați scanarea în timp real, revizuiți starea patch-urilor, confirmați că utilizatorii nu pot dezactiva protecția, inspectați alerte malware recente și urmăriți alertele selectate de la detecție până la închidere.

Lacune comune de dovezi endpoint identificate de Clarysec

Chiar și organizațiile mature întâmpină dificultăți privind calitatea dovezilor endpoint. Aceleași lacune apar repetat:

  • Inventarul activelor și inventarul EDR nu se potrivesc.
  • Stațiile de lucru ale dezvoltatorilor sunt mai puțin controlate decât laptopurile standard.
  • Dispozitivele mobile sunt excluse din dovezile endpoint.
  • Accesul BYOD este permis fără controale aplicabile privind postura dispozitivului.
  • Agenții EDR sunt instalați, dar protecția împotriva alterării este dezactivată.
  • Alertele sunt monitorizate de un furnizor, dar regulile de escaladare sunt vagi.
  • Malware-ul plasat în carantină nu este asociat cu un tichet de incident.
  • Analiza cauzei principale este omisă pentru detecții „blocate”.
  • Excepțiile de patching nu au aprobarea proprietarului riscului sau date de expirare.
  • Jurnalele sunt păstrate pe o perioadă prea scurtă pentru a susține evaluarea încălcărilor.
  • Restaurarea din backup este testată în general, dar nu pe scenarii ransomware.
  • Raportarea către consiliul de administrație arată numărul de alerte, nu reducerea riscului.

Soluția nu constă în mai multe foi de calcul. Soluția este un model operațional conectat, în care politica, inventarul, configurația endpoint, monitorizarea, răspunsul la incidente, managementul furnizorilor, triajul de reglementare, metricile și testarea de audit se consolidează reciproc.

Zece zile lucrătoare pentru a pregăti protecția endpoint împotriva malware-ului pentru audit

Dacă aveți nevoie de un punct de pornire rapid, realizați aceste acțiuni în următoarele zece zile lucrătoare:

  1. Exportați inventarul endpoint și inventarul EDR, apoi reconciliați-le.
  2. Identificați endpoint-urile neadministrate, inactive, depășite, duplicate și cele aflate sub excepție.
  3. Confirmați scanarea în timp real, protecția împotriva alterării, actualizarea automată, izolarea și setările de carantină.
  4. Eșantionați cinci alerte malware și urmăriți fiecare alertă până la investigare și închidere.
  5. Verificați dacă evenimentele endpoint pot susține triajul incidentelor NIS2, DORA și GDPR.
  6. Revizuiți contractele cu furnizorii MDR, MSP și EDR pentru suport la incidente, acces la dovezi, drepturi de audit, SLA-uri și termeni de ieșire.
  7. Adăugați acoperirea endpoint, starea agenților, timpul de izolare, conformitatea patch-urilor și finalizarea analizei cauzei principale în raportarea către conducere.
  8. Rulați un eșantion de audit intern folosind lista de verificare Zenith Blueprint Pasul 19.
  9. Utilizați Zenith Controls pentru a mapa A.8.1 și A.8.7 la jurnalizare, monitorizare, managementul vulnerabilităților, răspuns la incidente, controale privind furnizorii și recuperare.
  10. Actualizați baza de referință de guvernanță folosind Politica privind protecția punctelor terminale / protecția antimalware a Clarysec sau Politica privind protecția punctelor terminale - Politica privind malware-ul pentru IMM-uri.

Protecția endpoint împotriva malware-ului în 2026 nu se referă doar la oprirea ransomware-ului. Se referă la demonstrarea faptului că organizația dumneavoastră poate preveni, detecta, izola, recupera, raporta și îmbunătăți.

Clarysec vă poate ajuta să transformați protecția endpoint dintr-o implementare de instrument într-un sistem defensabil de dovezi pentru conformitate transversală. Descărcați Politica privind protecția punctelor terminale / protecția antimalware, începeți cu Politica privind protecția punctelor terminale - Politica privind malware-ul pentru IMM-uri dacă aveți nevoie de un model operațional mai suplu, utilizați Zenith Blueprint pentru a implementa controalele și utilizați Zenith Controls pentru a conecta dovezile endpoint la ISO/IEC 27001:2022, NIS2, DORA, GDPR Article 32, NIST CSF 2.0 și așteptările de audit.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article