Vi sætter strøm til teorien, når vi stiller skarpt på, hvordan branchespecialister tænker it-sikkerhed. CIS-kontrollerne består af 20 praktiske og målbare kontroller, som tilsammen udgør et rammeværk for cybersikkerhed, og som har hjemme hos Center for Internet Security.
CIS-kontrollerne er nemme at anvende i praksis, fordi de kommer med direkte henvisninger til, hvordan de implementeres, og forslag til, hvilke KPI’er der bør opstilles for målinger. Det er også derfor, vi har valgt at udvikle en GAP-analyse, som bygger på selvsamme CIS-kontroller, kaldet IT-Sikkerhedsbarometeret. Over de næste måneder stiller vi derfor også skarpt på de 20 CIS-kontroller, hvordan de anvendes, og hvilke vigtige subkontroller de indeholder.
Hvad indeholder CIS-kontrol 20?
CIS-kontrol 20 (Penetration Tests and Red Team Excercises) indeholder kun to implementeringsgruppe 3-tiltag (20.3 og 20.7 – ikke nævnt nedenfor), hvilket betyder, at stort set alle virksomheder, som ikke er i en særlig risikogruppe, skal udføre alle otte tiltag (subkontroller). Der er tale om følgende tiltag:
Hvad er red, blue og purple teams?
Hvem skal egentlig udføre en pentest, og hvor ofte skal den udføres? Det er der ikke noget endeligt svar på, men du bør anlægge en risikobaseret betragtning og være sikker på, at:
Til at udføre pentest bruges et angribende team kaldet red team og et team til at forsvare virksomheden kaldet blue team. Det er det angribende teams opgave at gennemføre angrebet så hurtigt og effektivt (og ofte så uopdaget) som muligt, mens det forsvarende team skal opdage og forhindre red team i at gennemføre angrebet. Yderligere listes der følgende funktioner i BAD-modellen (Build, Attack, Defend):
En mulighed er at gennemføre et såkaldt ”war game”, som er en orkestreret udgave af et eller flere angrebsscenarier, fx baseret på MITRE ATT&CK-databasen, for at afprøve den organisatoriske parathed til at kunne agere korrekt i tilfælde af et cyberangreb.
Kan CIS-kontrollerne oversættes til andre begreber?
Når man sammenholder CIS-kontrollerne med et andet rammeværk, kan de oversættes til andre begreber, der ofte er lettere at formidle og forstå. Her gives CIS-kontrollerne forskellig værdier ved at optræde i en bestemt gruppering og danne grundlag for følgende:
Sidstnævnte er funktioner i NIST Cyber Security Framework, og koblingen mellem CIS og NIST CSF kan findes beskrevet her. Her kan man desuden læse om koblingen mellem CIS og andre rammeværk.
Når resultatet af pentest skal fortolkes og kommunikeres til ledelsen, kan du med fordel bruge en kobling til andre rammeværk og begreber for hurtigere og nemmere at illustrere de svagheder, som pentesten evt. afslører, og de tiltag, der er nødvendige at indføre på baggrund af den gennemførte pentest. Pentesten kan også tilrettelægges, så der er de tekniske tiltag bag de begreber, der afprøves – altså evnen til at opdage, modsvare og gendanne efter et angreb.
Hør mere om disse begreber og koblinger på vores webinar om trykprøvning af it-sikkerhed, der afholdes den 25. marts kl. 10-11.30.Tilmeld dig her.