Podejmij pierwsze kroki w kierunku lepszego cyberbezpieczeństwa dzięki tym czterem celom jakie zaleca Agencja Bezpieczeństwa Cybernetycznego i Bezpieczeństwa Infrastruktury (CISA)
Każdego dnia organizacje na całym świecie są narażone na ataki cybernetyczne, z których wiele wpływa na świadczenie podstawowych usług. Specjaliści ds. bezpieczeństwa i liderzy biznesowi dostrzegają potrzebę ochrony swoich klientów, pracowników i przedsiębiorstw przed tym zagrożeniem, co rodzi proste, ale trudne pytanie: od czego zacząć?
Wiemy, że żadna organizacja nie jest w stanie zastosować wszystkich możliwych środków lub rozwiązań w zakresie cyberbezpieczeństwa, ale każda organizacja może coś zrobić. Wiemy również, że niektóre środki bezpieczeństwa cybernetycznego są skuteczniejsze niż inne w przypadku ataków, które występują z największą częstotliwością i mają największy wpływ. Nie brakuje wskazówek, najlepszych praktyk i standardów, ale od niezliczonych partnerów słyszeliśmy o wyzwaniu związanym z ustalaniem priorytetów.
Aby zaradzić tej luce, memorandum prezydenta Bidena dotyczące bezpieczeństwa narodowego w sprawie poprawy bezpieczeństwa cybernetycznego systemów kontroli infrastruktury krytycznej wymagało od Agencji Bezpieczeństwa Cybernetycznego i Bezpieczeństwa Infrastruktury (CISA) współpracy z partnerami branżowymi i międzyagencyjnymi w celu opracowania zestawu dobrowolnych międzysektorowych celów w zakresie wydajności cyberbezpieczeństwa(CPG). CPG po raz pierwszy wprowadziliśmy w grudniu 2022 r. i zaktualizowaliśmy je w marcu w oparciu o wstępne opinie interesariuszy. CPG zostały opracowane dla podmiotów każdej wielkości i we wszystkich sektorach i miały umożliwiać rygorystyczne ustalanie priorytetów, ponieważ bezpieczeństwo nie powinno oznaczać przekraczania budżetu. Ponadto CPG mogą pomóc organizacjom ocenić ich obecną postawę w zakresie cyberbezpieczeństwa, jednocześnie udzielając im wskazówek, jak osiągnąć solidne podstawy cyberbezpieczeństwa dla ich organizacji.
Wierzymy, że jeśli każda organizacja zastosuje podstawowe praktyki bezpieczeństwa cybernetycznego, może znacząco zmniejszyć ryzyko włamań, bez względu na sektor lub wielkość. Jako krajowa Agencja Obrony Cybernetycznej, naszym celem w CISA jest ułatwienie każdej organizacji ustalania priorytetów w zakresie najważniejszych praktyk związanych z cyberbezpieczeństwem. Chcemy również mieć pewność, że są one jasne, łatwe do zrozumienia, a po wdrożeniu określają namacalne kroki, które organizacje mogą podjąć, aby zmniejszyć ryzyko cyberataków i szkód, jakie mogą wyrządzić.
Zorganizowane zgodnie z Ramami bezpieczeństwa cybernetycznego , CPG odzwierciedlają jedne z najlepszych pomysłów zebranych w całej społeczności zajmującej się cyberbezpieczeństwem i czerpią z szerokiego wkładu ekspertów z różnych sektorów, publicznego i prywatnego, krajowego i międzynarodowego.
Chociaż pełna lista celów może wydawać się długa, szczególnie w przypadku małych organizacji, są one całkiem możliwe do osiągnięcia. Na przykład niektóre proste i podstawowe praktyki, które możesz zacząć wdrażać już dziś, to:
- Zmiana domyślnych haseł (CPG Cel 2.A): Stworzenie i egzekwowanie w całej organizacji zasad, które wymagają zmiany domyślnych haseł producenta przed umieszczeniem sprzętu, oprogramowania lub oprogramowania układowego w sieci, może pomóc organizacjom zarówno w zapobieganiu wstępnemu dostępowi cyberprzestępców, jak i utrudnianiu ruchu bocznego w przypadku naruszenia bezpieczeństwa. Wiele urządzeń, takich jak smartfony, może domyślnie monitować nowych użytkowników o ustawienie nowego hasła. Jednak wiele urządzeń nadal nie monituje użytkowników o wykonanie tej czynności, a powinno to być jednym z pierwszych kroków podczas wdrażania nowego zasobu lub urządzenia. Co ważne, żaden produkt technologiczny nie powinien być dostarczany z domyślnym hasłem, które nie jest resetowane przy pierwszym użyciu. Kupując produkt, zapytaj sprzedawcę o stosowanie przez niego domyślnych haseł!
- Zaimplementuj odporne na phishing uwierzytelnianie wieloskładnikowe (MFA) (CPG Cel 2.H) : dodanie krytycznej, dodatkowej warstwy zabezpieczeń w celu ochrony kont Twojej organizacji może uniemożliwić cyberprzestępcom wstępne przyczółki wykorzystywane do siania spustoszenia. CISA zaleca stosowanie tokenów sprzętowych, takich jak FIDO lub Public Key Infrastructure, w celu uzyskania największej odporności na wykorzystanie. Miękkie tokeny oparte na aplikacji są również dobrą opcją. Chociaż usługa krótkich wiadomości (SMS) jest lepsza niż brak dodatkowej warstwy zabezpieczeń, powinna być ostatnią deską ratunku dla organizacji przy wdrażaniu uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, zapoznaj się z arkuszem informacyjnym CISA dotyczącym wdrażania usługi MFA odpornej na phishing oraz innymi informacjami dostępnymi na stronie Więcej niż hasło CISAstrona. Podobnie jak w przypadku powyższej akcji, produkty technologiczne powinny wychodzić z pudełka z domyślnie włączonym MFA, bez dodatkowych kosztów. Wybierając produkt technologiczny, przypomnij swojemu dostawcy, że oczekujesz automatycznego włączenia usługi MFA dla wszystkich użytkowników.
- Oddziel konta użytkowników i konta uprzywilejowane (CPG Cel 2.E): Utrudnij cyberprzestępcom uzyskanie dostępu lub eskalację uprawnień, nawet jeśli konta użytkowników zostaną naruszone, poprzez zapewnienie, że żadne konto użytkownika nie będzie miało uprawnień na poziomie administratora. Pamiętaj, aby często i cyklicznie oceniać uprawnienia, aby potwierdzić potrzebę posiadania określonych uprawnień. Na przykład pracownik zespołu marketingowego prawdopodobnie nie powinien mieć dostępu do danych kadrowych firmy, ponieważ nie jest to konieczne do jego codziennej pracy.
- Plany reagowania na incydenty (CPG Cel 2.S): Twórz, utrzymuj i ćwicz plany reagowania na cyberbezpieczeństwo, które mogą pomóc organizacji wiedzieć, co należy zrobić, aby szybko reagować na typowe scenariusze zagrożeń i szybciej odzyskiwać siły. Podczas gdy duże organizacje mogą mieć złożone plany, mniejsze jednostki mogą zaczynać od prostego planu określającego natychmiastowe kroki, które należy podjąć w sytuacji awaryjnej (takie jak skontaktowanie się z usługodawcą w celu uzyskania pomocy) iz czasem ulepszać plan. CISA zaleca organizacjom przećwiczenie realizacji planu poprzez analizę realistycznych scenariuszy przynajmniej raz w roku. Ponownie, w przypadku dużych organizacji mogą to być starannie zaplanowane ćwiczenia na stole, ale w przypadku małych zespołów podejście takie jak proste próby lub ustne instruktaże mogą nadal stanowić wartość.
CISA oferuje bezpłatną ocenę CPG, aby pomóc organizacjom zidentyfikować obszary wymagające dojrzałości i opracować ukierunkowany plan działania. Rozważ samoocenę lub skontaktuj się z członkami naszego zespołu regionalnego w Twojej okolicy, aby dowiedzieć się więcej! Aby dowiedzieć się więcej o CPG, obejrzyj nasz krótki film i odwiedź stronę www.cisa.gov/cpg .
oprac. e-mk ppr.pl na podst źródło: (CISA)
18958021
1
.2.jpg)
.png)
Zaloguj przez Facebook
