Рекомендуемые меры безопасности и предосторожности при кибератаках
Рекомендации следует оценивать с учетом концепции пожарных атак.
1. Мониторьте индикаторы деструктивных действий в своей организации. Предотвратите взлом журналов системного мониторинга, событий аудита и данных с датчиков путем пересылки данных в сегментированные сборщики событий. (AU-6. Аудиторский обзор, анализ и отчетность | (7) Разрешенные действия; AU-9. Защита аудиторской информации; SI-4. Системный мониторинг.).
2. Реализуйте разделение и изоляцию сетей и систем, чтобы уменьшить скорость распространения атак. (CA-3. Системные соединения; SC-3. Изоляция функций безопасности; SC-7. Граничная защита | (21) Изоляция компонентов системы; SC-11. Надежный путь | (1) Логическая изоляция; SC-39. Изоляция процесса.).
3. Выполняйте тесты резервного копирования и упражнения на отказоустойчивость, чтобы определить, работают ли механизмы восстановления так, как задумано. (CP-9. Резервное копирование системы | (1) Тестирование на надежность и целостность | (2) Восстановление по семплам; CP-10. Восстановление системы | (1) Тестирование плана действий в чрезвычайных обстоятельствах.).
4. Требуйте от уполномоченных лиц двойной авторизации, прежде чем разрешать им выполнять команды удаления данных. (CP-9. Резервное копирование системы | (7) Двойная авторизация.).
5. Реализуйте меры по поддержанию безопасности вашей организации в случае атаки, нацеленной на системы безопасности. Например, настройте брандмауэры, которые переходят в автономный режим и блокируют все системы, или настройте систему на переход в безопасный режим в случае атаки. (CP-12. Безопасный режим; SC-24. Отказ в известном состоянии.).
6. Внедрите механизмы передачи носителей с учетом защиты от атак. Проверьте, что диски с конфиденциальными данными отключены от сети, хранятся в безопасном месте и защищены от физических атак вроде пожара. (MP-5. Транспортировка носителей; PE-18. Расположение компонентов системы; SC-28. Защита неиспользуемой информации.).
7. Перед подключением портативных носителей или устройств к системам или сетям вашей организации тестируйте и сканируйте их на предмет наличия вредоносного ПО. (MP-6. Обработка носителей; SC-41. Доступ к портам и устройствам ввода/вывода.).
8. Оцените риски и определите, какие данные и системы в случае компрометации нанесут наибольший вред вашей организации. Примите меры предосторожности и установите специальные меры безопасности для таких систем и данных. (RA-3. Оценка риска; SA-20. Особая разработка критических компонентов.).
9. Создайте средства защиты, например защиту от вредоносного кода, чтобы снизить потенциал атак. (SC-44. Детонационные камеры; SI-3. Защита от вредоносного кода.).
