NRD CS specialistai prisidėjo prie JAV įkurto Interneto saugumo centro (angl. Center for Internet Security - CIS) išleistos šeštosios Kritinių saugos kontrolės priemonių efektyviai kibernetinei gynybai versijos parengimo (angl. CIS Critical Security Controls for Effective Cyber Defense Version 6.0). CIS Kritinės saugos kontrolės priemonės yra rekomenduojamų praktiškų saugumo priemonių rinkinys, kuris padeda organizacijoms atremti labiausiai paplitusias ir pavojingiausias kibernetines atakas.

Šis nemokamas, tarptautiniu mastu pripažįstamas ir naudojamas priemonių rinkinys yra sudarytas ir patvirtintas tarptautinės kibernetinio saugumo ekspertų bendruomenės. Šeštojoje Kritinių saugos kontrolės priemonių versijoje įvardintos svarbiausios kibernetinės gynybos priemonės, kurias turėtų įgyvendinti kiekviena organizacija.

Neseniai atlikta Australijos vyriausybės gynybos departamento studija rodo, kad panaudojant pirmąsias 5 CIS Kritines saugos kontrolės priemones galima išvengti 85 procentų žinomų kibernetinio saugumo spragų. Šios priemonės apima:

  1. Autorizuotų ir neautorizuotų įrenginių kontrolę,
  2. Autorizuotos ir neautorizuotos programinės įrangos kontrolę,
  3. Saugų mobiliųjų įrenginių, nešiojamųjų kompiuterių, tarnybinių stočių ir serverių techninės ir programinės įrangos konfigūravimą,
  4. Nuolatinį pažeidžiamumų vertinimą ir šalinimą,
  5. Administravimo teisių kontrolę.

CIS kontrolės priemonės vertinamos IT specialistų visame pasaulyje. Jas nuolat peržiūri ir atnaujina tarptautinė kibernetinio saugumo ekspertų bendruomenė, remdamasi realių atakų prieš privatųjį ir viešąjį sektorių duomenimis ir jų analize. Į šeštąją CIS Kritinių saugos kontrolės priemonių versiją bendruomenės specialistai įtraukė rekomendacijas, atsižvelgę į naujausias technologijas ir grėsmes:

  • Įvesta nauja saugos kontrolės priemonė el. pašto bei interneto naršyklės apsaugai,
  • Panaikinta saugių tinklų projektavimo principų saugos kontrolė,
  • Perskirstyta kontrolės priemonių prioritetinė tvarka, suteikiant administratoriaus teisių kontrolei aukštesnį prioritetą.

„CIS Kritinės saugos kontrolės priemonės nėra tiesiog dar vienas sąrašas priemonių, kurias organizacijos turėtų įgyvendinti. Tai - nuoseklus ir pagal svarbą suskirstytas priemonių rinkinys, kuris remiasi ir papildo kitas kibernetinio saugumo metodikas, tokias kaip NIST kibernetinio saugumo metodika, US-CERT rekomendacijos bei tarptautinės strategijos, tokios kaip Australijos Strategija sumažinti nutaikytų kibernetinių atakų skaičių", teigia Tony Sager, CIS vyresnysis direktoriaus pavaduotojas ir vyriausiasis evangelistas.

"CIS Kritinių saugos kontrolės priemonių šeštoji versija yra itin kokybiškas kibernetinio saugumo žinių rinkinys. Esame be galo dėkingi tarptautinei kibernetinio saugumo ekspertų bendruomenei už jų skirtą asmeninį laiką tam, kad ši atnaujinta versija išvystų dienos šviesą", teigia CIS prezidentas Stephen J. Spano.

CIS Kritines saugos kontrolės priemones ruošusi specialistų grupė dedikavo savo laiką siekdami užtikrinti, kad priemonės teisingai atspindėtų bendruomenės patirtį, susijusią su grėsmėmis, pažeidžiamumais ir gynybos technologijomis. Jų dėka metodikos parengimo kaštai yra optimalūs, ir ji yra visuotinai prieinama.

Savanorių, prisidėjusių prie šios iniciatyvos sąraše - pripažinti kibernetinio saugumo ekspertai: Chirag Arora, NRD CS direktorius Vilius Benetis, Rick Doten iš Crumpton Group, Russell Eubanks iš Federal Reserve Bank in Atlanta, Joseph Faust iš Mandiant, Ron Gula iš Tenable, Geoff Hancock iš Advanced Cybersecurity Group, Greg Johnson iš Federal Reserve Bank of Richmond, Kent Landfield iš Intel Security, Ross Leo iš Houston-Clear Lake universiteto, Hardeep Mehrotara, Dwayne Melancon iš Tripwire, Lisa Peterson, Ashley Pyles, Brian Russell iš Leidos, Gary Stoneburner iš Johns Hopkins Applied Physics Laboratory, James Tarala iš Enclave Security, Kelli Tarala iš Enclave Security, Chris Thompson iš IBM, bei kiti.

CIS Kritinių kontrolės priemonių šeštąją versiją galite nemokamai pasiekti šiuo adresu: http://www.cisecurity.org/critical-controls.cfm

Naujausia CIS Kritinių kontrolės priemonių versija taip pat bus pristatyta NRD CS organizuojamoje kasmetinėje konferencijoje „Kibernetinė gynyba Lietuvoje 2015", vyksiančioje š. m. spalio 27 d. Vilniuje. Renginyje dalyvaus kviestinis svečias - Geoff Hancock iš Advanced Cybersecurity Group - vienas iš ekspertų, kaip ir NRD CS prisidėjusių prie metodikos parengimo. Jis papasakos dalyviams apie tai, kas šeštojoje versijoje pasikeitė ir į ką reikėtų atkreipti dėmesį 2016-aiaisis. Dalyvavimas tik su pakvietimais. Daugiau informacijos: info@nrdcs.lt

UAB NRD CS yra technologinių kibernetinės gynybos konsultacijų, reagavimo į saugos incidentus bei taikomųjų mokslinių tyrimų įmonė. Bendrovės klientai - vyriausybės, teisėsauga, nacionaliniai ryšių reguliatoriai, organizacijų saugos padaliniai. NRD CS taip pat įgyvendina Norway Registers Development AS misiją sukurti saugią skaitmeninę aplinką šalims, vyriausybėms, verslams ir gyventojams bei prisideda prie Critical Security Controls for Effective Cyber Defence ir kitų kibernetinės saugos metodikų vystymo. Įmonė yra valdoma Nasdaq Baltic listinguojamos investicijų į informacinių technologijų verslus bendrovės AB „INVL Technology", kurios įmonės veikia klasterio pagrindu ir įgyvendina bendrus projektus daugiau kaip 50-yje pasaulio šalių.

Interneto saugumo centras (CIS) yra ne pelno siekianti organizacija, kurios tikslas - didinti kibernetinį atsparumą viešajame ir privačiajame sektoriuose. Bendradarbiaudamas su industrija bei vyriausybiniu sektoriumi, CIS kovoja su tarptautinėmis kibernetinio saugumo grėsmėmis ir padeda organizacijoms prisitaikyti gerąsias praktikas, greitai ir efektyviai sustiprinančias kibernetinę gynybą. CIS taip pat priklauso tarptautinis Dalinimosi informacija ir jos analizės centras (angl. Multi-State Information Sharing and Analysis Center,) CIS Saugos lygynamieji standartai (angl. CIS Security Benchmarks) bei CIS Kritinės saugos kontrolės priemonės (angl. CIS Critical Security Controls).