КиберОценка

CC6.8: Предотвращение и обнаружение несанкционированного ПО

Предотвращение или обнаружение установки несанкционированного ПО

Подробное описание

Контроль CC6.8 требует от организации внедрения механизмов предотвращения и обнаружения установки несанкционированного программного обеспечения на критических системах. Это включает использование решений класса endpoint protection (EDR/XDR), систем контроля приложений (application whitelisting), мониторинга целостности файлов и контейнерной безопасности. Для SaaS-компаний критически важен контроль над развёртыванием в production-окружении, автоматизированное сканирование образов контейнеров и проверка зависимостей в CI/CD-конвейере. Эффективная реализация этого контроля снижает риски внедрения вредоносного ПО, несанкционированных изменений в инфраструктуре и компрометации цепочки поставок программного обеспечения.

Практические шаги внедрения

  1. 1

    Развернуть EDR/XDR-решения на всех рабочих станциях и серверах с централизованным мониторингом событий безопасности

  2. 2

    Внедрить application whitelisting (AppLocker, Allowlisting policies) для критических серверов и административных рабочих мест

  3. 3

    Настроить автоматическое сканирование Docker/Kubernetes образов на уязвимости и несанкционированные изменения в CI/CD-pipeline

  4. 4

    Интегрировать проверку зависимостей (Dependabot, Snyk, npm audit) для обнаружения вредоносных пакетов в коде приложений

  5. 5

    Внедрить мониторинг целостности файлов (FIM) для критических системных директорий и конфигурационных файлов

  6. 6

    Настроить политики Software Restriction Policies и контроль установки программ через GPO или MDM-решения

  7. 7

    Автоматизировать регулярные проверки установленного ПО против утверждённого базового образа (golden image)

Типичные нарушения

  • Отсутствие контроля установки browser extensions и плагинов, которые могут содержать вредоносный код

  • Неконтролируемое использование package managers (npm, pip, apt) разработчиками без проверки source integrity

  • Отсутствие автоматизированного сканирования контейнерных образов перед развёртыванием в production

  • Использование устаревших антивирусных решений вместо современных EDR/XDR с поведенческим анализом

  • Отсутствие мониторинга несанкционированных изменений в serverless-функциях и IaC-конфигурациях

Почему это важно

SOC 2 аудиторы проверяют не только наличие антивирусного ПО, но и способность организации предотвращать sophisticated threats — supply chain атаки, fileless malware, containerized backdoors. Для облачных компаний компрометация через вредоносную зависимость или троянизированный Docker-образ может привести к массовой утечке клиентских данных. Демонстрация layered defense (endpoint protection + application control + integrity monitoring) критична для успешного прохождения SOC 2 Type II аудита.

Проверяемые категории

Leaked CredentialsSupply Chain

Связанные контроли

Связанные контроли в других фреймворках

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности