CIS-kontrol 20Dette er en organisatorisk kontrol

Test den samlede styrke af en organisations forsvar (teknologi, processer og mennesker) ved at simulere en angribers mål og handlinger.

CIS RAM er en metode til risikovurdering af informationssikkerhed, der hjælper organisationer med at implementere og vurdere deres sikkerhedstilstand i forhold tilCIS-kontrollerne.Download CIS RAM
Hvorfor er denne CIS-kontrol kritisk?

Angrebsmænd udnytter ofte kløften mellem gode defensive designs og hensigter og implementering eller vedligeholdelse. Som eksempler kan nævnes: tidsvinduet mellem annonceringen af en sårbarhed, tilgængeligheden af en leverandørpatch og den faktiske installation på hver maskine. Andre eksempler omfatter: velmenende politikker, der ikke har nogen håndhævelsesmekanisme (især dem, der har til formål at begrænse risikable menneskelige handlinger); manglende anvendelse af gode konfigurationer på maskiner, der kommer ind og ud af netværket; og manglende forståelse af samspillet mellem flere defensive værktøjer eller med normale systemoperationer, der har sikkerhedsmæssige konsekvenser.

En vellykket defensiv holdning kræver et omfattende program med effektive politikker og styring, stærke tekniske forsvarsmekanismer og passende menneskelige handlinger. I et komplekst miljø, hvor teknologien konstant udvikler sig, og der jævnligt dukker nye angribermetoder op, bør organisationer med jævne mellemrum teste deres forsvar for at identificere huller og vurdere deres beredskab ved at udføre penetrationstest.

Penetrationstest starter med identifikation og vurdering af sårbarheder, der kan identificeres i virksomheden. Dernæst udformes og udføres testene for specifikt at demonstrere, hvordan en modstander enten kan undergrave organisationens sikkerhedsmål (f.eks. beskyttelse af specifik intellektuel ejendom) eller opnå specifikke mål for modstanderen (f.eks. etablering af en skjult kommando- og kontrolinfrastruktur). Resultaterne giver gennem demonstration en dybere indsigt i de forretningsmæssige risici ved forskellige sårbarheder.

Red Team-øvelser tager en omfattende tilgang til hele spektret af organisationens politikker, processer og forsvar med henblik på at forbedre organisationens beredskab, forbedre uddannelsen af forsvarsudøvere og inspicere det nuværende præstationsniveau. Uafhængige Red Teams kan give værdifuld og objektiv indsigt i eksistensen af sårbarheder og effektiviteten af forsvar og afbødende kontroller, der allerede er på plads, og selv af dem, der er planlagt til fremtidig implementering.

Hovedpunkter:
  • Etablere et program for penetrationstest, der omfatter et fuldt omfang af blandede angreb, såsom trådløse, klientbaserede og webapplikationsangreb.
  • Opret en testbænk, der efterligner et produktionsmiljø til specifikke penetrationstest og Red Team-angreb mod elementer, der typisk ikke testes i produktion, såsom angreb mod overvågnings- og dataindsamlingssystemer og andre kontrolsystemer.
Vil du implementere denne organisatoriske kontrol?

Download CIS-kontrollerne for at få flere detaljer om implementering af denne og de andre 19 kontrolsystemer.