11.5.1.1
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Методы обнаружения вторжений и/или предотвращения вторжений обнаруживают, предупреждают о /предотвращают и устраняют скрытые каналы связи с вредоносными программами.
Цель Индивидуального подхода:
Существуют механизмы для обнаружения и предупреждения/предотвращения тайных коммуникаций с системами управления и управления. На предупреждения, генерируемые этими механизмами, реагирует персонал или автоматизированные средства, которые обеспечивают блокировку таких сообщений.
Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 11.5.1.1.дополнительная процедура тестирования только для оценки поставщика услуг: Изучите документацию и параметры конфигурации, чтобы убедиться, что методы обнаружения и оповещения о/предотвращения скрытых каналов связи вредоносных программ существуют и работают.
- 11.5.1.1.b Дополнительная процедура тестирования только для оценки поставщика услуг: Изучите план реагирования на инциденты организации (Требование 12.10.1), чтобы убедиться, что он требует и определяет ответ в случае обнаружения скрытых каналов связи с вредоносными программами.
- 11.5.1.1.c Дополнительная процедура тестирования только для оценки поставщика услуг: Опросите ответственный персонал и проследите за процессами, чтобы убедиться, что персонал владеет скрытыми методами передачи и контроля вредоносных программ и осведомлен о том, как реагировать при подозрении на вредоносное ПО.
Цель:
Обнаружение скрытых попыток передачи вредоносных программ (например, туннелирование DNS) может помочь блокировать распространение вредоносных программ в сети и эксфильтрацию данных. При принятии решения о том, где разместить этот контроль, организации должны учитывать критические местоположения в сети и вероятные маршруты для скрытых каналов.
Когда вредоносная программа закрепляется в зараженной среде, она часто пытается установить канал связи с сервером управления и контроля (C&C). Через сервер C&C злоумышленник взаимодействует с вредоносными программами в скомпрометированных системах и контролирует их, чтобы доставлять вредоносные полезные нагрузки или инструкции или инициировать эксфильтрацию данных. Во многих случаях вредоносная программа будет взаимодействовать с сервером C & C косвенно через ботнеты, минуя мониторинг, блокируя средства управления и делая эти методы неэффективными для обнаружения скрытых каналов.
Надлежащая практика:
Методы, которые могут помочь обнаружить и устранить каналы передачи вредоносных программ, включают сканирование конечных точек в реальном времени, фильтрацию исходящего трафика, список ”разрешить”, средства предотвращения потери данных и средства мониторинга сетевой безопасности, такие как IDS/IPS. Кроме того, DNS-запросы и ответы являются ключевым источником данных, используемым сетевыми защитниками для поддержки реагирования на инциденты, а также обнаружения вторжений. Когда эти транзакции собираются для обработки и анализа, они могут включать ряд ценных сценариев анализа безопасности.
Важно, чтобы организации поддерживали актуальную информацию о режимах работы вредоносных программ, поскольку их устранение может помочь обнаружить и ограничить воздействие вредоносных программ в окружающей среде.
