Центр интернет-безопасности обновил набор мер защиты от пяти наиболее распространенных типов атак, с которыми сталкиваются корпоративные сети: взлом приложений, инсайдерское использование и злоупотребление правами, вредоносное ПО, программы-вымогатели и целевые вторжения. Каждый набор мер снабжен подробными процедурами их реализации, а также ссылками на связанные ресурсы. Вот краткое описание 14 мер безопасности.

Данный пункт требует тщательного управления ресурсами, отслеживания всех устройств конечных пользователей, включая портативные и мобильные, сетевые устройства и серверы, которые подключаются к инфраструктуре физически, виртуально или удаленно. Инвентаризация поможет определить устройства, которые необходимо удалить из сети.

Предприятиям следует проводить активную инвентаризацию ПО, отслеживать и управлять работой всех операционных систем, чтобы обнаруживать и блокировать неавторизованные и неуправляемые программные продукты.

Необходимо внедрить процессы обработки данных и технический контроль для идентификации, классификации, безопасной обработки, хранения и удаления данных. Лучший вариант - поместить данные с одинаковым уровнем доступа в одну сеть и изолировать от более защищенных активов. Брандмауэры будут контролировать доступ к каждому сегменту, и доступ будет предоставляться только пользователям, имеющим особые права доступа.

Данная рекомендация призывает ограничить администраторские права пользователей и предоставить расширенные учетные записи только тем, кто действительно управляет теми или иными сетевыми ресурсами. У этих пользователей также должны быть отдельные учетные записи, которые они используют для доступа к электронной почте, просмотру веб-страниц и работе с приложениями.

Предприятиям следует использовать процессы и инструменты для создания, назначения, управления и отзыва учетных данных и прав доступа для учетных записей пользователей, администраторов и служб. Каждой учетной записи должен быть назначен ролевой доступ на основе минимальных привилегий, требований к конфиденциальности и обязанностям.

Уязвимости должны постоянно оцениваться и отслеживаться в инфраструктуре предприятия, чтобы их можно было своевременно устранять, что сводит к минимуму окно возможностей для злоумышленников использовать их. Для содействия этому процессу следует использовать государственные и частные источники информации о новых угрозах и уязвимостях.

Журналы аудита должны собираться, проверяться и сохраняться для документирования событий и помощи в обнаружении, понимании атак, а также восстановлении после них. Журналы могут показать, когда и как происходят атаки, к какой информации был получен доступ и были ли украдены данные. Сохранение журналов критически важно для последующих расследований или понимания атак, которые остаются незамеченными в течение длительного периода времени.

Этот контроль требует улучшения защиты от угроз в электронной почте, которые могут манипулировать поведением человека посредством прямого взаимодействия. Меры предосторожности включают использование служб DNS-фильтрации для уменьшения уязвимости и принудительного применения сетевых фильтров URL-адресов.

Предприятиям следует предотвращать или контролировать установку, распространение и запуск программного обеспечения на корпоративных активах, используя методы, которые включают в себя антивирусное ПО, сканирование на наличие вредоносных программ на съемных носителях, таких как флэш-накопители, включение функций защиты от эксплуатации, таких как как Microsoft® DataExecutionPrevention (DEP), Windows® DefenderExploitGuard (WDEG) или Apple® SystemIntegrityProtection (SIP).

Должны быть внедрены методы восстановления данных. Поскольку изменения конфигурации могут создать уязвимости для использования злоумышленниками, важно иметь последние резервные копии для восстановления корпоративных активов и данных до известного надежного состояния.

Предприятия должны отслеживать работу всех сетевых устройствмодулей, чтобы предотвратить использование злоумышленниками сетевых служб и точек доступа. Инфраструктура включает физические и виртуальные шлюзы, межсетевые экраны, точки беспроводного доступа, маршрутизаторы и коммутаторы. Кроме того, предприятия должны поддерживать сетевую инфраструктуру, а также ежегодно пересматривать и обновлять ее. Вычислительные ресурсы, используемые для административных задач, должны быть физически или логически отделены от основной корпоративной сети и изолированы от доступа в Интернет.

Должен быть установлен комплексный мониторинг сети и защита от угроз, включая обнаружение вторжений, фильтрацию трафика между сегментами сети и развертывание средств управления на уровне портов, например поддерживаемых аутентификацией 802.1x.

Следует разработать программу информированиясотрудников, чтобы повысить осведомленность и дать им навыки, которые позволят снизить риски потери данных.

Следует организовать процесс оценки поставщиков услуг, которые хранят конфиденциальные данные или являются ответственными за критически важные корпоративные ИТ-платформы или процессы, чтобы гарантировать, что они обеспечивают надлежащую защиту. Предприятиям следует устанавливать правила, которые могут включать минимальные программы безопасности, уведомление об инцидентах безопасности, утечке данных и реагирование на них, требования к шифрованию данных и обязательства по удалению данных. Предприятиям следует ежегодно пересматривать контракты с поставщиками услуг.