02 Security frameworks and controls - moojpanie/CyberPodstawy GitHub Wiki

CYBERSECURITY FRAMEWORK

Ramy bezpieczeństwa (struktura): wytyczne określające ogólne ramy, wykorzystywane do planowania pomocy w ograniczeniu ryzyka, zagrożenia danych i prywatności. Mają pomóc organizacjom w identyfikacji, ocenie i zarządzaniu ryzykiem w zakresie cyberbezpieczeństwa np:

  • ataki socjotechniczne
  • ataki ransomware
  • dostęp do budynku wymagając identyfikatora TO nie tylko przestrzeń wirtualną ale i elementy fizyczne, dlatego też wiele firm wprowadza to żeby zaplanować bezpieczeńśtwo w środowisku pracy.

Inne ramy bezpieczeństwa określają jak zapobiegać, wykrywać i reagować na naruszenia bezpieczeństwa, co jest szczególnie ważne podczas chęci ochrony organizacji przed atakami socjotechnicznymi wymierzonymi w pracowników

Największym zagrożeniem są ludzie. Można wykorzystać frameworki do tworzenia planó ktre zwiększają świadomość pracowników i siebie. Edukowanie pracownikó na temat istniejącyhc wyzwań związanych z bezpieczeńśwem jest niezbędne do zminimalizowania możliwości możliwości naruszenia bezpieczeństwa.

Zapewnienie pracownikom szkoleń na temat tego jak rozpoznawać sygnały ostrzegawcze lub potencjalne zagrożenia, aby szybko zgłaszać i rozwiązywać problemy związane z bezpieczeńśtwem Ramy bezpieczeństwa:

  • punkty wyjścia do tworzenia własnych zasad
  • procesy bezpieczeństwa

CONTROLS

Kontrole bezpieczeństwa to zabezpieczenia zaprojektowane w celu ograniczenia określonych zagrożeń bezpieczeństwa. Kontrole bezpieczeńśtwa to środki stosowane przez organizacje w celu zmniejszenia ryzyka Typy kontroli (do ochrony wrażliwych danych):

  • Szyfrowanie - proces konwersji danych z formatu czytelnego do formatu zakodowanego. Zazwyczaj szyfrowanie obejmuje konwersję danych z tekstu jawnego na tekst zaszyfrowany. Tekst zaszyfrowany to surowa, zakodowana wiadomość nieczytelna dla ludzi komputerów. Dane zaszyfrowanego tekstu nie mogą zostać odczytane dopóki nie zostaną odszyfrowane do oryginalnej postaci zwykłęgo tekstu. Aby to zapewnić, stosuje się szyfrowanie poufne danychh wrażliwych takie jak informacje o koncie klietna, czy numery ubezpieczenia społecznego

  • uwierzytelnianie - Proces sprawdzenia kim ktoś jest lub coś jest. Nazwa Użytkownika i hasło i dwuetapowe uwierzytalnianie, dane biometryczne. Ta forma dowodzi, że osobia znaja te poświadczenia powinna moć się zalogować w wybrane miejsce.

  • autoryzacja - Odnosi się do koncepcji dostępu udzielania dostępu do określonych zasobó w systemie. Weryfikacja czy dana osoba ma określone uprawnienia do zasobu.

Biometria - Unikalne cechy fizyczne, które można wykorzystać do sprawdzenia tożsamości danej osoby. Odcisk palca, skan oka, skan dłoni itp. Vishing - atak socjotechniczny wykorzystujący komunikację głosową w celu dokonania przestępstwa/ wyłudzenia

  1. Examples of physical controls:
  • Gates, fences, and locks
  • Security guards
  • Closed-circuit television (CCTV), surveillance cameras, and motion detectors
  • Access cards or badges to enter office spaces
  1. Examples of technical controls:
  • Firewalls
  • MFA
  • Antivirus software
  1. Examples of administrative controls:
  • Separation of duties
  • Authorization
  • Asset classification

RELACJE między Frameworkami a kontrolami: Ramy i mechanizmy kontrolne cyberbezpieczeństwa są wykorzystywane łącznie w celu ustalenia stanu bezpieczeństwa organizacji. Wspierają także zdolność organizacji do osiągania celów w zakresie bezpieczeństwa i przestrzegania przepisów prawa i regulacji. Chociaż te ramy i mechanizmy kontrolne są zazwyczaj dobrowolne, zdecydowanie zachęca się organizacje do ich wdrożenia i stosowania w celu zapewnienia bezpieczeństwa kluczowych zasobów.

  • Ramy zagrożeń cybernetycznych (Cyber Threat Framework - CTF) Według Biura Dyrektora Wywiadu Narodowego, CTF został opracowany przez rząd USA w celu zapewnienia „wspólnego języka do opisywania i przekazywania informacji na temat aktywności zagrożeń cybernetycznych”. Zapewniając wspólny język do przekazywania informacji o aktywności zagrożeń, CTF pomaga specjalistom ds. cyberbezpieczeństwa analizować i udostępniać informacje w sposób bardziej efektywny. Umożliwia to organizacjom lepsze reagowanie na stale zmieniający się krajobraz cyberbezpieczeństwa oraz liczne taktyki i techniki stosowane przez podmioty zagrażające.

  • Międzynarodowa Organizacja Normalizacyjna/Międzynarodowa Komisja Elektrotechniczna (ISO/IEC) 27001 - Uznaną i stosowaną na arenie międzynarodowej ramą jest ISO/IEC 27001. Rodzina norm ISO 27000 umożliwia organizacjom wszystkich sektorów i wielkości zarządzanie bezpieczeństwem aktywów, takich jak informacje finansowe, własność intelektualna, dane pracowników i informacje powierzone stronom trzecim. Ramy te określają wymagania dotyczące systemu zarządzania bezpieczeństwem informacji, najlepszych praktyk i kontroli, które wspierają zdolność organizacji do zarządzania ryzykiem. Chociaż norma ISO/IEC 27001 nie wymaga stosowania określonych mechanizmów kontrolnych, zapewnia zbiór mechanizmów kontrolnych, których organizacje mogą używać w celu poprawy swojego stanu bezpieczeństwa.

TRAIDA CIA

  1. Confidentiality (poufność) tylko autoryzowani użytkownicy mogą uzyskać dostęp do określonych zasobów lub danych. W organizacji poufność można zwiększyć poprzez wdrożenie zasad projektowania, takich jak zasada najmniejszych uprawnień. Zasada najmniejszych uprawnień ogranicza dostęp użytkowników jedynie do informacji potrzebnych do wykonywania zadań związanych z pracą. Ograniczanie dostępu to jeden ze sposobów zachowania poufności i bezpieczeństwa prywatnych danych.

Uczciwość

  1. Integrity (Integralność) koncepcja, że ​​dane są poprawne, autentyczne i wiarygodne w sposób możliwy do sprawdzenia. Niezbędne jest posiadanie protokołów pozwalających na weryfikację autentyczności danych. Jednym ze sposobów sprawdzenia integralności danych jest kryptografia, która służy do przekształcania danych, aby osoby nieupoważnione nie mogły ich odczytać ani manipulować (NIST, 2022). Innym przykładem tego, jak organizacja może wdrożyć integralność, jest umożliwienie szyfrowania, czyli procesu konwertowania danych z formatu czytelnego na format zakodowany. Szyfrowanie może służyć do zapobiegania dostępowi i zapewniania, że ​​dane, takie jak wiadomości na wewnętrznej platformie czatu organizacji, nie mogą zostać naruszone.

  2. Availability (dostępność) oznacza, że ​​dane są dostępne dla tych, którzy są upoważnieni do ich wykorzystania. Jeśli system spełnia zarówno zasady dostępności, jak i poufności, dane można wykorzystać w razie potrzeby. W miejscu pracy może to oznaczać, że organizacja umożliwia zdalnym pracownikom dostęp do swojej wewnętrznej sieci w celu wykonywania ich pracy. Warto zaznaczyć, że dostęp do danych w sieci wewnętrznej jest w dalszym ciągu ograniczony, w zależności od tego, jakiego rodzaju dostępu potrzebują pracownicy, aby wykonywać swoją pracę. Jeśli na przykład pracownik pracuje w dziale księgowości organizacji, może potrzebować dostępu do kont firmowych, ale nie do danych związanych z bieżącymi projektami rozwojowymi.

FRAMEWORK NIST

Frameworki uzywane jako punkt wyjścia do opracownia planów minimalizujących ryzyka, zagrożeń i podatności. Na świecie są organizacje które tworzą frameworki dla cyberspecjalistów.

  • NIST - siedziba w USA, ale zawarte wskazówki są w stanie pomóc analitykom bezpieczeństwa na całym świecie. Wskazują podstawowe praktyki w zakresie cyberbezpieczeństwa.

  • Narodowy Instytut Normalizacji i Technologii

  • Framework NIS CSF składa się ze standardów, wytycznych i najlepszych praktyk w celu zarządzania ryzykiem cyberbezpieczenstwa. Ten framework jest powszechnie szanowany i akceptowalny. Składa się z pięciu podstawowych funkcji:

    1. Identyfikacja (identify) Zarządzanie ryzykiem cyberbezpieczeństwa i jegi wpływ na ludzi i aktywa organizacji. Na przykład jako analitykbezpieczeństwa można zostać poproszonym o monitorowanie systemów i urządzeń w wewnętrznej sieci organizacji, gdzie chcemy zidentyfikować potencjalne proleny z bezpieczeństwe
    2. Ochrona (protect) Strategia używana do ocrony organizacji poprzez wdrażanie polityk, procedur, szkoleń oraz narzędzi pomagającyhc ograniczać zagrożenia cyber. Jesteśmy narażeni na nowe ataki i nieznane zagrożenia, dlatego należy
    3. Wykrywanie (detect) Wykrywanie potencjalnych incydentów związanyc z cyberbezpieczeńśtwem, poprawę możliwości monitorowania, zwiększenie szybkości i skuteczności wykrywania. (Sprawdzenie konfguracji nowego urządzenia
    4. Reagowanie (respond) Tworzenie upewnień że sotosowane są odpowiednie procedury w celu powtrczymania, zneutralizowania i analizowania incydentu, oraz wdraązanie ulepszeń procesu bezpieczeństwa
    5. Odzyskiwanie danych (recover) Proces przywrócenia uszkodzonych systemów do normalnego dzałania, danych, aktywów (pliki finansowe, prawne)

Korzyści [dostajesz info że stacja robocza została naruszona.

  • Znajdujesz wskazany kompter i oddkrywasz, że jest podłaczone do niej nieznane urządzenie.

  • Blokujesz zdalne nieznane urządzenie

  • Usuwasz zainfekowanej stacji aby zapobiec rozprzestrzenianiu się zagrożenia

  • Używasz narzędzia do wykrywania wszelkich dodatkwych zachowań aktorów

  • Identyfikujesz nieznane urządzenie

  • jak doszło do zagrożenia

  • czego dotyczył atak

  • gdzie rozpoczął się atak

  • Pracownik użył zainfekowanego telefonu podłączając go pod USB w służbowym kopmuterze

Fukcje Frameworka NIST