CIS-Kontrolle 20Dies ist eine organisatorische Kontrolle

Testen Sie die Gesamtstärke der Verteidigung einer Organisation (die Technologie, die Prozesse und die Mitarbeiter), indem Sie die Ziele und Aktionen eines Angreifers simulieren.

CIS RAM ist eine Methode zur Risikobewertung im Bereich der Informationssicherheit, die Unternehmen bei der Implementierung und Bewertung ihrer Sicherheitslage anhand der CIS-Kontrollen unterstützt.
Warum ist diese CIS-Kontrolle kritisch?

Angreifer nutzen oft die Lücke zwischen guten Verteidigungsplänen und -absichten und der Implementierung oder Wartung aus. Beispiele hierfür sind: das Zeitfenster zwischen der Bekanntgabe einer Sicherheitslücke, der Verfügbarkeit eines Hersteller-Patches und der tatsächlichen Installation auf jedem Rechner. Andere Beispiele sind: gut gemeinte Richtlinien ohne Durchsetzungsmechanismus (insbesondere solche, die riskante menschliche Handlungen einschränken sollen); das Versäumnis, gute Konfigurationen auf Rechner anzuwenden, die im Netz ein- und ausgehen; und das Versäumnis, die Interaktion zwischen mehreren Abwehrwerkzeugen oder mit normalen Systemoperationen zu verstehen, die sich auf die Sicherheit auswirken.

Eine erfolgreiche Abwehrhaltung erfordert ein umfassendes Programm mit wirksamen Richtlinien und Kontrollmechanismen, starken technischen Abwehrmechanismen und angemessenen Maßnahmen der Mitarbeiter. In einer komplexen Umgebung, in der sich die Technologie ständig weiterentwickelt und regelmäßig neue Angreifer auftauchen, sollten Unternehmen ihre Abwehrmaßnahmen regelmäßig testen, um Lücken zu erkennen und ihre Bereitschaft zu bewerten, indem sie Penetrationstests durchführen.

Penetrationstests beginnen mit der Identifizierung und Bewertung von Schwachstellen, die im Unternehmen festgestellt werden können. Anschließend werden Tests konzipiert und durchgeführt, um zu demonstrieren, wie ein Angreifer die Sicherheitsziele des Unternehmens unterlaufen (z. B. den Schutz bestimmter geistiger Eigentumsrechte) oder bestimmte Ziele des Angreifers erreichen kann (z. B. die Einrichtung einer verdeckten Kommando- und Kontrollinfrastruktur). Die Ergebnisse geben durch Demonstration einen tieferen Einblick in die Geschäftsrisiken verschiedener Schwachstellen.

Red Team-Übungen verfolgen einen umfassenden Ansatz für das gesamte Spektrum der Unternehmensrichtlinien, -prozesse und -verteidigung, um die Bereitschaft des Unternehmens zu verbessern, die Ausbildung der Verteidigungsfachleute zu verbessern und das aktuelle Leistungsniveau zu überprüfen. Unabhängige Red Teams können wertvolle und objektive Erkenntnisse über das Vorhandensein von Schwachstellen und die Wirksamkeit der bereits vorhandenen und sogar der für die künftige Implementierung geplanten Abwehrmaßnahmen und abschwächenden Kontrollen liefern.

Hauptpunkte:
  • Erstellen Sie ein Programm für Penetrationstests, das die gesamte Bandbreite gemischter Angriffe, wie drahtlose, clientbasierte und Webanwendungsangriffe, umfasst.
  • Erstellen Sie ein Testbett, das eine Produktionsumgebung für spezifische Penetrationstests und Red-Team-Angriffe auf Elemente imitiert, die normalerweise nicht in der Produktion getestet werden, wie z. B. Angriffe auf Überwachungs- und Datenerfassungssysteme und andere Kontrollsysteme.
Möchten Sie diese organisatorische Kontrolle implementieren?

Laden Sie die CIS-Kontrollen herunter, um weitere Einzelheiten zur Implementierung dieser und der anderen 19 Kontrollen zu erfahren.