在一个位置了解您的权利和我们的责任
安全策略
介绍
文档的用途
本文档旨在总结 ESET 基础架构中应用的技术、组织和物理控制和安全做法,其中包括 ESET 组合,即产品、应用程序、解决方案和 ESET 服务(下称“产品”)。安全措施、控制和策略旨在保护
•ESET 投资组合操作和本地或云环境中的数据处理
•客户数据的保密性、完整性和可用性
•来自非法破坏、丢失、变更、未经授权披露或访问的客户信息
ESET 可能会更新本文档以及管理该文件的特定措施、控制和策略,以应对不断变化的威胁并适应发展中的安全技术和行业标准。
观众
本文档应由任何需要在 ESET 投资组合安全领域确认的客户阅读,或者希望通过与其环境集成来使用 ESET 解决方案或服务的客户阅读。
背景、概念和范围
ESET, spol s r.o. 公司已获得ISO 27001:2022 认证,并拥有集成的管理系统。
因此,信息安全管理的概念采用 ISO 27001 框架,在对信息系统架构堆栈(即网络、操作系统、数据库、应用程序、人员和操作流程)的每一层应用安全控制时,实施分层防御安全策略。应用的安全实践和安全控制旨在相互重叠和互补。
本文档的范围是概述针对 ESET 组合实施的技术和组织措施;组织、人员和操作流程。
安全实践和控制包括治理和技术措施,包括但不限于:
•信息安全策略
•信息安全组织
•人力资源安全
•访问控制
•加密
•物理和环境安全
•数据防护、网络安全、应用程序安全
•操作安全
•通信安全
•系统获取、开发和维护
•供应商关系
•信息安全事件管理
•业务连续性管理的信息安全方面
•合规性
简称
缩写 |
全写 |
|---|---|
公司 |
ESET, spol. s r.o. |
CSP |
云服务提供商 |
DR |
灾难恢复 |
ESET |
ESET, spol. s r.o. |
GDPR |
一般数据防护条例 |
ICT |
信息和通信技术 |
IR |
事件响应 |
IS |
信息安全 |
ISMS |
信息安全管理系统 |
IT |
信息技术 |
NIS |
《网络安全法》转化的《网络和信息系统安全指令》 |
PKI |
公共密钥基础设施 |
产品 |
ESET 组合 - 即产品、应用程序、云平台、解决方案和 ESET 服务 |
SIEM |
安全信息和事件管理 |
SSDLC |
安全软件开发生命周期 |
QMS |
质量管理系统 |
注释:斜体内容 - 用于引用的内部公司文档(但不面向公众)的名称,例如内部法规政策
安全治理
信息安全管理计划
ESET 已建立并维护信息安全管理框架计划,作为指导信息资产保护的跨组织功能。信息安全文档通过《内部法规策略》以安全策略、过程和文档为指导。ESET 通过了综合管理系统策略,该策略可作为顶级策略
•ISMS 策略,
•QMS 策略和
•信息安全策略。
ESET 遵守其“集成管理系统策略”,定义了质量和信息安全管理的框架。此策略由 ESET 的首席信息安全官(CISO)拥有,代表了顶级管理层对安全性和质量的承诺。它定义了这些域的管理和保证责任,并概述了 ESET 依据 ISO 9001 和 ISO 27001 标准持续评估和改进其管理系统的有效性的承诺。
公司策略将每年进行记载、维护和审阅并在发生重大更改后更新,以确保其持续适用性、充分性和有效性。更新会传达给内部人员,所有员工都可以使用这些策略。策略将正式通过,由首席执行官签署,发布并传达给所有员工和相关方。ESET 员工在入职时需正式认可策略。
除政策外,ESET 的信息安全和技术安全团队还根据行业和供应商的安全最佳实践(例如,CIS 基准、OWASP、NIST)设计了流程、程序、标准和配置基准。这些数据将交付给 IT 和技术团队,以确保 ESET 信息系统和产品的安全开发、配置和运行。
ESET 维护相互连接的治理文档,该文档是根据 ESET 的 ISO 9001 和 ISO 27001 认证而设计并提供给所有员工。操作程序可适应每个团队的特定需求,在指定工作区内进行管理,并根据需要进行更新。
现有政策合规性监测和纪律程序可解决和纠正任何不遵守安全策略的情况,从而加强 ESET 对问责和持续改进的承诺。
为确保持续合规性和有效性,ESET 已实施风险管理框架,并保持技术和组织控制。ESET 的风险管理过程包括在其综合管理系统(基于 ISO 9001 和 ISO 27001)内对风险进行全面评估和管理。这包括评估资产、识别安全要求、计算风险以及选择适当的减缓策略。首席信息安全官(CISO)负责监督整体风险管理过程,并确保安全风险和相关指标定期向执行管理层报告。此外,通过供应商评估,严格执行第三方风险管理,遵循 ESET 合同安全标准。
符合行业标准
对于依赖 ESET 的能力和技术来保护数据和满足监管要求的组织,外部验证和认证至关重要。有关详细信息,请参阅 ESET 的认证页面。
合规性监视
综合管理系统策略建立了综合管理系统,包括定期审核和审核。
内部审计会定期审查 ESET 的策略和流程的遵循情况,如《内部审计策略》所述。《内部法规政策》规定了定期监视内部法规的应用以及必要时进行相关调整的责任。
定期审核和内部和外部审核依据年度和三年长期审核计划进行。内部审计由独立审计师执行,他们根据审计范围定期审查是否遵守 ESET 的策略和流程或适用标准(例如,ISO 9001, ISO 27001 和 SOC2)。至少每年计划并执行内部审计。审计结果会收集并记录在专门的工单系统中,同时指定相应的负责人,由其负责在预定时间范围内处理和解决不合规行为。需要管理监督的审计结果和决策在定期管理审查会议上进行审查。
信息安全组织
信息安全责任会根据现有信息安全策略进行分配。将识别并评估内部流程,以查找是否存在任何未经授权、意外修改或滥用 ESET 信息资产的风险。内部流程中存在风险活动或敏感活动时,会采用安全最佳做法原则来降低风险。
在已应用项目管理框架(从概念到项目实现)的项目管理中,会对信息安全加以考虑。
远程办公和远程工作通过在移动设备上实施的策略来保障,其中包括在通过不受信任的网络漫游时使用强加密数据保护。移动设备上的安全控制旨在独立于 ESET 内部网络和内部系统工作。
人力资源安全
ESET 使用标准的人力资源实践,包括旨在确保信息安全的策略。这些做法涵盖整个员工生命周期且适用于所有员工。
ESET 公司要求 ESET 员工:在入职期间进行背景信息核查和筛查;签署不披露协议或保密协议作为雇佣合同的一部分,使其有义务遵守内部安全策略和标准;保护 ESET 保密信息和客户数据;在入职期间完成 ESET 合规性和意识计划中的信息安全意识培训。
技术措施
身份和访问管理
ESET 的 访问管理策略适用于对 ESET 基础架构的所有访问。访问控制流程包括面向所有基础架构、技术、应用程序或工具级别来授予、撤销、更改访问权限以及修改已授予的访问权限。应用程序级别上的完全用户访问管理是自主的。身份单个登录由中央身份提供商管理,以确保用户只能访问授权的环境或应用程序。
面向用户访问权限撤销、用户访问权限提供、审查、删除和访问权限调整的用户和访问管理、流程和技术措施,用于管理 ESET 员工是否依据安全标准访问 ESET 基础架构和网络,包括但不限于以下内容:
•基于“需要知道”最少特权的访问提供
•定期审查用户访问
•依据安全策略终止用户访问
•向所有人分配唯一帐户
•记录用户访问尝试、审查和监视
•物理访问日志记录和审查
•实现高特权和管理员访问的多因素身份验证
•在指定不活动期之后的交互式会话时限执行
数据防护
数据加密
ESET 保护其基础架构中的数据;强加密用于在休息状态(包括便携设备)和过境状态中加密数据。加密的实施遵循内部加密标准定义的规则。客户数据依据相关法规(例如 GDPR、NIS2 指令或行业和金融法规)进行保留。
已实施的措施:
•使用普遍受信任的证书颁发机构为公共 Web 服务颁发证书
•ESET 内部 PKI 用于管理 ESET 基础架构中的密钥
•启用 CSP 平台原生加密,以确保为数据处理的相关部分或云环境中的数据驻留(数据存储、备份)提供静态数据保护。
•强加密(例如 TLS)已启用,可加密传输中的数据
数据备份和恢复
备份受操作信息和通信技术中的信息安全政策的约束。
所有 ESET 组合配置和部署数据都存储在 ESET 受保护的和定期备份的存储库中,以便自动恢复环境配置。定期灾难恢复测试过程用于在业务预期时间内验证配置备份可恢复性。
ESET 客户的数据会根据行业标准和法规、高可用性操作和合同可恢复性要求定期进行备份。备份受到篡改防护,备份有效性会定期通过灾难恢复过程进行测试。
网络安全
网络细分应用于整个 ESET 网络环境。网络根据定义的标准进行分离,并通过在防火墙上使用 VLAN 进行强制执行。
ESET 使用各种边界防护系统,包括 L7 防火墙、渗透检测系统和渗透防护系统。这些系统的配置和维护旨在保护外部访问点,确保检测和防止任何未经授权的访问网络尝试。
通过用户或站点到站点 VPN 提供对内部资产的远程访问,其中包括 ESET 内部策略中规定的角色和责任、安全要求和控制,并根据安全行业标准配置。VPN 用户帐户是在 Active Directory 中维护的,是员工帐户提供过程的一部分。
ESET 实施并维护网络安全控制,以保护处理、接收或存储在云环境中的数据。CSP 帐户和底层基础架构利用 CSP 虚拟网络中的网络访问控制列表和安全组来限制对所有提供的资源的访问。仅通过加密渠道访问云资源。
强化
ESET 利用安全系统的过程来减少对攻击的可能漏洞。这包括以下技术和最佳实践:
•有签名的黄金图像,用于安装或部署主机或容器
•关闭不必要的服务
•高风险的情况下,自动计划的关键组件附件和偶尔补丁
•在生命周期结束前升级操作系统
•配置安全设置
•以可重复且一致的方式自动化基础架构和应用程序管理
•删除不必要的软件
•限制访问本地资源
•基于主机的控制,例如防病毒、端点检测和响应以及网络策略
ESET 采用集中方法,将硬化应用于 IT 环境的组件,以最小化攻击表面,即攻击者可能利用的所有潜在入口点的总和。有关详细信息,请参阅本文档的以下部分。
应用程序安全
安全开发实践
ESET 通过其《软件开发生命周期安全政策》(简称“SSDLC”)实施安全软件开发实践,该政策将安全控制和风险管理整合到开发的所有阶段。
SSDLC 策略定义了以下要求:
•代码按照安全编码准则编写,并在合并前进行审查
•针对新功能和重大更改,进行威胁建模和设计审查
•自动安全检查(静态分析、依赖扫描和选定的动态测试)作为 CI/CD 管道的一部分运行
•会跟踪和更新第三方和开源组件;对于所有发布的产品,将保持一个 SBOM
•审查了事件、渗透测试和错误奖励报告的结果,并将其重新传入开发过程
SSDLC 策略的目标是确保所有 ESET 软件产品都安全、可靠且符合适用的标准和法规。
产品漏洞管理
ESET 在其应用程序和产品生命周期内维护了一个定义的过程,用于识别、评估和解决应用程序和产品中的漏洞。
该过程包括内部发现的问题和来自外部来源的报告。
作为产品漏洞管理的一部分,ESET 会:
•使用自动扫描工具来扫描源代码、依赖项以及构建针对已知漏洞的项目
•在分配修复之前,手动审查结果,以确认影响和相关性
•根据严重性、可用性和产品暴露来跟踪和优先修复
•执行有针对性的安全测试和重新测试,以验证修复
•将漏洞数据集成到开发和发布计划中,以便在发送之前解决关键问题
•通过协调披露和公共错误奖励计划接受并处理外部报告
•使用其 CVE 编号机构 (CNA) 的角色为已确认的产品漏洞分配 CVE 标识符
•根据漏洞严重性和业务影响,根据结构化分类过程应用修补程序和修补程序
o分类过程符合 ISO/IEC 30111 (漏洞处理) 和 ISO/IEC 29147 (漏洞披露) 的要求
oCVSS 分数和外部情报来源(例如 CISA 的已知被利用漏洞(KEV)目录)用于指导优先级化。
o最终解决方案的决定由负责的产品和安全团队合作做出
这些过程确保在所有 ESET 产品中以一致、透明和可追踪的方式管理漏洞。
渗透测试
ESET 会定期对其产品进行渗透测试,作为整体产品安全保证过程的一部分,在我们自己的渗透测试计划中进行。在主要发布前进行测试,以及在维护产品的计划间隔内进行测试。
ESET 渗透测试主要集中在以下方面:
•验证已实施的安全控制和减轻措施是否有效
•识别自动工具可能无法检测到的潜在漏洞
•验证以前修复努力的结果
•评估释放产品的整体攻击表面和风险暴露
测试由合格的内部专家或受信任的外部合作伙伴在孤立的环境中进行,并使用公认的行业方法(OWASP WSTG/MTG、NIST SP 800-115, PTES)。
结果通过用于内部和外部报告问题的同一漏洞管理过程进行文档化、评级和跟踪。
渗透测试结果直接传入产品改进计划和 SSDLC,有助于确保获取教训并随着时间的推移减少重复的弱点。
操作安全
ICT 操作中的信息安全策略
公司内部 ICT 操作中的信息安全政策根据 ISO 27001 标准制定了与 ICT 操作相关的基本安全规则。
IT 操作中的信息安全策略定义了 IT 操作流程及其文档的安全要求,包括操作程序、变更管理、角色和责任分离、生产分离、测试和开发环境、第三方 IT 服务、性能规划、IT 项目、恶意软件防护、备份、网络安全、媒体安全、电子商务要求和监视。
日志记录和审核
系统上的日志记录和审核按照内部标准和准则进行(安全监视和安全事件管理政策)。
将持续收集来自基础架构、操作系统、数据库、应用程序服务器和安全控件的日志和事件。ESET 使用中央日志管理平台(SIEM)来保护相关日志免受未经授权的修改或破坏。日志会由 IT 和内部安全团队进一步处理,以识别操作和安全异常以及信息安全事件。SIEM 中的数据将被保留在法规要求的时间内以及用于后瞻性威胁追捕。
安全监视和事件响应
安全监视和安全事件管理是由安全监视和安全事件管理政策定义的。
政策概述
•开发、正确配置、保护、存储、分析、评估和保留安全记录和审计的责任和规则
•安全事件管理的过程、角色和责任
•防止安全事件
•最小化安全事件的影响
•通过安全事件学习
•教育员工监视活动、其范围以及员工在监视和事件响应中的作用
已建立的 24x7 安全操作中心(SOC)有权持续监视 IT 基础架构和应用程序的安全状态,并应对安全事件。
ESET 信息安全事件管理依赖定义的事件响应程序。事件响应中的角色在多个团队(包括 IT、安全、法律、人力资源、公共关系和行政管理)中定义和分配。标准事件由 SOC 团队处理。如果发生更严重的安全事件,则会通知命令中心。指令中心与 SOC 团队合作,协调事件响应并参与其他团队处理事件。SOC 团队(由内部安全团队的责任成员提供支持)还负责收集证据和总结经验教训。将向受影响的各方(包括客户和合作伙伴)传达事件发生信息和解决方案。如有必要,ESET 法律团队会负责根据《一般数据保护条例 (GDPR)》和《网络安全法案》(取代《网络和信息安全指令 (NIS2)》),通知监管机构。
修补程序管理
修补程序管理可作为修补漏洞的几个减缓活动之一。
安全补丁会根据已确认的漏洞的严重性和风险进行评估和应用。
定义的分类和优先化过程会确定修补程序部署的序列和时间线。此过程遵循 ESET 与 ISO/IEC 30111 一致的内部准则。CVSS 评分和外部威胁情报来源,例如 CISA 的已知可利用漏洞目录(KEV),支持基于风险的决策和优先考虑。
在部署到生产之前,所有补丁都将在受控制的环境中进行验证,以确保解决目标问题,而不会对系统稳定性或兼容性产生负面影响。
部署遵循已确立的更改管理程序,以确保可追踪性、问责性和必要时反转能力。
持续监视和审查补丁活动,以确认其有效性、识别过时系统并推动持续过程改进。
应用程序日志记录准则规定了针对 ESET 开发的所有应用程序的日志记录的技术措施和要求。
恶意软件和威胁防护
防止恶意软件(通过防病毒软件和 EDR)的防护是由信息和通信技术操作中的信息安全政策规定。员工必须按照 ESET 员工信息安全策略中的所述信息,立即向 SOC 报告任何可疑恶意软件感染。
针对员工端点的要求已在《工作站安全标准》中概述。
ESET 使用由经过验证的第三方解决方案丰富的自身反恶意软件工具来保护端点和云工作负载。
SOC 团队根据《安全监视与安全事件管理策略》执行威胁捕猎活动。威胁数据(传输)会收集到 SIEM 系统中,该系统会自动输入以生成应用于安全监视事件的威胁情报。
技术合规性
内部安全团队提供并维护面向基础架构、云、Web 相关组件的各种技术安全标准以及供开发人员和 IT 管理员遵循的最佳做法。基于技术标准,内部安全团队会准备由 IT 团队用于自动部署和强制执行安全配置的配置基线文件。
此外,在可行的情况下,还会通过漏洞评估工具进行合规性扫描。ESET 已建立了渗透测试计划,ESET 开发的产品、应用程序和服务将根据程序计划进行定期渗透测试。所有发现都被记录下来,并报告给产品利益相关者,以确保尽快减轻。
物理安全
物理安全策略 和相关物理安全标准定义了围绕办公场所和数据中心的物理安全规则。本策略规定了以下规则和程序:
•ESET 设施的保护
•物理访问控制
•办公室、房间和建筑物安全
•在安全区域工作
•设备、电缆和基础设施的安全性
数据中心安全
IT 基础架构组件在多个数据中心内物理位置;因此,在每个区域内实现了冗余性。
物理安全周围是由办公室空间和数据中心的物理安全策略和相关安全标准中定义的。ESET 定义了设置安全范围的规则,以及适用于物理安全范围的控制。关键控制(包括物理安全区划和分离、访问和访问者管理、防火和洪水防护以及 CCTV 和载人监视)已明确定义、实施并持续监视。DC 的安全性由负责人员和外部审核人员定期审查。
ESET 依赖 CSP 的物理安全措施和控制;因此,ESET 会定期审查 CSP 的相关合规性报告。
物理访问控制
物理输入控制是由《物理安全策略》和有关办公室空间和数据中心安全标准规定的。营地分为受特殊访问控制的受保护区。
通过使用密钥、ID/访问卡和 PIN 来管理身份验证,并遵循安全最佳实践。
实施物理访问监视和未经授权访问预防/检测。所有记录都由 CCTV 监视,并记录记录。边界还通过运动或破玻璃传感器(包括弱阻墙(例如,玻璃或干墙)、消防出口和窗户)进行监视。
业务连续性和灾难恢复
ESET 会按照 ISO 22301 的《《业务连续性管理策略》维护、定期审查、评估和实施其业务连续性管理系统的改进。
ESET 已建立了 BCM 计划,该计划优先考虑公司内所有活动,并根据 BCM 策略接受 CISO 批准。BCM 计划定义了操作活动和旨在减轻 BCM 相关风险的活动,例如提供冗余的功能和 IT 基础架构或对其进行复制。
正在准备和审查具有定义业务连续性目标的业务影响分析(RTO、RPO、MTD、恢复优先级)。灾害恢复计划(DRP)会根据 BCM 计划进行审查和测试。业务连续性策略决定了维护关键业务资产的方法。来自常规业务连续性活动的所有输出均可作为持续改进的输入。
第三方风险管理
监视和审查供应商服务受供应商关系信息安全政策的约束。审查每季度进行,结果存储在供应商评估中。