Необходимых мер безопасности для защиты корпоративных данных

Центр интернет-безопасности обновил набор мер защиты от пяти наиболее распространенных типов атак, с которыми сталкиваются корпоративные сети: взлом приложений, инсайдерское использование и злоупотребление правами, вредоносное ПО, программы-вымогатели и целевые вторжения. Каждый набор мер снабжен подробными процедурами их реализации, а также ссылками на связанные ресурсы. Вот краткое описание 14 мер безопасности.

1. Инвентаризация и контроль активов предприятия.

Данный пункт требует тщательного управления ресурсами, отслеживания всех устройств конечных пользователей, включая портативные и мобильные, сетевые устройства и серверы, которые подключаются к инфраструктуре физически, виртуально или удаленно. Инвентаризация поможет определить устройства, которые необходимо удалить из сети.

2. Инвентаризация и контроль программных активов.

Предприятиям следует проводить активную инвентаризацию ПО, отслеживать и управлять работой всех операционных систем, чтобы обнаруживать и блокировать неавторизованные и неуправляемые программные продукты.

3. Защита данных.

Необходимо внедрить процессы обработки данных и технический контроль для идентификации, классификации, безопасной обработки, хранения и удаления данных. Лучший вариант - поместить данные с одинаковым уровнем доступа в одну сеть и изолировать от более защищенных активов. Брандмауэры будут контролировать доступ к каждому сегменту, и доступ будет предоставляться только пользователям, имеющим особые права доступа.

4. Управление учетными записями.

Данная рекомендация призывает ограничить администраторские права пользователей и предоставить расширенные учетные записи только тем, кто действительно управляет теми или иными сетевыми ресурсами. У этих пользователей также должны быть отдельные учетные записи, которые они используют для доступа к электронной почте, просмотру веб-страниц и работе с приложениями.

5. Управление контролем доступа.

Предприятиям следует использовать процессы и инструменты для создания, назначения, управления и отзыва учетных данных и прав доступа для учетных записей пользователей, администраторов и служб. Каждой учетной записи должен быть назначен ролевой доступ на основе минимальных привилегий, требований к конфиденциальности и обязанностям.

6. Непрерывный контроль уязвимостей.

Уязвимости должны постоянно оцениваться и отслеживаться в инфраструктуре предприятия, чтобы их можно было своевременно устранять, что сводит к минимуму окно возможностей для злоумышленников использовать их. Для содействия этому процессу следует использовать государственные и частные источники информации о новых угрозах и уязвимостях.

7. Управление журналом аудита.

Журналы аудита должны собираться, проверяться и сохраняться для документирования событий и помощи в обнаружении, понимании атак, а также восстановлении после них. Журналы могут показать, когда и как происходят атаки, к какой информации был получен доступ и были ли украдены данные. Сохранение журналов критически важно для последующих расследований или понимания атак, которые остаются незамеченными в течение длительного периода времени.

8. Защита электронной почты и веб-браузера.

Этот контроль требует улучшения защиты от угроз в электронной почте, которые могут манипулировать поведением человека посредством прямого взаимодействия. Меры предосторожности включают использование служб DNS-фильтрации для уменьшения уязвимости и принудительного применения сетевых фильтров URL-адресов.

9.Защита от вредоносного ПО.

Предприятиям следует предотвращать или контролировать установку, распространение и запуск программного обеспечения на корпоративных активах, используя методы, которые включают в себя антивирусное ПО, сканирование на наличие вредоносных программ на съемных носителях, таких как флэш-накопители, включение функций защиты от эксплуатации, таких как как Microsoft® DataExecutionPrevention (DEP), Windows® DefenderExploitGuard (WDEG) или Apple® SystemIntegrityProtection (SIP).

10. Восстановление данных.

Должны быть внедрены методы восстановления данных. Поскольку изменения конфигурации могут создать уязвимости для использования злоумышленниками, важно иметь последние резервные копии для восстановления корпоративных активов и данных до известного надежного состояния.

11. Управление сетевой инфраструктурой.

Предприятия должны отслеживать работу всех сетевых устройствмодулей, чтобы предотвратить использование злоумышленниками сетевых служб и точек доступа. Инфраструктура включает физические и виртуальные шлюзы, межсетевые экраны, точки беспроводного доступа, маршрутизаторы и коммутаторы. Кроме того, предприятия должны поддерживать сетевую инфраструктуру, а также ежегодно пересматривать и обновлять ее. Вычислительные ресурсы, используемые для административных задач, должны быть физически или логически отделены от основной корпоративной сети и изолированы от доступа в Интернет.

12. Мониторинг и защита сети.

Должен быть установлен комплексный мониторинг сети и защита от угроз, включая обнаружение вторжений, фильтрацию трафика между сегментами сети и развертывание средств управления на уровне портов, например поддерживаемых аутентификацией 802.1x.

13. Осведомленность сотрудников о правилах работы с данными.

Следует разработать программу информированиясотрудников, чтобы повысить осведомленность и дать им навыки, которые позволят снизить риски потери данных.

14. Управление поставщиком услуг.

Следует организовать процесс оценки поставщиков услуг, которые хранят конфиденциальные данные или являются ответственными за критически важные корпоративные ИТ-платформы или процессы, чтобы гарантировать, что они обеспечивают надлежащую защиту. Предприятиям следует устанавливать правила, которые могут включать минимальные программы безопасности, уведомление об инцидентах безопасности, утечке данных и реагирование на них, требования к шифрованию данных и обязательства по удалению данных. Предприятиям следует ежегодно пересматривать контракты с поставщиками услуг.