Kontrola CIS 20Jest to kontrola organizacyjna

Sprawdzenie ogólnej siły obrony organizacji (technologii, procesów i ludzi) poprzez symulację celów i działań napastnika.

CIS RAM to metoda oceny ryzyka związanego z bezpieczeństwem informacji, która pomaga organizacjom wdrażać i oceniać ich postawę bezpieczeństwa w odniesieniu do Kontroli CIS.Pobierz CIS RAM
Dlaczego ta Kontrola CIS jest krytyczna?

Atakujący często wykorzystują lukę pomiędzy dobrymi projektami i intencjami obronnymi a ich wdrożeniem lub utrzymaniem. Przykłady obejmują: okno czasowe pomiędzy ogłoszeniem luki, dostępnością poprawki dostawcy i rzeczywistą instalacją na każdej maszynie. Inne przykłady obejmują: dobrze przemyślane polityki, które nie mają mechanizmu egzekwowania (zwłaszcza te, które mają na celu ograniczenie ryzykownych działań ludzkich); brak zastosowania dobrych konfiguracji do maszyn, które przychodzą i odchodzą z sieci; oraz brak zrozumienia interakcji między wieloma narzędziami obronnymi lub z normalnymi operacjami systemowymi, które mają wpływ na bezpieczeństwo.

Skuteczna postawa obronna wymaga kompleksowego programu skutecznych polityk i zarządzania, silnych technicznych mechanizmów obronnych i odpowiednich działań ludzi. W złożonym środowisku, gdzie technologia stale się rozwija, a nowe techniki atakujących pojawiają się regularnie, organizacje powinny okresowo testować swoją obronę, aby zidentyfikować luki i ocenić swoją gotowość poprzez przeprowadzenie testów penetracyjnych.

Testy penetracyjne rozpoczynają się od identyfikacji i oceny podatności, które mogą być zidentyfikowane w przedsiębiorstwie. Następnie, testy są projektowane i wykonywane w celu zademonstrowania, w jaki sposób przeciwnik może obalić cele bezpieczeństwa organizacji (np. ochrona konkretnej własności intelektualnej) lub osiągnąć konkretne cele przeciwnika (np. ustanowienie tajnej infrastruktury dowodzenia i kontroli). Wyniki zapewniają głębszy wgląd, poprzez demonstrację, w ryzyko biznesowe związane z różnymi podatnościami.

Ćwiczenia Czerwonych Zespołów podejmują kompleksowe podejście do pełnego spektrum polityk, procesów i obrony organizacji w celu poprawy gotowości organizacyjnej, poprawy szkoleń dla praktyków obrony i kontroli bieżących poziomów wydajności. Niezależne Czerwone Zespoły mogą dostarczyć cennych i obiektywnych spostrzeżeń na temat istnienia podatności oraz skuteczności obrony i kontroli łagodzących już wdrożonych, a nawet tych planowanych do wdrożenia w przyszłości.

Główne punkty:
  • Ustanowienie programu testów penetracyjnych, który obejmuje pełny zakres ataków mieszanych, takich jak ataki bezprzewodowe, oparte na kliencie i aplikacji internetowej.
  • Utwórz stanowisko testowe, które naśladuje środowisko produkcyjne dla określonych testów penetracyjnych i ataków Red Team na elementy, które nie są zwykle testowane w produkcji, takie jak ataki na systemy kontroli nadzorczej i akwizycji danych oraz inne systemy sterowania.
Chcesz wdrożyć tę kontrolę organizacyjną?

Pobierz dokument CIS Controls, aby uzyskać więcej szczegółów na temat wdrażania tej i pozostałych 19 kontroli.

.