CIS v7 kontroller

CIS - Pragmatisk, prioriteret og målbar cybersikkerhed

CIS kontrollerne udgør et prioriteret sæt af tiltag udviklet i et globalt ikke-kommercielt fællesskab. De hjælper med at beskytte organisationer og data mod kendte cyberangrebsmønstre og metoder. CIS er betragtet som en bedste praksis for cybersikkerhed og brugt af ledere i både den private og offentlige sektor og kan mitigere op til 85% af alle kendte angreb.

 
1-6. Basale "Cyberhygiejne" kontroller. Listet herunder med blå baggrund
7-16. Fundamentale kontroller. Listet herunder med hvid baggrund
17-20.Organisatoriske kontroller. Listet herunder med mørk baggrund.

CIS 1-6 - Cyberhygiejne kontrollerne

Disse kontroller er fundamentet for din cybersikkerhed og er de ikke implementeret rigtigt og dækkende så er der en stor risiko for at implementeringen af de øvrige kontroller ikke virker optimalt (eller slet ikke). Her er emner som inventarstyring, sårbarhedshåndtering, administrative rettigheder og logning i fokus. Du kan se mere om disse emner her.

CIS #1: Inventarstyring af autoriserede og uautoriserede noder

Aktiv håndtering (inventarliste, følg/mål og korriger) af alle hardware noder på netværket således, at kun AUTORISEREDE noder får adgang til netværket og uautoriserede og ukendte noder bliver fundet og forhindret i at få adgang til netværket

Software
  • Lansweeper
  • ME Asset Explorer
  • SentinelOne Radar

Forklaring på CIS #1: Når et nyt device bliver installeret på et netværk, er der en risiko for at udsætte netværket for ukendte vulnerabilities eller for at driften bliver vanskeliggjort. Ondsindet kode kan benytte sig af nyt hardware, der ikke er konfigureret og patchet med de nødvendige sikkerhedsopdateringer, når det bliver installeret. Cyber kriminelle kan bruge sådanne sårbare systemer til at installere bagdøre, før systemerne er gjort sikre. Når man automatiserer den Kritiske Kontrol 1, er det afgørende, at alle devices har et præcist og opdateret inventory kontrol system på plads. Hvis et device ikke er i databasen, skal det forhindres i at kunne tilsluttes netværket. Nogle organisationer vedligeholder inventories over aktiver ved at benytte specifikke omfattende kommercielle enterprise produkter, andre bruger gratis løsninger til at afsøge netværket med faste intervaller. Hvis man skal evaluere implementeringen af Kontrol 1 periodisk, skal evaluatieringsteamet tilslutte sikre testsystemer til mindst 10 steder på netværket, herunder en række subnets, der er tilknyttet DMZs, arbejdsstationer og servere.


CIS #2:  Inventarstyring af autoriseret og uautoriseret software

Aktiv håndtering (inventarliste, følg/mål og korriger) af alt software på netværket således at kun AUTORISERET software er installeret og kan køre/startes og uautoriseret og ukendt software bliver fundet, fjernet og forhindret i at køre/starte

Software
  • Lansweeper
  • ME Application Control
  • ME DesktopCentral

Forklaring på CIS #2: En organisation, der ikke ikke kan foretage inventory over og føre kontrol med de programmer, der er installeret på organisationens computere, gør sine systemer mere sårbare over for angreb. Derudover kører dårligt kontrollerede maskiner oftere med software, der er unødvendig i forhold til de opgaver, der skal udføres, og det betyder, at man er åben for flere potentielle sikkerhedsbrister. Kompromitterede systemer bliver et samlingssted for cyber kriminelle at indsamle følsomme informationer. Hvis man skal bekæmpe denne potentielle trussel, skal en organisation scanne netværket og identificere kendte eller responderende applikationer. Der findes mange forskellige slags kommercielt software og værktøjer til at føre inventory over aktiver. De bedste værktøjer foretager et inventory check af hundredevis af almindelige applikationer og trækker informationer ud om patch niveauet for hvert enkelt installeret program. Dette sikrer, at man har den seneste version og at man benytter standardiserede applikationsnavne som dem, der findes i Common Platform Enumeration (CPE) specifikationen. Udover inventory checks er der også værktøjer, der implementerer whitelists (tillad) og blacklists (afslå) for programmer i mange moderne end-point sikkerhedssuiter. Hvis man vil evaluere implementeringen af Kontrol 2 periodisk, må teamet installere et sikkert software test program, der ikke er inkluderet i den autoriserede software liste, på 10 systemer i netværket og derefter verificere, at denne software blokeres og ikke kan køre.


CIS #3: Kontinerlig sårbarhedsvurdering og rettelse

Kontinuerlig opsamling, vurdering og håndtering af ny information om sårbarheder, så sårbarhederne rettes/fjernes hvilket giver en hacker kortere tid til at udnytte sårbarhederne

Software
  • Tenable.IO
  • ME Desktop Central
  • ME Vulnerability Manager

Forklaring på CIS #3: Meget hurtigt efter at nye vulnerabilities opdages og rapporteres af sikkerhedsforskere og leverandører, udvikler cyber kriminelle en tilsvarende malware og angriber interessante mål. Hver gang man finder betydelige forsinkelser eller skal udbedre software med kritiske vulnerabilities, giver det masser af mulighed for ihærdige cyber kriminelle til at bryde igennem og opnå kontrol med de sårbare maskiner. Der findes et stort antal vulnerability scanningsværktøjer, der kan evaluere sikkerhedskonfigurationen på virksomhedens systemer. De mest effektive vulnerability scanningsværktøjer sammenligner resultaterne af den sidste scanning med tidligere scanninger for at se, hvordan vulnerabilities i miljøet har ændret sig over tid. Alle de maskiner, der identificeres af inventory systemet over aktiver, skal scannes for vulnerabilities. Ved den periodiske evaluering af implementeringen af Kontrol 4 må evalueringsteamet verificere, at scanningsværktøjerne har gennemført deres ugentlige eller daglige scanninger succesfuldt.


CIS #4: Kontrolleret brug af administrative rettigheder

Følg, kontrollér, forhindre og korrigér brugen af, tildelingen af og konfigurationen af administrative rettigheder på computere, netværk og applikationer. Dette bliver ofte betegnet som Princippet om brug af mindste rettigheder - Principle of Least Privilege (PoLP)

Somftware
  • ME PasswordManager
  • Thycotic Secret Server
  • SpyCloud

Forklaring på CIS #4: Den mest almindelige metode, cyber kriminelle bruger til at infiltrere et virksomhedsmål, er gennem en medarbejders misbrug af administrator privilegier. En cyber kriminel kan nemt overbevise en bruger af en arbejdsstation om, at han skal åbne en ondartet e-mail vedhæftelse, downloade og åbne en fil fra et ondsindet site eller surfe til et site, der automatisk downloader ondsindet indhold. Hvis brugeren er logget ind som administrator, har den cyber kriminelle fuld adgang til systemet. Indbyggede funktioner i operativsystemet kan udtrække lister over konti med super-bruger privilegier, både lokalt på individuelle systemer og på overordnede domain controllers. Disse konti bør overvåges og følges meget tæt. Ved den periodiske evaluering af implementationen af Kontrol 5 skal et evalueringsteam verificere, at organisationens password policy er håndhævet og at organisationens administrator konti er nøje kontrolleret. Evalueringsteamet kan gøre dette ved at oprette en midlertidig, deaktiveret, begrænset previlegie testkonto på ti forskellige systemer og derefter forsøge at ændre password på denne konto til en værdi, der ikke overholder organisationens password policy.


CIS #5: Sikre konfigurationer af hardware og software

Etablering, implementering og aktiv håndtering (følg, rapporter og korriger) af sikkerhedskonfigurationer på fx bærbare PCer, servere, arbejdsstationer ved at bruge en grundig proces for konfigurationshåndtering og kontroller for ændringer, så du forhindrer hackere i at udnytte sårbare services og indstillinger

Software
  • Tenable.IO
  • ME Vulnerability Manager
  • Semperis AD Services Protector

Forklaring på CIS #5: Default konfigurationer af software er ofte sat op, så de er nemmme at distribuere og bruge og ikke med fokus på sikkerhed, og det betyder, at nogle systemer er nemme at udnytte i deres default status. Cyber kriminelle vil forsøge at udnytte såvel services, der tilgås fra netværket, som klient software ved hjælp af forskellige former for malware. Hvis ikke systemerne til at foretage inventory og kontrol er installeret og oppe at køre, vil virksomhedens systemer være mere sårbare. Organisationer kan implementere denne kontrol ved at udvikle en række konfigurationer og benytte sikre storage servere til at hoste disse standardkonfigurationer. Man kan bruge configuration management værktøjer til at måle opsætningen på det installerede software og til at kigge efter afvigelser fra den standardkonfiguration, der benyttes af organisationen. Når man skal evaluere implementeringen af Kontrol 3 periodisk, skal et evalueringsteam installere et sikkert testsystem (et, der ikke indeholder den officielle, sikre konfiguration men indeholder ekstra services, porte og filer med konfigurationændringer) på netværket. Evalueringsteamet skal derefter verificere, at systemerne genererer en alarm eller en e-mail meddelelse om ændringerne i softwaren.


CIS #6: Vedligehold, overvågning og analyse af audit logs

Kontinuerlig indsamling, håndtering og analyse af audit logs som kan hjælpe med at opdage, forstå og genoprette driften efter et angreb.

Software
  • ME EventlogAnalyzer
  • ME ADAudit
  • Netsurion EventTracker

Forklaring på CIS #6: Mangler i sikkerhedslogning og analyse gør det muligt for angribere at skjule deres placering, ondsindet software og aktiviteter på de klienter der angribes. Selvom ofrene ved, at deres systemer har været det kompromitteret, uden beskyttede og komplette logningsposter, er de uvidende om detaljerne i angrebet og til efterfølgende handlinger foretaget af angriberne. Uden solide revisionslogfiler, et angreb kan gå ubemærket hen på ubestemt tid, og de særlige skader, der er sket, kan være irreversible. Nogle gange er logningsposter det eneste bevis på et vellykket angreb. Mange organisationer holder revision af logs til complainceformål, men angribere stoler på, at sådanne organisationer sjældent ser på revisionsloggene, og de ved derfor ikke, at deres systemer er blevet kompromitteret. På grund af dårlige eller ikke-eksisterende loganalyseprocesser kontrollerer angribere nogle gange ofret maskiner i måneder eller år ("Mulvarpetid" - Eng "Dwel time"), uden at nogen i organisationen vidste at beviserne for angrebet er blevet registreret i uundersøgte logfiler.

CIS 7-16 - Essentielle cyberkontroller

Når de grundlæggende cyberhygiejne kontroller (CIS 1-6) er på plads kan du koncentrere dig om yderligere tiltag som fx e-mail og browser sikkerhed, antimalware tiltag, backup og restore, sikring af perimeteren, datasikkerhed, netværkssegmentering, sikker wifi og overvågning af brugen af administrative rettigheder.

CIS #7: Sikker e-mail- og browseraktivitet

Minimimer angrebsfladen og hackeres muligheder for at manipulere brugernes adfærd gennem interaktion med internet browsere og e-mail systemer.

Software
  • Proofpoint e-mail security
  • ME BrowserSecurity
  • GreatHorn

Forklaring på CIS #7: Webbrowsere og e-mail klienter er almindelige indgangs- og angrebssteder pga den høje tekniske kompleksitet og fleksibilitet og deres direkte interaktion med brugere og med andre systemer og websites. Indhold kan designes til at lokke falske brugere til at foretage handlinger, der i høj grad øger risikoen og tillader, at ondsindet kode introduceres, at værdifulde data mistes og at andre angreb kan forekomme. Organisationer bør minimere angrebsfladen og de cyber kriminelles muligheder for at manipulere menneskelig adfærd gennem deres interaktion med webbrowsers og e-mail systemer.


CIS #8: Antimalware

Kontroller installationen, spredningen og afviklingen af malware på mange niveauer i organisationen. Samtidigt skal du optimere automatisering for at give en hurtig opdatering af forsvaret, data indsamlingen og de handlinger som forhindrer malware i at køre og forvolde skade

Software
  • SentinelOne Singularity
  • Sophos Intercept X
  • Sophos MTR

Forklaring på CIS #8: Ondsindet software er et integreret og farligt aspekt af internet trusler. Det er målrettet slutbrugere og organisationer via web browsing, e-mail vedhæftelser, mobile devices og andre vektorer. Ondsindet kode kan ødelægget et systems indhold, indfange sensitive data og sprede sig til andre systemer. Når effektive organisationer vil sikre sig, at deres anti-virus signaturer er opdaterede, benytter de sig af automatisering. De bruger indbyggede, administrative funktioner i professionelle endpoint sikkerhedssuiter til at verificere, at anti-virus, anti-spyware og host-baserede Intrusion Detection Systems (IDS) funktioner er aktive på alle administrerede systemer. De kører endvidere dagligt automatiserede evalueringer og gennemgår resultaterne for at finde og foretage afhjælpning på systemer, der har deaktiveret en sådan beskyttelse eller ikke har de seneste malware definitioner. Systemet skal kunne identificere eventuelt ondsindet software, der enten er installeret, forsøgt installeret, afviklet eller forsøgt afviklet på et computer system. Ved den periodiske evaluering af implementation af Kontrol 8 bør evalueringsteamet installere et sikkert software test program, der udgiver sig for at være malware, på et system og sikre sig, at det bliver opdaget og udbedret.


CIS #9: Begrænsning og kontrol af netværksporte

Administrer (mål, kontroller og ret) den løbende operationelle brug af porte og protokoller og services på netværksdevices for at minimere mulige sårbarheder som kan udnyttes af malware og it-kriminelle.

Software
  • Tenable.IO
  • ME DesktopCentral
  • ME Vulnerability Manager

Forklaring på CIS #9: Cyber kriminelle søger efter afsides tilgængelige netværks services, der er sårbare overfor udnyttelse. Mange software pakker installerer services automatisk og aktiverer dem som en del af installationen af den primære software. Når det sker, informerer softwaren sjældent brugeren om, at disse services er blevet aktiveret. Portscanningsværktøjer bruges til at afgøre, hvilke services, der lytter med på netværket for en række systemer i målgruppen. Ud over at afgøre, hvilke porte, der er åbne, kan effektive port scannere konfigureres til at identificere den version af protokol og service, der lytter med på hver enkelt åben port, der findes. Systemet skal kunne identificere alle nye, uautoriserede, åbne netværksporte, der er forbundet til netværket. Ved den periodiske evaluering af implementeringen af Kontrol 9 skal evalueringsteamet installere sikre test services med netværksanalysefunktioner på ti steder på netværket, herunder en række subnets tilknyttet DMZs, arbejdsstationer og servere.


CIS #10: Mulighed for gendannelse af data (backup og restore)

Brug en efterprøvet metodik for backup som giver en effektiv restore og genetablering af systemer og drift.

Software
  • ME RecoveruyManager
  • Semperis AD Forest Recovery
  • Veeam

Forklaring på CIS #10: Når cyber kriminelle kompromitter maskiner, foretager de ofte signifikante ændringer i konfigurationer og software. Nogle gange laver de også diskrete ændringer i data, der er lagret på de kompromitterede maskiner og forringer dermed potentielt organisationens effektivitet med forurenet information. Et test team bør en gang i kvartalet evaluere et tilfældigt udvalg af system backups ved at forsøge at restore dem i et test bed miljø. De genoprettede systemer bør verificeres for at sikre, at operativsystemet, applikationen og dataoen fra backup'en alle er intakte og funktionelle.


CIS #11: Sikre konfigurationer for netværksnoder

Etabler, implementer og aktivt håndter (følg, rapporter og korriger) sikkerhedskonfigurationen for netværksnoder (Switches, Firewalls, Routere o.lign.) ved at bruge en grundig proces til konfigurationsadministration og kontrol af forandringer for at forhindre at hackere kan udnytte sårbarheder i services og indstillinger

Software
  • ME Configuration Manager
  • Fortinet Configuration Manager
  • Tenable.IO

Forklaring på CIS #11: Cyber kriminelle trænger igennem forsvarsmekanismer ved at søge efter elektroniske huller i firewalls, routere og switches. Når disse netværks devices først er blevet kompromitteret, kan de cyber kriminelle få adgang til de netværk, de har udset sig som mål, og omdirigere trafikken på disse netværk (til et ondsindet system, der udgiver sig for at være et pålideligt system) og opsnappe og ændre informationer, mens de overføres. Organisationer kan benytte kommercielle værktøjer, der evaluerer regelsættet for netværksfiltrerings devices og afgør, om de er i overensstemmelse med eller i konflikt hermed og foretager et automatisk check af netværksfiltrene. Derudover søger disse kommercielle værktøjer efter fejl i regelsæt. Disse værktøjer bør køres hver gang, der foretages signifikante ændringer i firewall regelsæt, router ACLs eller andre filtreringsteknologier. Ved den periodiske evaluring af implementationen af Kontrol 11 bør et evalueringsteam foretage en ændring i alle de typer af netværksdevices, der er tilknyttet netværket. Som minumum bør routere, switches og firewalls testes. Og hvis de findes, skal IPS, IDS og andre netværksdevices inkluderes.


CIS #12: Perimeterbeskyttelse

Opdag, modvirk og korriger informationsflow af risikofyldte data (fx Persondata og data med en sikkerhedsmæssig risiko) mellem zoner i netværket med forskelligt trust niveau

Software
  • Sophos Firewall
  • Fortinet Firewall
  • ImmuniWeb

Forklaring på CIS #12: Ved at angribe systemer, der vender sig mod internettet, kan cyber kriminelle oprette et angrebet endpoint hvorfra de kan bryde ind i andre netværk eller interne systemer. De kan benytte automatiserede værktøjer til at udnytte sårbare indgangssteder i et netværk. Hvis man vil kontrollere trafikflowet gennem netværks grænser og se efter angreb og tegn på kompromitterede maskiner, skal forsvaret af kanten af netværket være i flere lag. Disse grænser bør bestå af firewalls, proxies, DMZ perimeter netværk og netværksbaserede intrusion prevention systemer og intrusion detection systemer. Organisationer bør regelmæssigt teste disse sensorer ved at køre vulnerability-scannings værktøjer. Disse værktøjer verificerer, at scanner trafikken udløser en passende alarm. De pakker, der indfanges af Intrusion Detection Systems (IDS) sensorerene bør gennemgås af et automatiseret script hver dag, hvilket sikrer, at log-mængderne er inden for de forventede parametre er formatteret ordenligt og ikke er ødelagt. Ved den periodiske evaluering af implementationen af Kontrol 12 skal evalueringsteamet teste firewalls og lignende devices. Dette gøres ved at sende pakker fra et sted uden for et pålideligt netværk, hvilket sikrer, at det kun er autoriserede pakker, der lukkes gennem den pågældende grænse. Alle andre pakker skal afvises.


CIS #13: Databeskyttelse

Modvirk datalækage, effekterne af datalækage samt håndhæv sikringen af sensitive informationer

Software
  • ME dataSecurity
  • ForcePoint DLP
  • Varonis Datasecurity Platform

Forklaring på CIS #13: Tabet af beskyttede og følsomme data er en alvorlig trussel mod virksomhedens drift og - potentielt - den nationale sikkerhed. Selv om nogle data lækkes eller går tabt som resultat af tyveri eller spionage, kommer den store majoritet af disse problemer fra dårligt foreståede datarelaterede retningslinjer. Disse inkluderer - men er ikke begrænset til - en mangel på effektive policy arkitekturer og brugerfejl. Udtrykket "Data Loss Prevention" (DLP) refererer til en omfattende fremgangsmåde, der omfatter mennesker, processer og systemer, der identificerer, overvåger og beskytter data, der er i brug (fx node handlinger), data i bevægelse (fx netværkshandlinger) og data i hvile (fx lagrede data) ved hjælp af dyb inspektion af indhold og med en centraliseret administrativ struktur. Der findes kommercielle DLP løsninger, man kan bruge til at søge efter forsøg på datatyveri og til at opdage andre mistænkelige aktiviteter i forbindelse med et beskyttet netværk, der indeholder følsomme informationer. Systemet skal være i stand til at identificere uautoriseret data der forlader organisationens systemer enten via filoverførsler på netværket eller via flytbare medier. Ved den periodiske evaluering af implementeringen af Kontrol 13 må evalueringsteamet forsøge at installere test datasæt (der trigger DLP systemet men indeholder sensitive data) uden for det pålidelige computermiljø både via filoverførsler over netværket og via flytbare medier.


CIS #14: Kontrolleret adgang baseret på nødvendig adgang

Følg, kontroller, modvirk, korriger og håndhæv sikringen af kritiske aktiver (fx information, systemer og ressourcer) i tråd med en formel beslutning om hvilke personer, computere og applikationer der har en nødvendig ret til at tilgå kritiske data baseret på en godkendt klassifikation

Software
  • Sophos Firewall
  • ForcePoint CASB
  • NetWrix Auditor

Forklaring på CIS #14: Nogle organisationer identificerer og separerer ikke omhyggeligt følsomme data fra mindre følsom information, der er offentligt tilgængelig inden for det interne netværk. I mange miljøer har interne brugere adgang til alle eller de fleste informationer på netværket. Når først de cyber kriminelle har fået adgang til sådan et netværk, kan de nemt og uden den store modstand finde og udtrække vigtig information. Denne kontrol er ofte implementeret ved hjælp af den indbyggede adskillelse af administrator konti fra non-administrator konti. Systemet skal være i stand til at opdage alle forsøg fra brugere på at få adgang til filer uden for de relevante privilegier og skal generere en alarm eller e-mail meddelelse hos det administrative personale. Dette inkluderer information på lokale systemer eller fildelinger, der er tilgængelige over netværket. Ved den periodiske evaluering af Kontrol 14 skal evalueringsteamet oprette testkonti med begrænset adgang og verificere, at kontoen er ude af stand til at få adgang til kontrolleret information.


CIS #15: Kontrolleret adgang til WiFi

Følg, kontroller, modvirk og korriger sikker brug af WiFi trafik via WLANs, access punkter og wireless klientsystemer

Software / hardware
  • Sophos WiFi
  • Fortinet Wifi
  • ME OpManager

Forklaring på CIS #15: Cyber kriminelle, der har opnået wireless adgang til en organisation fra nærtliggende parkeringspladser, har begået alvorlige datatyverier. På denne måde har de cyber kriminelle kunnet få adgang til en organisation og har kunnet bibeholde adgangen til målet i længere tid. Effektive organisationer benytter kommercielle, trådløse scannings-, detection og discovery værktøjer og derudover kommercielle wireless intrusion detection systemer. Systemet skal kunne identificere uautoriserede trådløse devices eller konfigurationer, når de er inden for organisationens systemers rækkevidde eller forbundet til dets netværk. Ved den periodiske evaluering af Kontrol 15 må evaluringsteamet konfigurere uautoriserede men sikre wireless klienter og wireless access points til organisationens netværk. Teamet må også forsøge at forbinde dem til organisationens trådløse netværk. Disse access points skal findes og udbedres på bedste mulige måde.


CIS #16: Overvågning og kontrol med konti

Aktiv håndtering og administration af livscyklus for systemer og applikationskonti med fokus på oprettelse, brug, sletning og hvilestadie for at minimere en hackers mulighed for at misbruge dem

Software
  • ME ADAudit/AD360
  • Thycotic PBA
  • Varonis UEBA

Forklaring på CIS #16: Cyber kriminelle giver sig tit ud for at være legitime brugere ved hjælp af inaktive brugerkonti. Denne metode gør det svært for netværksansvarlige at identificere de cyber kriminelles adfærd. Selv om de fleste operativsystemer indeholder funktioner til logning af information om kontobrugen, er disse funktioner nogle gange deaktiveret by default. Sikkerhedsansvarlige kan konfigurere systemerne til at registrere mere detaljeret information om kontoadgangen og bruge hjemmelavede scripts eller tredjeparts loganalyseværktøjer til at analysere denne information. Systemet skal kunne identificere uautoriserede brugerkonti, når de er til stede i systemet. Ved den periodiske evaluering af implementationen af Kontrol 16 skal evaluateringsteamet verificere, at listen over låste konti, deaktiverede konti, konti med passwords, der er ældre end reglerne tilskriver, og konti med passwords, der aldrig udløber, er gennemført succesfuldt hver dag.

CIS 17-20 Organisatoriske kontroller

De organisatoriske kontroller omfatter emner som fx awarenesstræning, sikker programudvikling, Incident Response og pentest.


CIS #17: Awarenesstræning

Idenfiticer den specifikke viden samt de specifikke kompetencer, færdigheder og evner der er nødvendige for at understøtte forsvaret af organisationen. Implementer en plan for at vurdere, identificere og fjerne mangler gennem en organisatorisk politik, planlægning, træning og awareness programmer for alle relevante roller i organisationen

Software
  • ProofPoint PSAT
  • AwareGO
  • Sophos Awareness træning

Forkaring på CIS #17: En organisation, der håber at finde og besvare angreb effektivt, er afhængig af, at dens medarbejdere og leverandører finder hullerne og fylder dem ud. Et fornuftigt program, der vurderer sikkerhedskvalifikationer, kan give beslutningstagere handlingsrettede informationer om, hvor sikkerhedsbevidstheden skal forbedres. Det kan også være en hjælp, når man skal afgøre, hvad der er den rette allokering af begrænsede ressourcer i forbindelse med forbedringen af sikkerhedsprocedurerne. Nøglen til at opgradere kvalifikationerne er at måle dem, ikke med certifikatgivende eksamener men med vurderinger, der viser både den ansatte og arbejdsgiveren, hvor virksomhedens viden er tilstrækkelig og hvor der er huller. Når først hullerne er identificeret, kan de medarbejdere, der har de rette kvalifikationer og den rette viden, være mentorer for dem, der ikke har. Organisationen kan også udvikle uddannelsesprogramer, der direkte vedligeholder medarbejdernes beredskab.En organisation, der hber at finde og besvare angreb effektivt, er afhængig af, at dens medarbejdere og leverandører finder hullerne og fylder dem ud. Et fornuftigt program, der vurderer sikkerhedskvalifikationer, kan give beslutningstagere handlingsrettede informationer om, hvor sikkerhedsbevidstheden skal forbedres. Det kan også være en hjælp, når man skal afgøre, hvad der er den rette allokering af begrænsede ressourcer i forbindelse med forbedringen af sikkerhedsprocedurerne. Nøglen til at opgradere kvalifikationerne er at måle dem, ikke med certifikatgivende eksamener men med vurderinger, der viser både den ansatte og arbejdsgiveren, hvor virksomhedens viden er tilstrækkelig og hvor der er huller. Når først hullerne er identificeret, kan de medarbejdere, der har de rette kvalifikationer og den rette viden, være mentorer for dem, der ikke har. Organisationen kan også udvikle uddannelsesprogramer, der direkte vedligeholder medarbejdernes beredskab.


CIS #18: Sikkerhed på applikationssoftware

Administrer en sikker livscyklus for egne og indkøbte applikationer for at forhindre, opdage og korrigere sikkerhed baseret på sårbarheder

Software
  • Tenable.IO Application Tester
  • Improsec Secure Development
  • sSDLC

Forklaring på CIS #18: Kriminelle organisationer angriber ofte vulnerabilities i såvel web-baseret som non-web-baseret applikationssoftware. Det er faktisk de kriminelles højeste prioritet. Applikationssoftware er sårbart over for remote kompromittering på tre måder: For at undgå angreb skal internt udviklet og tredjepart applikationssoftware være grundigt testet for at finde sikkerhedsbrister. Source code testværktøjer, web applikations sikkerhedsscanningsværktøjer og object code testværktøjer har vist sig at være gode til at sikre applikationssoftware. Et andet nyttigt værktøj er manuelle applikationssikkerheds penetration tests, der vha testere finder ud af, hvem der har omfattende programmeringsviden og ekspertise til at teste applikationspenetrationer. Systemet skal kunne opdage og blokkere et software angreb på applikationsniveau og skal generere en alarm eller sende en e-mail til virksomhedens administrative personale. Når man skal evaluere implementeringen af Kontrol 18 en gang om måneden, skal evalueringsteamet benytte en web applikations vulnerability scanner til at teste softwarens sikkerhedsbrister.


CIS #19: Hændelsessvar og -håndtering (Incident Response)

Beskyt organisationens informationer og omdømme ved at udvikle og implementere en hændelses plan / infrastruktur [CSIRT & CSIRP] (inkl. Planer, roller, uddannelse, kommunikation og en administrativ / ledelsesmæssigt oversigt)

Software / services
  • ImmuniWeb
  • Tenable.IO
  • Dediko liste med danske IR/SOC

Forklaring på CIS #19: Uden en incident response plan, opdager en organisation måske ikke et angreb i først omgang. Selv hvis angrebet opdages, følger organisationen måske ikke de rigtige procedurer for at begrænse skaden, fjerne den cyber kriminelles tilstedeværelse og genskabe sikkerheden. Dermed kan den cyber kriminelle påvirke mål-organisationen i langt højere grad og forårsage større skader, inficere flere systemer og formodentlig udvinde flere følsomme data end det ellers ville være muligt. Efter man har defineret detaljerede incident response procedurer, bør et incident response team gå i gang med en periodisk, scenarie-baseret uddannelse. Dette inkluderer, men er ikke begrænset til, at gennemarbejde en række angrebsscenarier, der nøje svarer til de trusler og vulnerabilities, organisationen står over for.


CIS #20: Penetrationstest og øvelser

Gennemfør tests af organisationens forsvarsmekanismer (fx teknologier, processer og medarbejdere) ved at simulere mål og metoder brugt af en hacker

Software
  • SentinelOne Vigilance
  • Sophos SOC
  • Dediko liste med danske IR/SOC

Forklaring på CIS #20: Cyber kriminelle penetrerer netværk og systemer ved hjælp af social engineering og ved at udnytte sårbart software og hardware. I penetrationstests efterligner man computer kriminelles handlinger og udnytter dem til at afgøre, hvilken en slags adgang, en kriminel kan opnå. Alle organisationer bør definere et klart område og de såkaldte "rules of engagement" for penetrationstestning og red team analyser. Området for sådanne projekter bør mindst inkludere systemer med den højeste værdi af informationer (the highest value information) og production processing functionality.