Τα βασικά οκτώ εξηγούνται

Η Healthdirect Australia πληροί όλες τις απαιτήσεις για την επίτευξη τουλάχιστον επιπέδου ωριμότητας δύο σε όλους τους τομείς σε όλες τις πτυχές της υπηρεσίας κλήσης βίντεο healthdirect. Η υπηρεσία βιντεοκλήσεων healthdirect επαναξιολογήθηκε για τελευταία φορά ως προς τη συμμόρφωση με το Essential Eight στις 17 Αυγούστου 2023. Εάν θέλετε περισσότερες λεπτομέρειες σχετικά με την αξιολόγηση μοντέλου ωριμότητας του Essential Eight Video Call, επικοινωνήστε με το videocallsupport@healthdirect.org.au .

Αν και δεν είναι εγγυημένη καμία ενιαία στρατηγική μετριασμού για την πρόληψη περιστατικών ασφάλειας στον κυβερνοχώρο, η ACSC συνιστά στους οργανισμούς να εφαρμόζουν στρατηγικές μετριασμού E8 ως βάση. Αυτή η γραμμή βάσης καθιστά πολύ πιο δύσκολο για τους αντιπάλους να παραβιάσουν συστήματα. Επιπλέον, η προληπτική εφαρμογή του E8 μπορεί να είναι πιο αποδοτική από πλευράς χρόνου, χρημάτων και προσπάθειας σε σύγκριση με την ανταπόκριση σε περιστατικό ασφάλειας στον κυβερνοχώρο μεγάλης κλίμακας. Με βάση τις απειλές που αντιμετωπίζουν οι αντίπαλοι, υπάρχει μια προτεινόμενη εντολή εφαρμογής για να βοηθήσει τους οργανισμούς να δημιουργήσουν μια ισχυρή θέση ασφάλειας στον κυβερνοχώρο για τα συστήματά τους. Μόλις οι οργανισμοί εφαρμόσουν τις επιθυμητές στρατηγικές μετριασμού σε ένα αρχικό επίπεδο, θα πρέπει να επικεντρωθούν στην αύξηση της ωριμότητας της εφαρμογής τους, έτσι ώστε τελικά να φτάσουν σε πλήρη ευθυγράμμιση με την πρόθεση κάθε στρατηγικής μετριασμού. Οι στρατηγικές E8 που προτείνει το ACSC ως βάση είναι οι εξής:

1. Έλεγχος εφαρμογών
   Ο έλεγχος εφαρμογών επιτρέπει μόνο επιλεγμένες εφαρμογές λογισμικού να εκτελούνται σε υπολογιστές. Στόχος του είναι να αποτρέψει την εκτέλεση μη εγκεκριμένων εφαρμογών λογισμικού, συμπεριλαμβανομένου του κακόβουλου λογισμικού
2. Εφαρμογές ενημέρωσης κώδικα Διορθώσεις επιδιορθώσεων και ευπάθειες ασφαλείας σε εφαρμογές λογισμικού. Είναι σημαντικό επειδή οι αντίπαλοι θα χρησιμοποιήσουν γνωστά τρωτά σημεία ασφαλείας σε εφαρμογές για να στοχεύσουν υπολογιστές
3. Απενεργοποίηση μη αξιόπιστων μακροεντολών του Microsoft Office Οι εφαρμογές του Microsoft Office μπορούν να χρησιμοποιούν λογισμικό γνωστό ως «μακροεντολές» για την αυτοματοποίηση των εργασιών ρουτίνας. Οι μακροεντολές χρησιμοποιούνται όλο και περισσότερο για να ενεργοποιηθεί η λήψη κακόβουλου λογισμικού. Οι μακροεντολές μπορούν να επιτρέπουν στους αντιπάλους να έχουν πρόσβαση σε ευαίσθητες πληροφορίες, επομένως οι μακροεντολές θα πρέπει να είναι ασφαλείς ή απενεργοποιημένες.
4. Σκλήρυνση εφαρμογών χρήστη Αυτό περιλαμβάνει δραστηριότητες όπως ο αποκλεισμός της πρόσβασης του προγράμματος περιήγησης στον ιστό στο Adobe Flash Player, οι διαφημίσεις Ιστού και ο μη αξιόπιστος κώδικας Java στο Διαδίκτυο. Οι διαφημίσεις Flash, Java και web είναι από καιρό δημοφιλείς τρόποι για την παροχή κακόβουλου λογισμικού για τη μόλυνση των υπολογιστών.
5. Περιορισμός δικαιωμάτων διαχειριστή (admin) Αυτό σημαίνει ότι τα δικαιώματα διαχειριστή χρησιμοποιούνται μόνο για τη διαχείριση συστημάτων, την εγκατάσταση νόμιμου λογισμικού και την εφαρμογή ενημερώσεων κώδικα λογισμικού. Αυτά πρέπει να περιορίζονται μόνο σε αυτούς που τα χρειάζονται. Οι λογαριασμοί διαχειριστή είναι τα «κλειδιά για το βασίλειο», οι αντίπαλοι χρησιμοποιούν αυτούς τους λογαριασμούς για πλήρη πρόσβαση σε πληροφορίες και συστήματα.
6. Patch λειτουργικά συστήματα Διορθώσεις επιδιορθώσεων και ευπάθειες ασφαλείας στα λειτουργικά συστήματα. Είναι σημαντικό επειδή οι αντίπαλοι θα χρησιμοποιήσουν γνωστές ευπάθειες ασφαλείας στο λειτουργικό σύστημα για να στοχεύσουν υπολογιστές.
7. Έλεγχος ταυτότητας πολλαπλών παραγόντων Αυτό συμβαίνει όταν ένας χρήστης έχει πρόσβαση μόνο μετά την επιτυχή παρουσίαση πολλαπλών, ξεχωριστών αποδεικτικών στοιχείων. Η ύπαρξη πολλών παραγόντων ελέγχου ταυτότητας καθιστά πολύ πιο δύσκολο για τους αντιπάλους να έχουν πρόσβαση στις πληροφορίες σας
8. Καθημερινή δημιουργία αντιγράφων ασφαλείας σημαντικών δεδομένων Αυτό σημαίνει τακτικά αντίγραφα ασφαλείας όλων των δεδομένων και αποθήκευση τους εκτός σύνδεσης ή διαδικτυακά, αλλά με τρόπο μη επανεγγράψιμο και μη διαγράψιμο. Αυτό δίνει τη δυνατότητα σε έναν οργανισμό να έχει ξανά πρόσβαση σε δεδομένα εάν υποστεί περιστατικό ασφάλειας στον κυβερνοχώρο.

Βασικό μοντέλο ωριμότητας οκτώ

Για να βοηθήσει τους οργανισμούς να καθορίσουν την αποτελεσματικότητα της εφαρμογής του E8, έχει αναπτυχθεί ένα μοντέλο ωριμότητας. Το μοντέλο ορίζει τέσσερα επίπεδα ωριμότητας για κάθε στρατηγική μετριασμού.

• Επίπεδο ωριμότητας Μηδέν - περιορισμένο ή καθόλου ευθυγραμμισμένο με την πρόθεση στρατηγικής μετριασμού
• Επίπεδο ωριμότητας 1 - Εν μέρει ευθυγραμμισμένο με την πρόθεση στρατηγικής μετριασμού
• Επίπεδο ωριμότητας δύο - Ευθυγραμμίζεται κυρίως με την πρόθεση στρατηγικής μετριασμού
• Επίπεδο ωριμότητας τρία - Πλήρως ευθυγραμμισμένο με την πρόθεση της στρατηγικής μετριασμού