W 2017 roku Australijskie Centrum Bezpieczeństwa Cybernetycznego (ACSC) opublikowało strategia, która została zaprojektowana, aby pomóc organizacjom chronić się przed incydentami cybernetycznymi. Essential Eight jest zaprojektowana specjalnie do użytku w sieciach Windows, chociaż odmiany tych strategii są powszechnie stosowane na innych platformach.
Czym jest Essential Eight?
To zasadniczo ramy bezpieczeństwa cybernetycznego, które składają się z celów i mechanizmów kontrolnych (z których każdy cel obejmuje kilka kontroli). Początkowo rząd australijski wymagał od firm przestrzegania tylko czterech kontroli bezpieczeństwa, które były zawarte w pierwszym celu. Jednak od czerwca 2022 r. wszystkie 98 jednostek Commonwealthu nieposiadających osobowości prawnej (NCCE) będzie musiało przestrzegać całego systemu.
Uwaga dla osób spoza Australii
Chociaż ten zestaw zasad jest specyficzna dla Australii to organizacje spoza tego kraju powinny zwrócić na nią uwagę. W końcu jest “oparta na doświadczeniu ACSC w tworzeniu informacji o zagrożeniach cybernetycznych, reagowaniu na incydenty związane z bezpieczeństwem cybernetycznym, przeprowadzaniu testów penetracyjnych i wspieraniu organizacji”. Innymi słowy może być postrzegane jako zestaw najlepszych praktyk, które są oparte na własnych doświadczeniach ACSC.
Kolejnym powodem, dla którego osoby spoza Australii powinny zwrócić uwagę na Essential Eight jest fakt, że większość krajów rozwiniętych posiada regulacje dotyczące cyberbezpieczeństwa, które są niemal identyczne do Essential Eight. Chociaż różnice w przepisach są nieuniknione, większość zbiorów przepisów wydaje się zgodna co do podstawowych mechanizmów, które należy wdrożyć, aby zachować bezpieczeństwo. Przeanalizowanie australijskiego Essential Eight może pomóc organizacjom za granicą lepiej zrozumieć, co jest potrzebne do zapewnienia bezpieczeństwa ich systemów.
System posiada czteropoziomowy podział, przy czym poziom 0 oznacza, że organizacja nie jest w ogóle bezpieczna. Pierwszy zapewnia bardzo podstawowy poziom ochrony. Natomiast 3 zawiera wymagania, które są znacznie bardziej rygorystyczne.
Cel 1: Kontrola aplikacji
Kontrola aplikacji ma na celu zapobiec uruchamianie nieautoryzowanego kodu. Cel pierwszego poziomu przede wszystkim uniemożliwienie użytkownikom uruchamiania nieautoryzowanych plików wykonywalnych, skryptów, narzędzi i innych komponentów na ich stacjach roboczych. Drugi dodaje zabezpieczenia dla serwerów z dostępem do Internetu. Trzeci obejmuje dodatkowe środki kontroli, takie jak ograniczenia dotyczące sterowników i przestrzeganie list blokowanych przez Microsoft.
Cel 2: Aktualizacja poprawek
Drugi cel koncentruje się na stosowaniu poprawek do aplikacji. Dostawcy oprogramowania rutynowo dostarczają poprawki zabezpieczeń w miarę wykrywania luk w zabezpieczeniach. Poprawki dla luk w zabezpieczeniach usług internetowych powinny zostać załatane w ciągu dwóch tygodni, chyba że istnieje exploit. W tym przypadku poprawki powinny zostać zastosowane w ciągu 48 godzin. Cel ten określa również wytyczne dotyczące innych typów aplikacji i korzystania ze skanerów luk w zabezpieczeniach.
Cel 3: Konfigurowanie ustawień makr pakietu Microsoft Office
Trzecim celem jest wyłączenie używania makr w pakiecie Microsoft Office dla użytkowników, którzy nie mają uzasadnionej potrzeby. Organizacje muszą również upewnić się, że makra są blokowane dla każdego pliku pakietu Office pochodzącego z Internetu. Także ustawienia nie mogą być modyfikowane przez użytkowników końcowych. Organizacje muszą również używać oprogramowania antywirusowego do skanowania w poszukiwaniu makr. Wyższe poziomy dojrzałości dodają dodatkowe wymagania, takie jak uruchamianie makr w lokalizacjach w piaskownicy.
Cel 4: Zabezpieczanie aplikacji
Czwarty cel nazywa się Application Hardening. Na poziomie pierwszym cel ten odnosi się głównie do zabezpieczenia przeglądarki internetowej na komputerach użytkownika. Mówiąc dokładniej, przeglądarki muszą być skonfigurowane tak, aby nie przetwarzały Javy ani nie mogły przetwarzać reklam internetowych. Ponadto programu Internet Explorer nie można używać do przetwarzania zawartości internetowej (wyższy poziom wymaga usunięcia IE). Ustawienia przeglądarki muszą być skonfigurowane tak, aby nie mogły być zmieniane przez użytkowników. Wyższe zabezpieczenia koncentrują się na wzmacnianiu innych aplikacji poza samą przeglądarką. Na przykład należy uniemożliwić pakietu Microsoft Office i PDF tworzenie procesów podrzędnych.
Cel 5: Uprawnień administracyjnych
Ten cel konfiguruje reguły, takie jak brak dostępu wybranych kont do Internetu, poczty e-mail lub usług sieci Web. Podobnie, nieuprzywilejowane konta muszą mieć zakaz logowania się do uprzywilejowanych środowisk. Gdy osoba atakująca próbuje złamać sieć, jedną z pierwszych rzeczy, które zrobi, jest próba uzyskania dostępu na poziomie admina. W związku z tym niezwykle ważne jest zabezpieczenie kont uprzywilejowanych przed kompromitacją. W ten sposób osoba atakująca nie będzie w stanie uzyskać dostępu do uprzywilejowanego konta, po prostu żądając zresetowania hasła.
Cel 6: Aktualizacja systemów operacyjnych
Podobnie jak producenci aplikacji okresowo wydają poprawki usuwające znane luki w zabezpieczeniach, tak i firmi Microsoft i Apple regularnie wydaje poprawki do systemów OS. Łatanie systemu operacyjnego określa podstawowe wymagania dotyczące utrzymywania systemu w stabilnym stanie. Ponadto, cel ten wymaga od organizacji regularnego skanowania w poszukiwaniu brakujących poprawek.
Cel 7: Uwierzytelnianie wieloskładnikowe
Cel siódmy definiuje, kiedy należy stosować MFA. Poziom pierwszy jest stosunkowo łagodny i wymaga uwierzytelniania wieloczynnikowego przede wszystkim wtedy, gdy użytkownicy mają dostęp do aplikacji internetowych lub aplikacji opartych na sieci Web. Wyższe wymagają, aby uwierzytelnianie wieloskładnikowe było stosowane w coraz większej liczbie sytuacji. Multi-factor authentication jest jedną z najskuteczniejszych narzędzi, jakie organizacja może zrobić, aby zabezpieczyć konta użytkowników. WatchGuard AuthPoint pozwala użytkownikom na autoryzację z tego samego smartfona, który zawsze mają przy sobie. Bez potrzeby noszenia ze sobą tokena lub dedykowanego breloka.
Cel 8: Regularne tworzenie kopii zapasowych
Celem ósmym jest regularne tworzenie kopii zapasowych. Oprócz backupów organizacje są zobowiązane do przeprowadzania testów przywracania danych i uniemożliwiania nieuprzywilejowanym kontom usuwania lub modyfikowania kopii zapasowych. Także uzyskiwania dostępu do kopii zapasowych, które nie zostały stworzone przez to samo konto. Kolejnym krokiem jet nakładanie dodatkowego ograniczenia dostępu na konta nieuprzywilejowane i konta uprzywilejowane (z wyjątkiem kont administratorów kopii zapasowych i kont typu break glass).
źródło: https://www.cyber.gov.au/acsc/view-all-content/essential-eight
