Kontrola CIS 20Jedná se o organizační kontrolu
Testování celkové síly obrany organizace (technologie, procesy a lidé) pomocí simulace cílů a akcí útočníka.
Proč je tato kontrola CIS kritická?
Útočníci často využívají mezer mezi dobrými obrannými návrhy a záměry a implementací nebo údržbou. Příklady: časové okno mezi oznámením zranitelnosti, dostupností záplaty dodavatele a skutečnou instalací na každém počítači. Mezi další příklady patří: dobře míněné zásady, které nemají žádný mechanismus vynucování (zejména ty, které mají omezit riskantní lidské akce); nepoužití dobrých konfigurací na stroje, které přicházejí do sítě a ze sítě; a nepochopení interakce mezi více obrannými nástroji nebo s běžnými operacemi systému, které mají bezpečnostní důsledky.
Úspěšná obranná pozice vyžaduje komplexní program účinných zásad a správy, silnou technickou obranu a odpovídající činnost lidí. Ve složitém prostředí, kde se technologie neustále vyvíjejí a kde se pravidelně objevují nové dovednosti útočníků, by organizace měly pravidelně testovat svou obranu, aby zjistily nedostatky a posoudily svou připravenost prováděním penetračních testů.
Penetrační testování začíná identifikací a posouzením zranitelností, které lze v podniku identifikovat. Poté jsou testy navrženy a provedeny tak, aby konkrétně demonstrovaly, jak může protivník buď podvrátit bezpečnostní cíle organizace (např. ochranu konkrétního duševního vlastnictví), nebo dosáhnout konkrétních cílů protivníka (např. zřízení tajné infrastruktury velení a řízení). Výsledky poskytují prostřednictvím demonstrace hlubší vhled do obchodních rizik různých zranitelností.
Cvičení Red Team zaujímají komplexní přístup v celém spektru zásad, procesů a obranných opatření organizace s cílem zlepšit připravenost organizace, zkvalitnit výcvik odborníků na obranu a zkontrolovat aktuální úroveň výkonnosti. Nezávislé červené týmy mohou poskytnout cenné a objektivní poznatky o existenci zranitelností a účinnosti obranných a zmírňujících kontrolních mechanismů, které jsou již zavedeny, a dokonce i těch, které se plánují zavést v budoucnu.
Hlavní body:
- Vytvořte program penetračních testů, který zahrnuje celý rozsah smíšených útoků, jako jsou útoky na bezdrátové sítě, klientské a webové aplikace.
- Vytvořte testovací prostředí, které napodobuje produkční prostředí pro specifické penetrační testy a útoky Red Teamu proti prvkům, které se obvykle netestují v produkci, jako jsou útoky proti dohledovému řízení a sběru dat a dalším řídicím systémům.
Chcete implementovat tuto organizační kontrolu?“
Stáhněte si CIS Controls, kde najdete další podrobnosti o implementaci této a dalších 19 kontrol.
Napsat komentář