Рекомендуемые меры безопасности и предосторожности при работе со связью
1. Внедрите на уровне систем, границ сети и точек выхода из нее меры безопасности, позволяющие находить признаки кражи данных. Это может быть блокировка зашифрованных туннелей, которые ваши датчики не могут перехватить, а также поиск доказательств применения несанкционированных протоколов, форматов данных, водяных знаков, меток данных и больших файлов или потоков, покидающих сеть. (AC-4. Сопровождение информационного потока | (4) Проверка содержимого зашифрованной информации; SC-7. Граничная защита | (10) Предотвращение эксфильтрации; СИ-4. Системный мониторинг | (10) Видимость зашифрованных сообщений.).
2. Создайте несколько сетей с изоляцией и сегментацией интернет-ресурсов и ресурсов интрасети. Не подключайте критически важные внутренние системы к интернету. (AC-4. Сопровождение информационных потоков | (21) Физическое и логическое разделение информационных потоков; CA-3. Системные соединения | (1) Несекретные соединения системы национальной безопасности | (2) Секретные соединения системы национальной безопасности | (5) Ограничения на внешние системные подключения; SC-7. Граничная защита | (1) Физически разделенные подсети | (11) Ограничение входящего коммуникационного трафика | (22) Отдельные подсети для подключения к разным доменам безопасности.).
3. Ограничьте удаленный доступ к любым системам, хранящим важную информацию. (AC-17. Удаленный доступ.).
4. Реализуйте ограничения и средства управления конфигурацией для обнаружения и предотвращения несанкционированной беспроводной связи. (AC-18. Беспроводной доступ | (2) Мониторинг несанкционированных подключений; PE-19. Утечка информации; SC-31. Анализ скрытых каналов; SC-40. Защита беспроводной связи; SI-4. Системный мониторинг | (15) Сочетание проводной и беспроводной связи.).
5. Обучите свою команду безопасности и сотрудников распознавать коммуникации C2. (AT-3. Обучение на основе ролей | (4) Подозрительные сообщения и аномальное поведение системы; SI-4. Системный мониторинг | (11) Анализ аномалий коммуникационного трафика | (13) Анализ шаблонов трафика и событий | (18) Анализ трафика и скрытая эксфильтрация.).
6. Запрещайте применять любое неавторизованное программное обеспечение, которое может быть средством C2 или имплантатом. (CM-7. Наименьшая функциональность | (5) Разрешенное программное обеспечение — белый список.).
7. Защитите прямые физические подключения к системам, которые обходят меры безопасности и границы. Это могут быть шкафы с переключателями, настенные розетки Ethernet и компьютерные интерфейсы. (PE-6. Мониторинг физического доступа; SC-7. Граничная защита | (14) Защита от несанкционированных физических подключений | (19) Блокировка связи с посторонними хостами.).
8. Требуйте проверять и сканировать съемные носители, которые попадают в вашу организацию или покидают ее, чтобы персонал не мог вручную переносить данные для коммуникации с C2 через внешние носители. (PE-16. Доставка и удаление.).
9. Реализуйте белый список для запрета связи с любым ресурсом или адресом, не находящимся в этом списке. Многие C2-сайты — это недавно созданные домены без истории использования вашей организацией. (SC-7. Граничная защита | (5) Запрет по умолчанию, разрешение по исключению.).
