Control CIS 20Este es un Control organizativo
Prueba la fortaleza general de la defensa de una organización (la tecnología, los procesos y las personas) simulando los objetivos y acciones de un atacante.
¿Por qué es crítico este Control CIS?
Los atacantes suelen aprovechar la brecha entre los buenos diseños e intenciones defensivas y la implementación o mantenimiento. Los ejemplos incluyen: la ventana de tiempo entre el anuncio de una vulnerabilidad, la disponibilidad de un parche del proveedor y la instalación real en cada máquina. Otros ejemplos incluyen: políticas bien intencionadas que no tienen un mecanismo de aplicación (especialmente aquellas destinadas a restringir las acciones humanas de riesgo); no aplicar buenas configuraciones a las máquinas que entran y salen de la red; y no entender la interacción entre múltiples herramientas defensivas, o con las operaciones normales del sistema que tienen implicaciones de seguridad.
Una postura defensiva exitosa requiere un programa integral de políticas y gobernanza efectivas, fuertes defensas técnicas, y la acción apropiada de las personas. En un entorno complejo en el que la tecnología evoluciona constantemente y en el que aparecen regularmente nuevas técnicas de ataque, las organizaciones deberían probar periódicamente sus defensas para identificar las deficiencias y evaluar su preparación mediante la realización de pruebas de penetración.
Las pruebas de penetración comienzan con la identificación y evaluación de las vulnerabilidades que pueden identificarse en la empresa. A continuación, se diseñan y ejecutan las pruebas para demostrar específicamente cómo un adversario puede subvertir los objetivos de seguridad de la organización (por ejemplo, la protección de la Propiedad Intelectual específica) o lograr objetivos adversarios específicos (por ejemplo, el establecimiento de una infraestructura encubierta de Mando y Control). Los resultados proporcionan una visión más profunda, a través de la demostración, de los riesgos empresariales de diversas vulnerabilidades.
Los ejercicios de los Equipos Rojos adoptan un enfoque integral en todo el espectro de políticas, procesos y defensas de la organización con el fin de mejorar la preparación de la organización, mejorar la formación de los profesionales de la defensa e inspeccionar los niveles de rendimiento actuales. Los equipos rojos independientes pueden proporcionar información valiosa y objetiva sobre la existencia de vulnerabilidades y la eficacia de las defensas y los controles de mitigación ya establecidos e incluso de los previstos para su futura implementación.
Puntos principales:
- Establecer un programa para las pruebas de penetración que incluya un alcance completo de ataques combinados, tales como ataques inalámbricos, basados en el cliente y en aplicaciones web.
- Crear un banco de pruebas que imite un entorno de producción para realizar pruebas de penetración específicas y ataques de Red Team contra elementos que no suelen probarse en producción, como ataques contra sistemas de control de supervisión y adquisición de datos y otros sistemas de control.
¿Desea implementar este Control organizativo?
Descargue los Controles CIS para obtener más detalles sobre la implementación de este y los otros 19 Controles.
Deja una respuesta