ACSC въвежда Essential Eight нулево ниво на кибер зрелост и подравнява нивата към tradecraft

Изображение: Гети изображения

Австралийският център за киберсигурност (ACSC) обнови своя Основно ръководство за изпълнение на осем, който сега вижда, че всички основни осем стратегии стават от съществено значение.

„Основният модел на осем зрелости сега дава приоритет на прилагането на всичките осем стратегии за смекчаване на последиците като пакет поради техния допълващ се характер и фокус върху различни кибер заплахи“, каза ACSC.

„Организациите трябва напълно да постигнат ниво на зрялост във всичките осем стратегии за смекчаване, преди да преминат към постигане на по-високо ниво на зрялост.“

ACSC сега заявява, че моделът на зрелост е фокусиран върху “базирани на Windows мрежи, свързани с интернет”, и макар че би могъл да бъде приложен към други среди, други “стратегии за смекчаване могат да бъдат по-подходящи”.

В сравнение с последното си издание, зрелият модел добавя ново ниво на зрялост нула, което се определя като среди със слабости, които не могат да предотвратят стокови атаки на ниво едно, а нивата са съобразени с кибер търговията и използваните тактики.

“В зависимост от общата способност на противника, те могат да показват различни нива на търговски кораби за различни операции срещу различни цели. Например, противникът, способен да усъвършенства търговски кораб, може да го използва срещу една цел, докато използва основен търговски кораб срещу друг”, се посочва в ръководството.

“Като такива, организациите трябва да обмислят какво ниво на търговски плавателни съдове и насочване, а не кои противници имат за цел да смекчат.”

Атаките в рамките на ниво на зрялост включват тези, които използват публично достъпни атаки по начин на пръскане и молитва, за да спечелят всяка жертва, която могат, докато тези на ниво зрялост две ще инвестират повече време в цел и инструменти.

“Тези противници вероятно ще използват добре познати търговски кораби, за да се опитат по-добре да заобиколят контрола за сигурност, въведен от целта, и да избегнат откриването”, казва ръководството.

„Това включва активно насочване на идентификационни данни, използвайки фишинг и използване на техники за техническо и социално инженерство, за да се заобиколи слабото многофакторно удостоверяване.“

На най-високо ниво, ниво на зрялост три, атаките не са толкова зависими от публични експлойти, ще се движат странично през мрежите, след като бъде получен достъп, и могат да предприемат задачи като кражба на удостоверителни удостоверения. Ръководството предупреждава, че дори най-добрата кибер защита може да не е достатъчна.

„Трето ниво на зрялост няма да спре противниците, които са готови и могат да инвестират достатъчно време, пари и усилия, за да компрометират дадена цел“, се казва в нея.

„Като такива, организациите все още трябва да разгледат останалата част от стратегиите за смекчаване на последиците от Стратегиите за смекчаване на инциденти с киберсигурността и австралийското правителствено ръководство за информационна сигурност.“

Ровене в нивата

Докато ръководството има същите общи заглавия като предишната си итерация, много от детайлите са се променили, ставайки по-точни, като същевременно намаляват различни препоръки от времеви интервал.

От особено значение за трето ниво е постоянната препоръка за централизирано регистриране в системите, като се гарантира, че регистрационните файлове не могат да се променят и че те се използват в случай на кибер инцидент.

Под контрол на приложения, ниво на зрялост първо изисква „изпълнение на изпълними файлове, софтуерни библиотеки, скриптове, инсталатори, компилирани HTML, HTML приложения и аплети от контролния панел“, за да се предотврати на работните станции в потребителските профили и временните папки. Следващото ниво нагоре вижда това разширено до сървъри с интернет и изпълнимите бели списъци. На трето ниво ограниченията включват всички сървъри, както и драйвери от белия списък, като се използват правилата за блокиране на Microsoft и валидиране на белия списък.

За приложенията за корекция, препоръките от първо ниво вече намаляват корекцията на приложения на сървъри, насочени към интернет, до две седмици или 48 часа, ако съществува експлойт – за софтуера на работната станция срокът е един месец. ACSC също така препоръчва използването на скенери за уязвимост ежедневно на сървъри, насочени към интернет, и на всеки две седмици в противен случай.

„Премахват се услуги, насочени към интернет, пакети за офис производителност, уеб браузъри и техните разширения, имейл клиенти, PDF софтуер, Adobe Flash Player и продукти за сигурност, които вече не се поддържат от доставчиците“, се посочва в препоръката от първо ниво.

На второ ниво срокът за корекция на приложението на работната станция пада до две седмици, докато всички останали актуализации получават едномесечен срок. Също така на второ ниво сканирането за уязвимост трябва да се извършва най-малко седмично на работни станции и на всеки две седмици за всички останали части на мрежата. На най-високо ниво всяко неподдържано приложение се премахва и корекцията на работната станция спада до 48 часа, ако съществува експлойт.

Вижте също: Разказът за крилатите нинджи кибер маймуни е абсолютно погрешен: бивш шеф на NCSC

Кръпката за операционни системи има същите срокове и препоръки за сканиране на уязвимости, с включване на ниво трето само с използване на последната или непосредствено предишната версия на поддържана операционна система.

ACSC също препоръчва макросите да бъдат деактивирани за потребители без бизнес казус, макросите в изтеглените файлове да бъдат блокирани, антивирусните решения за сканиране на макроси и защитата на макросите да не се разрешава да се променят от потребителите. Второ ниво вижда макроси, блокирани от Win32 API извиквания, и опити за изпълнение на marco, регистрирани. За трето ниво макросите трябва да се изпълняват от пясъчник или надеждно местоположение и трябва да бъдат валидирани и цифрово подписани от доверени издатели, които заемат списък, който се преглежда поне веднъж годишно.

При втвърдяване на приложенията, както и препоръките от 2017 г. за блокиране на реклами и Java в браузърите, ACSC добавя, че потребителите не могат да променят настройките за защита и IE 11 не може да обработва съдържание от мрежата. Второ ниво вижда, че на Office и PDF софтуера е забранено да прави дъщерни процеси, като същевременно е блокиран да създава изпълними файлове, да инжектира код в други процеси или да активира OLE пакети. Всяко блокирано изпълнение на скриптове на PowerShell трябва да се регистрира и настройките за сигурност на Office и PDF софтуер не могат да се променят.

Internet Explorer 11, NET Framework 3.5 и по-стари версии и PowerShell 2.0 са деактивирани или премахнати на трето ниво. PowerShell също може да бъде конфигуриран да използва режим на ограничен език, посочва ACSC.

Вижте също: Австралийската плетеница от закони за електронно наблюдение се нуждае от разплитане

Разглеждайки ограничаването на администраторските привилегии, ръководството сега казва, че привилегированите акаунти, с изключение на привилегированите акаунти за услуги, трябва да бъдат възпрепятствани да имат достъп до интернет и да се изпълняват само в привилегирована среда, която не позволява непривилегировано влизане. На второ ниво достъпът до привилегировани системи е деактивиран след една година, освен ако не бъде разрешен повторно, и се премахва след 45 дни бездействие. ACSC добави, че привилегированите среди не могат да се визуализират на непривилегировани системи, администраторските дейности трябва да използват сървъри за прескачане, използването и промените в привилегированите акаунти трябва да се регистрират, а идентификационните данни са уникални и управлявани.

На трето ниво изключението за привилегировани акаунти на услуги се премахва, използва се администриране навреме, достъпът до привилегии е ограничен само до това, от което се нуждаят потребителите, и се използват Windows Defender Credential Guard и Windows Defender Remote Credential Guard.

Многофакторното удостоверяване (MFA) се препоръчва за услуги на трети страни, които използват данни на организацията, и за сървъри, насочени към интернет на обекта. Това се увеличава до препоръчване на MFA за привилегировани потребители и регистриране на всички MFA взаимодействия на второ ниво; за трето ниво той е разширен, за да включи „важни хранилища за данни“ и гарантира, че MFA е „устойчив на представянето за удостоверяване“.

При архивирането предишната месечна препоръка отпада в полза на „координиран и устойчив начин в съответствие с изискванията за непрекъснатост на бизнеса“, а сроковете за тестване на възстановяването от архивиране и задържане на архивни данни отпадат. Като препоръка се добавя гарантиране на непривилегированите потребители да имат достъп само за четене до собствените си резервни копия. На второ ниво достъпът само за четене се разширява до привилегировани потребители, а на трето ниво само администраторите на резервни копия могат да четат резервни копия, а само „акаунти за резервни стъклени стъкла“ могат да променят или изтриват резервни копия.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com