Fejléc

A security architect meglátásai

Szerző ikon Karóczi Ádám

Dátum ikon 2024.07.04

EURO ONE NIS2 care


A keretrendszer ajánlásokat fogalmaz meg több területen is, amiket alkalmazva emelni lehet a szervezet Cybersecurity képességeit. A keretrendszer magja 5 funkciót definiál, amik együttesen szolgálják a kívánt eredmény elérését.

  • Identify: a cél az, hogy a szervezet tisztiában legyen a saját értékével. Céges értékek lehetnek az infrastruktúra elemek, például szerverek, munkaállomások, viszont ilyen, védendő értéket képviselnek az üzleti adatok és folyamatok is. Ezeknek az értékeknek a birtokában van lehetőségünk megállapítani az értékekhez kapcsolódó kockázatokat.
  • Protect: Most, hogy tisztában vagyunk azzal, hogy mik képviselnek értéket a szervezetnek, gondoskodni kell a megfelelő, kockázatarányos védelemről. Itt rengeteg technológia képbe jöhet. Identitiy Management, Endpoint Protection, Access Control, Data Security stb…
  • Detect: Sajnos tökéletes védelem nem létezik. A kérdés nem az, hogy be tudnak-e jutni a rendszerbe, hanem az, hogy ez mikor fog megtörténni. Ezért fel kell készülni arra, hogy lesz rés a pajzson. Ha már egy káros tevékenység áthatol a védelmi rendszereken, akkor arról minél hamarabb tudomást szeretnénk szerezni. Ebben tud a segítségünkre lenni a teljesség igénye nélkül egy EDR rendszer, vagy éppen egy proaktív Threat Hunting tevékenység.
  • Respond: Ha a védelmi vonalunkon átment egy támadás, és értesültünk is róla, akkor a következő feladat, hogy a megfelelő területek bevonásával elhárítsuk, megtisztítsuk a rendszerünk. Ez a kategória magába foglalja az Incident Managemet-et, szervezeten belüli és kívüli kommunikációt és a rendszer megtisztítását is.
  • Recover: Viszont, ha nem, vagy éppenséggel nem időben sikerült mitigálni a káros tevékenységet, akkor előfordulhat akár adatvesztés is. A szervezetnek rendelkeznie kell egy recovery plan-nel és képesnek kell lennie visszaállítani a rendszert az incidens bekövetkezése előtti állapotra, hogy minimalizálni tudja az incidensnek az üzletre gyakorolt hatását. Fontos, hogy ellenőrizni kell a biztonsági mentések integritását és meg kell győződni róla, hogy a káros kódtól, adattól mentes a mentés.


A funkciók implementálása után nem lehet hátradőlni, folyamatosan felül kell vizsgálni minden funkciót, hogy megfelelően működnek-e, fejleszteni kell őket és egy incidens után gondoskodni kell arról, hogy legközelebb ne következhessen be.


A NIS2 direktíva elvárásai

Tulajdonképpen elmondható, hogy a NIS2 a fenti funkciók mindegyikében elvárásokat támaszt a szervezetekkel szemben, ezzel is emelve a szervezetek általános Cybersecurity képességeit. Az elvárásai között szerepel a teljesség igénye nélkül:

  • az értékek és kockázatok ismerete,
  • a rendszerek/adatok megfelelő, kockázatarányos védelme,
  • a biztonsági események láthatósága,
  • A naplóbejegyzések proaktív elemzése
  • Az incidens kezelés, kidolgozott folyamatokkal,
  • több faktoros hitelesítést


People Process Technology

A NIS2 rengeteg folyamatot és elvárást támaszt a szervezetekkel szemben, amiket részben új technológiák bevezetésével lehet teljesíteni. Viszont fontos kiemelni, hogy hiába rendelkezik egy szervezet megfelelő cybersecurity technológiákkal és az ezekhez szükséges folyamatokkal, ha nincsen elegendő kellően képzett szakemberük, akik tudják használni védelmi rendszereket az előírt folyamatokon keresztül.

NIS2 biztonsági osztályba sorolása és ezeknek követelményei

Az alap biztonsági osztály előírja a naplóbejegyzések elemzését és ezekből jelentések létrehozását és ezzel párhuzamosan a biztonsági események kezelését. A szervezeteknek képesnek kell lenni a problémák észlelésére, az ezekre való reagálásra és elhárítására, valamint szükség esetén a helyreállításra. Ezen felül a privilegizált fiókoknak több faktoros hitelesítést kell alkalmazniuk és a szervezeteknek (D)DOS védelmet kell biztosítaniuk.

A jelentős biztonsági osztály ugyanazokat a követelményeket támasztja, mint az alap osztály, de automatizált támogatást is megkövetel. Az incidens kezelésnek nem csak manuális elemzésen kell alapulnia, hanem valamilyen automatizmust is alkalmazni kell. Ezen felül minden felhasználóra, nem csak a privilegizált felhasználókra, több faktoros hitelesítést ír elő, valamint a sérülékenység menedzsmentet. A privilegizált parancsokról és hozzáférésekről bizonyítékot vár el a szervezet, amihez szükség lesz egy PAM (Privileged Access Management) rendszerre is. 

A magas biztonsági osztály már saját, dedikált eseménykezelő csapatot követel meg. Ezen felül előírja a titkosított kommunikáció láthatóságát, vagyis a szervezeteknek képesnek kell lenniük olvasni a TLS hálózati kommunikációt. Emellett a szervezeteknek vizsgálniuk kell a felhasználók szokatlan viselkedését is, amit viselkedés alapú detekciós rendszerek segítségével lehet megvalósítani. Ezek a rendszerek képesek a szokatlan anomáliák detektálására machine learning alapon, így nem szükséges saját szabályrendszert kialakítani.

Összegzés:

  • Kiemelten fontos a visibility: lássuk, hogy mi történik a rendszereinkben:
    • Legyen naplózásunk, legyenek hálózati adataink, egy helyen tudjuk kezelni a biztonsági információkat.
  • EURO ONE-nak nagyfokú tapasztalata van mindezekben, nemzetközi piacon is tevékenykedő SIEM csapatunk tud segítséget nyújtani az ügyelek igénye szerint.
  • GRC csapatunk magas szinten dolgozza ki az incidenskezelési folyamatokat, amelyeket be tudunk implementálni a SIEM vagy SOAR rendszerekbe.