Αναγνώστες σαν εσάς βοηθούν στην υποστήριξη του MUO. Όταν κάνετε μια αγορά χρησιμοποιώντας συνδέσμους στον ιστότοπό μας, ενδέχεται να κερδίσουμε μια προμήθεια θυγατρικών.

Ένα πλαίσιο είναι ένας χρήσιμος σκελετός μιας δομής ή μιας μεθόδου. Είναι η πολιτική, η διαδικασία, οι θεωρητικές γνώσεις και οι πρακτικές εφαρμογές που παρέχουν καθοδήγηση για τις ενέργειες που πρέπει να γίνουν και παρέχουν καλύτερα και ταχύτερα αποτελέσματα.

Τα πλαίσια κυβερνοασφάλειας είναι πλαίσια που ορίζονται από οργανισμούς κυβερνοασφάλειας για τον καθορισμό της στρατηγικής για την ασφάλεια στον κυβερνοχώρο ενός επιχειρηματικού περιβάλλοντος. Τα πλαίσια κυβερνοασφάλειας ενισχύουν τα υπάρχοντα πρωτόκολλα ασφαλείας και δημιουργούν νέα επίπεδα ασφάλειας εάν δεν είναι διαθέσιμα. Εντοπίζουν άγνωστες ευπάθειες ασφαλείας που εμφανίζονται σε εταιρικά δίκτυα και προσπαθούν να μειώσουν τις εσφαλμένες διαμορφώσεις. Εδώ είναι πέντε που μπορείτε να βρείτε σε ολόκληρο τον κλάδο.

1. Πρότυπα ασφάλειας δεδομένων βιομηχανίας καρτών πληρωμής

instagram viewer

Το Payment Card Industry (PCI) είναι ένα πρότυπο ασφάλειας στον κυβερνοχώρο που έχει σχεδιαστεί για να αυξάνει την ασφάλεια των συναλλαγών πληρωμών που πραγματοποιούνται από πιστωτικές κάρτες και κάρτες μετρητών στις τραπεζικές συναλλαγές. Το PCI περιλαμβάνει τα λογικά και φυσικά πρότυπα ασφάλειας δεδομένων που πρέπει να τηρούνται κατά την επεξεργασία, τη μετάδοση και την αποθήκευση συναλλαγών που πραγματοποιούνται από πιστωτικές και χρεωστικές κάρτες μετρητών. Ο κλάδος των καρτών πληρωμής στοχεύει στην τυποποίηση της ασφάλειας δεδομένων, στη μείωση των κινδύνων που σχετίζονται με την ασφάλεια των δεδομένων, στη δημιουργία ενός περιβάλλοντος εμπιστοσύνης και στην προστασία του κατόχου της κάρτας. Αυτό το πρότυπο γενικά πρέπει να παρέχει τα ακόλουθα:

  • Πληροφορίες πελατών πιστωτικών καρτών και μετρητών σε ασφαλές δίκτυο
  • Ρύθμιση κωδικών πρόσβασης συστήματος και πολυπλοκότητας
  • Μετάδοση πληροφοριών πελατών πιστωτικών καρτών και μετρητών μέσω κρυπτογραφημένων συνδέσεων
  • Χρήση και ενημέρωση λογισμικού προστασίας από ιούς στο σύστημα
  • Συνεχής παρακολούθηση και καταγραφή πρόσβασης σε πληροφορίες κάρτας
  • Φυσική προστασία κέντρων δεδομένων με πληροφορίες

2. ISO 27001

Το ISO 27001 είναι ένα πλαίσιο διαχείρισης από τον Διεθνή Οργανισμό Τυποποίησης που ορίζει την ανάλυση και αντιμετωπίζει τους κινδύνους για την ασφάλεια των πληροφοριών. Με την εφαρμογή των διαδικασιών ISO 27001, τα ιδρύματα μπορούν να παρέχουν διαδικασίες πολιτικής και ελέγχους που περιλαμβάνουν ανθρώπους, διαδικασίες και τεχνολογία για ανθεκτικότητα κυβερνοεπιθέσεις, προσαρμογή σε μεταβαλλόμενες απειλές, μείωση του κόστους που σχετίζεται με την ασφάλεια των πληροφοριών και προστασία του κόστους ασφάλειας πληροφοριών και όλα τα δεδομένα.

3. Κρίσιμοι έλεγχοι ασφαλείας

Οι κρίσιμοι έλεγχοι ασφάλειας περιέχουν ένα σύνολο κανόνων που πρέπει να ακολουθούνται προκειμένου οι οργανισμοί να δημιουργήσουν αποτελεσματικές στρατηγικές ασφάλειας στον κυβερνοχώρο. Αυτοί οι έλεγχοι ασφαλείας έχουν ορίσει τρεις ομάδες κρίσιμων ελέγχων ασφαλείας με τους οποίους πρέπει να συμμορφώνονται οι οργανισμοί. Αυτά είναι απλά, βασικά και οργανωτικά σύνολα ελέγχου. Το κοινό σημείο αυτών των τριών διαφορετικών συνόλων ελέγχου είναι η λήψη προφυλάξεων για την προστασία των δεδομένων και η ελαχιστοποίηση της πιθανότητας επίθεσης. Πολλά μέτρα, από την προστασία του ηλεκτρονικού ταχυδρομείου και των προγραμμάτων περιήγησης ιστού έως τα εργαλεία σάρωσης ευπάθειας και ακόμη και την ασφάλεια των συσκευών δικτύου, βρίσκονται κάτω από αυτά τα σύνολα ελέγχου.

Ο προκαθορισμός τέτοιων ορίων και προφυλάξεων και το γεγονός ότι όλα έχουν ορισμένους κανόνες είναι να ελαχιστοποιηθεί η πιθανότητα να γίνουν λάθη σε έναν οργανισμό. Οποιοδήποτε ζήτημα ασφαλείας περνά απαρατήρητο μπορεί να έχει σημαντικές συνέπειες. Έτσι, όλα όσα πρέπει να ελέγξετε είναι έτοιμα εκ των προτέρων. Μπορείτε να τα θεωρήσετε σαν τον νόμο προφύλαξης για την ασφάλεια στον κυβερνοχώρο ενός οργανισμού.

4. Εθνικό Βιομηχανικό Πρότυπο και Τεχνολογία

Υπάρχει ένα πλαίσιο κυβερνοασφάλειας που ονομάζεται NIST που χρησιμοποιούν οι οργανισμοί του ιδιωτικού τομέα στις Ηνωμένες Πολιτείες. Αυτό το πλαίσιο παρέχει ορισμένες πολιτικές σχετικά με τον τρόπο ανάληψης δράσης πριν συμβούν κυβερνοεπιθέσεις. Είναι επίσης ένας οδηγός για το πώς να ανιχνεύσετε την επίθεση και πώς να απαντήσετε σε μια επίθεση. Όχι μόνο οι Ηνωμένες Πολιτείες αλλά και οι κυβερνήσεις χωρών όπως η Ιαπωνία και το Ισραήλ χρησιμοποιούν το NIST. Για να κατανοήσουμε πλήρως αυτήν την καθοδηγητική πολιτική, είναι απαραίτητο να εξετάσουμε τις πέντε βασικές λειτουργίες που παρέχει.

  1. Αναγνωρίζω: Για τη διαχείριση του κινδύνου ασφάλειας στον κυβερνοχώρο, τα συστήματα, τα περιουσιακά στοιχεία, τα δεδομένα και οι δυνατότητες στον οργανισμό πρέπει να είναι διαχειρίσιμα με μια εταιρική προσέγγιση.
  2. Προστατεύω: Οι οργανισμοί θα πρέπει να αναπτύξουν και να εφαρμόσουν κατάλληλες συστάσεις για να περιορίσουν ένα πιθανό περιστατικό ή αντίκτυπο στην ασφάλεια στον κυβερνοχώρο.
  3. Ανιχνεύουν: Οι οργανισμοί θα πρέπει να εφαρμόζουν κατάλληλα μέτρα για τον εντοπισμό περιστατικών κυβερνοασφάλειας. Είναι απαραίτητο να εντοπιστούν μη φυσιολογικές δραστηριότητες και απειλές για την επιχειρησιακή συνέχεια και να υιοθετηθούν λύσεις παρακολούθησης.
  4. Απαντώ: Εάν συμβεί περιστατικό κυβερνοασφάλειας, οι οργανισμοί πρέπει να περιορίσουν τον αντίκτυπο. Αυτό απαιτεί από τον οργανισμό να προετοιμάσει ένα σχέδιο ανταπόκρισης για την ασφάλεια στον κυβερνοχώρο περιστατικά, εντοπίστε αστοχίες επικοινωνίας μεταξύ των κατάλληλων μερών, συλλέξτε πληροφορίες σχετικά με συμβάντα και αναλύστε αυτές τις πληροφορίες.
  5. Αναρρώνω: Οι οργανισμοί πρέπει να έχουν σχέδια ανάκτησης για υπηρεσίες που έχουν υποστεί βλάβη από περιστατικό ασφάλειας στον κυβερνοχώρο. Κατά την προετοιμασία αυτού του σχεδίου διάσωσης, είναι απαραίτητο να ληφθούν υπόψη όλες οι εμπειρίες που αποκτήθηκαν μετά την επίθεση και να ενημερώσετε το σχέδιο ανάλογα.

5. Πλαίσιο MITER ATT&CK

Το πλαίσιο MITER ATT&CK είναι ένα πολύ ολοκληρωμένο πλαίσιο κυβερνοασφάλειας που χρησιμοποιείται τόσο από τις κόκκινες όσο και από τις μπλε ομάδες. Διαθέτει βάση γνώσεων και ταξινόμηση επιθετικών ενεργειών. Η εστίαση δεν είναι στα εργαλεία και το κακόβουλο λογισμικό που χρησιμοποιούνται από τους ανταγωνιστές. Εξετάζει πώς οι επιθέσεις αλληλεπιδρούν με συστήματα κατά τη διάρκεια μιας λειτουργίας. Το πλαίσιο ATT&CK είναι μια αρκετά μεγάλη βάση γνώσεων για τη μοντελοποίηση επιθετικής συμπεριφοράς. Είναι δυνατό να συσχετιστούν οι ακόλουθες έννοιες με αυτό το πλαίσιο:

  • Οι κακόβουλες ομάδες πραγματοποιούν τις επιθέσεις.
  • Ιδρύματα και βιομηχανίες που στοχοποιούνται από επιτιθέμενους ή επιθετικές ομάδες.
  • Διανύσματα επίθεσης και τύποι επίθεσης που χρησιμοποιούνται από τους εισβολείς.
  • Οι διαδικασίες που ακολουθούν οι κακόβουλοι εισβολείς για να επιτεθούν.
  • Οι μέθοδοι ανίχνευσης επίθεσης. Για παράδειγμα, μπορείτε να σκεφτείτε καταστάσεις όπως η παρακολούθηση ανωμαλιών δικτύου ή η ύπαρξη εξουσιοδότησης άδειας στο σύστημα που δεν θα έπρεπε να υπάρχει.
  • Μέτρα που πρέπει να ληφθούν κατά των επιθέσεων. Για παράδειγμα, μπορείτε να εξετάσετε μέτρα όπως επαλήθευση σε δύο βήματα, τείχος προστασίας, χρήση προστασίας από ιούς ή υπογραφή κώδικα.

Το πλαίσιο κυβερνοασφάλειας ATT&CK ενημερώνεται συνεχώς καθώς διαθέτει πολύ μεγάλη δεξαμενή δεδομένων. Επιπλέον, υπό το φως όλων αυτών των σημαντικών πληροφοριών που παρέχει, παρέχει πολύ σημαντικές πληροφορίες όχι μόνο για την ασφάλεια των διακομιστών ή των δικτύων υπολογιστών αλλά και για την ασφάλεια των κινητών. Εξετάζοντας αυτές τις πληροφορίες, η δυνατότητα πρόβλεψης του πώς θα λάβει χώρα μια πιθανή επίθεση θα ήταν ένα τεράστιο πλεονέκτημα. Εάν είστε νέος στον κόσμο της κυβερνοασφάλειας και είστε στην πρώτη γραμμή των πάντων, το πλαίσιο ATT&CK θα είναι ένας πλούτος πληροφοριών για εσάς.

Αυτά τα πλαίσια λύνουν τα πάντα;

Όχι. Εκατοντάδες νέοι τύποι επιθέσεων και κακόβουλου λογισμικού εμφανίζονται καθημερινά, ακόμη και ανά ώρα. Αλλά εάν διαχειρίζεστε ένα έργο που αποτελείται από εκατομμύρια γραμμές κώδικα ή προσπαθείτε να το προστατέψετε τραπεζικές πληροφορίες εκατοντάδων χιλιάδων ανθρώπων, θα πρέπει να ακολουθήσετε μια συστηματική και πολιτική επεξεργάζομαι, διαδικασία. Αυτά τα πλαίσια κυβερνοασφάλειας είναι μεγάλοι βοηθοί από αυτή την άποψη.

Αλλά αυτά τα πλαίσια είναι απλώς σκελετοί. Για να ολοκληρώσετε το εξωτερικό, χρειάζεστε περισσότερα. Εάν δεν είστε σίγουροι από πού να ξεκινήσετε, η εκμάθηση του πλαισίου NIST και η γνώση των λεπτομερειών σχετικά με αυτό θα ήταν ένα καλό βήμα.