Наставления по кибербезопасности для сервис-провайдеров
Агентство национальной безопасности США (АНБ) опубликовало документ по кибербезопасности облачных клиентов. Кибербезопасность облачной инфраструктуры должна стоять в приоритете. Облачные сервис-провайдеры (CSP) должны понимать важность ведения и анализа журналов (логов), эффективного управления и хранения. Логи играют жизненно важную роль в поиске угроз, расследовании инцидентов кибербезопасности и соблюдении нормативных требований.
«Защита облачного клиента зависит от ведения логов, которые фиксируют необходимый уровень детализации событий, связанных с кибербезопасностью», — говорится в документе АНБ. Также важны журналы, которые не могут быть изменены, чтобы атакующие могли замести следы. Политики доступа к облаку, системные журналы и административные аудиты должны контролироваться инженерами по безопасности и системными администраторами, чтобы предотвратить злоупотребление доступом.
Благодаря ведению журнала в облаке, сервис-провайдеры будут более эффективны в выявлении угроз, упрощении расследования инцидентов кибербезопасности и соблюдении требований соответствия и аудита.
В документе указано, что журналы облачной кибербезопасности должны обеспечивать детальную запись активности, которую можно использовать для раннего обнаружения угроз. Согласно матрице D3FEND от MITRE, использование журналов широко применимо в категории обнаружения. Благодаря им, сервис-провайдеры могут выявлять подозрительные действия, такие как, command and control (C2), боковые перемещения или другие методы, описанные в матрице ATT&CK от MITRE.
В документе говорится, что журналы смогут дать информацию, помогающую понять детали инцидента и его первопричину. Журналы могут использоваться для восстановления последовательности событий, приведших к инциденту, идентификации источников и определения степени воздействия.
Источник: АНБ США