Contrôle CIS 20C’est un contrôle organisationnel

Tester la force globale de la défense d’une organisation (la technologie, les processus et les personnes) en simulant les objectifs et les actions d’un attaquant.

CIS RAM est une méthode d’évaluation des risques de sécurité de l’information qui aide les organisations à mettre en œuvre et à évaluer leur posture de sécurité par rapport aux contrôles CIS.Télécharger CIS RAM
Pourquoi ce contrôle CIS est-il critique ?

Les attaquants exploitent souvent l’écart entre les bonnes conceptions et intentions défensives et la mise en œuvre ou la maintenance. Les exemples incluent : la fenêtre de temps entre l’annonce d’une vulnérabilité, la disponibilité d’un correctif du fournisseur et l’installation effective sur chaque machine. D’autres exemples incluent : des politiques bien intentionnées qui n’ont pas de mécanisme d’application (en particulier celles destinées à restreindre les actions humaines risquées) ; l’incapacité à appliquer de bonnes configurations aux machines qui entrent et sortent du réseau ; et l’incapacité à comprendre l’interaction entre plusieurs outils défensifs, ou avec les opérations normales du système qui ont des implications en matière de sécurité.

Une posture défensive réussie nécessite un programme complet de politiques et de gouvernance efficaces, de solides défenses techniques, et des actions appropriées de la part des personnes. Dans un environnement complexe où la technologie évolue constamment et où de nouvelles techniques d’attaque apparaissent régulièrement, les organisations devraient périodiquement tester leurs défenses pour identifier les lacunes et évaluer leur état de préparation en effectuant des tests de pénétration.

Les tests de pénétration commencent par l’identification et l’évaluation des vulnérabilités qui peuvent être identifiées dans l’entreprise. Ensuite, les tests sont conçus et exécutés pour démontrer spécifiquement comment un adversaire peut soit subvertir les objectifs de sécurité de l’organisation (par exemple, la protection de la propriété intellectuelle spécifique) ou atteindre des objectifs adverses spécifiques (par exemple, l’établissement d’une infrastructure secrète de commandement et de contrôle). Les résultats fournissent un aperçu plus approfondi, par le biais de la démonstration, des risques commerciaux de diverses vulnérabilités.

Les exercices Red Team adoptent une approche globale de l’ensemble des politiques, processus et défenses de l’organisation afin d’améliorer la préparation organisationnelle, la formation des praticiens de la défense et d’inspecter les niveaux de performance actuels. Les équipes rouges indépendantes peuvent fournir des indications précieuses et objectives sur l’existence de vulnérabilités et l’efficacité des défenses et des contrôles d’atténuation déjà en place et même de ceux prévus pour une mise en œuvre future.

Points principaux :
  • Établir un programme pour les tests de pénétration qui comprend une portée complète des attaques mixtes, telles que les attaques sans fil, basées sur le client et les applications Web.
  • Créez un banc d’essai qui imite un environnement de production pour des tests de pénétration spécifiques et des attaques de l’équipe rouge contre des éléments qui ne sont pas généralement testés en production, tels que les attaques contre le contrôle de supervision et l’acquisition de données et d’autres systèmes de contrôle.
Vous voulez mettre en œuvre ce contrôle organisationnel ?

Téléchargez les contrôles du CIS pour plus de détails sur la mise en œuvre de ce contrôle et des 19 autres contrôles.