ΓΕΝΙΚΟ ΕΠΙΤΕΛΕΙΟ ΕΘΝΙΚΗΣ ΑΜΥΝΑΣ ΔΝΣΗ ΚΥΒΕΡΝΟΑΜΥΝΑΣ TEXNIKO ΣΧΕΔΙΟ ΔΡΑΣΗΣ ΓΙΑ ΤΗΝ ΑΝΑΠΤΥΞΗ ΚΥΒΕΡΝΟΑΜΥΝΑΣ ΣΤΙΣ ΕΔ

Transcript

1 ΓΕΝΙΚΟ ΕΠΙΤΕΛΕΙΟ ΕΘΝΙΚΗΣ ΑΜΥΝΑΣ ΔΝΣΗ ΚΥΒΕΡΝΟΑΜΥΝΑΣ TEXNIKO ΣΧΕΔΙΟ ΔΡΑΣΗΣ ΓΙΑ ΤΗΝ ΑΝΑΠΤΥΞΗ ΚΥΒΕΡΝΟΑΜΥΝΑΣ ΣΤΙΣ ΕΔ ΑΘΗΝΑ, ΜΑΡΤΙΟΣ 2014 ΤΥΠΟΓΡΑΦΕΙΟ ΕΛΛΗΝΙΚΟΥ ΣΤΡΑΤΟΥ

2

3 ΠΡΟΣ : ΓΕΝΙΚΟ ΕΠΙΤΕΛΕΙΟ ΕΘΝΙΚΗΣ ΑΜΥΝΑΣ ΔΝΣΗ ΚΥΒΕΡΝΟΑΜΥΝΑΣ Τηλ: Πίνακας Αποδεκτών Φ.310/1/ Σ.74 ΚΟΙΝ : Αθήνα, 04 Μαρ 14 ΘΕΜΑ : Τεχνικό Σχέδιο Δράσης Ανάπτυξης Κυβερνοάμυνας στις ΕΔ ΣΧΕΤ : Υπ Αρίθμ 7 γνωμάτευση της 33ης/ Συνεδρίαση ΣΑΓΕ 1. Σας αποστέλλουμε/διαβιβάζουμε συνημμένα το Τεχνικό Σχέδιο Δράσης Ανάπτυξης Κυβερνοάμυνας στις ΕΔ, όπως αυτό εγκρίθηκε με την υπ αριθμ 7 απόφαση της 33ης/ Συνεδρίαση ΣΑΓΕ. 2. Βασική επιδίωξη του Τεχνικού Σχεδίου δράσης είναι η περιγραφή και η εφαρμογή των βασικών βημάτων-μέτρων για την ανάπτυξη δυνατοτήτων Κυβερνοάμυνας στις ΕΔ. 3. Το Τεχνικό Σχέδιο Δράσης Ανάπτυξης Κυβερνοάμυνας στις ΕΔ, έχει αναρτηθεί στο ΔΙΑΣ (ΓΕΕΘΑ/Στρατιωτικές Βιβλιοθήκες). 4. Το παρόν τίθεται σε ισχύ από λήψεως. Ακριβές Αντίγραφο Στρατηγός Μιχαήλ Κωσταράκος Αρχηγός ΓΕΕΘΑ Αντχος (Μ) Σπυρίδων Παπαγεωργίου ΠΝ Δντής ΓΕΕΘΑ/ΔΙΚΥΒ ΠΙΝΑΚΑΣ ΑΠΟΔΕΚΤΩΝ Πίνακας Αποδεκτών Τεχνικού Σχεδίου Δράσης

4

5 ΠΙΝΑΚΑΣ ΑΠΟΔΕΚΤΩΝ ΤΕΧΝΙΚΟΥ ΣΧΕΔΙΟΥ ΔΡΑΣΗΣ ΑΝΑΠΤΥΞΗΣ ΚΥΒΕΡΝΟΑΜΥΝΑΣ ΣΤΙΣ ΕΔ Α/Α ΑΠΟΔΕΚΤΕΣ ΑΡΙΘΜΟΣ ΣΥΝΟΛΟ ΑΝΤΙΤΥΠΩΝ ΑΝΤΙΤΥΠΩΝ ΣΓ ΥΕΘΑ 1 1 ΣΓ ANΥΕΘΑ 1 1 ΣΓ ΥΦΕΘΑ 1 1 ΓΕΕΘΑ/ΕΓΑ 2 2 ΓΕΣ-ΓΕΝ-ΓΕΑ/ΕΓΑ από 1 3 ΥΠΕΘΑ/ΓΔΟΣΥ-ΓΔΠΕΑΣ-ΓΔΑΕΕ από 1 3 ΓΕΕΘΑ/ΕΓ ΥΠΑΡΧΗΓΟΥ 2 2 ΓΕΕΘΑ/ΕΓ ΕΠΧΗ 2 2 ΓΕΕΘΑ/ΔΑ Κ, ΔΒ Κ, ΔΓ Κ, ΔΔ Κ, ΔΕ Κ, ΔΣΤ Κ από 1 6 ΓΕΕΘΑ/Ζ ΚΛ (ΚΕΜΕΤ) 1 1 ΓΕΕΘΑ/«Δ»ΔΔΕ 2 2 ΓΕΕΘΑ/ΔΣΣΝΣ-ΔΥΓ 4 ΓΕΕΘΑ/Α1-Α2-Α3-Α4-Α5-Α6-Α8-ΕΘΚΕΠΙΧ 16 ΓΕΕΘΑ/Β1-Β2 4 ΓΕΕΘΑ/Γ1-Γ2 (ΔΥΠΟ)-Γ3-Γ4-Γ5 10 ΓΕΕΘΑ/Δ1-Δ2-Δ3-Δ4-Δ5 10 ΓΕΕΘΑ/Ε1-Ε2-Ε4 6 ΓΕΕΘΑ/ΣΤ1-ΣΤ2 4 ΓΕΕΘΑ/ΔΣΙ-ΔΣΔΓ-ΔΙΔΗΣ από 1 3 ΓΕΕΘΑ/ΝΣ-Ζ1 (ΔΙΔΔΟ) -Ζ2(ΔΙΜΕΤ)- Ζ3 (ΚΕΠΕΑ) 8 ΓΕΕΘΑ/ΚΕΧΕΙΚ 2 2 ΓΕΕΘΑ/ΔΙΚΥΒ 7 7 ΓΕΣ/ΔΑ Κ, ΔΒ Κ, ΔΓ Κ, ΔΔ Κ 8 ΓΕΝ/ΔΑ Κ, ΔΒ Κ, ΔΓ Κ, ΔΔ Κ 8 ΓΕΑ/ΔΑ Κ, ΔΒ Κ, ΔΓ Κ, ΔΔ Κ 8 ΓΕΣ/ΔΙΠΑ 2 2 ΓΕΣ/ΔΕΠΛΗ 2 2 ΚΕΠΥΕΣ-KETEΣ 4 ΓΕΝ/ Α2-Α4 4 ΓΕΑ/Α7-Γ5 4 1 η ΣΤΡΑΤΙΑ-ΑΣ-ΑΤΑ 6 Γ ΣΣ/ΕΘΕΠ-Δ ΣΣ-ΑΣΔΕΝ-ΑΣΔΥΣ 8 ΔΔΜΝ-ΔΝΕ 4 ΔΑΥ-ΔΑΕ 4 ΚΕΝΑΠ 2 2 ΓΕΣ/ΔΙΔΟ- ΓΕΝ/Α1- ΓΕΑ/Α1 6 ΣΕΘΑ-ΑΔΙΣΠΟ 4 ΣΣΕ-ΣΝΔ-ΣΙ-ΣΣΑΣ-ΣΑΝ 10 ΣΔΙΕΠ-ΣΔΙΕΠΝ-ΣΠΑ 6 ΔΙΣΧΠΛΗ 2 2 ΕΥΠ 2 2 ΣΥΝΟΛΟ 192

6

7 ΠΙΝΑΚΑΣ ΚΑΤΑΧΩΡΗΣΗΣ ΤΡΟΠΟΠΟΙΗΤΙΚΩΝ ΔΙΑΤΑΓΩΝ Α/Α Αριθμός και Ημερομηνία Διαταγής Τροποποίησης Ημερομηνία Καταχώρησης Τροποποίησης Καταχώρησε την Τροποποίηση Βαθμός Ονομ/νυμο Μονογραφή Οδηγίες: 1. Επιφέρατε αλλαγές στο παρόν εγχειρίδιο μόνο κατόπιν διαταγής του ΓΕΕΘΑ/ΔΙΚΥΒ. 2. Στη θέση κάθε μεταβολής και στο περιθώριο της σελίδας του κειμένου, να αναγράψετε ένα κεφαλαίο Τ και τον α/α της τροποποίησης (πχ Τ1,Τ2, κ.ο.κ.). 3. Να καταχωρήσετε στον παραπάνω πίνακα κάθε τροποποιητική Δγή, για επιβεβαίωση ότι έγιναν οι μεταβολές.

8

9 ΣΥΜΒΟΥΛΙΟ ΑΡΧΗΓΩΝ ΓΕΝΙΚΩΝ ΕΠΙΤΕΛΕΙΩΝ ΓΡΑΜΜΑΤΕΙΑ ΣΑΓΕ ΘΕΜΑ «Τεχνικό Σχέδιο Δράσης Ανάπτυξης Κυβερνοάμυνας στις ΕΔ» Συνεδρίαση 33η/ ΓΝΩΜΑΤΕΥΣΗ ΥΠ ΑΡΙΘ. 7 Το Συμβούλιο Αρχηγών Γενικών Επιτελείων, έχοντας υπόψη : α. Το Ν.2292/95 «Οργάνωση και λειτουργία Υπουργείου Εθνικής Άμυνας, διοίκηση και έλεγχος των Ενόπλων Δυνάμεων και άλλες διατά ξεις», όπως αυτός τροποποιήθηκε και ισχύει σήμερα. β. Το Ν.3883/2010 «Υπηρεσιακή εξέλιξη και ιεραρχία των Στελεχών των Ε.Δ.- Θέματα διοίκησης των Ενόπλων Δυνάμεων, Στρατολογίας και συναφείς διατάξεις». γ. Τη σχετική εισήγηση του Διευθυντή ΓΕΕΘΑ/ΔΙΚΥΒ. Γ Ν Ω Μ Α Τ Ε Υ Ε Ι 1. Όπως εγκριθεί, η έκδοση του συνημμένου Τεχνικού Σχεδίου Δράσης Ανάπτυξης Κυβερνοάμυνας στις ΕΔ. 2. Προσκαλεί τον Αρχηγό Γενικού Επιτελείου Εθνικής Άμυνας να προβεί στις απαραίτητες ενέργειες. Αθήνα, 2 Δεκεμβρίου 2013 Ο ΠΡΟΕΔΡΟΣ ΤΥ Στρατηγός Μιχαήλ Κωσταράκος Αρχηγός ΓΕΕΘΑ ΤΑ ΜΕΛΗ ΤΥ Αντιστράτηγος Αθανάσιος Τσέλιος Αρχηγός ΓΕΣ ΤΥ Αντιναύαρχος Ευάγγελος Αποστολάκης ΠΝ Αρχηγός ΓΕΝ ΤΥ O Γραμματέας του ΣΑΓΕ Αντιπτέραρχος (Ι) Ευάγγελος Τουρνάς Αρχηγός ΓΕΑ ΤΥ Παναγιώτης Πατέλης Υποστράτηγος Συνημμένο: «Τεχνικό Σχέδιο Δράσης για την Ανάπτυξη Κυβερνοάμυνας στις ΕΔ»

10

11 ΤΕΧΝΙΚΟ ΣΧΕΔΙΟ ΔΡΑΣΗΣ ΓΙΑ ΤΗΝ ΑΝΑΠΤΥΞΗ ΚΥΒΕΡΝΟΑΜΥΝΑΣ ΣΤΙΣ ΕΔ ΠΕΡΙΕΧΟΜΕΝΑ ΕΙΣΑΓΩΓΗ 1 Μέτρο 1 : Μέτρο 2 : Μέτρο 3 : Μέτρο 4 : Μέτρο 5 : Μέτρο 6 : Μέτρο 7 : Μέτρο 8 : Μέτρο 9 : Μέτρο 10 : Μέτρο 11 : Μέτρο 12 : Μέτρο 13 : Μέτρο 14 : Μέτρο 15 : Μέτρο 16 : Μέτρο 17 : Μέτρο 18 : Μέτρο 19 : Μέτρο 20 : Απογραφή συσκευών (εγκεκριμένων και μη) Απογραφή λογισμικού (εγκεκριμένου και μη) Ασφαλής διαμόρφωση (configuration) υλικού και λογισμικού Εκτίμηση τρωτοτήτων (vulnerability assessment) και αντιμετώπιση αυτών Αντιμετώπιση ιομορφικού λογισμικού Ασφάλεια Λογισμικού Εφαρμογών Διαδικτύου Έλεγχος ασύρματων συσκευών Δυνατότητα ανάκτησης δεδομένων Αξιολόγηση δεξιοτήτων ασφάλειας και κατάλληλη εκπαίδευση προσωπικού Ασφαλείς διαμορφώσεις συσκευών δικτύου, όπως τείχη προστασίας, δρομολογητές και μεταγωγείς δικτύου Περιορισμός και έλεγχος θυρών δικτύου, πρωτοκόλλων και υπηρεσιών Ελεγχόμενη χρήση των δικαιωμάτων διαχείρισης Περιμετρική άμυνα Συντήρηση, παρακολούθηση και ανάλυση των αρχείων (μητρώων) καταγραφής συμβάντων (Log files) Ελεγχόμενη πρόσβαση με γνώμονα την ελάχιστη απαιτούμενη γνώση και αρμοδιότητα Παρακολούθηση και έλεγχος λογαριασμών Αποτροπή απώλειας δεδομένων Διαχείριση και αντιμετώπιση συμβάντων Αρχιτεκτονική ασφαλούς δικτύου Έλεγχοι ασφαλείας και ασκήσεις ομάδας προσομείωσης επιθετικών ενεργειών (Red Team) Σελίδα

12

13 ΤΕΧΝΙΚΟ ΣΧΕΔΙΟ ΔΡΑΣΗΣ ΓΙΑ ΤΗΝ ΑΝΑΠΤΥΞΗ ΚΥΒΕΡΝΟΑΜΥΝΑΣ ΣΤΙΣ ΕΔ ΕΙΣΑΓΩΓΗ 1. Η προστασία των ΣΕΠ (Συστήματα Επικοινωνιών Πληροφορικής) των ΕΔ, αποτελεί αναπόσπαστο μέρος της γενικής αμυντικής σχεδίασης. Κατά συνέπεια, ο καθορισμός των βασικών στόχων που θα πρέπει να εκπληρώνονται από τις δράσεις της κυβερνοάμυνας θα πρέπει να είναι μία από τις βασικές προτεραιότητες σε όλα τα επίπεδα στρατηγικής, επιχειρησιακής και τακτικής σχεδίασης. Το Κατευθυντήριο Πλαίσιο και το Διακλαδικό Δόγμα Κυβερνοάμυνας αποτελούν την θεωρητική προσέγγιση στην ανάπτυξη της δυνατότητας κυβερνοάμυνας στις ΕΔ και περιγράφουν το τι πρέπει να γίνει. Ωστόσο παρατηρείται η έλλειψη ενός τεχνικού σχεδίου δράσης, που θα αποτελεί τον τεχνικό και πρακτικό οδηγό υλοποίησης της κυβερνοάμυνας και θα περιγράφει το πως θα γίνει. 2. Σε οργανωτικό επίπεδο, στα ΓΕ, υφίστανται αρμόδιοι φορείς/τμήματα που είναι υπεύθυνα για την ασφάλεια των πληροφοριακών συστημάτων ή/και την κυβερνοάμυνα. Ωστόσο απουσιάζει το κοινό συνολικό πλαίσιο δράσης που θα κατευθύνει όλους τους αρμόδιους φορείς στον ίδιο στόχο (ανάπτυξη κυβερνοάμυνας και κυβερνοασφάλειας), ακολουθώντας κοινά βήματα και αποφεύγοντας τυχόν παραλήψεις. 3. Επιπλέον η χώρα μας ως μέλος του ΝΑΤΟ και της ΕΕ έχει δεσμευθεί στην υλοποίηση κυβερνοάμυνας, σε ικανοποιητικό επίπεδο, έτσι ώστε να διασφαλίζονται τα Εθνικά ΣΕΠ (Συστήματα Επικοινωνιών Πληροφορικής) και να συμβάλλει στην αντιμετώπιση των κυβερνοεπιθέσεων, τόσο σε διεθνές όσο και σε εθνικό επίπεδο. 4. Με την έκδοση του Κατευθυντήριου Πλαισίου Κυβερνοάμυνας έγινε το πρώτο βήμα για την υλοποίηση της κυβερνοάμυνας στις ΕΔ, καθώς καθορίστηκαν από το ΓΕΕΘΑ οι Στρατηγικοί και οι Επιχειρησιακοί στόχοι Κυβερνοάμυνας. 5. Πέρα όμως από την παραπάνω θεωρητική προσέγγιση, κρίνεται απαραίτητη η σύνταξη ενός αναλυτικού οδηγού απαιτούμενων ενεργειών για την υλοποίηση της κυβερνοάμυνας και της κυβερνοασφάλειας σε τεχνικό επίπεδο, προκειμένου να τεθεί ένα κοινό πλαίσιο δράσης για όλους τους εμπλεκόμενους με την ασφάλεια των πληροφοριακών συστημάτων και την κυβερνοάμυνα φορείς. 6. Για το σκοπό αυτό, η Διεύθυνση Κυβερνοάμυνας του ΓΕΕΘΑ εκπόνησε το «Τεχνικό Σχέδιο Δράσης Ανάπτυξης Κυβερνοάμυνας στις ΕΔ», στο οποίο περιγράφονται τα βασικά βήματα για την ανάπτυξη δυνατοτήτων κυβερνοάμυνας, όπως παρακάτω: α. Καταγραφή όλου του υλικού και λογισμικού που χρησιμοποιείται σε ΣΕΠ από τις ΕΔ. β. Ασφαλή διαμόρφωση και ρύθμιση όλων των ΣΕΠ ανάλογα της χρήσης τους. γ. Κατάλληλη εκπαίδευση του προσωπικού. δ. Παρακολούθηση της δραστηριότητας των δικτύων σε πραγματικό χρόνο. ε. Εντοπισμό των αδυναμιών και τρωτοτήτων των συστημάτων. στ. Εντοπισμό και αντιμετώπιση κυβερνοπεριστατικών. ζ. Διενέργεια δοκιμών και ελέγχων ασφαλείας των συστημάτων. η. Ανατροφοδότηση συμπερασμάτων και μαθημάτων από την ανάλυση περιστατικών και τη διεξαγωγή εκπαίδευσης ασκήσεων. 7. Τα πλεονεκτήματα από την εφαρμογή των μέτρων που προτείνονται στο «Τεχνικό Σχέδιο Δράσης Ανάπτυξης Κυβερνοάμυνας στις ΕΔ» είναι τα ακόλουθα: α. Επιτυγχάνεται συγκεντρωτικός έλεγχος και παρακολούθηση των αναλαμβανόμενων ενεργειών με συγκεκριμένα χρονοδιαγράμματα υλοποίησης. β. Επιτυγχάνεται εξοικονόμηση πόρων (πιστώσεων, αποφυγή παράλληλης προσπάθειας, χρήση κοινού υλικού και λογισμικού).

14 - 2 - γ. Επιτυγχάνεται διαλειτουργικότητα, συμβατότητα του εξοπλισμού και των διαδικασιών και κοινό σημείο αναφοράς μεταξύ των αρμόδιων φορέων. δ. Διασφαλίζεται η αποτελεσματικότητα των μέτρων λόγω εφαρμογής δοκιμασμένης και συγκεκριμένης μεθοδολογίας. 8. Επιπρόσθετα, το εν λόγω σχέδιο εναρμονίζεται με τον ΕΚΑ, καθώς η εφαρμογή κάθε μέτρου προϋποθέτει να ληφθεί υπόψιν και να εφαρμοστεί η εκάστοτε πολιτική ασφαλείας. Η αναφορά σε ασύρματα δίκτυα και δίκτυα κινητής τηλεφωνίας γίνεται για λόγους πληρότητας και θεωρείται δεδομένο ότι δεν θα αναπτυχθούν ασύρματα δίκτυα που θα «μεταφέρουν» διαβαθμισμένη πληροφορία. 9. Υπεύθυνοι, σύμφωνα με την σημερινή οργάνωση, για την υλοποίηση των μέτρων του σχεδίου δράσης και του υπολογισμού χρόνου και κόστους είναι τα τμήματα/λόχοι/γραφεία κυβερνοάμυνας των ΓΕ, με συντονιστικό φορέα την ΔΙΚΥΒ.

15 - 3 - Μέτρο 1: Απογραφή συσκευών (εγκεκριμένων και μη) Κίνδυνοι από την απουσία του μέτρου Οι «κακόβουλοι» χρήστες, κατά τη φάση αναγνώρισης ενός στόχου, αναζητούν συσκευές και Η/Υ, που συνδέονται στο υπηρεσιακό δίκτυο, χωρίς να έχουν τις προβλεπόμενες προδιαγραφές-ρυθμίσεις ασφαλείας, με σκοπό την εκμετάλλευση αυτών των αδυναμιών και την απόκτηση πρόσβασης. Επίσης αντικείμενο αναζήτησης αποτελούν και οι Η/Υ-εργαστήρια, που συνδέονται προσωρινά στο υπηρεσιακό δίκτυο χωρίς τις κατάλληλες ρυθμίσεις ασφαλείας, με αποτέλεσμα για όσο διάστημα είναι συνδεδεμένοι, να δημιουργούν κενά ασφαλείας στην προστασία του δικτύου. Τέλος οι προσωπικές ψηφιακές συσκευές (κινητά τηλέφωνα, tablets, κλπ) που συνδέονται στο υπηρεσιακό δίκτυο, αποτελούν άλλη μία αδυναμία που μπορούν να εκμεταλλευθούν οι «κακόβουλοι» χρήστες στην περίπτωση που δεν εφαρμόζονται κανόνες ελεγχόμενης πρόσβασης. Τρόποι εφαρμογής του μέτρου 1.1 Χρήση αυτοματοποιημένων εργαλείων (ενεργητικών και παθητικών) εντοπισμού και απογραφής συσκευών και Η/Υ, που είναι συνδεδεμένοι στα υπηρεσιακά δίκτυα. Ως τέτοιο εργαλείο μπορεί να χρησιμοποιηθεί το NMAP ή το nagios. 1.2 Καταγραφή (logging) και παρακολούθηση όλων των δεδομένων των DHCP servers που βρίσκονται στα υπηρεσιακά δίκτυα με σκοπό την πληρέστερη απογραφή των συσκευών και τον εντοπισμό άγνωστων συστημάτων. 1.3 Αυτόματη ενημέρωση του συστήματος απογραφής συσκευών, σε κάθε περίπτωση απόκτησης νέου εξοπλισμού. Έλεγχος διασύνδεσης στα υπηρεσιακά δίκτυα, μόνο εγκεκριμένων νέων συσκευών. Χρήση αυστηρής διαδικασίας ελέγχου αλλαγών για την επικύρωση και την έγκριση διασύνδεσης όλων των νέων συσκευών. 1.4 Τήρηση λίστας απογραφής όλων των συσκευών που συνδέονται στα υπηρεσιακά δίκτυα, καταγράφοντας κατ ελάχιστο: διεύθυνση δικτύου (IP), όνομα συσκευής, σκοπός χρήσης, υπεύθυνος διαχείρισης και το τμήμα/γραφείο της υπηρεσίας που σχετίζεται με την χρήση της συσκευής. Η απογραφή θα περιλαμβάνει κάθε σύστημα που έχει IP διεύθυνση στα υπηρεσιακά δίκτυα (σταθεροί-φορητοί Η/Υ, εξυπηρετητές (servers), δρομολογητές (routers), μεταγωγείς (switches), εκτυπωτές (printers), τηλέφωνα VOIP, κλπ). Επίσης, η απογραφή θα καταγράφει το αν η συσκευή είναι φορητή ή/και προσωπική. Συσκευές, όπως κινητά τηλέφωνα, ταμπλέτες, φορητοί Η/Υ και άλλες φορητές ηλεκτρονικές συσκευές που αποθηκεύουν ή επεξεργάζονται δεδομένα θα πρέπει να καταγραφούν ανεξάρτητα από το αν συνδέονται ή όχι στα υπηρεσιακά δίκτυα. 1.5 Η βάση δεδομένων της απογραφής συσκευών θα πρέπει να είναι σωστά προστατευμένη και να διατηρείται ένα αντίγραφο αυτής αποθηκευμένο σε ασφαλή τοποθεσία. 1.6 Επιπρόσθετα της καταγραφής συσκευών, θα πρέπει να υπάρξει καταγραφή των σημαντικών και κρίσιμων υπηρεσιακών πληροφοριών (Information Assets) με συσχέτιση των συστημάτων (servers, Η/Υ, κλπ) στις οποίες αυτές είναι αποθηκευμένες ή διακινούνται. Για κάθε Information Asset θα προσδιοριστεί και θα καταγραφεί ένα υπεύθυνο τμήμα/γραφείο της υπηρεσίας καθώς και ένα υπεύθυνο μεμονωμένο άτομο. 1.7 Χρήση αυθεντικοποίησης επιπέδου δικτύου για τα ασύρματα δίκτυα 802.1x με σκοπό τον έλεγχο και τον περιορισμό των συσκευών που επιτρέπεται να συνδεθούν στα υπηρεσιακά δίκτυα. Αντιστοίχιση των συσκευών 802.1x με τα στοιχεία της γενικής απογραφής συσκευών για τον καθορισμό εξουσιοδοτημένων και μη συστημάτων. 1.8 Ανάπτυξη Δικτυακού Ελέγχου Πρόσβασης (NAC, Network Access Control) για παρακολούθηση των εξουσιοδοτημένων συστημάτων, έτσι ώστε η αποκατάσταση των επιπτώσεων από κυβερνοεπιθέσεις να μπορεί να επιτευχθεί μέσω μετακίνησης των μη έμπιστων συστημάτων σε εικονικά τοπικά δίκτυα (VLAN, Virtual LAN) με ελάχιστη πρόσβαση σε υπηρεσιακά δίκτυα. 1.9 Δημιουργία ξεχωριστών VLANs για προσωπικές συσκευές/συστήματα (BYOD, Bring Your Own Device) ή άλλες μη έμπιστες συσκευές Χρήση ψηφιακών πιστοποιητικών (certificates) για την επικύρωση και αυθεντικοποίηση συστημάτων πριν τη σύνδεση τους σε υπηρεσιακά δίκτυα.

16 - 4 - Μέτρο 2: Απογραφή λογισμικού (εγκεκριμένου και μη) Κίνδυνοι από την απουσία του μέτρου Η συνήθης τακτική των «κακόβουλων χρηστών» κατά την παραβίαση ενός ΣΕΠ (Σύστημα Επικοινωνιών Πληροφορικής) περιλαμβάνει την εγκατάσταση «ιομορφικού» λογισμικού (Malware) που θα παρέχει επιπλέον δυνατότητες διαχείρισης του στόχου. Σε ένα ελεγχόμενο περιβάλλον εάν δεν υπάρχει καταγραφή των προγραμμάτων που επιτρέπεται να εκτελούνται, είναι εξαιρετικά δύσκολο να εντοπισθούν τέτοιου είδους «ιομορφικά» λογισμικά. Επιπλέον, ήδη υπάρχουσες εγκατεστημένες εφαρμογές για τις οποίες υπάρχει άγνοια ύπαρξής τους και δεν ελέγχονται/ενημερώνονται, μπορούν να αποτελέσουν στόχο για εκμετάλλευση αδυναμιών και απόκτηση περαιτέρω προσβάσεων στα υπηρεσιακά δίκτυα από τον επιτιθέμενο. Τρόποι εφαρμογής του μέτρου 2.1 Δημιουργία καταλόγου με εγκεκριμένο λογισμικό που απαιτείται να υπάρχει, για υπηρεσιακούς λόγους, σε κάθε τύπο ΣΕΠ. Ο κατάλογος θα πρέπει να συσχετίζεται με πρόγραμμα ελέγχου ακεραιότητας αρχείων έτσι ώστε να επικυρώνεται ότι το λογισμικό δεν έχει τροποποιηθεί. 2.2 Εκτέλεση περιοδικών σαρώσεων στα υπηρεσιακά δίκτυα και δημιουργία αναφοράς/ειδοποίησης σε περίπτωση εντοπισμού μη εγκεκριμένου λογισμικού σε Η/Υ. Εφαρμογή αυστηρής διαδικασίας για τον έλεγχο οποιασδήποτε αλλαγής παλιού ή εγκατάστασης νέου λογισμικού σε κάθε σύστημα του υπηρεσιακού δικτύου. 2.3 Εφαρμογή τεχνολογίας Εγκεκριμένης Λίστας Εφαρμογών (Applications White Listing) που επιτρέπει στα συστήματα να «τρέχουν» μόνο εγκεκριμένο λογισμικό και εμποδίζει την εκτέλεση των μη εγκεκριμένων. 2.4 Εφαρμογή εργαλείων καταγραφής λογισμικού σε όλα τα υπηρεσιακά δίκτυα που θα καλύπτει όλα τα εν χρήσει λειτουργικά συστήματα. Η καταγραφή θα περιλαμβάνει τις εκδόσεις του λειτουργικού συστήματος και των εγκατεστημένων προγραμμάτων καθώς επίσης και τις ενημερώσεις ασφαλείας που έχουν περαστεί σε αυτά. Ο κατάλογος λογισμικού θα συσχετίζεται με αναφορές τρωτοτήτων/ απειλών με σκοπό τον έγκαιρο εντοπισμό και διόρθωση του τρωτού λογισμικού. 2.5 Η απογραφή λογισμικού θα συσχετίζεται με την αντίστοιχη απογραφή συσκευών, έτσι ώστε όλες οι συσκευές και το αντίστοιχο λογισμικό θα παρακολουθούνται κεντρικά από έναν φορέα. 2.6 Η εφαρμογή απογραφής λογισμικού θα παρακολουθεί και θα καταγράφει τις περιπτώσεις εγκατάστασης μη εγκεκριμένου λογισμικού. Ως μη εγκεκριμένο λογισμικό θεωρείται και το νόμιμο λογισμικό που εγκαθίσταται σε μη προβλεπόμενα συστήματα και χωρίς να υπάρχει καταγεγραμμένη υπηρεσιακή απαίτηση. Επικίνδυνοι τύποι αρχείων (π.χ. exe, zip, msi, κλπ) θα παρακολουθούνται συνεχώς και θα απομονώνονται/περιορίζονται όταν εντοπιστούν. 2.7 Η Απογραφή Λογισμικού και η χρήση Λίστας Εγκεκριμένων Εφαρμογών (Applications White Listing) θα εφαρμόζεται σε όλες τις φορητές συσκευές που χρησιμοποιούνται στην υπηρεσία. 2.8 Εικονικές Μηχανές (Vms, Virtual Machines) και/ή απομονωμένα (air-gapped) συστήματα θα χρησιμοποιούνται για την απομόνωση και εκτέλεση απαιτούμενων εφαρμογών που έχουν υψηλό ρίσκο και συνεπώς δεν πρέπει να εγκαθίστανται σε δικτυακό υπηρεσιακό περιβάλλον. 2.9 Διαμόρφωση των σταθμών εργασίας (workstations) για χρήση εικονικού περιβάλλοντος λειτουργίας έτσι ώστε να μπορούν, εύκολα και γρήγορα, να αποκατασταθούν σε ένα προηγούμενο αξιόπιστο «στιγμιότυπο» (snapshot) σε περιοδική βάση Εφαρμογή λογισμικού που παρέχει μόνο υπογεγραμμένες ετικέτες ταυτοποίησης λογισμικού (signed software ID tags). Μια ετικέτα ταυτοποίησης λογισμικού είναι ένα αρχείο XML που έχει εγκατασταθεί μαζί με το λογισμικό και προσδιορίζει μοναδικά το λογισμικό, παρέχοντας στοιχεία για την απογραφή και τη διαχείριση του λογισμικού.

17 - 5 - Μέτρο 3: Ασφαλής διαμόρφωση (configuration) υλικού και λογισμικού Κίνδυνοι από την απουσία του μέτρου Ο επιτιθέμενος στο πλαίσιο προσπάθειας παραβίασης υπολογιστικών συστημάτων επιχειρεί να εντοπίσει και να εκμεταλλευτεί συστήματα τα οποία παρουσιάζουν αδυναμίες στη διαμόρφωση εγκατάστασης και λειτουργίας τους. Αρκετά συχνά, συσκευές και συστήματα τοποθετούνται σε υπηρεσιακό περιβάλλον με την αρχική διαμόρφωση του κατασκευαστή, η οποία συνήθως περιέχει εγγενείς αδυναμίες που οδηγούν στην εκμετάλλευσή τους και τον σταδιακό έλεγχο του συστήματος. Τρόποι εφαρμογής του μέτρου 3.1 Χρήση αυστηρής πολιτικής διαχείρισης της διαμόρφωσης/ρύθμισης συστημάτων, η οποία θα προβλέπει την δημιουργία ενός ασφαλούς αντιγράφου (image), βάσει του οποίου θα «χτίζονται» όλα τα καινούργια υπηρεσιακά συστήματα καθώς και υπάρχοντα που έχουν παραβιαστεί. Θα δημιουργηθούν αντίγραφα για όλους τους σταθμούς εργασίας (workstations) και τους εξυπηρετητές (servers) και θα υπάρχει διαδικασία περιοδικής ενημέρωσης αυτών με τις νέες ενημερώσεις ασφαλείας. 3.2 Τα αντίγραφα των συστημάτων θα έχουν καταγεγραμμένες ρυθμίσεις ασφαλείας, οι οποίες: Θα έχουν δοκιμαστεί πριν τη χρήση σε υπηρεσιακό περιβάλλον Θα έχουν εγκριθεί από μία υπηρεσιακή Επιτροπή Ελέγχου Αλλαγών των ΣΕΠ Θα έχουν καταγραφεί σε μία κεντρική υπηρεσιακή βιβλιοθήκη αντιγράφων (images) Τα ανωτέρω αντίγραφα θα επικυρώνονται και θα ανανεώνονται με νέες ρυθμίσεις ασφαλείας, σε τακτά χρονικά διαστήματα, με σκοπό να καλύπτουν τις τελευταίες τρωτότητες και αδυναμίες που ανακαλύπτονται. 3.3 Τα ανωτέρω τυποποιημένα αντίγραφα (images) θα είναι ενισχυμένες και ασφαλείς εκδόσεις λειτουργικών συστημάτων και εφαρμογών, όπως κατά καιρούς εκδίδονται από διάφορους οργανισμούς και υπηρεσίες ασφάλειας (π.χ. NIST, NSA, DISA, CIS, κλπ). Η διαδικασία ασφάλισης θα περιλαμβάνει την διαγραφή μη αναγκαίων λογαριασμών χρηστών, την απενεργοποίηση/απεγκατάσταση μη αναγκαίων υπηρεσιών (services), τη ρύθμιση μη εκτελέσιμων στοιβών και σωρών (stacks & heaps), την εφαρμογή ενημερώσεων ασφαλείας, την απενεργοποίηση ανοικτών και μη αναγκαίων θυρών δικτύου (ports), τη χρήση συστημάτων εντοπισμού/αποτροπής εισβολών (IDS/IPS) και τη χρήση τείχους προστασίας συστήματος (host - based firewall). 3.4 Τα πρωτότυπα αντίγραφα (images) θα αποθηκεύονται σε ασφαλείς εξυπηρετητές, με εργαλεία ελέγχου ακεραιότητας και συγκεκριμένη πολιτική διαχείρισης αλλαγών, έτσι ώστε να διασφαλιστεί ότι μόνο εξουσιοδοτημένες αλλαγές σε αυτά μπορούν να πραγματοποιηθούν. Εναλλακτικά, τα ανωτέρω αντίγραφα μπορούν να αποθηκευτούν σε απομονωμένους Η/Υ εκτός δικτύων, και η εγκατάστασή τους σε υπηρεσιακά δίκτυα θα γίνεται μέσω μεταφοράς με ασφαλή φορητά αποθηκευτικά μέσα. Εάν υπάρχει υπηρεσιακός χώρος αποκατάστασης καταστροφών (disaster recovery site), τα images θα δοκιμάζονται σε αυτόν. 3.5 Χρήση λογισμικού τελευταίας έκδοσης και επιβεβαίωση εγκατάστασης όλων των ενημερώσεων ασφαλείας. Κατάργηση/διαγραφή παρωχημένου ή παλαιότερου λογισμικού από τα υπηρεσιακά συστήματα. 3.6 Τυχόν αποκλίσεις από το τυποποιημένο αντίγραφο ή τις ενημερώσεις αυτού, θα εγκρίνονται από μία υπηρεσιακή Επιτροπή Ελέγχου Αλλαγών των ΣΕΠ και θα καταγράφονται στο Σύστημα Διαχείρισης Αλλαγών ΣΕΠ. 3.7 Κατά την διαδικασία προμήθειας νέων συσκευών και συστημάτων, θα καταβάλλεται προσπάθεια για αγορά αυτών με έτοιμες ρυθμίσεις ασφαλείας, χρησιμοποιώντας τυποποιημένα αντίγραφα και θα αποφεύγεται το πλεονάζον λογισμικό που αυξάνει τις επιλογές των «κακόβουλων» χρηστών για εντοπισμό τρωτοτήτων και εξαπόλυση επίθεσης. 3.8 Χρήση Λιστών Εγκεκριμένων Εφαρμογών (Applications White Listing) για τον έλεγχο και τη διαχείριση οποιασδήποτε αλλαγής σε ρυθμίσεις υπηρεσιακού λογισμικού.

18 Όλη η απομακρυσμένη διαχείριση των εξυπηρετητών, σταθμών εργασίας, συσκευών δικτύου και παρόμοιου εξοπλισμού, θα γίνεται μέσω ασφαλών διαύλων. Πρωτόκολλα όπως Telnet, VNC, RDP ή άλλα που δεν υποστηρίζουν ισχυρή κρυπτογράφηση, θα χρησιμοποιούνται μόνο εάν βρίσκονται πάνω σε ένα δευτερεύον κανάλι κρυπτογράφησης, όπως SSL και IPSec Χρήση εργαλείων ελέγχου ακεραιότητας αρχείων τουλάχιστον σε εβδομαδιαία βάση για να εξασφαλιστεί ότι τα κρίσιμα αρχεία του συστήματος (συμπεριλαμβανομένων ευαίσθητων εκτελέσιμων αρχείων συστημάτων και εφαρμογών, βιβλιοθήκες και διαμορφώσεις) δεν έχουν αλλοιωθεί. Αλλοιώσεις τέτοιων αρχείων θα αναφέρονται αυτόματα στο προσωπικό ασφαλείας. Το σύστημα αναφορών θα έχει τη δυνατότητα υπολογισμού αναμενόμενων αλλαγών ρουτίνας αλλά και εντοπισμού ασυνήθιστων και μη αναμενόμενων αλλοιώσεων Εφαρμογή ενός αυτοματοποιημένου συστήματος παρακολούθησης ρυθμίσεων που λαμβάνει υπόψη του όλα τα στοιχεία ασφαλούς ρύθμισης που μπορούν να μετρηθούν εξ αποστάσεως, χρησιμοποιώντας χαρακτηριστικά όπως αυτά που περιγράφονται στο πρωτόκολλο SCAP (Content Security Automation Protocol) για τη συλλογή πληροφοριών σχετικά με τρωτές ρυθμίσεις. Η ανωτέρω διαδικασία θα αναλύει αλλαγές στο υλικό και στο λογισμικό, αλλαγές ρυθμίσεων δικτύου και οποιαδήποτε άλλη τροποποίηση που επηρεάζει την ασφάλεια του συστήματος Εφαρμογή εργαλείων διαχείρισης διαμόρφωσης/ρύθμισης συστήματος, όπως το Active Directory Group Policy Objects για τα συστήματα Windows ή το Puppet για τα συστήματα Unix. Τα παραπάνω εργαλεία επιβάλουν και εφαρμόζουν αυτόματα τις ρυθμίσεις διαμόρφωσης στα συστήματα ανά τακτά χρονικά διαστήματα Υιοθέτηση επίσημης διαδικασίας και υποδομής διαχείρισης του ελέγχου διαμόρφωσης των κινητών συσκευών που χρησιμοποιούνται στην υπηρεσία. Η διαδικασία θα περιλαμβάνει την εξ αποστάσεως ασφαλή διαγραφή χαμένων ή κλεμμένων συσκευών, τη έγκριση χρήσης υπηρεσιακών εφαρμογών και την άρνηση εκτέλεσης μη εγκεκριμένων προγραμμάτων. Στις υπηρεσιακές συσκευές θα πραγματοποιείται πλήρης ασφαλή διαγραφή πριν τη χρήση, ενώ στην περίπτωση προσωπικών συσκευών (BYOD) θα γίνεται επιλεκτική διαγραφή.

19 - 7 - Μέτρο 4: Εκτίμηση τρωτοτήτων (vulnerability assessment) και αντιμετώπιση αυτών Κίνδυνοι από την απουσία του μέτρου Η ανακάλυψη νέων τρωτοτήτων δίνει την ευκαιρία στους «κακόβουλους» χρήστες να εφευρίσκουν τρόπους για να εκμεταλλευτούν τις νέες αδυναμίες και να καταφέρουν την παραβίαση των συστημάτων. Η λήψη κατάλληλων μέτρων για τον περιορισμό και την εξάλειψη των τρωτοτήτων πρέπει να είναι συνεχής ώστε να αποτρέπονται οι προσπάθειες εκμετάλλευσής τους. Τρόποι εφαρμογής του μέτρου 4.1 Χρήση αυτοματοποιημένων εργαλείων/σαρωτών (scanners) εντοπισμού τρωτοτήτων - συμβατών με το πρωτόκολλο SCAP (Security Content Automation Protocol) - σε όλα τα υπηρεσιακά δίκτυα σε τουλάχιστον εβδομαδιαία βάση. Τα ανωτέρω εργαλεία θα ελέγχουν για τρωτότητες κώδικα (CVE, code-based vulnerabilities) και για τρωτότητες ρυθμίσεων (CCE, configuration-based vulnerabilities). Όπου είναι εφικτό, και ιδιαίτερα σε κρίσιμα δίκτυα, ο ανωτέρω έλεγχος θα πραγματοποιείται σε καθημερινή βάση από έναν σαρωτή πλήρως ενημερωμένο με τις τελευταίες ανακοινωθείσες τρωτότητες. Για κάθε τρωτότητα που εντοπίζεται θα πρέπει να γίνεται αποκατάσταση σε εύλογο χρονικό διάστημα, ενώ οι κρίσιμες τρωτότητες θα πρέπει να διορθώνονται εντός 48 ωρών. 4.2 Όλα τα αρχεία καταγραφής συμβάντων (logs) θα συσχετίζονται με τις πληροφορίες των σαρώσεων εντοπισμού τρωτοτήτων με σκοπό το προσωπικό: Να επαληθεύει ότι η συνήθης δραστηριότητα των εργαλείων εντοπισμού τρωτοτήτων καταγράφεται Να συσχετίζει συμβάντα εντοπισμού επιθέσεων με προηγούμενα αποτελέσματα σάρωσης τρωτοτήτων για να προσδιορίζει εάν μία γνωστή εκμετάλλευση (exploit) χρησιμοποιήθηκε εναντίον ενός τρωτού στόχου. 4.3 Χρήση ειδικού λογαριασμού χρήστη (account) για σαρώσεις εντοπισμού τρωτοτήτων. Ο συγκεκριμένος λογαριασμός χρήστη δεν θα χρησιμοποιείται για άλλες διαχειριστικές δραστηριότητες και θα σχετίζεται με συγκεκριμένες διευθύνσεις ΙΡ. Μόνο εξουσιοδοτημένο προσωπικό θα έχει πρόσβαση στην διαχείριση τρωτοτήτων. 4.4 Εγγραφή σε υπηρεσίες ενημέρωσης τρωτοτήτων έτσι ώστε να υπάρχει συνεχής και πρόσφατη ενημέρωση σχετικά με καινούργιες απειλές. 4.5 Χρήση αυτοματοποιημένων εργαλείων διαχείρισης ενημερώσεων ασφαλείας (patches) και αναβάθμισης (updates) λογισμικού για λειτουργικά συστήματα και προγράμματα/εφαρμογές. Οι ενημερώσεις ασφαλείας θα εφαρμόζονται σε όλα τα συστήματα των υπηρεσιακών δικτύων, ακόμα και σε όσα είναι απομονωμένα (air gapped). 4.6 Προσεκτική παρακολούθηση των αρχείων καταγραφής συμβάντων (logs) που σχετίζονται με οποιαδήποτε δραστηριότητα σάρωσης και με αντίστοιχους λογαριασμούς διαχειριστών, έτσι ώστε να εξασφαλίζεται πως οι συγκεκριμένες δραστηριότητες σάρωσης και πρόσβασης με ειδικούς λογαριασμούς χρηστών πραγματοποιούνται σε εγκεκριμένα χρονικά διαστήματα. 4.7 Επιπρόσθετα του εντοπισμού ΜΗ εξουσιοδοτημένων σαρώσεων, θα διασφαλίζεται ότι όλες οι εξουσιοδοτημένες σαρώσεις/έλεγχοι εντοπισμού τρωτοτήτων θα διενεργούνται με αυθεντικοποιημένο (authenticated) τρόπο, είτε με τοπικά προγράμματα - πράκτορες (agents) σε κάθε σύστημα για ανάλυση των τοπικών ρυθμίσεων ασφαλείας, είτε με απομακρυσμένους σαρωτές (scanners) στους οποίους θα δίνονται δικαιώματα διαχειριστή στο προς έλεγχο σύστημα. 4.8 Σύγκριση των αποτελεσμάτων διαδοχικών ελέγχων εντοπισμού τρωτοτήτων για να επιβεβαιώνεται ότι οι τρωτότητες αντιμετωπίστηκαν είτε μέσω ενημερώσεων ασφαλείας (patching), είτε εφαρμόζοντας κάποιο συγκεκριμένο έλεγχο/μέτρο, είτε μέσω καταγραφής της τρωτότητας και αποδοχής ενός λογικού επιχειρησιακού ρίσκου. Η αποδοχή επιχειρησιακού ρίσκου για υπάρχουσες τρωτότητες θα επανεξετάζεται περιοδικά, ώστε να αποφασίζεται εάν νέοι έλεγχοι/μέτρα ή νέες ενημερώσεις ασφαλείας μπορούν να αντιμετωπίσουν τις τρωτότητες που είχαν γίνει αποδεκτές στο παρελθόν ή εάν οι καταστάσεις έχουν αλλάξει, αυξάνοντας το ρίσκο.

20 Τα εργαλεία σάρωσης τρωτοτήτων θα συγκρίνουν τις υπηρεσίες που εντοπίζουν να «τρέχουν» σε ένα σύστημα με μια λίστα επιτρεπόμενων υπηρεσιών για το συγκεκριμένο σύστημα. Επίσης, τα ανωτέρω εργαλεία, θα εντοπίζουν αλλαγές που προκύπτουν στα συστήματα με τη πάροδο του χρόνου σε υπηρεσίες (εγκεκριμένες και μη) Μέτρηση της καθυστέρησης εφαρμογής ενημερώσεων ασφαλείας για την αντιμετώπιση νέων τρωτοτήτων και εξασφάλιση ότι ο συγκεκριμένος χρόνος είναι εντός εγκεκριμένου και καθορισμένου ορίου. Σε περίπτωση μη διαθέσιμων ενημερώσεων ασφαλείας, θα πρέπει να εξετάζονται εναλλακτικά αντίμετρα Οι κρίσιμες ενημερώσεις ασφαλείας θα αξιολογούνται σε δοκιμαστικό περιβάλλον πριν εφαρμοστούν στα πραγματικά υπηρεσιακά δίκτυα. Εάν στη διάρκεια της αξιολόγησης εντοπιστεί πρόβλημα σε κρίσιμες επιχειρησιακές εφαρμογές, τότε θα αναπτύσσονται άλλα μέτρα/ελέγχοι που θα αποτρέπουν την εκμετάλλευση των συστημάτων στα οποία δεν μπορούν να εφαρμοστούν οι ενημερώσεις ασφαλείας για τον παραπάνω λόγο Από όλες τις τρωτότητες που εντοπίζονται σε υπηρεσιακά δίκτυα, θα αντιμετωπίζονται πρώτα οι πιο επιζήμιες. Η προτεραιοποίηση των τρωτών συστημάτων θα γίνεται με βάση τεχνικά και επιχειρησιακά ρίσκα.

21 Μέτρο 5: Αντιμετώπιση ιομορφικού λογισμικού Κίνδυνοι από την απουσία του μέτρου Το ιομορφικό λογισμικό αποτελεί ένα βασικό παράγοντα των απειλών διαδικτύου με στόχο τα συστήματα και τους τελικούς χρήστες. Οι απειλές συνήθως προέρχονται από την περιήγηση σε ύποπτους ιστότοπους του διαδικτύου, από τα συνημμένα των μηνυμάτων, από τις κινητές συσκευές και τις υπηρεσίες σύννεφου (cloud services). Το αποτέλεσμα μιας επιτυχούς παραβίασης οδηγεί στον ολοκληρωτικό έλεγχο του συστήματος και τη διαρροή ευαίσθητων και ενδεχομένως διαβαθμισμένων πληροφοριών. Εξειδικευμένα αντιικά λογισμικά βοηθούν στην αντιμετώπιση τέτοιου είδους προγραμμάτων. Τρόποι εφαρμογής του μέτρου 5.1 Εφαρμογή αυτοματοποιημένων εργαλείων για τη συνεχή παρακολούθηση σταθμών εργασίας, εξυπηρετητών και φορητών συσκευών με σκοπό την ενεργή και συνεχή προστασία από ιούς, λογισμικά υποκλοπών κλπ. Επιπλέον, σε επιλεγμένα συστήματα ή σταθμούς εργασίας εφαρμογή προσωπικών τειχών προστασίας (personal firewall) και συστημάτων αποτροπής εισβολής (host - based IPS). Όλα τα συμβάντα εντοπισμού κακόβουλου λογισμικού να αποστέλλονται σε κεντρικά συστήματα διαχείρισης ιομορφικού λογισμικού και εξυπηρετητές καταγραφής συμβάντων (event log servers). 5.2 Εγκατάσταση λογισμικού προστασίας από ιούς με χαρακτηριστικά αυτόματης ενημέρωσης ψηφιακών υπογραφών ή χειροκίνητη εφαρμογή σε όλους τους υπολογιστές σε καθημερινή βάση. 5.3 Ρύθμιση φορητών υπολογιστών, σταθμών εργασίας και εξυπηρετητών ώστε να μην εκτελούν αυτόματα περιεχόμενο από αφαιρούμενες συσκευές USB (flash disks, σκληροί δίσκοι), αναγνώστες CD/DVD, συσκευές firewire, εξωτερικές σειριακές συσκευές, προσαρτημένες δικτυακές θέσεις ή άλλα φορητά μέσα. Εάν δεν απαιτούνται συσκευές για υπηρεσιακή χρήση, να είναι απενεργοποιημένες οι θύρες USB. 5.4 Ρύθμιση για αυτοματοποιημένο έλεγχο εντοπισμού ιομορφικού λογισμικού στις αφαιρούμενες συσκευές αμέσως μόλις αυτές εισάγονται. 5.5 Έλεγχος όλων των εισερχόμενων συνημμένων αρχείων ηλεκτρονικού ταχυδρομείου. Όσα περιέχουν ιομορφικό κώδικα ή μη εγκεκριμένους τύπους αρχείων να μπλοκάρονται. Ο έλεγχος θα πρέπει να γίνεται προτού φτάσει το μήνυμα στον φάκελο εισερχομένων του χρήστη και θα πρέπει να περιλαμβάνει έλεγχο περιεχομένου τόσο στο συνημμένο όσο και στο ηλεκτρονικό μήνυμα. 5.6 Εφαρμογή ελέγχου ιομορφικού λογισμικού στον εξυπηρετητή διαμεσολάβησης (web proxy). 5.7 Εγκατάσταση χαρακτηριστικών λειτουργίας και εργαλείων, όπως Data Execution Prevention (DEP) και Enhanced Mitigation Experience Toolkit (EMET), καθώς και προγραμμάτων που παρέχουν sandboxing (π.χ. εκτέλεση φυλλομετρητή σε εικονικό περιβάλλον) με σκοπό την αποτροπή εκμετάλλευσης αδυναμιών από το ιομορφικό λογισμικό. 5.8 Περιορισμός χρήσης των εξωτερικών συσκευών στις τελείως απαραίτητες. Η χρήση και η προσπάθεια χρήσης εξωτερικών συσκευών θα πρέπει να καταγράφεται. 5.9 Αποκλεισμός πρόσβασης σε εξωτερικά συστήματα ηλεκτρονικής αλληλογραφίας, υπηρεσίες άμεσων μηνυμάτων και άλλα εργαλεία κοινωνικής δικτύωσης Χρήση αυτοματοποιημένων εργαλείων παρακολούθησης και εντοπισμού με χαρακτηριστικά εντοπισμού ανωμαλιών στην συμπεριφορά του λογισμικού Χρήση εργαλείων αντιμετώπισης ιομορφικού λογισμικού σε επίπεδο δικτύου ώστε να εντοπίζεται το ιομορφικό περιεχόμενο προτού φτάσει στον τελικό προορισμό Συνεχής παρακολούθηση τόσο της εισερχόμενης όσο και της εξερχόμενης κίνησης. Μετακίνηση μεγάλων δεδομένων ή μη εγκεκριμένων κινήσεων πρέπει να επισημαίνονται και να ερευνώνται περαιτέρω για εντοπισμό κακόβουλων ενεργειών Εφαρμογή διαδικασίας διαχείρισης περιστατικών που να επιτρέπει την εμπλοκή εξειδικευμένης ομάδας στην αντιμετώπιση ιομορφικού λογισμικού. Τα δείγματα ιών θα πρέπει να παρέχονται από τους διαχειριστές στον υπεύθυνο ασφαλείας για την ανάλυση της συμπεριφοράς τους.