Jak używać NIST CSF 2.0 do identyfikacji luk w zabezpieczeniach: część 3

Dla tych, którzy dopiero rozpoczynają przygodę z naszym blogiem, ta pięcioczęściowa seria dotyczy tego, jak używać ram cyberbezpieczeństwa – wykorzystując zaktualizowany NIST CSF 2.0 jako nasz fundament – aby pomóc organizacjom zidentyfikować ich mocne i słabe strony oraz luki w zabezpieczeniach i zapewnić wskazówki, jak sprostać tym potrzebom. Przeczytaj koniecznie dwa poprzednie artykuły z tej serii, w których przedstawiamy NIST Cybersecurity Framework 2.0, a także to, jak zespoły ds. bezpieczeństwa mogą używać macierzy cyberobrony do przeprowadzania oceny bezpieczeństwa.

Teraz gdy mamy już fundamenty i rozumiemy, czym jest NIST CSF 2.0 i jak działa, możemy zacząć zagłębiać się w trzy części łańcucha ataku wyróżnione w pierwszym blogu. Tutaj omówimy fazę przygotowawczą.

Przygotowanie (przed zagrożeniem)

Jak opisano w części pierwszej, faza przygotowawcza obejmuje wszystkie działania, planowanie i implementację narzędzi przeprowadzane przed incydentem lub zdarzeniem w celu zmniejszenia ryzyka, zajęcia się lukami w zabezpieczeniach i złagodzenia ataków. Obejmuje szeroki zakres obowiązków, w tym zatrudnianie, strukturę zespołu, szkolenie zespołu ds. bezpieczeństwa i szerszą organizację, wdrożone narzędzia oraz plany i procesy ustanowione w celu utrzymania wysokiego poziomu bezpieczeństwa. Faza przygotowawcza składa się z pierwszych trzech funkcji NIST CSF 2.0 – Govern, Identify, and Protect. Każda z tych funkcji składa się z wielu kategorii i podkategorii, jak opisano w części pierwszej. Można je zobaczyć w dokumentacji NIST CSF 2.0.

Rządzenie

Funkcja Govern ustala, w jaki sposób organizacja postrzega i priorytetyzuje inne obszary cyberbezpieczeństwa. Skupia się na dyskusji, komunikacji i planowaniu każdego z wyników bezpieczeństwa w każdej z pozostałych pięciu funkcji. Nowość w CSF 2.0, zdefiniowanie funkcji Govern jako odrębnej, centralnej funkcji podkreśla krytyczną rolę, jaką odgrywa ona w kompleksowej strategii cyberbezpieczeństwa. Oprócz nadzoru funkcja Govern ustala strukturę i zasady, które kierują wszystkimi innymi aspektami cyberbezpieczeństwa.

Ustanowienie ram zarządzania

Zanim zagłębisz się w konkretne środki cyberbezpieczeństwa, organizacje muszą najpierw ustanowić solidne ramy zarządzania. Zapewnia to, że role, obowiązki i priorytety są jasno zdefiniowane i dostosowane do całej organizacji. Zacznij od wykonania następujących kluczowych kroków:

• Zbierz kadrę kierowniczą i utwórz zespół, który będzie nadzorował opracowanie i wdrożenie programu cyberbezpieczeństwa.
• Następnie zespół ten przydzieli role osobom na stanowiskach kierowniczych i zakomunikuje te informacje w całej organizacji.
• Zespół oceni ryzyko wewnątrz organizacji, a także ryzyko związane z podmiotami zewnętrznymi w ramach łańcucha dostaw i uwzględni wnioski w planie.
• Na podstawie przydziałów i ról w zespole, członkowie zespołu sformułują plan cyberbezpieczeństwa.
• Plan zostaje wdrożony i przekazany organizacji.
• Członkowie zespołu muszą zadbać o to, aby pracownicy organizacji otrzymali odpowiednią komunikację, informacje i szkolenia, aby mieć pewność, że będą przestrzegać zasad i nowych procesów wprowadzonych w ramach planu cyberbezpieczeństwa.
• Należy powołać komitet nadzorujący, który będzie stale monitorował plan i jego skuteczność, mając na celu ciągłe doskonalenie.

Wiedząc, że ta funkcja jest przede wszystkim związana z tworzeniem zespołu i obowiązkami związanymi z rolami, wiele pytań, jakie muszą sobie zadać organizacje, dotyczy ich wewnętrznej wiedzy specjalistycznej:

• Czy organizacja zatrudnia osoby posiadające odpowiednie doświadczenie w dziedzinie bezpieczeństwa, które mogą utworzyć i poprowadzić zespół zajmujący się opracowaniem i wdrożeniem odpowiedniego programu cyberbezpieczeństwa?
• Czy organizacja dysponuje wystarczającą liczbą członków, aby utworzyć zespół ds. cyberbezpieczeństwa, który wdroży i wyegzekwuje nowy program?
• Jeśli nie mają odpowiedniej wiedzy fachowej lub wystarczającej liczby osób, jaki jest plan uzupełnienia tych luk?
• Jeśli nie ma wystarczającej wiedzy eksperckiej w zakresie bezpieczeństwa, czy zamierzasz przeszkolić obecnych pracowników, zatrudnić ich na nowe stanowiska lub nawiązać współpracę z zaufanym dostawcą rozwiązań bezpieczeństwa?
• Jeśli nie ma wystarczającej liczby pracowników, czy planuje się zatrudnienie osób na te stanowiska lub nawiązanie współpracy z dostawcą usług?

Mając pod ręką te pytania, organizacje mogą lepiej określić swój plan działania w celu spełnienia wymagań funkcji zarządzania.

Identyfikuj i chroń

Funkcje Identify i Protect można połączyć, ponieważ trudno jest wdrożyć jedną bez drugiej. Podczas gdy Identify koncentruje się przede wszystkim na odkrywaniu, zarządzaniu i ustalaniu priorytetów zasobów organizacji, Protect obejmuje narzędzia, plany i procesy wdrożone w celu zabezpieczenia tych zasobów. Organizacje nie powinny wdrażać narzędzi bez wykonania najpierw kroków odkrywania, w przeciwnym razie mogą zakupić i wdrożyć niewłaściwe narzędzia lub pominąć zasoby, które należy chronić, co narazi je na ataki. Dla przypomnienia, zasoby mogą obejmować sprzęt, taki jak punkty końcowe, dane, takie jak dokumenty i wiadomości e-mail, oprogramowanie używane w całej organizacji, a nawet osoby, takie jak tożsamości i dane logowania — zasadniczo wszystko, co jest krytyczne dla organizacji i może być celem cyberataku.

Zidentyfikuj i chroń swoje aktywa

Aby skutecznie zabezpieczyć swoją organizację, kluczowe jest najpierw zidentyfikowanie i skatalogowanie aktywów, a następnie wdrożenie niezbędnych środków w celu ich ochrony. Ten proces zapewnia, że wszystkie krytyczne aktywa są uwzględnione i odpowiednio zabezpieczone. Wykonaj następujące kroki:

• Zbadaj i oszacuj dokładnie wszystkie aktywa w organizacji.
• Opracuj plan organizacji, konserwacji i zarządzania tymi aktywami.
• Zaopatrz, wdróż i utrzymuj niezbędne narzędzia służące do identyfikacji i zarządzania aktywami.
• Aktywa powinny być klasyfikowane i priorytetyzowane odpowiednio na podstawie ich krytyczności dla organizacji.
• Oceń ryzyko dla każdego zasobu, zidentyfikuj podatności.
• Reakcje na ryzyko i polityki powinny być priorytetyzowane i wdrażane, a także jednocześnie dokumentowane oraz monitorowane w celu zapewnienia rozliczalności.
• Proces, w tym aktywa, zasady i procedury, powinny podlegać ciągłemu przeglądowi w celu poprawy bezpieczeństwa i wydajności.
• W razie konieczności zaimplementuj narzędzia bezpieczeństwa służące ochronie różnych zasobów.
• Do wdrożenia i zarządzania tymi narzędziami wyznacz jedną osobę lub grupę członków zespołu ds. bezpieczeństwa.
• Przeprowadzaj szkolenia z zakresu świadomości bezpieczeństwa.

Funkcje w ramach Identyfikuj i chroń będą obejmować osoby na miejscu posiadające wiedzę potrzebną do identyfikacji aktywów i wiedzące, jak kategoryzować i ustalać priorytety w celu ochrony. Ponadto organizacje muszą rozważyć dostępne im narzędzia bezpieczeństwa i jakie podejście jest najbardziej sensowne dla ich organizacji. Czy inwestowanie w różnych dostawców zabezpieczeń zapewnia lepszą ochronę, czy dostawcy zabezpieczeń oferujący kompleksową platformę będą bardziej wydajni i zapewnią szerszy zakres ochrony?

Oto kilka pytań, które warto rozważyć:

• Jak duża jest organizacja i w jaki sposób obecnie zarządzane są działy i grupy pracowników?
• W jaki sposób obecnie w organizacji pozyskuje się, dystrybuuje i zarządza aktywami?
• Czy istnieją konkretne działy lub grupy pracowników, które mogą kupować i zarządzać aktywami samodzielnie?
• W jaki sposób będzie realizowany proces odkrywania?
• W jaki sposób opracowywany jest plan zarządzania? Kto jest za niego odpowiedzialny? W jaki sposób zostanie on wdrożony? Czy przepływy pracy pracowników lub działów zostaną przez to dotknięte?
• W jaki sposób oceniane są ryzyka i podatności na zagrożenia oraz kto odpowiada za reagowanie na wszelkie odkrycia?
• Kto nadzoruje ponowną ocenę powyższych kwestii w celu zidentyfikowania obszarów wymagających udoskonalenia?

Jak organizacje powinny się najlepiej przygotować?

Dzięki powyższym informacjom i pytaniom organizacje powinny mieć podstawę do zadawania sobie właściwych pytań, aby określić swoją ścieżkę i upewnić się, że ich organizacja jest dobrze przygotowana na cyberzagrożenia. Te pytania pomogą zidentyfikować zasoby, którymi dysponują, i czy mają niezbędną wiedzę specjalistyczną w zakresie bezpieczeństwa, aby móc iść naprzód z właściwym programem cyberbezpieczeństwa.

Biorąc pod uwagę potrzeby biznesowe i budżety, organizacje mogą określić najlepsze podejście z dostępnych opcji. Organizacje mogą zdecydować się na podejście niezależne od dostawcy, nabywając i wdrażając różne narzędzia i usługi, aby spełnić każdą z potrzeb opisanych powyżej. I chociaż wybrane przez nie narzędzie może być tańsze lub bardziej opłacalne w porównaniu z innymi, takie podejście może mieć wady w postaci tworzenia wyzwań związanych z zarządzaniem rozrostem narzędzi. Organizacje muszą rozważyć korzyści wynikające z ogólnych oszczędności kosztów z potencjalną utratą wydajności i ochrony przy wdrażaniu wielu różnych narzędzi bezpieczeństwa, np. antywirusów.

Zamiast tego organizacje powinny szukać dostawców, którzy zapewniają kompleksową platformę bezpieczeństwa wraz z usługami wspierającymi inicjatywy biznesowe organizacji. Dostawcy, którzy zapewniają zestaw narzędzi bezpieczeństwa wraz z zestawem usług, takich jak doradztwo, ofensywa, wsparcie, wykrywanie i reagowanie itp., mogą pomóc w procesie rekrutacji, pomóc w opracowaniu i wdrożeniu planu odkrywania oraz zapewnić niezbędne narzędzia do identyfikacji i zarządzania aktywami organizacji. Te kompleksowe platformy mogą pomóc zapewnić oszczędności kosztów i wydajność poprzez łączenie możliwości i usług bez poświęcania ochrony.

Jeśli chcesz dowiedzieć się więcej o tym, jak Bitdefender może pomóc uzupełnić Twoją organizację i pomóc w budowaniu lepszego programu cyberbezpieczeństwa, skontaktuj się z nami już dziś, lub sprawdź tę stronę. I nie zapomnij wrócić po część 4 tej serii, w której omówimy jeden z najtrudniejszych aspektów budowania programu cyberbezpieczeństwa, wykrywanie i reagowanie w fazie aktywnego zagrożenia.