Kyberrikolliset voivat hyödyntää konfigurointivirheitä tai teknisiä haavoittuvuuksia sovelluksissa, palomuureissa tai verkoissa päästäkseen käsiksi tietoihimme.

Organisaation on käytettävä defense-in-depth -tekniikoita verkkohyökkäyksiltä suojautumiseen, niiden havaitsemiseen sekä niihin vastaamiseen. Tekniikoiden pitäisi soveltua niin fyysisten, loogisten kuin hallinnollisten kontrollien valvontaan.

Organisaatio toteuttaa uhkatiedustelua keräämällä tietoa toimintaansa liittyvistä tietoturvauhkista ja niiltä suojautumisesta. Tavoitteena on kasvattaa tietoisuutta uhkaympäristöstä, jotta omaa suojaustasoa voidaan paremmin arvioida ja riittävät hallintakeinot toteuttaa.

Uhkatiedustelutiedon keräämisessä on huomioitava kaikki kolme tasoa:

• strateginen uhkatiedustelu (mm. tieto kasvavista hyökkääjä- ja hyökkäystyypeistä)
• taktinen uhkatiedustelu (mm. tieto hyökkäyksissä käytetyistä työkaluista ja teknologioista)
• operatiivinen uhkatiedustelu (mm. yksityiskohdat tietyistä hyökkäyksistä)

Uhkatiedusteluun liittyvien periaatteiden tulisi sisältää:

• tavoitteiden asettaminen uhkatiedustelulle
• uhkatiedustelussa käytettävien tietolähteiden tunnistaminen, tarkistaminen ja valinta
• uhkatiedustelutiedon kerääminen
• tiedon käsittely analyysiä varten (mm. kääntäminen, formatointi, tiivistäminen)

Organisaatio parantaa tietoturvaa valitsemalla ja ottamalla käyttöön sopivan laitepohjaisen IPS- tai EDR-ratkaisun. Organisaatio ottamaa ratkaisun käyttöön kriittisissä kohteissa, ja varmistaa että uhkakuvakkeet ja säännöt päivitetään säännöllisesti.

Organisaatio parantaa verkkoturvallisuutta arvioimalla ja valitsemalla sopivan verkon tunkeutumisen havaitsemisjärjestelmän (NIDS) tai vastaavat pilviratkaisut. Organisaatio sijoittaa sensorit strategisesti, määrittää valvonta- ja hälytysjärjestelmät sekä varmistaa säännölliset päivitykset ja ylläpitämisen. Pilviympäristöissä organisaatio hyödyntää CSP:n tarjoamia tietoturvapalveluja, joissa on NIDS-toiminto.

Organisaatio vahvistaa tietoturvaa valitsemalla yhteensopivan laitepohjaisen tunkeutumisen havaitsemisjärjestelmän (HIDS), joka on konfiguroitu kattavaan valvontaan ja hälytyksiin ja jossa on säännöllisesti päivitetyt allekirjoitukset ja säännöt. HIDS-järjestelmä otetaan käyttöön kriittisissä kohteissa, sitä tarkistetaan ja viritetään säännöllisesti tarkkuuden varmistamiseksi ja se integroidaan keskitettyihin loki- ja hallintajärjestelmiin, jotta häiriötilanteet voidaan analysoida ja niihin voidaan reagoida tehokkaasti.

Sähköpostin ja latausten skannausprotokollat on määritetty käyttämään haittaohjelmien tunnistusohjelmia, jotka tarkistavat kaikki sähköpostin liitetiedostot ja lataukset uhkien varalta ja estävät samalla tietyt tarpeettomiksi tai riskialttiiksi katsotut tiedostotyypit.

Suodatus- ja valvontajärjestelmiä, kuten palomuureja ja tunkeutumisen havaitsemisjärjestelmiä, käytetään suodattamaan tietyt tiedostotyypit sähköpostiviemäriin ja estämään niiden lähettäminen.

Toimenpiteitä, joilla pyritään estämään luottamuksellisten tietojen lataaminen ulkoisista verkoista, voidaan mukauttaa estämään tiettyjen tiedostotyyppien vastaanottaminen sähköpostitse.

Organisaation on lokitettava käytettyjen laitteiden ja palveluiden hallinto- ja turvalokit.

Näihin lokitietoihin lokitetaan järjestelmänvalvojien ja etuoikeutettujen käyttäjien tekemät toimet. Niiden avulla voidaan valvoa järjestelmäkonfiguraatioiden, käyttäjien käyttöoikeuksien ja muiden kriittisten asetusten muutoksia. Säilyttämällä näitä lokitietoja organisaatio voi tarkastaa hallintatoimet ja varmistaa vastuullisuuden.

Tietoturvalokit tallentavat järjestelmien ja tietojen turvallisuuteen liittyviä tapahtumia. Näihin kuuluvat kirjautumisyritykset, palomuuritoiminnot, tunkeutumisen havaitsemisjärjestelmän hälytykset ja virustorjuntatoimet. Näiden lokien seuraaminen auttaa tunnistamaan epäilyttävät toiminnot, jotka voivat viitata tietoturvaloukkaukseen tai sisäiseen uhkaan.

Kattavan turvallisuusarkkitehtuurin luominen ja ylläpitäminen. ICT-järjestelmään olisi sisällytettävä seuraavat toiminnot:

• Käyttäjien ja tilien hallintatoiminnot
• Toiminnallisuus laitteiden (esim. asiakkaiden) hallinnassa pysymistä varten.
• Toiminnallisuus resurssien ja palveluiden käyttöoikeuksien hallintaa varten
• Toiminnallisuus ohjelmistojen suorittamisen ja asennuksen valvomiseksi (erityisesti asiakkaissa).
• Työkalut koko ICT-arkkitehtuurin tai sen osien käyttämiseen ja virtualisointiin (paikallisesti ja pilvipalveluna).
• Verkkolaitteet (kytkimet, reitittimet, yhteyspisteet) ja palomuurit.
• Haittaohjelmien torjuntamekanismit (virustorjunta).
• Salausmoduulit
• Digitaaliset varmenteet ja julkisen avaimen infrastruktuuri (PKI).
• Tietokannat
• Järjestelmänvalvontatyökalut
• Työkalut tietoturvamääritysten hallintaan
• tunkeutumisen havaitsemis- (IDS) ja suojausjärjestelmät (IPS).
• Varmuuskopiointi ja palautus

Liikenteen suodatus- ja valvontajärjestelmiä ovat esimerkiksi palomuurit, reitittimet, tunkeutumisia havaitsevat tai estävät järjestelmät (IDS/IPS) sekä vastaavia toiminnallisuuksia sisältävät verkkolaitteet/palvelimet/sovellukset.

Suodatuksen ja valvonnan toiminnan varmistamiseksi:

• Järjestelmille on nimetty omistaja, joka huolehtii järjestelmän tarkoituksenmukaisesta toiminnasta huolehditaan koko tietojenkäsittely-ympäristön elinkaaren ajan
• Liikennettä suodattavien tai valvovien järjestelmien asetusten lisääminen, muuttaminen ja poistaminen on vastuutettu järjestelmän omistajalle
• Verkon ja siihen liittyvien suodatus- ja valvontajärjestelmien dokumentaatiota ylläpidetään sen elinkaaren aikana erottamattomana osana muutosten ja asetusten hallintaprosessia
• Järjestelmien asetukset ja haluttu toiminta tarkastetaan määräajoin tietojenkäsittely-ympäristön toiminnan ja huollon aikana sekä poikkeuksellisten tilanteiden ilmetessä

Organisaation tietojärjestelmiä ja verkkoa on valvottava poikkeavan käytön havaitsemiksi. Kun poikkeavaa käyttöä havaitaan, organisaation on ryhdyttävä tarvittaviin toimenpiteisiin arvioidakseen tietoturvahäiriön mahdollisuuden.

Valvonnassa tulisi hyödyntää työkaluja, jotka mahdollistavat reaaliaikaisen tai säännöllisen valvonnan organisaation tarvetason huomioiden. Valvontakäytännöillä tulisi pystyä hallitsemaan suuria määriä dataa, mukautumaan muuttuvaan uhkaympäristöön sekä lähettää tarvittaessa hälytyksiä välittömästi.

Seuraavien lähteiden sisällyttämistä valvontajärjestelmään on harkittava:

• lähtevä ja saapuva verkko- ja tietojärjestelmäliikenne
• pääsy kriittisiin tietojärjestelmiin, palvelimiin, verkkolaitteisiin ja itse valvontajärjestelmään
• kriittiset järjestelmä- ja verkkomääritystiedostot
• lokit suojaustyökaluista (esim. virustorjunta, IDS, IPS, verkkosuodattimet, palomuurit)
• verkon ja tietojärjestelmien käyttöön liittyvät tapahtumalokit
• suoritettavan koodin tarkistukset
• resurssien käyttö (esim. CPU, kiintolevyt, muisti, kaistanleveys) ja niiden suorituskyky

Organisaation on myös luotava toimintatavat "false positive" tulosten tunnistamiseksi ja korjaamiseksi, mukaan lukien valvontaohjelmiston virittäminen tarkempaa poikkeavuuksien tunnistamista varten.