Vodnik za CISO za forenzično pripravljenost, pripravljeno za presojo: poenotenje NIS2, DORA, ISO 27001 in GDPR

Maria, vodja informacijske varnosti v srednje velikem fintech podjetju, je začutila znano napetost v želodcu. Na njeni mizi je ležalo poročilo zunanje presoje za certifikacijo ISO/IEC 27001:2022, njegov jasen zaključek pa jo je neusmiljeno gledal nazaj. Večja neskladnost.

Pred tremi tedni je mlajši razvijalec po pomoti za 72 minut javnemu internetu izpostavil neprodukcijsko podatkovno shrambo. Z operativnega vidika je bil odziv na incident uspešen. Ekipa je ukrepala hitro, zaklenila sistem in potrdila, da občutljivi podatki strank niso bili vključeni.

Z vidika skladnosti pa je šlo za katastrofo.

Ko je presojevalec zahteval dokazila, s katerimi bi bilo mogoče dokazati, kaj se je točno zgodilo v teh 72 minutah, ekipa ni imela dovolj podlage. Dnevniki ponudnika storitev v oblaku so bili splošni in so se po 24 urah prepisali. Dnevniki požarnega zidu so prikazovali povezave, vendar brez podrobnosti na ravni paketov. Notranji aplikacijski dnevniki niso bili konfigurirani za beleženje konkretnih izvedenih klicev API. Ekipa ni mogla z gotovostjo dokazati, da nobena nepooblaščena oseba ni poskušala povišati privilegijev ali se premakniti v druge sisteme.

Ugotovitev presojevalca je bila neizprosna: “Organizacija ne more zagotoviti zadostnih in zanesljivih dokazil za rekonstrukcijo časovnice varnostnega dogodka, kar kaže na pomanjkanje forenzične pripravljenosti. To vzbuja pomembne pomisleke glede skladnosti z zahtevami NIS2 za upravljanje incidentov, zahtevami DORA za podrobno sledenje incidentom in načelom odgovornosti po GDPR.”

Mariina težava ni bila odpoved odziva na incidente, temveč odpoved predvidevanja. Njena ekipa je bila odlična pri gašenju požarov, vendar ni zgradila zmožnosti za preiskavo požigalca. Prav v tej kritični vrzeli je prostor forenzične pripravljenosti – zmožnosti, ki po sodobnih predpisih ni več razkošje, temveč obvezna zahteva.

Od reaktivnega beleženja do proaktivne forenzične pripravljenosti

Številne organizacije, podobno kot Mariina, zmotno menijo, da je “imeti dnevnike” enako kot biti pripravljen na preiskavo. Ni. Forenzična pripravljenost je strateška zmožnost, ne naključni stranski produkt IT-operacij. Kot opredeljuje mednarodni standard ISO/IEC 27043, morajo organizacije vzpostaviti procese, ki zagotavljajo, da so digitalni dokazi pripravljeni, dostopni in stroškovno učinkoviti v pričakovanju morebitnih varnostnih incidentov.

V okviru NIS2, DORA, ISO 27001:2022 in GDPR to pomeni, da lahko:

• Zaznate relevantne dogodke dovolj hitro, da izpolnite kratke roke za poročanje.
• Rekonstruirate zaupanja vredno zaporedje dogodkov iz dnevnikov, odpornih proti poseganju.
• Dokažete presojevalcem in regulatorjem, da so vaše kontrole beleženja in spremljanja zasnovane na tveganjih, spoštujejo zasebnost in so učinkovite.

Clarysecova navodila za implementacijo v Clarysec’s Zenith Controls: The Cross-Compliance Guide Zenith Controls to povzamejo preprosto:

Učinkovita forenzična pripravljenost v kontekstu skladnosti zahteva, da se zbiranje dnevniških podatkov omeji na tisto, kar je strogo nujno, da se prepreči hramba prekomernih količin osebnih ali občutljivih podatkov ter da se podatki, kjer je izvedljivo, anonimizirajo ali psevdonimizirajo. Dodatne dobre prakse vključujejo uporabo robustnih varnostnih ukrepov, kot so kontrole dostopa, šifriranje, redne presoje in stalno spremljanje, skupaj z uveljavljanjem politik hrambe podatkov, usklajenih z GDPR, ter rednim odstranjevanjem nepotrebnih informacij.

To je temeljna sprememba miselnosti:

• Od kopičenja podatkov k namenskemu zbiranju: Namesto zbiranja vsega določite dokazila, potrebna za odgovor na ključna vprašanja: kdo je kaj storil? Kdaj in kje se je zgodilo? Kakšen je bil vpliv?
• Od ločenih dnevnikov k koreliranim časovnicam: Dnevniki požarnega zidu, aplikacij in oblaka so posamezni koščki sestavljanke. Forenzična pripravljenost pomeni zmožnost, da jih sestavite v skladno sliko.
• Od operativnega orodja k dokaznemu sredstvu: Dnevniki niso namenjeni le odpravljanju napak. So pravna in regulativna dokazila, ki jih je treba zaščititi, ohraniti in obravnavati z jasno verigo skrbništva.

Nezmožnost dokazati, kaj se je zgodilo med kršitvijo, danes velja za odpoved kontrole samo po sebi, ne glede na začetni vpliv incidenta.

Temelj: kjer se upravljanje in politike srečajo s prakso

Preden je konfiguriran en sam dnevnik, se program forenzične pripravljenosti začne z jasnim upravljanjem. Prvo vprašanje presojevalca ne bo “Pokažite mi svoj SIEM”, temveč “Pokažite mi svojo politiko.” Tu strukturiran pristop zagotovi takojšnjo in dokazljivo vrednost.

V The Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint je korak 14 faze ‘Risk & Implementation’ namenjen prav temu temeljnemu delu. Cilj je izrecen:

“Razvijte ali dopolnite posebne politike in postopke, kot jih zahtevajo izbrane obravnave tveganj (in kontrole iz Priloge A), ter zagotovite usklajenost s predpisi, kot so GDPR, NIS2 in DORA.”

Ta korak organizacije prisili, da odločitve o tveganjih prevedejo v dokumentirana in izvršljiva pravila. Za CISO, kot je Maria, to pomeni oblikovanje nabora medsebojno povezanih politik, ki opredeljujejo forenzično zmožnost organizacije. Predloge politik Clarysec zagotavljajo arhitekturne načrte za to strukturo. Ključno je vzpostaviti izrecne povezave med politikami, da nastane skladen okvir upravljanja.

Z vzpostavitvijo tega okvira politik si najprej ustvarite dokazljivo izhodišče. Na primer, naša Politika zbiranja dokazov in forenzike navaja svojo odvisnost od P22 – Politike beleženja in spremljanja, da zagotovi “razpoložljivost dnevnikov dogodkov in telemetrije za zbiranje dokazov in forenzično korelacijo.” Ta en stavek ustvari močan mandat: namen beleženja ni zgolj operativen, temveč mora služiti forenzični analizi.

Za manjše organizacije so načela enaka. Naša Politika zbiranja dokazov in forenzike za MSP se sklicuje na svojo temeljno politiko beleženja: “P22S – Politika beleženja in spremljanja: zagotavlja neobdelane podatke, uporabljene kot forenzični dokazi, ter določa zahteve glede hrambe, nadzora dostopa in beleženja.”

Ta dokumentirana strategija presojevalcem, regulatorjem in notranjim ekipam pokaže, da imate opredeljen in namenski pristop k upravljanju dokazil.

Tehnični pogon: zagotavljanje pripravljenosti s strateškim spremljanjem

Ob trdnem temelju politik je naslednji korak vzpostavitev tehničnega pogona. Ta temelji na dveh ključnih kontrolah iz ISO/IEC 27001:2022: 8.15 beleženje in 8.16 dejavnosti spremljanja. Čeprav se pogosto obravnavata skupaj, imata različna namena. Kontrola 8.15 se nanaša na zapisovanje dogodkov. Kontrola 8.16 se nanaša na njihovo aktivno analiziranje za zaznavanje anomalij in varnostnih dogodkov. To je utrip forenzične pripravljenosti.

Vodnik Zenith Controls, naša intelektualna lastnina, ki kontrole ISO preslika na globalne standarde in presojevalske prakse, podrobno prikazuje, kako je 8.16 dejavnosti spremljanja osrednji povezovalni element med neobdelanimi podatki in operativno uporabnimi obveščevalnimi informacijami. Ne obstaja v vakuumu; je del tesno povezanega varnostnega ekosistema:

• Povezano z 8.15 beleženje: Učinkovito spremljanje ni mogoče brez robustnega beleženja. Kontrola 8.15 zagotavlja obstoj neobdelanih podatkov. Kontrola 8.16 zagotavlja analitični mehanizem za njihovo razumevanje. Brez spremljanja so dnevniki le tih, nepregledan arhiv.
• Napaja 5.25 ocena in odločitev o dogodkih informacijske varnosti: Opozorila in anomalije, ki jih zazna spremljanje (8.16), so primarni vhodni podatki za proces presoje dogodkov (5.25). Kot navaja vodnik Zenith Controls, tako ločite manjše odstopanje od razvitega incidenta, ki zahteva eskalacijo.
• Upošteva 5.7 obveščevalni podatki o grožnjah: Spremljanje ne sme biti statično. Obveščevalni podatki o grožnjah (5.7) zagotavljajo nove kazalnike kompromitacije in vzorce napadov, ki jih je treba uporabiti za posodobitev pravil spremljanja in iskanj ter s tem ustvariti proaktivno povratno zanko.
• Razširja se na 5.22 spremljanje storitev dobaviteljev: Vaša vidnost se ne sme končati na lastnem omrežnem robu. Pri storitvah v oblaku in drugih dobaviteljih morate zagotoviti, da njihove zmogljivosti spremljanja in beleženja izpolnjujejo vaše forenzične zahteve, kar je ključnega pomena za NIS2 in DORA.

Strategija beleženja in spremljanja, pripravljena za forenzično uporabo, se začne z namenom. Pragovi alarmov morajo temeljiti na oceni tveganja, na primer spremljanje skokov v izhodnem omrežnem prometu, hitrih zaklepov računov, dogodkov povišanja privilegijev, zaznav zlonamerne programske opreme in namestitev nepooblaščene programske opreme.

Prav tako mora biti hramba dnevnikov premišljena odločitev. Vodnik Zenith Controls svetuje:

Hramba in varnostno kopiranje dnevnikov morata biti upravljana za vnaprej določeno obdobje, z zaščito pred nepooblaščenim dostopom in spremembami. Obdobja hrambe dnevnikov morajo biti določena na podlagi poslovnih potreb, ocen tveganja, dobrih praks in pravnih zahtev …

To pomeni opredelitev obdobij hrambe po sistemih (npr. 12 mesecev spletno dostopno, 3–5 let arhivirano za sisteme, kritične po DORA) ter zagotavljanje, da se varnostne kopije ohranijo vsaj tako dolgo, kot se dnevniki redno pregledujejo.

Uravnoteženje skladnosti: zbiranje dokazov brez kršitve GDPR

Nagonski odziv na neuspešno presojo, kot jo je doživela Maria, bi lahko bil beležiti vse in povsod. To ustvari novo in enako nevarno težavo: kršitev načel varstva podatkov po GDPR. Forenzična pripravljenost in zasebnost se pogosto razumeta kot nasprotujoči si sili, vendar ju je treba uskladiti.

Tu postane ključna kontrola ISO 27001:2022 5.34 zasebnost in varstvo PII. Deluje kot most med vašim varnostnim programom in obveznostmi glede zasebnosti. Kot je podrobno opisano v Zenith Controls, je implementacija 5.34 neposreden dokaz vaše zmožnosti izpolnjevanja GDPR Article 25 (vgrajeno in privzeto varstvo podatkov) ter Article 32 (varnost obdelave).

Za doseganje tega ravnotežja mora vaš forenzični program vključevati ključne kontrole za izboljšanje zasebnosti:

• Integracija s 5.12 razvrščanje informacij: Zagotovite, da so dnevniki iz sistemov, ki obdelujejo PII, razvrščeni kot zelo občutljivi in deležni najstrožje zaščite.
• Implementacija 8.11 maskiranje podatkov: Aktivno uporabljajte psevdonimizacijo ali maskiranje za prikrivanje osebnih identifikatorjev v dnevnikih, kadar neobdelane vrednosti niso potrebne za preiskavo. To je neposredna implementacija načela najmanjšega obsega podatkov.
• Uveljavljanje 5.15 in 5.16 (nadzor dostopa in upravljanje identitet): Dostop do neobdelanih dnevnikov omejite strogo po načelu potrebe po seznanitvi, zlasti pri dogodkih, povezanih z zaposlenimi ali strankami.
• Preslikava na okvire zasebnosti: Program podprite s standardi, kot so ISO/IEC 27701 (za PIMS), ISO/IEC 27018 (za PII v oblaku) in ISO/IEC 29100 (za načela zasebnosti).

Z integracijo teh kontrol lahko zasnujete strategijo beleženja in spremljanja, ki je hkrati forenzično neoporečna in skladna z načeli zasebnosti ter tako zadovolji varnostne ekipe in pooblaščene osebe za varstvo podatkov.

Od teorije do presoje: kaj različni presojevalci dejansko iščejo

Uspešno opravljena presoja zahteva predstavitev pravih dokazil na način, ki ustreza konkretni metodologiji presojevalca. Presojevalec ISO 27001 razmišlja drugače kot presojevalec COBIT, oba pa imata drugačen fokus kot regulator NIS2.

Razdelek audit_methodology v našem vodniku Zenith Controls za 8.16 dejavnosti spremljanja je za CISO izjemno dragocen časovni načrt, saj cilj kontrole prevede v oprijemljiva dokazila za različne presojevalske perspektive.

Tako se pripravite na pregled z različnih zornih kotov:

Razumevanje teh različnih pogledov je ključno. Za presojevalca ISO je dobro dokumentiran postopek obravnave lažnega alarma odlično dokazilo delujočega sistema. Za presojevalca NIST je bolj prepričljiv test v živo, ki pokaže sprožitev opozorila v realnem času. Za regulatorja NIS2 ali DORA sta najpomembnejša dokaz pravočasne zaznave in eskalacije. Mariina ekipa je spodletela, ker ni mogla zagotoviti dokazil, ki bi zadovoljila katero koli od teh perspektiv.

Praktični scenarij: izdelava dokaznega paketa, pripravljenega za presojo

Uporabimo to na dejanskem scenariju: kampanja zlonamerne programske opreme prizadene več končnih točk v vaših operacijah v EU, nekatere od njih pa obdelujejo PII strank. Izpolniti morate zahteve GDPR, NIS2, DORA in svojega presojevalca ISO 27001.

Vaš dokazni paket mora biti strukturirana pripoved, ne zgolj izvoz podatkov. Vključevati mora:

1. Tehnična časovnica in artefakti:

   • Opozorila SIEM, ki prikazujejo začetno zaznavo, povezano z 8.16 dejavnosti spremljanja.
   • Dnevnike EDR z zgoščenimi vrednostmi datotek, drevesi procesov in ukrepi zajezitve.
   • Dnevnike požarnega zidu in omrežne dnevnike, ki prikazujejo poskuse komunikacije C2.
   • Dnevnike avtentikacije, ki prikazujejo morebitne poskuse lateralnega gibanja.
   • Zgoščene vrednosti vseh zbranih datotek dnevnikov za dokaz celovitosti, usklajeno z 8.24 uporaba kriptografije.

2. Dokazila upravljanja in postopkov:

   • Kopijo vaše Politike zbiranja dokazov in forenzike.
   • Kopijo vaše Politike beleženja in spremljanja, ki dokazuje mandat za zbiranje teh podatkov.
   • Ustrezen izvleček iz vaše Politike hrambe podatkov in odstranjevanja Politika hrambe podatkov in odstranjevanja, ki prikazuje obdobja hrambe za te specifične dnevnike.

3. Povezava z upravljanjem incidentov:

   • Zahtevek za odziv na incident, ki prikazuje razvrstitev, oceno resnosti in eskalacijo ter povezuje spremljanje (8.16) z oceno incidenta (5.25).
   • Evidence procesa odločanja za obveščanje organov po NIS2 Article 23 ali GDPR Article 33.

4. Dokazila o skladnosti z zasebnostjo:

   • Zapis pooblaščene osebe za varstvo podatkov (DPO), ki potrjuje, da je bil na dokaznem paketu izveden pregled z vidika zasebnosti.
   • Prikaz, da je bil vsak PII v dnevnikih obravnavan v skladu s politiko (npr. dostop je bil omejen), usklajeno s kontrolo 5.34 zasebnost in varstvo PII.

5. Regulativne komunikacije:

   • Evidenco kakršne koli korespondence z organom za varstvo podatkov ali nacionalnim organom za kibernetsko varnost, kot priporočajo naša navodila v Zenith Controls.

Ta strukturirani paket kaotičen dogodek pretvori v dokaz upravljanja, procesa in dolžne skrbnosti.

Gradnja vaše evidence dokazil: izvedljiv načrt

Kako lahko CISO preide iz reaktivnega položaja v stanje stalne forenzične pripravljenosti, pripravljene za presojo? Ključ je sistematična vzpostavitev “evidence dokazil”, ki vsebuje dokazila, ki jih presojevalci potrebujejo, še preden jih zahtevajo.

1. Dokumentirajte svojo strategijo:

• Dokončajte politike: Odobrite in objavite Politiko beleženja in spremljanja, Politiko zbiranja dokazov in Politiko hrambe podatkov, pri čemer kot vodilo uporabite korak 14 v Zenith Blueprint.
• Mapirajte tok podatkov: Vzdržujte diagram, ki prikazuje, od kod se dnevniki zbirajo, kje se združujejo (npr. SIEM) in kako so zaščiteni.

2. Konfigurirajte in preverite orodja:

• Določite pragove na podlagi tveganj: Dokumentirajte pragove za ključna opozorila in jih utemeljite na podlagi ocene tveganja.
• Preverite nastavitve hrambe: Pripravite posnetke zaslona iz platforme za upravljanje dnevnikov ali konzole v oblaku, ki jasno prikazujejo konfigurirana obdobja hrambe za različne vrste podatkov.
• Dokažite celovitost: Vzpostavite proces za kriptografsko zgoščevanje kritičnih dokaznih datotek ob zbiranju in zgoščene vrednosti hranite ločeno.

3. Dokažite operativno učinkovitost:

• Vodite podrobne evidence: Hranite evidence o obravnavi vsaj treh nedavnih varnostnih dogodkov, tudi lažnih alarmov. Prikažite začetno opozorilo, zapiske triaže, sprejete ukrepe in končno razrešitev s časovnimi žigi.
• Beležite dostop do dnevnikov: Bodite pripravljeni pokazati, kdo ima dostop za ogled neobdelanih dnevnikov, in zagotoviti revizijske sledi njihovega dostopa.
• Testirajte in evidentirajte: Hranite evidence, ki kažejo, da so vaši sistemi spremljanja delujoči ter da se periodični testi (npr. testi alarmov) izvajajo in beležijo.

Mariin neuspeh pri presoji ni bil tehničen, temveč strateški. Na težji način se je naučila, da je v današnjem regulativnem okolju incident, ki ga ni mogoče preiskati, skoraj tako slab kot incident sam. Dnevniki niso več preprost stranski produkt IT; so kritično sredstvo za upravljanje, upravljanje tveganj in skladnost.

Ne čakajte, da vam neskladnost razkrije vrzeli. Z vzpostavitvijo resnične forenzične pripravljenosti svoje varnostne podatke iz potencialne obveznosti pretvorite v najpomembnejše sredstvo za dokazovanje dolžne skrbnosti in odpornosti.

Ste pripravljeni zgraditi svojo forenzično zmožnost, pripravljeno za presojo? Raziščite Clarysecov The Zenith Blueprint: An Auditor’s 30-Step Roadmap za gradnjo dokumentiranega ISMS od temeljev naprej in se poglobite v naš Zenith Controls, da razumete natančna dokazila, ki jih presojevalci zahtevajo za vsako kontrolo. Dogovorite se za posvet še danes in preverite, kako lahko naši integrirani nabori orodij pospešijo vašo pot do dokazljive skladnosti.