今天的网络威胁景观正在迅速变化。与此相适应,必须使信息安全的系统保护不断得到更新,并进一步发展--拥有现代、广泛和灵活的当代信息安全措施目录。新的ISO/IEC 27001:2022正是支持这一目标,并提供了11项新的控制措施,我们将在下文中更详细地研究其中的三项,它们在预防和检测攻击方面是有效的。
网络攻击长期未被察觉
在21世纪的商业世界中,信息和数据的突出价值正日益迫使公司和组织关注信息安全,并投资于对其数字资产的系统保护。为什么?在动态的威胁环境中,攻击者的战术变得越来越复杂和多层次--导致受影响公司的形象和声誉受到严重损害,全球每年的经济损失达数十亿美元。
专家们一致认为,不再有针对网络攻击的完全保护--如果仅仅是因为不确定性的人为因素。这使得早期发现潜在和实际的攻击变得更加重要,以限制其在企业网络中的横向载体,并尽可能地减少可被破坏的系统数量。但在这一领域仍有大量的工作要做:作为IBM"2022年数据泄露成本"研究的一部分进行的研究表明,2022年平均需要277天才能发现和遏制一次攻击。
新的ISO 27001:2022
为了帮助公司和组织提供一个当代的、标准化的信息安全管理系统框架,ISO于2022年10月25日发布了新的ISMS标准ISO/IEC 27001:2022。附件A提供了可在公司特定基础上用于应对信息安全风险的控制/措施。
新的ISO/IEC 27001:2022有什么变化
适应当代信息风险的新版ISO/IEC 27001已于2022年10月25日发布。这对该标准的用户意味着什么?在我们的免费网络研讨会录音中,你将了解到
- ISO/IEC 27001:2022的新特点 - 框架和附件A
- ISO/IEC 27002:2022-02 - 结构、内容、属性和标签
- 过渡的时间表和你的下一步行动
当前版本中附件A措施的实施得到了ISO/IEC 27002:2022相同结构的实施指南的支持,该指南已于2月更新。新纳入了用于战略攻击预防和快速检测的通用控制措施。
三个新的检测和预防控制措施
ISO/IEC 27001:2022附件A中现在有93项措施,在更新后被重新组织为四个主题
- 组织措施、
- 个人措施、
- 物理措施和
- 技术措施。
在新引入的11项信息安全控制中,有三项与预防和及时发现网络攻击有关。这三项控制措施是
- 5.7 威胁情报(组织)。
- 8.16 监测活动(技术)
- 8.23 网络过滤(技术)。
下面我们就来仔细看看这3项新的控制措施。
威胁情报
组织控制5.7涉及对相关威胁信息的系统收集和分析。该措施的目的是使组织了解自己的威胁情况,以便随后采取适当的行动来减轻风险。威胁数据应按照三个方面进行结构化分析:战略、战术和行动。
战略性威胁分析提供了对不断变化的威胁形势的洞察力,如攻击类型和行为者,如国家动机的行为者、网络犯罪分子、合同攻击者、黑客活动家。国家和国际政府机构(如BSI--德国联邦信息安全办公室、enisa--欧盟网络安全局、美国国土安全部或NIST--国家标准与技术研究所),以及非营利组织和相关论坛,提供所有行业和关键基础设施中经过充分研究的威胁情报。
ISO 27001的DQS审核指南
有价值的知识
我们的审计指南 ISO 27001 - 附件A是由领先的专家创建的,作为一个实用的实施指南,是更好地了解选定的标准要求的绝佳途径。该指南还没有提到2022年10月的ISO 27001修订版。
战术威胁情报及其评估提供对攻击者的方法、工具和技术的评估。
具体威胁的操作评估提供具体攻击的详细信息,包括技术指标,例如,目前2022年勒索软件及其变种的网络攻击极度增加。
威胁分析可以通过以下方式提供支持:
- 在程序上将威胁数据纳入风险管理过程、
- 从技术上进行预防和检测,例如,通过更新防火墙规则、入侵检测系统(IDS)、反恶意软件解决方案、
- 具有针对信息安全的具体测试程序和测试技术的输入信息。
来自组织控制5.7的确定威胁情况和分析的数据质量直接影响到下面讨论的监测活动(8.16)和网络过滤(8.23)的两个技术控制,这也是ISO/IEC 27002的新规定。
监控活动
关于技术监测活动的侦查和纠正性信息安全控制8.16侧重于异常检测,作为避免威胁的一种方法。网络、系统和应用程序的行为符合预期模式,如数据吞吐量、协议、消息等。任何改变或偏离这些预期模式的行为都被检测为异常情况。
根据ISO 27001的认证
要想让您的ISMS通过ISO 27001认证,您需要付出怎样的努力?免费获得信息,没有义务。
我们期待着与您交谈。
为了发现这种异常行为,必须根据业务和信息安全要求对相关活动进行监测,并且必须将任何异常情况与现有的威胁数据进行比较,等等(见上文,要求5.7)。以下方面与监测系统有关:
- 入站和出站的网络、系统和应用流量、
- 对系统、服务器、网络设备、监控系统、关键应用程序等的访问......、
- 管理或关键任务层面的系统和网络配置文件;
- 安全工具日志[例如,防病毒、入侵检测系统(IDS)、入侵防御系统(IPS)、网络过滤器、防火墙、数据泄漏预防]、
- 与系统和网络活动有关的事件日志、
- 验证系统中的可执行代码是否具有完整性和授权、
- 资源使用情况,例如,处理器功率、磁盘容量、内存使用、带宽。
对活动进行有效监控的基本要求是一个干净透明的IT/OT基础设施和正常运作的IT/OT网络。任何违背这一基本状态的变化都会被检测为对功能的潜在威胁,从而被视为异常情况。根据基础设施的复杂性,尽管有相关的供应商解决方案,实施这一措施是一个重大挑战。异常检测系统的重要性几乎与ISO/IEC 27002:2022的要求8.16同时被认可,该要求适用于所谓关键基础设施的运营商。因此,在相关的、法律规定的国家范围内,这些有义务有效地应用所谓的攻击检测系统,并规定了期限。
网络过滤
互联网既是一种祝福也是一种诅咒。对可疑网站的访问仍然是恶意内容和恶意软件的门户。信息安全控制8.23网络过滤的预防目的是保护组织自己的系统不被恶意软件入侵,防止访问未经授权的网络资源。组织应该为此目的建立安全和适当使用在线资源的规则--包括对不需要或不适当的网站和基于网络的应用程序的强制性访问限制。组织应阻止对以下类型网站的访问:
- 具有上传功能的网站--除非这对合法的、商业的原因是必要的、
- 已知或甚至怀疑是恶意的网站、
- 命令和控制服务器、
- 从威胁数据中发现的恶意网站(另见措施5.7)、
- 有非法内容的网站。
网络过滤措施只有在训练有素、充分了解安全和适当使用在线资源的人员中才能真正发挥作用。
技术结论
这里描述的新的检测和预防控制措施在防御有组织的网络犯罪方面发挥着关键作用,它们已经正确地进入了ISO/IEC 27001和ISO/IEC 27002的当前版本。随着对现有威胁信息的不断更新和分析,对自己的IT基础设施进行广泛的活动监测,并确保自己的系统免受可疑网站的影响,公司正在持续加强对危险恶意软件入侵的保护。他们也使自己能够在早期阶段启动适当的应对措施。
公司和组织现在必须相应地实施所提出的三种控制/措施,并将它们一致地纳入其ISMS,以满足未来认证审计的要求。DQS在公正的审计和认证领域拥有超过35年的全面专业知识--并乐意支持您按照ISO/IEC 27001:2022对您的信息安全管理系统进行变革管理。
此次更新对您的认证意味着什么?
ISO/IEC 27001:2022已于2022年10月25日发布。这导致了用户过渡的最后期限和时间框架如下:
- 预计在2023年2月至5月准备好ISO/IEC 27001:2022的认证(取决于我们的认证机构DAkkS, Deutsche Akkreditierungsstelle GmbH)。
- 根据 "旧 "ISO 27001:2013进行初始/再认证审核的最后日期是2023年10月31日 2023年10月31日之后,DQS将只根据新的ISO/IEC 27001:2022标准进行初始和再认证审核。
- 根据 "旧的 "ISO/IEC 27001:2013标准将所有现有证书转换为新的ISO/IEC 27001:2022标准:从2022年10月31日起,将有三年的过渡期。根据ISO/IEC 27001:2013或DIN EN ISO/IEC 27001:2017颁发的证书最迟将在2025年10月31日之前有效,或者必须在该日撤销。
以DQS的专业知识提供最先进的ISMS服务
在过渡到新版本的ISO/IEC 27001时,组织仍有一些时间。目前基于旧标准的证书将在2025年10月31日失去其有效性。尽管如此,我们还是建议你在早期阶段处理改变后的ISMS要求,启动适当的改变过程,并相应地实施它们。
作为拥有三十多年经验的审计和认证专家,我们支持您实施新标准。从我们众多经验丰富的审核员那里了解到最重要的变化及其与贵组织的相关性--并相信我们的专业知识。我们将一起讨论你的改进潜力,并支持你,直到你获得新的证书。我们期待着您的来信。
DQS新闻
Markus Jegelka
Jegelka作为研究生工程师在DQS担任产品管理和认证部门的信息安全专家和审核员。他回顾了三十多年的从业经验,先是作为核设施辐射防护专家,然后是ISMS的审核员和认证机构副经理。在此职位上,他向德国认证机构DAkkS和许多客户审计展示了他的信息安全专业知识(ISO/IEC 27001),根据德国能源工业法案(EnWG)第11.1a段的IT安全目录)。