CIS Control 20Questo è un controllo organizzativo

Testare la forza complessiva della difesa di un’organizzazione (la tecnologia, i processi e le persone) simulando gli obiettivi e le azioni di un attaccante.

CIS RAM è un metodo di valutazione del rischio per la sicurezza delle informazioni che aiuta le organizzazioni a implementare e valutare la loro posizione di sicurezza rispetto ai controlli CIS.Download CIS RAM
Perché questo controllo CIS è critico?

Gli aggressori spesso sfruttano il divario tra i buoni progetti e intenzioni difensive e l’implementazione o la manutenzione. Gli esempi includono: la finestra temporale tra l’annuncio di una vulnerabilità, la disponibilità di una patch del fornitore e l’effettiva installazione su ogni macchina. Altri esempi includono: politiche ben intenzionate che non hanno un meccanismo di applicazione (specialmente quelle intese a limitare le azioni umane rischiose); la mancata applicazione di buone configurazioni alle macchine che entrano ed escono dalla rete; e la mancata comprensione dell’interazione tra più strumenti difensivi, o con le normali operazioni di sistema che hanno implicazioni di sicurezza.

Una postura difensiva di successo richiede un programma completo di politiche e governance efficaci, forti difese tecniche e azioni appropriate da parte delle persone. In un ambiente complesso in cui la tecnologia è in continua evoluzione, e nuove tecniche di attacco appaiono regolarmente, le organizzazioni dovrebbero periodicamente testare le loro difese per identificare le lacune e valutare la loro prontezza conducendo test di penetrazione.

I test di penetrazione iniziano con l’identificazione e la valutazione delle vulnerabilità che possono essere identificate nell’azienda. Successivamente, i test sono progettati ed eseguiti per dimostrare specificamente come un avversario può sovvertire gli obiettivi di sicurezza dell’organizzazione (ad esempio, la protezione della proprietà intellettuale specifica) o raggiungere specifici obiettivi avversari (ad esempio, la creazione di un’infrastruttura di comando e controllo nascosta). I risultati forniscono una visione più profonda, attraverso la dimostrazione, dei rischi aziendali di varie vulnerabilità.

Gli esercizi del Red Team adottano un approccio completo all’intero spettro delle politiche, dei processi e delle difese dell’organizzazione al fine di migliorare la prontezza organizzativa, migliorare la formazione dei professionisti della difesa e ispezionare gli attuali livelli di prestazioni. Red Team indipendenti possono fornire intuizioni preziose e oggettive sull’esistenza di vulnerabilità e sull’efficacia delle difese e dei controlli di mitigazione già in atto e anche di quelli pianificati per l’implementazione futura.

Punti principali:
  • Stabilire un programma di test di penetrazione che includa una portata completa di attacchi misti, come gli attacchi wireless, basati su client e applicazioni web.
  • Creare un banco di prova che imiti un ambiente di produzione per specifici test di penetrazione e attacchi Red Team contro elementi che non sono tipicamente testati in produzione, come gli attacchi contro il controllo di supervisione e acquisizione dati e altri sistemi di controllo.
Vuoi implementare questo controllo organizzativo?

Scarica i controlli CIS per maggiori dettagli sull’implementazione di questo e degli altri 19 controlli.