Рекомендуемые меры безопасности и предосторожности при анализе часов проникновения
В некоторых случаях можно использовать рекомендации и меры безопасности, приведенные в стандарте NIST 800-53. Это следует делать с учетом часов проникновения. (Обратите внимание: здесь нужно, чтобы у журналов и предупреждений были отметки времени, а время во всех системах было синхронизировано. См. AU-8. Отметки времени.).
1. Оцените часы работы и смоделируйте угрозы. Когда вы наиболее уязвимы для атак? Как вы можете обучить и подготовить своих сотрудников? (NIST SP 800-154. Руководство по ориентированному на данные моделированию системных угроз.).
2. Внедрите для учетных записей управление привилегиями на основе времени, зависящее от деловых и операционных потребностей пользователей. Например, можете ограничить для определенных сотрудников возможность отправлять и получать электронную почту после 19:00. (AC-2. Управление учетными записями | (6) Динамическое управление привилегиями.).
3. Ограничьте возможность входа или использования определенных учетных записей в определенные часы. Например, при попытке выполнить несанкционированные действия над неактивной учетной записью между 21:00 и 23:00 следует немедленно попросить пользователя подтвердить свою личность. Если он не отвечает или не сумел пройти аутентификацию, нужно уведомить службу безопасности. (AC-2. Управление учетной записью | (11) Условия использования.).
4. Задействуйте системы эвристического анализа для обнаружения аномального доступа к системе или шаблонов использования, нехарактерных для данного периода времени. Пользователи должны добровольно задокументировать или иным образом описать свой типичный паттерн, чтобы помочь смоделировать свое обычное поведение в течение рабочего дня (AC-2. Управление учетной записью | (12) Мониторинг типичного использования учетной записи.).
5. Требуйте от владельцев и пользователей систем документировать периоды времени, когда системы должны использоваться, а когда их можно отключать. (AC-3. Обеспечение доступа | (5) Информация, важная для безопасности.).
6. Сократите временные рамки для деятельности злоумышленников. Определите стратегическую политику предприятия, согласно которой конфиденциальная или служебная информация должна быть доступна только в установленное время, например с 11:00 до 15:00 в будние дни. (AC-17. Удаленный доступ | (9) Отключение доступа.).
7. Сообщайте владельцу учетной записи об удачных или неудачных входах в систему, включая время и дату последнего входа. Отслеживание этой информации помогает пользователю предупредить службу безопасности, если его учетная запись была взломана, и сообщить о несанкционированном доступе. (AC-9. Уведомление о предыдущем входе в систему (доступ) | (4) Дополнительная информация для входа.).
8. После определения рабочих часов настройте пользовательские устройства и системы на автоматическую блокировку и завершение всех сеансов в указанное время. (AC-11. Блокировка сеанса.).
9. Задокументируйте политику, согласно которой назначаются время и даты, когда разрешено изменять инфраструктуру и системы. Это помогает SOC оценивать изменения сети и конфигурации в зависимости от времени. (AU-12. Создание аудита | (1) Общесистемный и временной корреляционный след; CM-5. Ограничения доступа для изменений.).
