CIS Control 20 Este é um Controle organizacional
Teste a força geral da defesa de uma organização (a tecnologia, os processos e as pessoas) simulando os objetivos e ações de um atacante.
Por que este Controle CIS é crítico?
Ataqueiros frequentemente exploram a lacuna entre os bons projetos e intenções defensivos e a implementação ou manutenção. Exemplos incluem: a janela de tempo entre o anúncio de uma vulnerabilidade, a disponibilidade de um patch do fornecedor, e a instalação real em cada máquina. Outros exemplos incluem: políticas bem intencionadas que não têm mecanismo de aplicação (especialmente aquelas destinadas a restringir ações humanas arriscadas); falha na aplicação de boas configurações em máquinas que entram e saem da rede; e falha na compreensão da interação entre múltiplas ferramentas defensivas, ou com operações normais do sistema que tenham implicações de segurança.
Uma postura defensiva bem sucedida requer um programa abrangente de políticas e governança eficazes, defesas técnicas fortes e ações apropriadas por parte das pessoas. Em um ambiente complexo, onde a tecnologia está em constante evolução e novos projetos de ataque aparecem regularmente, as organizações devem testar periodicamente suas defesas para identificar lacunas e avaliar sua prontidão, conduzindo testes de penetração.
Testes de penetração começam com a identificação e avaliação de vulnerabilidades que podem ser identificadas na empresa. Em seguida, os testes são projetados e executados para demonstrar especificamente como um adversário pode subverter as metas de segurança da organização (por exemplo, a proteção de propriedade intelectual específica) ou alcançar objetivos adversos específicos (por exemplo, o estabelecimento de uma infra-estrutura de Comando e Controle encoberta). Os resultados fornecem uma visão mais profunda, através da demonstração, sobre os riscos de negócios de várias vulnerabilidades.
Exercícios da equipe vermelha adotam uma abordagem abrangente em todo o espectro de políticas, processos e defesas da organização, a fim de melhorar a prontidão organizacional, melhorar o treinamento para profissionais da defesa e inspecionar os níveis de desempenho atuais. Equipes Vermelhas Independentes podem fornecer insights valiosos e objetivos sobre a existência de vulnerabilidades e a eficácia das defesas e controles mitigadores já existentes e até mesmo daqueles planejados para implementação futura.
Pontos Principais:
- Estabelecer um programa para testes de penetração que inclua um escopo completo de ataques combinados, tais como ataques sem fio, baseados em clientes e aplicações web.
- Crie um banco de testes que imite um ambiente de produção para testes de penetração específicos e ataques da Red Team contra elementos que normalmente não são testados na produção, como ataques contra controle de supervisão e aquisição de dados e outros sistemas de controle.
Deseja implementar este Controle organizacional?
Baixar os Controles CIS para mais detalhes sobre a implementação deste e dos outros 19 Controles.
Deixe uma resposta