Od wykrywania zagrożeń do zarządzania podatnościami
czyli dlaczego NIS 2 nie kończy się na antywirusie
W poprzednich wpisach tej serii przechodziliśmy przez architekturę, segmentację sieci, testy bezpieczeństwa i zarządzanie poprawkami.
To wszystko prowadzi do jednego celu: wykryć zagrożenie na czas i ograniczyć jego skutki, zanim stanie się incydentem o realnym wpływie na działalność organizacji.
ENISA w NIS 2 bardzo jasno pokazuje, że ochrona przed malware i zarządzanie podatnościami to jeden ciągły proces, a nie zestaw narzędzi wdrożonych „na wszelki wypadek”.
Ochrona przed złośliwym i nieautoryzowanym oprogramowaniem
bo malware wchodzi drzwiami, oknami i skrzynką mailową
NIS 2 nie mówi „zainstaluj antywirusa”.
Mówi: zbuduj system, który stale wykrywa, reaguje i uniemożliwia obejście zabezpieczeń.
W praktyce oznacza to kilka kluczowych zasad.
Po pierwsze: ochrona na wielu poziomach.
Nie tylko na stacjach roboczych, ale też na serwerach, urządzeniach mobilnych, bramach sieciowych, poczcie i punktach styku z Internetem. Malware rzadko atakuje jednym wektorem.
Po drugie: ochrona zawsze aktywna.
Stałe skanowanie, analiza behawioralna, monitoring w czasie rzeczywistym. Nie „raz na tydzień”, nie „po zgłoszeniu”, tylko ciągle.
Po trzecie: reakcja i odtwarzanie.
Systemy ochronne muszą nie tylko wykrywać, ale też izolować, usuwać zagrożenia i przywracać bezpieczne ustawienia. W tym kryje się różnica między EPP a realnym EDR czy XDR.
Po czwarte: centralne zarządzanie i odporność na obchodzenie zabezpieczeń.
Jeśli użytkownik może wyłączyć ochronę albo ominąć politykę, to nie jest ochrona. ENISA wprost wskazuje na potrzebę kontroli administracyjnej i spójności z polityką dostępu.
I wreszcie: kontrola tego, co w ogóle może się uruchamiać.
Whitelisty aplikacji, ograniczanie nieautoryzowanego oprogramowania, kontrola skryptów. To często skuteczniejsze niż kolejne sygnatury malware.
Malware to skutek, podatności to przyczyna
i dlatego NIS 2 każe zarządzać lukami systemowo
Druga część tego obszaru dotyczy tego, skąd malware w ogóle bierze się w środowisku.
Najczęściej z niezałatanych podatności.
ENISA oczekuje, że organizacja:
- wie, gdzie może pojawić się informacja o podatnościach,
- potrafi ocenić ich znaczenie dla własnego środowiska,
- i reaguje bez zbędnej zwłoki na te krytyczne.
Nie chodzi o ślepe patrzenie w CVSS.
Chodzi o kontekst biznesowy, ekspozycję systemu i realne ryzyko wykorzystania.
Dlatego zarządzanie podatnościami musi być spójne z:
- zarządzaniem zmianą,
- patch managementem,
- reagowaniem na incydenty,
- i oceną ryzyka.
NIS 2 wymaga też formalnego podejścia do sytuacji, gdy podatność nie jest usuwana.
Każda taka decyzja musi być:
- uzasadniona,
- udokumentowana,
- zaakceptowana na poziomie zarządczym,
- i skompensowana innymi środkami ochrony.
Brak poprawki to nie problem.
Brak decyzji i dokumentacji – już tak.
Ujawnianie podatności i współpraca z otoczeniem
cyberbezpieczeństwo nie kończy się na granicy organizacji
ENISA mocno akcentuje też odpowiedzialne ujawnianie podatności.
Organizacja powinna:
- mieć jasno wskazany punkt kontaktu,
- wiedzieć, jak komunikować się z CSIRT,
- i potrafić przyjąć informację o luce, zanim stanie się ona publicznym exploit’em.
To dotyczy również podatności wykrytych we własnych systemach czy w komponentach open source.
NIS 2 promuje współdzielenie informacji, bo tylko tak można ograniczać skalę zagrożeń systemowych.
Co to wszystko oznacza w praktyce
W świecie NIS 2 ochrona przed malware i podatnościami to nie „techniczny dodatek”.
To ciągły proces operacyjny, który:
- łączy monitoring, testy, poprawki i reagowanie,
- wymaga decyzji zarządczych, nie tylko IT,
- i musi być mierzalny oraz audytowalny.
Antywirus bez procesu to iluzja bezpieczeństwa.
Lista podatności bez decyzji to tylko raport.
Co dalej w serii NIS 2
Tym wpisem domykamy obszar bezpieczeństwa technicznego systemów i sieci.
W kolejnych materiałach przejdziemy do tematów, które spinają technologię z organizacją:
monitorowanie, logowanie, reagowanie na incydenty i raportowanie do właściwych organów.
Bo w NIS 2 liczy się nie tylko to, czy masz zabezpieczenia,
ale czy potrafisz wykazać, że naprawdę działają.
Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!