Effektiv kibermüdafiə üçün 20 kritik kibertəhlükəsizlik mexanizmi

Effektiv kibermüdafiə üçün 20 kritik kibertəhlükəsizlik mexanizminin siyahısı 2008-ci ildə ABŞ Müdafiə Nazirliyinin kiber-təhlükəsizlik mexanizmlərini prioritetləşdirmək xahişi ilə ABŞ Milli Təhlükəszilk Agentliyinə (National Security Agency, NSA) müraciəti ilə əlaqədar hazırlanmışdı. Milli Təhlükəszilk Agentliyi ABŞ-ın müxtəlif nazirlik və agentlikləri üçün kiberhücumlardan ən effektiv müdafiə mexanizmlərinin siyahısını formalaşdırmaqla bu məsələ ilə hələ 2000-ci ildən məşğul olurdu. Əvvəlcə 20 ən kritik müdafiə mexanizminin siyahısı “daxili istifadə üçün” nəzərdə tutulmuşdu. Sonradan bu işə İnternet Təhlükəsizliyi Mərkəzi (ing. CIS) və SANS İnstitutu qoşuldu, bundan sonra həmin standartın çox sayda maraqlı tərəf (həm dövlət, həm də özəl sektordan) arasında açıq müzakirəsi mümkün oldu.
Nəticədə 1000-dən çox real kiber-hücum ssenarisinin analizi nəticəsində ən təsirli müdafiə mexanizmlərini ətraflı təsvir edən de-fakto standart meydana çıxdı. Bu standart ABŞ və Böyük Britaniyada rəsmən tanınmışdır, informasiya infrastrukturunun kritik obyektlərinin müdafiəsi üçün tətbiq edilir. 20-ci ildə İdaho Milli Laboratoriyasında (SCADA-sistemlərin təhlükəsizliyi üzrə qabaqcıl mərkəz) bu standartın elektroenergetikada tətbiqinin effektivliyini qiymətləndirməklə əlaqədar tədqiqat aparılmışdır.
SANS İnstitutu 2013-cü ilin martında 20 ən kritik kibertəhlükəsizlik mexanizminin yeni siyahısını (V 4.1) nəşr etmişdir.

1. İcazəli və icazəsiz qoşulmuş qurğuların siyahısı (Inventory of Authorized and Unauthorized Devices). Bədniyyətlinin uçota alınmamış və qorunmayan sistemləri aşkarlamaq və istifadə etmək imkanlarını azaltmağa xidmət edir. Serverlər, işçi stansiyalar, noutbooklar, mobil və digər qurğular daxil olmaqla korporativ şəbəkəyə qoşulmuş qurğuların siyahısını aktual vəziyyətdə saxlamaq üçün monitorinq və konfiqurasiya vasitələri istifadə edilir.

2. İcazəli və icazəsiz qurulmuş proqram təminatının siyahısı (Inventory of Authorized and Unauthorized Software). Uyğun hücumların qarşısını almaq və ya başvermə ehtimalını azaltmaq üçün boşluqları və ya zərərli proqramları axtarmaq məqsədi daşıyır. Hər növ sistem üçün icazə verilən proqram təminatı siyahısı tərtib edilir və qurulmuş proqram təminatını izləmək üçün (növ, versiya, yamaq daxil olmaqla) alətlər tərtib edilir. Həmçinin icazə verilməyən və ya lazımsız proqram təminatının izlənməsi üçün də alətlər istifadə edilir.

3. Noutbuklar, işçi stansiyaları və serverlər üçün aparat və proqram təminatının təhlükəsiz konfiqurasiyası (Secure Configurations for Hardware and Software on Laptops, Work-Stations, and Servers). Bədniyyətlilərin korporativ şəbəkəyə girməyə imkan verən xidmətlərdən və konfiqurasiyalardan istifadə etməsinin qarşısını alır. Təşkilatda tətbiq edilən bütün yeni sistemlər üçün “təhlükəsiz obraz” yaradılır və istifadə edilir, bu obraz təhlükəsiz yerdə saxlanılır, tamlığına müntəzəm nəzarət edilir və konfiqurasiyası yenilənir, konfiqurasiyaların idarə edilməsi sistemində sistemlərin obrazı izlənilir.

4. Boşluqların fasiləsiz analizi və aradan qaldırılması (Continuous Vulnerability Assessment and Remediation). Tədqiqatçıların və istehsalçıların haqqında məlumat verdikləri proqram təminatı boşluqlarının proaktiv axtarışı və aradan qaldırılması. Bütün sistemləri yoxlayan boşluq skanerlərinin müntəzəm işə salınması və 48 saat ərzində bütün boşluqların qapadılması.

5. Zərərli kodlardan müdafiə (Malware Defenses). Sistem parametrlərinə və məhdud girişli informasiya olan fayllara icazəsiz giriş edən zərərli proqramların bloklanması nəzərdə tutulur. (həmçinin özünü təkrarlayan). Serverlərin, işçi stansiyaların və mobil qurğuların fasiləsiz monitorinqi və qorunması üçün anti-virus və anti-casus proqram təminatından istifadə və bu proqram təminatının avtomatik yenilənməsi.

6. Tətbiqi proqramların təhlükəsizliyi (Application Software Security). Şəbəkə və digər tətbiqi proqram təminatında boşluqların aşkarlanması və qapadılması məqsədi ilə skanlanır. Proqramlaşdırma səhvləri və zərərli kodun olması daxil olmaqla, tətbiqi proqram təminatında (həm təşkilatda yaradılan, həm də kənar təşkilatlardan alınan) boşluqların diqqətlə test edilməsi. Yalnış verilənlərin daxil edilməsi səbəbindən (daxil edilən verilənlərin uzunluğu və tipinə görə süzgəc daxil olmaqla) baş verən səhvlərin qarşısını almaq məqsədi ilə veb-tətbiqlər tərəfindən alınan bütün trafikin süzülməsi nəzərdə tutulur.

7. Naqilsiz qurğulara nəzarət (Wireless Device Control). Perimetrin naqilsiz şəbəkələrlə icazəsiz qoşulmalardan qorunması. Qurğuların şəbəkəyə qoşulmasına yalnız onların konfiqurasiyası və təhlükəsizlik profili təşkilatda müəyyən olunmuşa uyğun olduqda, qurğu sahibinin adına sənədləşdirilikdə və çərçivəsində girişin verildiyi biznes-məqsədlər müəyyən edildikdə icazə verilir. Bütün naqilsiz giriş nöqtələrinin korporativ idarəetmə vasitələrindən istifadə edilməklə sazlanmasına zəmanət verilməsi, digər giriş nöqtələrinin aşkarlanması üçün skanerlər konfiqurasiya olunmalıdır.

8. Verilənlərin bərpasının təşkili (Data Recovery Capability). İstənilən hücumdan ziyanın minimumlaşdırılması. Hücumların bütün izlərinin aradan qaldırılması üzrə planın həyata keçirilməsi. Əməliyyat sistemləri, tətbiqi proqramlar və informasiya daxil olmaqla hər bir sistemin tam bərpası üçün tələb edilən bütün məlumatların avtomatik ehtiyat surətinin çıxarılması. Bütün sistemlərin hər həftə, daha vacib informasiyanın isə daha tez-tez ehtiyat surətinin çıxarılması. Bərpaetmə proseslərinin müntəzəm test edilməsi.

9. Təhlükəsizlik üzrə bacarıqların qiymətləndirilməsi və treninqlərin təşkili (Security Skills Assessment and Appropriate Training to Fill Gaps). “Təhsildə problemlərin” axtarışı və onların “çalışmalar yerinə yetirməklə” və treninqlərdə olmaqla aradan qaldırılması. İnformasiya təhlükəsizliyi üzrə bacarıqların qiymətləndirilməsi proqramının, tələb olunan səriştələr üzrə tədris planının işlənməsi, nəticələrin istifadəsi və informasiya təhlükəsizliyi sahəsində təcrübənin artırılması üçün resursların paylanması

10. Şəbəkə ekranı, router və sviçlər kimi şəbəkə qurğuları üçün təhlükəsiz konfiqurasiyalar (Secure Configurations for Network Devices such as Firewalls, Routers, and Switches). İnternet şəbəkəsinə, digər təşkilatların şəbəkəsinə və ya təşkilatın şəbəkəsinin daxili seqmentlərinə nəzərdə tutulmamış qoşulma nöqtələrinin meydana çıxmasının qarşısını alır. Aktiv şəbəkə avadanlığının konfiqurasiyasının təşkilatda hər növ qurğu üçün müəyyən edilmiş standartla müqayisə edilməsi. Standart konfiqurasiya istənilən dəyişikliklərin qeydiyyata alınacağına və istənilən müvəqqəti dəyişikliyin onlara ehtiyacın aradan qalxdıqdan sonra ləğv ediləcəyinə zəmanət verməlidir.

11. Şəbəkə portlarına, protokollarına və servislərinə məhdudiyyətlər və nəzarət (Limitation and Control of Network Ports, Protocols, and Services). Yalnız legitim istifadəçilərə və servislərə icazə verilməsi. Son qovşaqlarda şəbəkə ekranı yerləşdirərək aşkar icazə verilməyən bütün trafikin süzülməsi. Məsafədən girişi məhdudlaşdırmaq üçün veb-servislərin, poçt serverlərinin, fayl servislərinin, çap servislərinin və DNS-serverlərin korrekt konfiqurasiyası. Zəruriyyət olmayan proqramların avtomatik quraşdırılmasının qadağan olunması. Əgər xarici şəbəkədən məsafədən giriş tələb edilmirsə, serverlərin şəbəkə ekranının arxasında yerləşdirirlməsi.

12. Administrator imtiyazlarının istifadəsinə nəzarət (Controlled Use of Administrative Privileges). Hücumların iki əsas növünün qarşısını almaq üçün işçi stansiyalarda, notbuklarda və serverlərdə imtiyazlı uçot yazılarının qorunması və yoxlanması: (1) istifadəçinin yoluxmuş e-poçt qoşmasını və ya istənilən digər faylı açması və ya yoluxmuş veb-sayt açması üçün sosial mühəndislik üsullarından istifadə; (2) administrator parolunun sındırılması və hədəf kompüterin ələ keçirilməsi. Qəbul edilmiş standartlara uyğun güclü parolların istifadəsi.

13. Perimetrin istifadəsi (Boundary Defense). Şəbəkənin sərhədindən keçən trafikə nəzarət və hücum gedişində və ya yoluxmuş kompüterlərin davranışına generasiya edilən trafikə oxşar trafikin süzülməsi. Şəbəkə ekranı, proksi, demilitarizasiya zonası (DMZ) və digər şəbəkə alətləri istifadə edən perimetrin çoxsəviyyəli müdafiəsinin qurulması. Biznes-tərəfdaşlardan alınan da daxil olmaqla girən və çıxan trafikin süzülməsi.

14. Təhlükəsizlik üzrə audit jurnallarının xidməti, monitorinqi və analizi (Main tenance, Monitoring, and analysis of Security Audit Logs). Zərərli proqram təminatının yerləşdirilməsi yeri və yoluxmuş kompüterlərdə aktivlik də daxil olmaqla hücumların aşkarlanması və təfərrüatlarının müəyyən edilməsi üçün detallı jurnalların istifadəsi. Hər bir qurğu və onda quraşdırılmış proqram təminatı üçün jurnalların standart formalarının generasiyası (hər bir paket və/və ya tranzaksiya haqqında zaman, tarix, mənbənin və təyinatın ünvanı və digər informasiya daxil olmaqla). Jurnalların ayrılmış serverlərdə saxlanması və anomaliyaların aşkarlanması üçün gündəlik hesabatlara baxış.

15. Səlahiyyətlərin minimumluğu prinsipi əsasında girişə nəzarət (Controlled Access Based on the Need to Know). Bədniyyətlinin kritik informasiyaya girişinin qarşısını almaq. Kritik informasiyanın daxili şəbəkədə çox sayda istifadəçiyə əlyetən informasiyadan ayrılması və dəqiq müəyyən edilməsi. Müəyyən informasiyanın açıqlanmasının təsirinə əsaslanaraq çoxsəviyyəli klassifikasiya sisteminin müəyyən edilməsi, məhdud girişli informasiyaya yalnız icazəsi olan şəxslərin girişinə zəmanət verilməsi.

16. Uçot yazılarının monitorinqi və nəzarəti (Account Monitoring and Control). Özünü legitim istifadəçi kimi qələmə verməyin qarşısının alınması. Sistemdə bütün uçot yazılarının nəzərdən keçirilməsi və hər hansı biznes-proseslə və müəyyən sahiblərlə əlaqəsi olmayan bütün uçot yazılarının bloklanması. Müvəqqəti işçilərin və podratçıların işi qurtardıqdan dərhal sonra sistemə giriş hüquqlarının ləğv edilməsi. Gizli (standart) uçot yazılarının bağlanması – belə uçot yazıları ilə əlaqəli bütün faylların şifrlənməsi və təcrid edilməsi. Qəbul edilən standartlara uyğun güclü parolların istifadə edilməsi.

17. Verilənlərin sızmasının qarşısının alınması (Data Loss Prevention). Həm şəbəkə ilə, həm də fiziki giriş zamanı kritik informasiyanın icazəsiz ötürülməsinin qarşısının alınması. İnformasiyanın açıqlanmasını minimum etmə üçün, şəbəkədə xaricə ötürülən informasiyanın (həm elektron şəkildə, həm də maddi daşıyıcılarda) diqqətlə araşdırılması. Mərkəzləşdirilmiş idarəetmə sistemi istifadə etməklə şəxsi heyətin, proseslərin və sistemlərin fəaliyyətinin monitorinqi.

18. İnsidentlərin cavablandırılmasının idarə edilməsi (Insident Response Management). İnformasiya kimi, təşkilatın nüfuzunun da diqqətlə qorunması. Hücumların tez aşkarlanması, zərərin effektiv azaldılması, təhdid mənbəyinin ləğv edilməsi və sistemin tamlığının bərpası üçün rolları və məsuliyyəti şəffaf təsvir edən insidentləri cavablandırma təlimatlarının işlənməsi.

19. Təhlükəsiz şəbəkə mühəndisliyi (Secure Network Engineering). Şəbəkənin arxitekturasını elə təşkil etdirilməli ki, bədniyyətlilərin şəbəkəyə qoşulmasını maksimum çətinləşdirsin. Müdafiə mexanizmlərindən yan keçməyə imkan verməyən şəbəkənin qurulmasının yoxlanılmış və təhlükəsiz proseslərindən istifadə edilməsi. Ən azı üç səviyyədən istifadə etməklə şəbəkə arxitekturasının həyata keçirilməsi: DMZ, aralıq və xüsusi şəbəkə. Hücumları tez dəf etmək üçün girişə nəzarətin yeni mexanizmlərinin tez tətbiq edilməsi imkanı.

20. Nüfuzetmə testləri (Penetration Tests and Red Team Exercises). Təşkilatın hücumlara hazırlığını yoxlamaq üçün hücumların modelləşdirilməsindən istifadə edilməsi. Boşluqlar müəyyən etmək və mümkün nəticələri qiymətləndirmək üçün hücumları yamsılayan nüfuzetmə testlərinin müntəzəm keçirilməsi (həm daxildən, həm də xaricdən). Ekspertlər qrupu tərəfindən – tətbiq edilmiş təhlükəsizlik və cavablandırma mexanizmlərinin imkanlarını test etmək üçün kritik informasiyaya və sistemlərə giriş əldə etməkdən ibarət tədbirlərin periodik olaraq keçirilməsi.


 Əlaqə:
 Telefon: (994 12) 5104253
 E-poçt: info at sciencecert dot az
2013 © AMEA İnformasiya Texnologiyaları İnstitutu
Saytdakı məlumatlardan istifadə edərkən www.sciencecert.az saytına istinad zəruridir.