CIS-kontroll 20Detta är en organisatorisk kontroll

Testar den övergripande styrkan i en organisations försvar (teknik, processer och personal) genom att simulera en angripares mål och handlingar.

CIS RAM är en metod för riskbedömning av informationssäkerhet som hjälper organisationer att implementera och bedöma sin säkerhetsställning i förhållande tillCIS-kontrollerna.Ladda ner CIS RAM
Varför är den här CIS-kontrollen kritisk?

Angreppare utnyttjar ofta klyftan mellan bra försvarskonstruktioner och intentioner och implementering eller underhåll. Exempel på detta är tidsfönstret mellan tillkännagivandet av en sårbarhet, tillgängligheten av en leverantörs patch och den faktiska installationen på varje maskin. Andra exempel är: välmenande policyer som inte har någon verkställighetsmekanism (särskilt sådana som är avsedda att begränsa riskfyllda mänskliga handlingar), underlåtenhet att tillämpa bra konfigurationer på maskiner som kommer in i och ut ur nätverket, och underlåtenhet att förstå samspelet mellan flera försvarsverktyg, eller med normal systemdrift som har säkerhetsmässiga konsekvenser.

En framgångsrik defensiv hållning kräver ett heltäckande program med effektiva policyer och styrning, starka tekniska försvar och lämpliga åtgärder från människornas sida. I en komplex miljö där tekniken ständigt utvecklas och nya angripartekniker dyker upp med jämna mellanrum bör organisationer regelbundet testa sina försvar för att identifiera luckor och bedöma sin beredskap genom att genomföra penetrationstester.

Penetrationstester börjar med identifiering och bedömning av sårbarheter som kan identifieras i företaget. Därefter utformas och utförs testerna för att specifikt visa hur en motståndare antingen kan undergräva organisationens säkerhetsmål (t.ex. skydd av specifik immateriell egendom) eller uppnå specifika mål för motståndaren (t.ex. upprättande av en hemlig infrastruktur för ledning och kontroll). Resultaten ger en djupare insikt, genom demonstration, i affärsriskerna med olika sårbarheter.

Red Team-övningar tar ett helhetsgrepp på hela spektrumet av organisationens policyer, processer och försvar för att förbättra den organisatoriska beredskapen, förbättra utbildningen av försvarspersonal och inspektera de nuvarande prestandanivåerna. Oberoende Red Teams kan ge värdefulla och objektiva insikter om förekomsten av sårbarheter och effektiviteten hos de försvar och begränsande kontroller som redan finns på plats och även hos dem som planeras för framtida implementering.

Huvudpunkter:
  • Upprätta ett program för penetrationstester som omfattar hela omfattningen av blandade attacker, t.ex. trådlösa, klientbaserade och webbapplikationsattacker.
  • Skapa en testbädd som efterliknar en produktionsmiljö för specifika penetrationstester och Red Team-attacker mot element som vanligtvis inte testas i produktion, t.ex. attacker mot övervaknings- och datainsamlingssystem och andra kontrollsystem.
Vill du implementera den här organisationskontrollen?

Ladda ner CIS-kontroller för mer information om hur du implementerar den här och de andra 19 kontrollerna.