Skip to main content

8.7 Ochrona przed złośliwym oprogramowaniem

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Detekcyjne, Korygujące, Poufność, Integralność, Dostępność
Koncepcje cyberbezpieczeństwa: Ochrona, Wykrywanie, Bezpieczeństwo systemów i sieci, Ochrona informacji
Obszary operacyjne: Obrona

Kontrola

Ochrona przed złośliwym oprogramowaniem powinna być wdrożona i wspierana przez odpowiednią świadomość użytkowników.

Cel

Zapewnienie ochrony informacji i innych powiązanych zasobów przed zagrożeniami wynikającymi z działania złośliwego oprogramowania.

Wytyczne

Ochrona przed złośliwym oprogramowaniem powinna opierać się na wykrywaniu i usuwaniu złośliwego oprogramowania, świadomości bezpieczeństwa, odpowiedniej kontroli dostępu do systemów oraz zarządzaniu zmianami. Samo stosowanie narzędzi do wykrywania i usuwania złośliwego oprogramowania zazwyczaj nie jest wystarczające.

W celu zwiększenia ochrony należy rozważyć:

  • a) wdrożenie zasad i mechanizmów kontrolnych zapobiegających lub wykrywających użycie nieautoryzowanego oprogramowania [np. biała lista aplikacji (allowlisting)] (zob. 8.19 i 8.32);
  • b) wdrożenie mechanizmów zapobiegających lub wykrywających dostęp do znanych lub podejrzanych złośliwych stron internetowych (np. czarna lista – blocklisting);
  • c) eliminację luk podatności, które mogą być wykorzystywane przez złośliwe oprogramowanie [np. poprzez zarządzanie podatnościami technicznymi (zob. 8.8 i 8.19)];
  • d) regularne, automatyczne skanowanie oprogramowania i zawartości danych w systemach, zwłaszcza tych obsługujących krytyczne procesy biznesowe, oraz badanie obecności nieautoryzowanych plików lub nieautoryzowanych zmian;
  • e) wdrożenie środków ochronnych przed ryzykiem wynikającym z pobierania plików i oprogramowania z sieci zewnętrznych lub za pomocą innych nośników;
  • f) instalację i regularną aktualizację oprogramowania do wykrywania i usuwania złośliwego oprogramowania, obejmującego:
    1. skanowanie danych otrzymywanych przez sieci lub inne nośniki elektroniczne przed ich użyciem;
    2. skanowanie załączników e-mail i wiadomości błyskawicznych oraz pobranych plików przed ich użyciem (przy różnych punktach kontroli, np. na serwerach pocztowych, komputerach użytkowników);
    3. skanowanie stron internetowych podczas ich odwiedzania;
  • g) określenie umiejscowienia i konfiguracji narzędzi wykrywających i naprawiających złośliwe oprogramowanie w oparciu o ocenę ryzyka, uwzględniając:
    1. zasadę wielowarstwowej ochrony (defence in depth), np. wdrażanie zabezpieczeń na bramach sieciowych, serwerach i urządzeniach końcowych użytkowników;
    2. techniki stosowane przez atakujących, np. szyfrowanie plików w celu ukrycia złośliwego kodu;
  • h) ochronę przed możliwością wprowadzenia złośliwego oprogramowania podczas działań konserwacyjnych lub awaryjnych, które mogą omijać standardowe mechanizmy zabezpieczeń;
  • i) wdrożenie procedury umożliwiającej czasowe lub trwałe wyłączenie zabezpieczeń antywirusowych, w tym określenie wymaganych zezwoleń, dokumentowania przyczyn oraz dat przeglądu takich decyzji – może to być konieczne, jeśli ochrona przed malwarem powoduje zakłócenia w normalnym działaniu systemów;
  • j) przygotowanie odpowiednich planów ciągłości działania na wypadek ataku złośliwego oprogramowania, w tym kopii zapasowych danych i oprogramowania (zarówno online, jak i offline) oraz planów odzyskiwania systemów (zob. 8.13);
  • k) izolowanie środowisk, w których mogą wystąpić katastrofalne skutki ataku;
  • l) określenie procedur i odpowiedzialności dotyczących ochrony systemów przed złośliwym oprogramowaniem, w tym szkolenie użytkowników, raportowanie incydentów oraz odzyskiwanie systemów po ataku;
  • m) zapewnienie użytkownikom szkoleń i podnoszenia świadomości w zakresie identyfikowania i unikania zagrożeń związanych z odbieraniem, przesyłaniem i instalacją zainfekowanych plików, e-maili lub programów [informacje z punktów n) i o) mogą pomóc w dostosowywaniu szkoleń];
  • n) wdrożenie procedur regularnego pozyskiwania informacji o nowych zagrożeniach malware, np. poprzez subskrypcję biuletynów bezpieczeństwa lub monitorowanie odpowiednich stron internetowych;
  • o) weryfikowanie, czy informacje o zagrożeniach malware pochodzą z wiarygodnych i uznanych źródeł (np. oficjalnych stron dostawców oprogramowania antywirusowego) oraz czy są rzetelne i przydatne.

Inne informacje

W niektórych przypadkach instalacja oprogramowania antymalware może nie być możliwa (np. w systemach sterowania przemysłowego).

Niektóre rodzaje złośliwego oprogramowania infekują systemy operacyjne i oprogramowanie sprzętowe w sposób uniemożliwiający skuteczne usunięcie infekcji standardowymi metodami. W takich przypadkach konieczne może być całkowite przywrócenie systemu operacyjnego lub firmware'u urządzenia w celu odzyskania bezpiecznego stanu.