Kontrola CIS 13: Monitorowanie i obrona sieci

Sieci stanowią rdzeń krytyczny dla naszego współczesnego społeczeństwa i przedsiębiorstw. Ludzie, procesy i technologie powinny być przygotowane do monitorowania, wykrywania, rejestrowania i zapobiegania złośliwym działaniom, które mają miejsce, gdy przedsiębiorstwo doświadcza ataku w sieci lub przeciwko sieci.

Kluczowe wnioski dla Kontroli 13
Przedsiębiorstwa powinny zrozumieć, że ich systemy i sieci nigdy nie są całkowicie odporne na cyberataki. Przedsiębiorstwa mogą korzystać z zabezpieczeń oferowanych przez Control 13, aby kierować ewolucją i dojrzałością swojej postawy bezpieczeństwa. Monitorowanie i obrona sieci powinny być postrzegane jako zdolność do ciągłego doskonalenia, która obejmuje ludzi, procesy i technologie przedsiębiorstwa. Przedsiębiorstwa potrzebują dobrze wyszkolonego personelu, który będzie realizował ekosystem monitorowania i obrony sieci. Technologie i procesy monitorowania i logowania dostarczają zarówno danych w czasie rzeczywistym, jak i historycznych, które mogą być wykorzystane do zrozumienia, co robią złośliwi aktorzy, a także do zrozumienia ich zachowań. Dostarcza to cennej wiedzy, która może być wykorzystana przez organizację w trakcie ciągłego ulepszania i doskonalenia jej postawy bezpieczeństwa. Technologie wykrywania i zapobiegania są również niezbędne w dzisiejszym środowisku, ponieważ wiele technik ataków porusza się z prędkością maszyn, a reakcja człowieka może być zbyt wolna, aby obronić się przed zautomatyzowanym atakiem. Kontrola 13 została zaprojektowana, aby pomóc organizacjom w umożliwieniu i utrzymaniu dobrego monitorowania i obrony sieci.

Zabezpieczenia dla Kontroli 13

1: Centralizacja powiadamiania o zdarzeniach bezpieczeństwa

Opis: Centralizacja alarmowania o zdarzeniach bezpieczeństwa w zasobach przedsiębiorstwa w celu korelacji i analizy logów. Wdrożenie najlepszych praktyk wymaga użycia systemu SIEM, który zawiera zdefiniowane przez dostawcę alerty korelacji zdarzeń. Platforma analizy dzienników skonfigurowana z alertami korelacji istotnymi dla bezpieczeństwa również spełnia wymagania tego zabezpieczenia.

Uwagi: Funkcją bezpieczeństwa powiązaną z tym zabezpieczeniem jest Detect.

2: Wdrożenie rozwiązania do wykrywania włamań opartego na hoście

Opis: W stosownych przypadkach i/lub przy wsparciu technicznym należy wdrożyć w zasobach przedsiębiorstwa rozwiązanie do wykrywania włamań oparte na hoście.

Uwagi: Funkcją bezpieczeństwa związaną z tym zabezpieczeniem jest Detect.

3: Wdrożenie sieciowego rozwiązania do wykrywania włamań

Opis: W stosownych przypadkach należy wdrożyć rozwiązanie do wykrywania włamań sieciowych w zasobach przedsiębiorstwa. Przykładowe implementacje obejmują wykorzystanie sieciowego systemu wykrywania włamań (NIDS) lub równoważnej usługi dostawcy usług w chmurze (CSP).

Uwagi: Funkcja bezpieczeństwa związana z tym zabezpieczeniem to Detect.

4: Wykonywanie filtrowania ruchu między segmentami sieci

Opis: W razie potrzeby należy wykonać filtrowanie ruchu pomiędzy segmentami sieci.

Uwagi: Funkcją bezpieczeństwa związaną z tym zabezpieczeniem jest Protect.

5: Zarządzanie kontrolą dostępu dla zdalnych zasobów

Opis: Zarządzaj kontrolą dostępu dla aktywów zdalnie łączących się z zasobami przedsiębiorstwa. Określenie wielkości dostępu do zasobów przedsiębiorstwa na podstawie tego, czy zainstalowano aktualne oprogramowanie antywirusowe, czy urządzenie żądające dostępu zachowuje zgodność konfiguracji z procesem bezpiecznej konfiguracji przedsiębiorstwa oraz czy system operacyjny i aplikacje urządzenia są aktualne.

Uwagi: Funkcją bezpieczeństwa powiązaną z tym zabezpieczeniem jest Protect.

6: Zbieranie dzienników przepływu ruchu sieciowego

Opis: Zbieranie logów przepływu ruchu sieciowego i/lub ruchu sieciowego w celu przeglądania i ostrzegania o zagrożeniach z urządzeń sieciowych.

Uwagi: Funkcją bezpieczeństwa związaną z tym zabezpieczeniem jest Detect.

7: Wdrożenie rozwiązania zapobiegającego włamaniom opartego na hoście

Opis: W stosownych przypadkach i/lub przy odpowiednim wsparciu należy wdrożyć rozwiązanie zapobiegające włamaniom oparte na hoście w zasobach przedsiębiorstwa. Przykładowe implementacje obejmują wykorzystanie klienta Endpoint Detection and Response (EDR) lub agenta IPS opartego na hoście.

Uwagi: Funkcja bezpieczeństwa związana z tym zabezpieczeniem to Protect.

8: Wdrożenie rozwiązania zapobiegającego włamaniom do sieci

Opis: W stosownych przypadkach należy wdrożyć rozwiązanie zapobiegające włamaniom do sieci. Przykładowe wdrożenia obejmują wykorzystanie systemu zapobiegania włamaniom do sieci (NIPS) lub równoważnej usługi CSP.

Uwagi: Funkcja bezpieczeństwa związana z tym zabezpieczeniem to Protect.

9: Wdrożenie kontroli dostępu na poziomie portów

Opis: Wdrożenie kontroli dostępu na poziomie portów. Kontrola dostępu na poziomie portów wykorzystuje 802.1x lub podobne protokoły kontroli dostępu do sieci, takie jak certyfikaty. Może ona również obejmować uwierzytelnianie użytkowników i/lub urządzeń.

Uwagi: Funkcja bezpieczeństwa związana z tym zabezpieczeniem to Protect.

10: Wykonaj filtrowanie warstwy aplikacji

Opis: Wykonywanie filtrowania warstwy aplikacji. Przykładowe implementacje obejmują proxy filtrujące, firewall warstwy aplikacji lub bramę.

Uwagi: Funkcja bezpieczeństwa związana z tym zabezpieczeniem to Protect.

11: Dostosuj progi alarmowania o zdarzeniach bezpieczeństwa

Opis: Dostosowanie progów alarmowania o zdarzeniach bezpieczeństwa co miesiąc lub częściej.

Uwagi: Funkcja bezpieczeństwa powiązana z tym zabezpieczeniem to Detect.

Pobierz ten przewodnik, aby dowiedzieć się, jak proste i skuteczne mechanizmy kontroli bezpieczeństwa mogą stworzyć ramy, które pomogą Ci chronić Twoją organizację i dane przed znanymi wektorami ataków cybernetycznych.

 Autor: LANE THAMES