CIS統制20これは組織の統制

攻撃者の目的と行動を模擬して組織の防御力(技術、プロセス、人)の総合力をテストします。

CIS RAM は、組織が CIS コントロールに対するセキュリティ ポスチャを実装および評価するのに役立つ情報セキュリティ リスク評価手法です。
Why is this CIS Control critical?

攻撃者はしばしば優れた防衛設計や意図と実装または保守とのギャップを利用する。 たとえば、脆弱性の発表から、ベンダーのパッチが入手可能になり、実際にすべてのマシンにインストールされるまでの時間的な隙間などです。 他の例としては、実施メカニズムを持たない善意のポリシー (特に、リスクの高い人間の行動を制限することを意図したポリシー)、ネットワークに接続したり切断したりするマシンに適切な設定を適用しない、複数の防御ツール間またはセキュリティに影響を与える通常のシステム操作との相互作用を理解しない、などが挙げられます。 技術が常に進化し、新しい攻撃者の技巧が定期的に現れる複雑な環境では、組織は定期的に防御をテストしてギャップを特定し、侵入テストを実施することで準備状況を評価する必要があります

侵入テストは、企業で特定できる脆弱性の特定と評価から始まります。 次に、敵対者がどのように組織のセキュリティ目標(例えば、特定の知的財産の保護)を覆すか、または特定の敵対的目標(例えば、秘密の指揮統制基盤の確立)を達成できるかを具体的に示すためにテストを設計し、実行します。

レッドチームの演習では、組織の方針、プロセス、および防御の全領域に対して包括的なアプローチをとり、組織の準備態勢の改善、防御実践者の訓練の向上、および現在のパフォーマンスレベルの点検を行う。

要点:
  • 無線、クライアントベース、Webアプリケーション攻撃など、混合攻撃の全範囲を含む侵入テストのプログラムを確立すること。
  • 監視制御やデータ収集、その他の制御システムに対する攻撃など、通常は実稼働環境でテストされない要素に対する特定の侵入テストやレッドチーム攻撃のために、実稼働環境を模倣したテストベッドを作成する。
この組織のコントロールを実施したいですか。

このコントロールと他の19のコントロールの実施に関する詳細についてはCIS Controlsをダウンロードしてください。