CIS Control 20Dit is een organisatorische controle

Test de algehele sterkte van de verdediging van een organisatie (de technologie, de processen en de mensen) door de doelstellingen en acties van een aanvaller te simuleren.

CIS RAM is een risicobeoordelingsmethode voor informatiebeveiliging die organisaties helpt bij het implementeren en beoordelen van hun beveiligingsbeleid op basis van de CIS-controles.Download CIS RAM
Waarom is deze CIS-controle essentieel?

Aanvallers maken vaak gebruik van de kloof tussen goede verdedigingsontwerpen en -intenties en de implementatie of het onderhoud. Voorbeelden hiervan zijn: de tijdspanne tussen de bekendmaking van een kwetsbaarheid, de beschikbaarheid van een patch van de leverancier en de daadwerkelijke installatie op elke machine. Andere voorbeelden zijn: goedbedoelde beleidsmaatregelen die geen handhavingsmechanisme hebben (vooral die welke bedoeld zijn om risicovolle menselijke acties te beperken); het niet toepassen van goede configuraties op machines die op en van het netwerk komen; en het niet begrijpen van de interactie tussen meerdere defensieve tools, of met normale systeemoperaties die beveiligingsimplicaties hebben.

Een succesvolle defensieve houding vereist een veelomvattend programma van effectieve beleidsmaatregelen en governance, sterke technische verdedigingsmiddelen, en passende actie door mensen. In een complexe omgeving waarin de technologie zich voortdurend ontwikkelt en regelmatig nieuwe aanvalsmethoden opduiken, moeten organisaties regelmatig hun verdediging testen om hiaten vast te stellen en hun paraatheid te beoordelen door penetratietests uit te voeren.

Penetratietests beginnen met de identificatie en beoordeling van kwetsbaarheden die in de onderneming kunnen worden vastgesteld. Vervolgens worden tests ontworpen en uitgevoerd om specifiek aan te tonen hoe een tegenstander de beveiligingsdoelstellingen van de organisatie kan ondermijnen (bijv. de bescherming van specifieke intellectuele eigendommen) of specifieke vijandige doelstellingen kan bereiken (bijv. het opzetten van een geheime commando- en controle-infrastructuur). De resultaten geven een dieper inzicht, door demonstratie, in de zakelijke risico’s van verschillende kwetsbaarheden.

Red Team oefeningen nemen een uitgebreide aanpak van het volledige spectrum van organisatiebeleid, processen, en verdedigingen om de organisatorische paraatheid te verbeteren, de opleiding voor verdedigingsdeskundigen te verbeteren, en de huidige prestatieniveaus te inspecteren. Onafhankelijke Red Teams kunnen waardevolle en objectieve inzichten verschaffen over het bestaan van kwetsbaarheden en de doeltreffendheid van reeds bestaande verdedigingen en risicobeperkende maatregelen en zelfs van die welke voor toekomstige implementatie zijn gepland.

Main Points:
  • Stel een programma voor penetratietests op dat een volledig bereik van gemengde aanvallen omvat, zoals draadloze, client-gebaseerde en webapplicatie-aanvallen.
  • Creëer een testbed dat een productieomgeving nabootst voor specifieke penetratietests en Red Team-aanvallen tegen elementen die normaal gesproken niet in productie worden getest, zoals aanvallen tegen supervisory control en data acquisition en andere controlesystemen.
Wilt u deze organisatorische controle implementeren?

Download de CIS Controls voor meer details over het implementeren van deze en de andere 19 Controls.