Рекомендуемые меры безопасности и предосторожности при обнаружении угроз с помощью датчиков
Эти меры следует оценивать с учетом рассмотренной концепции датчиков.
1. Реализуйте сниффер пакетов, полносетевые PCAP и другие автоматизированные датчики для обработки инцидентов, обслуживания и сопровождения информационных потоков. (AC-4. Сопровождение информационных потоков (14) Фильтры и политики безопасности; IR-4. Обработка инцидентов; MA-3. Инструменты для обслуживания.).
2. Чтобы предотвратить физический доступ и обнаружить попытки взлома, установите датчики на замки коммутационных шкафов, камеры для наблюдения за доступом к центру обработки данных и серверам, датчики воды для обнаружения протечек, которые могут угрожать электрическим устройствам, и датчики прослушивания на линиях связи. (PE-4. Контроль доступа для передачи; PE-6. Мониторинг физического доступа; PE-15. Защита от повреждения водой.).
3. Внедрите программы обучения для персонала, в том числе не связанного с ИT, чтобы сотрудники выполняли роль живых датчиков и обнаруживали угрозы. Обеспечьте сотрудникам четкий, простой и доступный способ сообщить о подозрительной активности. (PM-16. Программа осведомленности об угрозах.).
4. Перехватывайте зашифрованные данные и разрешите датчикам выполнять глубокую проверку незашифрованных пакетов. (AC-4. Сопровождение информационного потока. | (4) Проверка зашифрованной информации; SC-8. Конфиденциальность и целостность передачи.).
5. Реализуйте датчики, которые будут анализировать пакеты и принимать превентивные меры, такие как блокировка или фильтрация. (SC-5. Защита от отказа в обслуживании; SC-7. Граничная защита | (10) Превентивная фильтрация | (17) Автоматическое применение форматов протоколов.).
6. Запретите беспорядочную активацию датчиков в менее важных системах, чтобы предотвратить разглашение конфиденциальной информации злоумышленникам, получившим доступ. (SC-42. Возможности датчика и данные.).
7. Совместно со своим интернет-провайдером установите датчики надежного подключения к интернету (TIC) за пределами сети. (AC-17. Удаленный доступ | (3) Управляемые точки доступа.).
8. Задокументируйте все внутренние системные соединения, их интерфейсы, информацию, которую они обрабатывают, хранят и передают, и разместите датчики между системами. (CA-9. Внутрисистемные соединения.).
9. Проведите тестирование на проникновение с участием «красной команды» с целью проверить правильность размещения датчика и его возможности. (CA-8. Тестирование на проникновение; RA-6. Обзор средств технического наблюдения и противодействия.).
