Poradniki • Zagrożenia Internetowe
Identyfikacja luk w zabezpieczeniach przy użyciu ram cyberbezpieczeństwa NIST: część 2
Piotr R
15 listopada 2024
W jednym z naszych poprzednich wpisów przyjrzeliśmy się kluczowej roli, jaką ramy cyberbezpieczeństwa odgrywają w kierowaniu organizacjami podczas tworzenia i udoskonalania ich programów bezpieczeństwa. Przedstawiliśmy National Institute of Standards and Technology Cybersecurity Framework 2.0 (NIST CSF 2.0), ramy, do których sięga większość organizacji, i rozłożyliśmy na czynniki pierwsze jego sześć podstawowych funkcji, z których każda została zaprojektowana w celu pomocy w kształtowaniu odpornej strategii cyberbezpieczeństwa.
Jednak zrozumienie ram to dopiero początek. Prawdziwe wyzwanie polega na ich wykorzystaniu — użyciu ich do odkrywania mocnych stron zabezpieczeń i ujawniania krytycznych luk. W tym poście zagłębimy się w to, jak wykorzystać NIST CSF 2.0 do przeprowadzenia dokładnej oceny wewnętrznej, pomagając ustalić priorytety działań i zbudować silniejszą obronę przed pojawiającymi się zagrożeniami.
Identyfikacja różnych części organizacji
Dzisiejsze środowiska organizacyjne są rozległe, obejmując liczne usługi i systemy. Organizacje, które nie są już ograniczone do lokalnych biur korporacyjnych, składają się teraz z rozległej sieci połączonych ze sobą sieci, aplikacji, usług, hostów, użytkowników i urządzeń. Chociaż jest to część NIST CSF 2.0, ważne jest, aby pogrupować je w kategorie wysokiego poziomu, aby rozpocząć naszą ocenę. Zazwyczaj obszary te są grupowane w:
Pomieszczenia fizyczne: Cały sprzęt i komponenty fizyczne, które tworzą organizację i które muszą być zabezpieczone.
Użytkownicy/Tożsamość: Konta/poświadczenia pracowników, które są zasadniczo kluczami do środowiska organizacji (sposób, w jaki uzyskują dostęp do wszystkich aplikacji i usług).
Punkty końcowe: Desktopy, komputery stacjonarne i laptopy używane przez użytkowników.
Sieć: Systemy, które tworzą dodatkowy intranet firmy, w tym zapory sieciowe i inne systemy skonfigurowane w celu jej zabezpieczenia.
Serwery (lokalne): Wszystkie serwery, które są używane i utrzymywane lokalnie w biurze korporacyjnym. Rzeczy takie jak serwer Exchange, bazy danych, pamięć masowa itp.
Aplikacje (lokalne): Wszystkie używane aplikacje, które są zainstalowane lub hostowane lokalnie lub na urządzeniach.
Aplikacje niestandardowe: Są to wszystkie aplikacje (niezależnie od tego, czy lokalnie, czy w chmurze), które są tworzone na zamówienie przez organizację i mogą nie być w pełni chronione przez standardowe, powszechnie dostępne narzędzia bezpieczeństwa.
Chmura/IaaS: Systemy infrastruktury jako usługi, takie jak AWS, GCP i Azure, z których organizacje korzystają, aby hostować część lub większą część swojej organizacji.
SaaS: Wszelkie aplikacje hostowane online przez stronę trzecią, z których korzysta firma. Może to być cokolwiek, od CRM-ów, takich jak Salesforce, po systemy HR, takie jak Paylocity, po inne funkcjonalne aplikacje szeroko stosowane w całej organizacji (ServiceNow, Atlassian, Slack, Office365 lub Google Workspace itp.).
Tworzenie rubryki do oceny
Pierwszym krokiem w przeprowadzaniu oceny jest ustalenie standaryzowanej skali ocen. Istnieje kilka podejść do tego, ale jednym z najskuteczniejszych jest użycie macierzy z systemem ocen. Skalę można dostosować do różnych potrzeb, a oto kilka opcji do rozważenia:
High Level/Binary Choices: Prosta skala, której można użyć, aby szybko określić, gdzie potrzebna jest uwaga, co można poprawić i co jest mocną stroną. Może składać się z trzech wartości:
Słabość/wymagana pomoc: Jest to obszar, który wymaga natychmiastowej uwagi. Stanowi on wyraźną lukę w zabezpieczeniach/podatność, która stwarza ryzyko dla bezpieczeństwa organizacji, jeśli nie zostanie usunięta.
Neutralny/OK, możliwość poprawy: Obszar, który jest w pewnym stopniu objęty ochroną i na tyle prawdopodobnie nie stwarza dużego ryzyka dla bezpieczeństwa organizacji, ale warto by go ponownie ocenić, gdy nadarzy się ku temu czas po usunięciu luk w zabezpieczeniach.
Mocne strony/Dobre zabezpieczenie: Obszar mocnych stron, który jest dobrze zabezpieczony dzięki odpowiedniemu planowaniu, systemom i narzędziom wdrożonym w celu zapewnienia dobrego zabezpieczenia, minimalizującego ryzyko bezpieczeństwa.
Rankingi liczbowe: Bardziej szczegółowy i zdefiniowany sposób oceny każdego obszaru. Skala może być dowolna, od 1 do 5, od 1 do 10, od 1 do 100 itd. (gdzie 1 oznacza najsłabszy, a najwyższa liczba oznacza najsilniejszy lub dobrze pokryty). Chodzi o stworzenie skali, która może być użyta do wyraźnego określenia, gdzie oceniany jest każdy obszar programu cyberbezpieczeństwa, a następnie użycie tej skali do ustalenia priorytetów pracy i inwestycji wymaganych do poprawy bezpieczeństwa i zmniejszenia ryzyka i podatności. Model integracji dojrzałości zdolności (CMMI) ma dobrą rubrykę w skali od 1 do 5, w której każda ocena jest jasno zdefiniowana.
Mając teraz skalę ocen, możemy stworzyć system, którego użyjemy do przeprowadzenia oceny. W tym kolejnym kroku zalecałbym użycie macierzy, aby oddzielić każdy z różnych obszarów organizacyjnych do oceny.
Macierz obrony cyberbezpieczeństwa
Cyber Defense Matrix to powszechnie uznawana i skuteczna metoda mapowania struktury organizacji względem funkcji NIST. Ta macierz oferuje przejrzysty sposób wizualizacji, w jaki sposób każda część organizacji jest zgodna z sześcioma podstawowymi funkcjami NIST CSF, pomagając zidentyfikować mocne strony i luki.
Używając macierzy, rozłóż sześć podstawowych funkcji NIST CSF 2.0 na górze, a następnie umieść każdy z wewnętrznych obszarów skupienia na dole z boku. Można to wykorzystać jako ogólny sposób oceny i oceny każdego obszaru w porównaniu z funkcjami NIST przy użyciu skali ocen ustalonej powyżej. Oceń każdy z obszarów kategorii według funkcji NIST CSF 2.0 i zastosuj ocenę na podstawie wyników oceny.
Na przykład, jeśli używany jest system ocen wysokiego poziomu, organizacja może ocenić, jak dobrze każdy obszar jest nią objęty. Na przykład, czy istnieją skuteczne plany i systemy w celu identyfikowania, zarządzania i śledzenia kont użytkowników (np. za pośrednictwem dostawcy tożsamości lub narzędzia do zarządzania)? Jeśli tak, zostanie to oznaczone jako mocna strona. Ten sam proces zostanie następnie zastosowany w innych obszarach, co spowoduje kompleksową ocenę podobną do przykładu powyżej.
Z kolei, jeśli wybierzemy pełny system oceniania liczbowego — taki jak skala 1-10, gdzie 1 oznacza słabość, a 10 siłę — możemy zastosować bardziej szczegółową ocenę do każdego obszaru. Na przykład podczas oceny funkcji wykrywania możemy uznać, że chociaż niektóre narzędzia są na miejscu, są głośne, a nam brakuje wewnętrznej siły roboczej, aby w pełni je monitorować. Nawet jeśli ktoś z naszego zespołu zauważy alert, może nie mieć wiedzy, aby skutecznie zareagować. W takim przypadku ocenilibyśmy siebie na niższym końcu, uznając, że chociaż coś jest na miejscu, to nie wystarczy, aby uznać ten obszar za neutralny i że priorytetem byłoby zajęcie się tym.
Jeśli zdecydujesz się na bardziej szczegółowy system oceniania, pomocne może być zbudowanie dodatkowych macierzy, które obejmują każdą z indywidualnych funkcji NIST osobno. Następnie możemy utworzyć macierz wymieniającą każdą z poszczególnych kategorii funkcji (lub nawet podkategorie, jeśli chcemy uzyskać taki szczegółowy) na górze, a następnie obszary organizacyjne na dole z boku. Na przykład funkcja Protect ma 5 kategorii pod sobą, więc dedykowana macierz dla Protect wyglądałaby następująco:
Dzięki tej macierzy możemy podzielić funkcję Protect na kategorie, aby zobaczyć, które części Protect zostały objęte, a które nie. Na przykład w powyższej macierzy, patrząc tylko na aplikacje (lokalne), mamy dobre procesy i systemy do zarządzania tożsamością użytkownika i dostępem do tych aplikacji, a także szkolenia z zakresu bezpieczeństwa dla naszego wewnętrznego zespołu ds. bezpieczeństwa i organizacji, ale być może nie mamy najlepszych narzędzi i planów dotyczących bezpieczeństwa danych i platformy, a także odporności infrastruktury. Korzystając z tego, możemy następnie pomóc w ustaleniu priorytetów dla tych 3 późniejszych kategorii, aby upewnić się, że możemy stworzyć plan i wdrożyć proces oraz niezbędne narzędzia i inne wymagania, aby wypełnić tę lukę w zabezpieczeniach.
Korzystanie z tych macierzy może zająć dużo czasu i wymagać dużej ilości pracy, skupienia i wkładu z wielu części organizacji. W powyższych przykładach pokazano powiększony widok tylko jednego przykładowego obszaru organizacji i jednej funkcji NIST. Jednak aby prawidłowo stworzyć funkcjonalny i skuteczny program cyberbezpieczeństwa, konieczna jest realistyczna i uczciwa ocena całej organizacji. Bez pełnego zrozumienia tego, co należy chronić i gdzie znajdują się luki w zabezpieczeniach, niemożliwe będzie stworzenie skutecznego planu zabezpieczenia tych obszarów w celu zapobiegania zagrożeniom.
Obsługa wewnętrzna czy zewnętrzna?
Mając wypełnione macierze i dość dokładną ocenę naszej organizacji w ręku, możemy teraz rozpocząć prawdziwą pracę w tym procesie, decydując, jak postępować dalej. Najważniejszą decyzją przy przeglądaniu każdego obszaru jest określenie, co musi zostać zrobione wewnętrznie, co można lub należy zlecić na zewnątrz, a co można współzarządzać z zaufanym partnerem. Aby lepiej zrozumieć, co mam na myśli, oto kilka przykładów:
Wewnętrznie: Rzeczy, których nie można zlecić organizacjom zewnętrznym i które muszą być obsługiwane lub utrzymywane wewnętrznie z różnych powodów. Może to wynikać z faktu, że dotyczą one niezwykle wrażliwych danych lub własności intelektualnej lub mogą być związane ze złożonymi procesami wewnętrznymi i strukturą organizacyjną. Na przykład większość funkcji Govern i powiązanych z nią kategorii to rzeczy, które muszą być utrzymywane wewnętrznie. Chodzi o to, jak organizacja postrzega i nadzoruje inne funkcje, więc wszystko to dotyczy wewnętrznych dyskusji i decyzji (takich jak to, kiedy zachować funkcje wewnętrznie lub na zewnątrz). Innym przykładem może być Asset Management. Jest to prawdopodobnie coś, co najlepiej i łatwiej jest zrobić wewnętrznie ze względu na wymagania nadzoru i codzienną pracę, niż zlecać to zewnętrznej firmie ochroniarskiej.
Outsourcing: Są to różne obszary zainteresowań, które można w całości przekazać zewnętrznej organizacji bezpieczeństwa ze względu na ograniczenia wewnętrzne lub decyzję strategiczną. Na przykład brak zasobów, czasu lub personelu może skłonić organizacje do poszukiwania pomocy zewnętrznej w celu zapewnienia wsparcia lub pokrycia w określonych obszarach. Badania i informacje o zagrożeniach są często zlecane na zewnątrz, czy to poprzez subskrypcję kanałów informacji o zagrożeniach, czy też poleganie na platformach informacji o zagrożeniach. Organizacje często współpracują również z dostawcami usług zarządzanych lub firmami konsultingowymi ds. cyberbezpieczeństwa, aby odciążyć się od innych obowiązków lub szukać pomocy.
Współzarządzane: Mogą to być różne obszary, które łatwo mogłyby wpaść w którąkolwiek z dwóch pozostałych kategorii. Podobnie jak w przypadku pełnego outsourcingu, ze względu na ograniczenia zasobów, firmy mogą chcieć nawiązać współpracę z zaufaną zewnętrzną organizacją ds. bezpieczeństwa w celu uzyskania pomocy i współzarządzania określonym obszarem. Świetnym przykładem byłoby wykrywanie zagrożeń i reagowanie na nie. Podczas gdy wiele usług, takich jak Bitdefneder Managed Detection and Response (MDR), pomaga uzupełnić ten obszar, najlepszym podejściem jest traktowanie go jak partnerstwa. MDR może pomóc w obsłudze większości alertów i monitorowania zdarzeń, ale organizacja powinna nadal odgrywać rolę w przeglądaniu informacji wysyłanych przez MDR. Ponadto korzystne jest dla organizacji, aby współpracować z dostawcami MDR, aby informować ich o swojej firmie, sposobie jej działania, sposobie, w jaki zazwyczaj pracują użytkownicy, rodzaju aktywów, które obejmują, aby dostawca MDR mógł lepiej zrozumieć krajobraz i środowisko cyberbezpieczeństwa, co umożliwi mu podejmowanie najbardziej świadomych decyzji podczas monitorowania narzędzi i zdarzeń bezpieczeństwa.
Mając zdefiniowane trzy kategorie, możemy oznaczyć każdą komórkę w naszych macierzach, jak będzie obsługiwany ten obszar skupienia. Możemy to zrobić, albo wypisując go, albo, co jest nieco łatwiejsze, stosując kod koloru do każdej z tych 3 opcji. Na przykład:
- Wewnętrznie – zielony
- Outsourcing – czerwony
- Współzarządzanie – niebieski
W powyższym przykładzie wzięliśmy nasz przykład macierzy punktów końcowych i oznaczyliśmy ją kolorami, pozostawiając nasze oceny. Widzimy, że zdecydowaliśmy się zachować Govern, Identify i Recover wewnętrznie, ponieważ są to rzeczy, które trudno jest zlecić na zewnątrz lub nawet współzarządzać, a w przypadku Govern and Identify byliśmy już dobrze zabezpieczeni na początek. W przypadku wykrywania i monitorowania zagrożeń, zdecydowaliśmy się w pełni zlecić na zewnątrz MDR, ale że będziemy współzarządzać procesami i wdrożeniami, a także reakcją z tym MDR lub zaufanym partnerem ds. bezpieczeństwa.
Co dalej?
W rzeczywistości następnym krokiem, gdy plan jest w trakcie realizacji i zdecydowaliśmy, czy będzie realizowany wewnętrznie, współzarządzany czy outsourcing, jest decyzja, kto, co, kiedy i jak. Musimy wybrać narzędzia, w które zainwestujemy, który dostawca zabezpieczeń będzie najlepszy, aby pomóc naszej organizacji, i w jakiej kolejności powinniśmy priorytetyzować nasze inwestycje. W ostatnich 3 seriach blogów zagłębimy się w 3 części fazy ataku omówione w części 1 (zapobieganie, aktywne zagrożenie, po zagrożeniu). W części 3 zaczniemy od pierwszej sekcji – zapobiegania.
Autor
Piotr R
Artykuły które mogą Ci się spodobać
Poradniki • Zagrożenia Internetowe
Cyberzagrożenia dla graczy – jak chronić swoje konta i sprzęt?
Piotr R
3 grudnia 2024