อธิบายแปดสิ่งจำเป็น

Healthdirect Australia ปฏิบัติตามข้อกำหนดทั้งหมดเพื่อให้บรรลุวุฒิภาวะอย่างน้อยระดับสองในทุกด้านของบริการวิดีโอคอลทางสุขภาพโดยตรง บริการแฮงเอาท์วิดีโอ Healthdirect ได้รับการประเมินครั้งล่าสุดสำหรับการปฏิบัติตามข้อกำหนด Essential Eight เมื่อวันที่ 17 สิงหาคม 2023 หากคุณต้องการรายละเอียดเพิ่มเติมเกี่ยวกับการประเมิน แบบจำลองวุฒิภาวะ Essential Eight ของแฮงเอาท์วิดีโอ โปรดติดต่อ videocallsupport@healthdirect.org.au

แม้ว่าจะไม่มีการรับประกันกลยุทธ์การบรรเทาผลกระทบใด ๆ เพื่อป้องกันเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ แต่ ACSC แนะนำให้องค์กรต่างๆ ใช้กลยุทธ์การบรรเทาผลกระทบ E8 เป็นพื้นฐาน ข้อมูลพื้นฐานนี้ทำให้ฝ่ายตรงข้ามสามารถประนีประนอมระบบได้ยากขึ้นมาก นอกจากนี้ การนำ E8 ไปใช้เชิงรุกยังคุ้มค่ากว่าในแง่ของเวลา เงิน และความพยายาม เมื่อเปรียบเทียบกับการตอบสนองต่อเหตุการณ์ความปลอดภัยทางไซเบอร์ขนาดใหญ่ จากภัยคุกคามที่ศัตรูต้องเผชิญ มีคำสั่งการดำเนินการที่แนะนำเพื่อช่วยองค์กรในการสร้างมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งสำหรับระบบของพวกเขา เมื่อองค์กรได้นำกลยุทธ์การบรรเทาผลกระทบที่ต้องการไปใช้ในระดับเริ่มต้นแล้ว พวกเขาควรมุ่งเน้นไปที่การเพิ่มความสมบูรณ์ของการนำไปปฏิบัติ เพื่อที่ในที่สุดพวกเขาจะบรรลุความสอดคล้องอย่างสมบูรณ์กับเจตนาของกลยุทธ์การบรรเทาแต่ละอย่าง กลยุทธ์ E8 ที่ ACSC แนะนำเป็นพื้นฐานมีดังนี้:

1. การควบคุมแอปพลิเคชัน
   การควบคุมแอปพลิเคชันอนุญาตให้เฉพาะแอปพลิเคชันซอฟต์แวร์ที่เลือกทำงานบนคอมพิวเตอร์เท่านั้น มีวัตถุประสงค์เพื่อป้องกันไม่ให้แอปพลิเคชันซอฟต์แวร์ที่ไม่ได้รับการอนุมัติทำงาน รวมถึงมัลแวร์
2. แพทช์แอปพลิเคชัน การแก้ไขการแก้ไขและช่องโหว่ด้านความปลอดภัยในแอปพลิเคชันซอฟต์แวร์ เป็นสิ่งสำคัญเนื่องจากผู้ไม่หวังดีจะใช้ช่องโหว่ด้านความปลอดภัยที่รู้จักในแอปพลิเคชันเพื่อกำหนดเป้าหมายคอมพิวเตอร์
3. ปิดใช้งานแมโคร Microsoft Office ที่ไม่น่าเชื่อถือ แอปพลิเคชัน Microsoft Office สามารถใช้ซอฟต์แวร์ที่เรียกว่า 'มาโคร' เพื่อทำงานตามปกติโดยอัตโนมัติ มาโครถูกนำมาใช้มากขึ้นเพื่อเปิดใช้งานการดาวน์โหลดมัลแวร์ มาโครสามารถอนุญาตให้ฝ่ายตรงข้ามเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ดังนั้นมาโครจึงควรได้รับการรักษาความปลอดภัยหรือปิดใช้งาน
4. การทำให้แอปพลิเคชันของผู้ใช้แข็งแกร่งขึ้น ซึ่งรวมถึงกิจกรรมต่างๆ เช่น การบล็อกเว็บเบราว์เซอร์เข้าถึง Adobe Flash Player โฆษณาบนเว็บ และโค้ด Java ที่ไม่น่าเชื่อถือบนอินเทอร์เน็ต โฆษณาแบบ Flash, Java และเว็บเป็นวิธียอดนิยมในการส่งมัลแวร์มาแพร่ระบาดในคอมพิวเตอร์
5. จำกัดสิทธิ์ของผู้ดูแลระบบ (ผู้ดูแลระบบ) ซึ่งหมายความว่าสิทธิ์ของผู้ดูแลระบบจะใช้สำหรับการจัดการระบบ การติดตั้งซอฟต์แวร์ที่ถูกต้องตามกฎหมาย และการใช้แพตช์ซอฟต์แวร์เท่านั้น สิ่งเหล่านี้ควรจำกัดไว้เฉพาะผู้ที่ต้องการเท่านั้น บัญชีผู้ดูแลระบบคือ 'กุญแจสู่อาณาจักร' ฝ่ายตรงข้ามใช้บัญชีเหล่านี้เพื่อเข้าถึงข้อมูลและระบบได้อย่างเต็มที่
6. แพทช์ระบบปฏิบัติการ การแก้ไขการแก้ไขและช่องโหว่ด้านความปลอดภัยในระบบปฏิบัติการ เป็นสิ่งสำคัญเนื่องจากผู้ไม่หวังดีจะใช้ช่องโหว่ด้านความปลอดภัยที่ทราบในระบบปฏิบัติการเพื่อกำหนดเป้าหมายคอมพิวเตอร์
7. การรับรองความถูกต้องแบบหลายปัจจัย นี่คือเมื่อผู้ใช้ได้รับอนุญาตให้เข้าถึงหลังจากแสดงหลักฐานหลายชิ้นแยกกันสำเร็จเท่านั้น การมีปัจจัยการรับรองความถูกต้องหลายปัจจัยทำให้ฝ่ายตรงข้ามเข้าถึงข้อมูลของคุณได้ยากขึ้นมาก
8. การสำรองข้อมูลสำคัญทุกวัน หมายถึงการสำรองข้อมูลทั้งหมดอย่างสม่ำเสมอและจัดเก็บแบบออฟไลน์หรือออนไลน์ แต่ในลักษณะที่ไม่สามารถเขียนซ้ำและไม่สามารถลบได้ ซึ่งช่วยให้องค์กรสามารถเข้าถึงข้อมูลได้อีกครั้งหากประสบปัญหาด้านความปลอดภัยทางไซเบอร์

โมเดลวุฒิภาวะแปดที่สำคัญ

เพื่อช่วยองค์กรต่างๆ ในการพิจารณาประสิทธิผลของการนำ E8 ไปใช้ จึงมีการพัฒนาแบบจำลองการเจริญเติบโต แบบจำลองนี้กำหนดระดับวุฒิภาวะสี่ระดับสำหรับกลยุทธ์การลดผลกระทบแต่ละรายการ

• ระดับวุฒิภาวะเป็นศูนย์ - มีจำกัดหรือไม่สอดคล้องกับเจตนาของกลยุทธ์การลดผลกระทบ
• วุฒิภาวะระดับหนึ่ง - บางส่วนสอดคล้องกับเจตนาของกลยุทธ์การบรรเทาผลกระทบ
• ระดับวุฒิภาวะที่สอง - ส่วนใหญ่สอดคล้องกับเจตนารมณ์ของกลยุทธ์การบรรเทาผลกระทบ
• ระดับวุฒิภาวะที่สาม - สอดคล้องกับเจตนารมณ์ของกลยุทธ์การลดผลกระทบอย่างเต็มที่