Guía completa sobre controles de seguridad CIS

Con el aumento de las violaciones de datos, más que nunca las organizaciones deben asegurarse de tener todos los controles de seguridad necesarios para mantener sus datos seguros. Como respuesta a las crecientes amenazas de seguridad, el Instituto SANS, junto con el Centro de Seguridad de Internet (CIS) y otras organizaciones, desarrollaron los 20 Controles de Seguridad Críticos (CSC) para una Defensa Cibernética Efectiva. El CIS CSC proporciona a los profesionales de TI un conjunto de acciones enfocadas y priorizadas para ayudarlos a detener los ataques cibernéticos más peligrosos y garantizar la seguridad de los datos.

Esta publicación de blog explica los 20 controles en el CIS y por qué cada uno de ellos es crítico, y luego ofrece los pasos para implementar los controles de una manera práctica.

Indice

¿Qué son los controles CIS?

Los controles CIS son un conjunto de acciones que protegen a la organización de los ciberataques más generalizados. Hay 20 controles críticos totales que priorizan las acciones más esenciales que tu organización puede tomar para obtener los mejores resultados.

Los controles se derivan de patrones de ataque generalizados. Específicamente, los informes de amenazas más confiables identifican patrones de ataque, que luego se examinan en una amplia comunidad de profesionales confiables de la industria y el gobierno que saben cómo funcionan los ataques. Estos expertos provienen de una amplia gama de sectores, incluidos el comercio minorista, la fabricación, la atención médica, la educación, las agencias gubernamentales y la defensa.

De esta comunidad de expertos provienen los 20 controles CIS para proporcionar instrucciones sobre cómo detener los ataques más comunes de la actualidad.

Los controles críticos de seguridad de CIS son un conjunto de acciones priorizadas para la ciberseguridad que forman un conjunto de defensa en profundidad de mejores prácticas específicas y procesables para mitigar los ataques cibernéticos más comunes. Un beneficio principal de los controles CIS es que priorizan y se centran en una pequeña cantidad de acciones que reducen en gran medida el riesgo de ciberseguridad.

¿Por qué son importantes?

Los controles CIS son importantes porque minimizan el riesgo de violaciones de datos, fugas de datos, robo de propiedad intelectual, espionaje corporativo, robo de identidad, pérdida de privacidad, denegación de servicio y otras amenazas cibernéticas.

Como profesionales de la seguridad, tenemos acceso a una variedad de herramientas y tecnologías de seguridad, estándares de seguridad, capacitación, certificaciones, bases de datos de vulnerabilidades, mejores prácticas, controles de seguridad, listas de verificación, puntos de referencia y recomendaciones.

Para ayudarnos a comprender las amenazas, hemos visto la introducción de calificaciones de seguridad, calificaciones de seguridad de terceros, detección de fugas de datos y el marco de seguridad cibernética del NIST. Sin mencionar que estamos rodeados de requisitos regulatorios como GDPR, CCPA, FISMA, PCI DSS y PIPEDA que requieren marcos claros de gestión de riesgos de terceros, gestión de riesgos de proveedores y metodologías sólidas de evaluación de riesgos.

No hay escasez de información disponible para los profesionales de la seguridad entusiastas sobre qué hacer para proteger sus organizaciones. Pero toda esta tecnología, información y supervisión ha dado como resultado opciones, prioridades, opiniones y afirmaciones en competencia que pueden distraer la atención de la misión final de cerrar los vectores de ataque y reducir su superficie de ataque.

Con el crecimiento de las empresas, la expansión de las dependencias, la evolución de las amenazas y los clientes que esperan más, la ciberseguridad sólida nunca ha sido más importante.

Los controles CIS nos ayudan a responder preguntas como:

  • ¿Cuáles son las áreas más críticas para establecer un programa de gestión de riesgos?
  • ¿Qué medidas defensivas proporcionan el mayor valor?
  • ¿Cómo podemos hacer un seguimiento de la madurez de nuestro programa de gestión de riesgos?
  • ¿Cómo podemos compartir nuestra información sobre los ataques y atacantes e identificar las causas fundamentales?
  • ¿Qué herramientas se utilizan mejor para resolver qué problemas?
  • ¿Qué controles CIS se asignan a los marcos regulatorios y de cumplimiento de mi organización?

¿Quién necesita controles CIS?

A diferencia de muchos otros estándares y regulaciones de cumplimiento destinadas a mejorar la seguridad, los controles CIS no son específicos de la industria. Los controles CIS son de aplicación universal y agnósticos de la industria. Como resultado, pueden fortalecer con éxito la seguridad de la información y el gobierno de TI de cualquier organización.

Por lo tanto, si tu organización almacena, transmite o usa datos sensibles que necesitan ser protegidos, entonces la respuesta es: necesitas controles CIS.

La implementación correcta de los 20 controles críticos reduce significativamente tu riesgo de seguridad, reduce los costes operativos y mejora en gran medida la postura defensiva de una organización.

Existen diferencias significativas entre los controles CIS y otros marcos de seguridad. Sin embargo, lo más importante es que los controles del CIS reconocen que algunas organizaciones tienen recursos limitados.

Todas las organizaciones no pueden implementar todos y cada uno de los controles que les gustaría y muy bien podrían necesitar. Como resultado, los 20 controles priorizan el riesgo. De esa manera, tu organización puede trabajar primero para mitigar los mayores riesgos.

¿Por qué funcionan?

Los controles CIS funcionan porque:

  • Son informados por ataques comunes y defensas efectivas.
  • Reflejan el conocimiento de expertos de empresas, gobierno e individuos, así como de sectores (gobierno, energía, defensa, finanzas, transporte, academia, consultoría, seguridad, TI).
  • Son para todos los roles (respondedores y analistas de amenazas, tecnólogos, buscadores de vulnerabilidades, creadores de herramientas, proveedores de soluciones, defensores, usuarios, formuladores de políticas, auditores, etc.).

Los controles CIS han evolucionado a partir de la lista de consenso de controles de seguridad que los expertos en seguridad creen que son las mejores técnicas defensivas para prevenir violaciones de datos y mitigar el daño causado por los ataques cibernéticos.

Más allá de bloquear el acceso no autorizado, los controles CIS también abordan la detección de indicadores de compromiso y la prevención de ataques adicionales.

La defensa identificada en los controles de CIS se ocupa de reducir la superficie de ataque inicial reforzando los servidores, identificando las máquinas comprometidas, interrumpiendo el comando y control o el software malicioso y estableciendo defensas continuas y adaptativas que se mejoran continuamente.

Además, los puntos de referencia del CIS reconocen la realidad a la que se enfrentan la mayoría de las organizaciones, en el sentido de que los recursos son limitados y se deben establecer prioridades.

Como tal, CIS separa los controles en tres categorías, básica, fundamental y organizativa, independientemente de la industria. Estas categorías y la priorización de los controles es lo que hace que los controles CIS funcionen tan bien.

Lista de controles CIS

Los controles CIS se dividen en categorías: familias básicas, fundacionales y organizativas. Para facilitar la implementación, cada control se subdivide en secciones.

Los controles cubren no solo datos, software y hardware, sino también personas y procesos.

Los primeros seis controles dan prioridad a los controles de seguridad «básicos».

La siguiente es una lista completa de los 20 controles críticos principales:

Básicos

1. Inventario y control de activos de hardware

Control 1 se enfoca en administrar activamente (inventariar, rastrear y corregir) todos los dispositivos de hardware en la red para que solo los dispositivos autorizados tengan acceso y los dispositivos no autorizados o no administrados se encuentren y se bloqueen para que no obtengan acceso.

Este control se divide en 6 secciones enfocadas relacionadas con el control de acceso a la red, la automatización y la gestión de activos. El control se centra específicamente en la necesidad de conocer qué está conectado a tu red. También prioriza la gestión de inventario interno y la automatización de la gestión.

La implementación del control de inventario no es la forma más atractiva de mejorar tu programa de seguridad, sin embargo, es un control de seguridad fundamental que es un requisito previo para los 19 controles de seguridad adicionales.

Cuando se hace correctamente, reduce las amenazas internas y los riesgos de pérdida, limpia tu entorno de TI y proporciona una mayor visibilidad y organización a tu red.

¿Por qué es crítico este control CIS?

CIS Control 1 es fundamental porque los malos actores en línea buscan sistemas nuevos y desprotegidos y están particularmente interesados ​​en los dispositivos que entran y salen de la red. Por ejemplo, traiga sus propios dispositivos (BYOD), dispositivos móviles y dispositivos IoT.

Estos dispositivos no solo corren el riesgo de no estar sincronizados con las actualizaciones de seguridad, sino que, lo que es peor, ya podrían estar comprometidos.

Incluso los dispositivos que no son visibles desde Internet pueden ser utilizados por malos actores que ya han obtenido acceso interno.

Las empresas grandes y complejas a menudo tienen dificultades para administrar entornos intrincados y que cambian rápidamente. Como resultado, es una debilidad conocida que los malos actores aprovechan. Por lo tanto, el control administrado de los dispositivos juega un papel fundamental en la planificación y ejecución del respaldo del sistema, la respuesta a incidentes y la recuperación.

Cómo implementarlo

La siguiente es una lista de los sub-controles de CIS Control 1:

  • 1.1: utiliza una herramienta de descubrimiento activa
  • 1.2: utiliza una herramienta de detección de activos pasiva
  • 1.3: utiliza el registro DHCP para actualizar el inventario de activos
  • 1.4: Mantener un inventario de activos detallado
  • 1.5: Mantener la información del inventario de activos
  • 1.6: Abordar activos no autorizados
  • 1.7: Implementar el control de acceso a nivel de puerto
  • 1.8: utilizar certificados de cliente para autenticar activos de hardware

2. Inventario continuo de gestión de vulnerabilidades y control de activos de software

CIS Control 2 se enfoca en administrar activamente (inventariar, rastrear, corregir) todo el software en la red para que solo el software autorizado esté instalado y pueda ejecutarse. Del mismo modo, todo el software no autorizado y no administrado se encuentra y se bloquea su instalación y ejecución.

Básicamente, CIS Control 2 te pide que sepas qué software hay en tu sistema, quién lo instaló y qué hace. El control se centra en la necesidad de saber qué se está ejecutando en tus sistemas y red en todo momento. También se centra en la necesidad de una gestión de inventario interna. De esa manera, si algo sucediera, tu equipo podría identificar y eliminar fácilmente el software que no está en su lista de inventario.

Cuando se hace correctamente, reduce las amenazas internas y los riesgos de pérdida, limpia tu entorno de TI y proporciona una mayor visibilidad y organización a tu red.

¿Por qué es crítico este control CIS?

Los atacantes se dirigen continuamente a organizaciones que ejecutan versiones vulnerables de software porque es fácil de explotar de forma remota.

Además, algunos atacantes también distribuyen documentos, archivos multimedia, páginas web hostiles y otro contenido malicioso a través de sus propias páginas web o sitios de terceros confiables. Si los usuarios desprevenidos acceden a este contenido con un navegador vulnerable, los ataques pueden comprometer tus máquinas. Luego, los atacantes a menudo instalan programas de puerta trasera y bots que les brindan un control del sistema a largo plazo y sin ser detectados.

Una vez que un atacante explota una sola máquina, a menudo la usa para recopilar información confidencial sobre la corporación, el sistema comprometido y cualquier otro sistema conectado a ella.

Por lo tanto, sin un conocimiento o control completo del software implementado en una organización, los defensores no pueden proteger adecuadamente sus activos o identificar el software que no debería estar allí. O peor aún, puede que ya esté allí y sea malicioso.

El control administrado de todo el software también juega un papel fundamental en la planificación y ejecución del respaldo del sistema, la respuesta a incidentes y la recuperación. Como resultado, CIS Control 2 fortalece múltiples aspectos de su postura de seguridad cibernética y vale la pena implementarlo para tu equipo.

Cómo implementarlo

La siguiente es una lista de los sub-controles de CIS Control 2:

  • 2.1: Mantener un inventario de software autorizado
  • 2.2: Asegúrate de que el software sea compatible con el proveedor
  • 2.3: utilizar herramientas de inventario de software
  • 2.4: Seguimiento de la información del inventario de software
  • 2.5: Integrar inventarios de activos de software y hardware
  • 2.6: Dirección de software no aprobado
  • 2.7: utilizar la lista blanca de aplicaciones
  • 2.8: Implementar la lista blanca de aplicaciones de bibliotecas
  • 2.9: Implementar la lista blanca de aplicaciones de scripts
  • 2.10: Separar física o lógicamente las aplicaciones de alto riesgo

3. Uso controlado de privilegios administrativos

CIS Control 3 se centra en la necesidad de adquirir, evaluar y actuar continuamente sobre nueva información para identificar nuevas vulnerabilidades, remediar y minimizar la oportunidad para los atacantes.

Las organizaciones operan en un flujo constante de nueva información de seguridad: amenazas en evolución, actualizaciones de software, parches, avisos de seguridad, etc.

Básicamente, CIS Control 3 te pide que comprendas y administres continuamente estas vulnerabilidades.

El control consta de 8 secciones diferentes relacionadas con la concienciación y la gestión de la vulnerabilidad.

¿Por qué es crítico este control CIS?

Comprender y administrar las vulnerabilidades a un ritmo constante requiere tiempo, atención y recursos. En la mayoría de los casos, los atacantes tienen acceso a la misma información y pueden aprovechar las brechas entre la aparición de nuevos conocimientos y la corrección.

Por ejemplo, los investigadores que informan sobre nuevas vulnerabilidades pueden provocar una carrera entre varias partes: atacantes (que intentan convertir la vulnerabilidad en armas y explotarla), proveedores (que intentan implementar parches y actualizaciones para proteger a los usuarios) y defensores (que intentan evaluar el riesgo y proteger sus sistemas).

Las organizaciones que no escanean en busca de vulnerabilidades o abordan de manera proactiva las vulnerabilidades descubiertas aumentan la probabilidad de exploits y ataques.

Cómo implementarlo
  • 3.1: Ejecuta herramientas de análisis de vulnerabilidades automatizadas
  • 3.2: Realizar escaneo de vulnerabilidades autenticado
  • 3.3: Protege las cuentas de evaluación dedicadas
  • 3.4: Implementar herramientas automatizadas de administración de parches del sistema operativo
  • 3.5: Implementa herramientas de administración de parches de software automatizadas
  • 3.6: Comparar análisis de vulnerabilidades consecutivos
  • 3.7: utilizar un proceso de clasificación de riesgos.

4 .Configuración segura de hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores

CIS Control 4 se centra en controlar el uso de privilegios administrativos.

Específicamente, este control se enfoca en reducir el privilegio administrativo y restringirlo solo a los usuarios que lo requieran para desempeñar sus funciones laborales. En la mayoría de los casos, la mayoría de los usuarios no requieren privilegios de administrador para realizar las tareas diarias. Sin embargo, muchas empresas otorgan privilegios administrativos a todos los usuarios, independientemente de su función laboral.

CIS Control 4 se enfoca en el uso de procesos y herramientas para rastrear, controlar, prevenir y corregir el uso, asignación y configuración de privilegios administrativos en computadoras, redes y aplicaciones.

¿Por qué es crítico este control CIS?

CIS Control 4 es fundamental porque los piratas informáticos están constantemente en busca de organizaciones que no controlen / restrinjan a su administrador.

El uso indebido de privilegios es un método cada vez más popular entre los atacantes para aterrizar y expandirse dentro de las redes.

Por ejemplo, dos ataques comunes que dependen de privilegios administrativos para ejecutarse son los siguientes:

En primer lugar, un atacante manipula a un usuario que se ejecuta con privilegios administrativos para que abra un archivo PDF o adjunto malicioso.

O bien, un usuario se infecta con malware después de visitar un sitio que lo carga silenciosamente en segundo plano.

Las cuentas privilegiadas hacen que estos ataques sean específicamente rápidos y peligrosos de llevar a cabo. Las máquinas de los usuarios pueden controlarse instantáneamente, tener instalado el registro de teclas y pueden ocurrir otras actividades maliciosas, todo fuera de la vista.

Cuando esto se ejecuta en un dispositivo con privilegios administrativos, el atacante puede apoderarse completamente de la máquina de la víctima e infectar otros sistemas en la red.

El segundo ataque común se conoce como un ataque de elevación de privilegios al adivinar o descifrar una contraseña establecida para un usuario administrativo con el fin de obtener acceso a una máquina objetivo. Si los privilegios administrativos se otorgan libremente, o si se utilizan contraseñas idénticas (o similares) en sistemas menos críticos, el atacante puede obtener fácilmente el control total de tus sistemas.

Como resultado, restringir el acceso a los datos por función laboral es una de las formas más efectivas de reducir su riesgo.

Cómo implementarlo
  • 4.1: Mantener inventario de cuentas administrativas
  • 4.2: Cambiar las contraseñas predeterminadas
  • 4.3: Garantizar el uso de cuentas administrativas dedicadas
  • 4.4: Utiliza contraseñas únicas
  • 4.5: Utiliza la autenticación multifactor para todos los accesos administrativos
  • 4.6: utiliza estaciones de trabajo dedicadas para todas las tareas administrativas
  • 4.7: Limita el acceso a las herramientas de secuencias de comandos
  • 4.8: Registro y alerta sobre cambios en la pertenencia al grupo administrativo
    4.9: Registro y alerta sobre inicio de sesión de cuenta administrativa fallido.

5. Mantenimiento, seguimiento y análisis de registros de auditoría

CIS Control 5 se centra en la configuración segura de hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores.

Específicamente, este control se enfoca en establecer, implementar y luego administrar activamente la configuración de seguridad de los dispositivos utilizando una administración de configuración rigurosa y procesos de control de cambios para evitar que los piratas informáticos exploten los servicios y configuraciones vulnerables.

¿Por qué es crítico este control CIS?

CIS Control 5 es fundamental porque las configuraciones predeterminadas para los sistemas operativos y las aplicaciones están orientadas principalmente a la facilidad de uso y no a la seguridad. Como resultado, los controles básicos, los servicios y puertos abiertos, las cuentas o contraseñas predeterminadas, los protocolos más antiguos y la preinstalación de software innecesario pueden ser fáciles de explotar en su estado predeterminado.

Por lo tanto, es importante desarrollar opciones de configuración con propiedades de seguridad sofisticadas. Sin embargo, esta puede ser una tarea compleja más allá de la capacidad de los usuarios individuales. De hecho, puede requerir el análisis de cientos o miles de opciones para tomar las decisiones correctas.

Por ejemplo, incluso si se desarrolla e instala una configuración inicial sólida, debe administrarse continuamente para evitar la degradación de la seguridad a medida que el software se actualiza o parchea, se informan nuevas vulnerabilidades de seguridad y se modifican las configuraciones. En la mayoría de los casos, las configuraciones se modifican para permitir la instalación de nuevo software o para admitir nuevos requisitos operativos.

Si no es así, los atacantes encontrarán oportunidades para explotar tanto los servicios accesibles a la red como el software del cliente.

Como resultado, es fundamental desarrollar e implementar una configuración segura de tus dispositivos.

Cómo implementarlo
  • 5.1: Establecer configuraciones seguras
  • 5.2: Mantener imágenes seguras
  • 5.3: Almacena imágenes maestras de forma segura
  • 5.4: Implementar herramientas de gestión de configuración del sistema
  • 5.5: Implementar sistemas de monitorización de configuración automatizados.

6. Mantenimiento, seguimiento y análisis de registros de auditoría

CIS Control 6 se enfoca en recopilar, administrar y analizar registros de auditoría de eventos que podrían ayudar a tu equipo a detectar, comprender y recuperarse de un ataque.

Específicamente, este control se enfoca en establecer, implementar y luego administrar activamente el proceso mediante el cual se monitorizan y analizan tus registros.

¿Por qué es crítico este control CIS?

CIS Control 6 es fundamental porque las deficiencias en el registro y análisis de seguridad pueden permitir a los atacantes ocultar su ubicación, software malicioso y actividades en las máquinas de las víctimas. Cuanto más tiempo esté un atacante en tu dispositivo sin ser detectado, más daño será capaz de infligir. Además, incluso si las víctimas están al tanto de un atacante en tu sistema, sin registros protegidos y completos, pueden no ver los detalles del ataque.

Sin registros de auditoría sólidos, un ataque puede pasar desapercibido indefinidamente y el daño causado puede ser irreversible.

En algunos casos, los registros de registro son la única evidencia de un ataque exitoso. Muchas organizaciones mantienen registros de auditoría con fines de cumplimiento. Sin embargo, los atacantes confían en el hecho de que estas organizaciones rara vez examinan los registros de auditoría y, por lo tanto, no saben que sus sistemas se han visto comprometidos.

En resumen, si los procesos de análisis de registros son deficientes o inexistentes, los atacantes a veces pueden controlar las máquinas víctimas durante meses o años sin que nadie en la organización se dé cuenta. Aunque seguramente hay evidencia del ataque, a menudo los únicos registros del mismo se encuentran en archivos de registro no examinados.

Por lo tanto, es importante establecer, implementar y administrar los procesos que tiene tu equipo para monitorizar los registros de seguridad.

Cómo implementarlo
  • 6.1: Utiliza tres fuentes de tiempo sincronizadas
  • 6.2: activar el registro de auditoría
  • 6.3: Habilitar el registro detallado
  • 6.4: Garantiza un almacenamiento adecuado de registros
  • 6.5: Gestión centralizada de registros
  • 6.6: Implementar SIEM o herramientas de análisis de registros
  • 6.7: Revisa los registros con regularidad
  • 6.8: Ajusta SIEM con regularidad.

Fundamentales

7. Protección del navegador web y del correo electrónico

Control 7 se enfoca en minimizar la superficie de ataque y las oportunidades para que los atacantes manipulen el comportamiento humano a través de su interacción con navegadores web y sistemas de correo electrónico.

¿Por qué es crítico este control CIS?

CIS Control 7 es fundamental porque los navegadores web y los clientes de correo electrónico son puntos comunes de entrada y ataque. Esto se debe a su complejidad técnica, flexibilidad y su interacción directa con los usuarios y con otros sistemas y sitios web externos. Como resultado, es una superficie de ataque crítica que toda organización debe considerar y proteger.

El contenido se puede diseñar para atraer o engañar a los usuarios para que tomen acciones que amenacen a la organización y aumenten el riesgo general. En la mayoría de los casos, estos riesgos toman la forma de código malicioso, pérdida de datos valiosos y otros ataques.

Dado que estas aplicaciones son el principal medio por el que los usuarios interactúan con entornos que no son de confianza, son objetivos potenciales tanto para la explotación del código como para la ingeniería social.

Cómo implementarlo
  • 7.1: Garantiza el uso de navegadores y clientes de correo electrónico totalmente compatibles.
  • 7.2: deshabilita los complementos innecesarios o no autorizados del navegador o del cliente de correo electrónico.
  • 7.3: Limita el uso de lenguajes de secuencias de comandos en navegadores web y clientes de correo electrónico.
  • 7.4: Mantener y hacer cumplir los filtros de URL basados ​​en la red.
  • 7.5: suscripción al servicio de categorización de URL
  • 7.6: registrar todas las solicitudes de URL
  • 7.7: Uso de servicios de filtrado de DNS
  • 7.8: Implementar DMARC y habilitar la verificación del lado del receptor.
  • 7.9: Bloquear tipos de archivos innecesarios
  • 7.10: Sandbox de todos los archivos adjuntos de correo electrónico.

8. Defensas contra malware

CIS Control 8 se enfoca en controlar la instalación, propagación y ejecución de código malicioso en múltiples puntos de la organización.

Además, se centra en optimizar el uso de la automatización para permitir una actualización rápida de la defensa, la recopilación de datos y la acción correctiva.

¿Por qué CIS Control 8 es crítico?

CIS Control 8 es fundamental porque el software malintencionado es un aspecto integral y peligroso de las amenazas de Internet, ya que está diseñado para atacar tus sistemas, dispositivos y datos.

Además, se mueve rápidamente, cambia rápidamente y entra a través de cualquier número de puntos. Por ejemplo, dispositivos de usuario final, archivos adjuntos de correo electrónico, páginas web, servicios en la nube, acciones de usuario y medios extraíbles.

Desafortunadamente, el malware moderno está diseñado para evitar las defensas o atacar y deshabilitarlas.

Como resultado, las defensas de malware deben poder operar en este entorno dinámico a través de la automatización a gran escala, la actualización rápida y la integración con procesos como los planes de respuesta a incidentes.

Además, las defensas también deben desplegarse en todos los posibles vectores de ataque para detectar, detener la propagación y controlar la ejecución de software malicioso.

Las suites de seguridad para endpoints empresariales brindan características administrativas para verificar que todas las defensas estén activas y actualizadas en cada sistema administrado.

Cómo implementarlo
  • 8.1: Utilizar software antimalware administrado de forma centralizada
  • 8.2: Asegúrate de que el software y las firmas anti-malware estén actualizados
  • 8.3: Habilita las funciones anti-explotación del sistema operativo / Implementa tecnologías anti-exploit
  • 8.4: Configurar el análisis antimalware de medios extraíbles
  • 8.5: configurar dispositivos para que no ejecuten contenido automáticamente
  • 8.6: Centraliza el registro de Anti-Malware
  • 8.7: Habilitar el registro de consultas de DNS
  • 8.8: Habilits el registro de auditoría de la línea de comandos.

9. Limitación y control de puertos, protocolos y servicios de red

CIS Control 9 se enfoca en administrar (rastrear, controlar y corregir) el uso operativo continuo de puertos, protocolos y servicios en dispositivos en red para minimizar las ventanas de vulnerabilidad disponibles para los atacantes.

¿Por qué es crítico este control CIS?

CIS Control 9 es fundamental porque los atacantes a menudo buscan servicios de red accesibles de forma remota que son vulnerables a la explotación.

Los ejemplos comunes incluyen servidores web, servidores de correo, servicios de archivos e impresión y servidores DNS mal configurados. A menudo, estos se instalan de forma predeterminada en una variedad de tipos de dispositivos diferentes, a menudo sin una necesidad comercial.

Además, muchos paquetes de software instalan servicios automáticamente y los activan como parte de la instalación del paquete de software principal. Esto puede ocurrir sin informar a un usuario o administrador que los servicios se han habilitado.

Los atacantes escanean esos servicios e intentan explotar estos servicios, por lo general intentando explotar las ID de usuario y contraseñas predeterminadas o el código de explotación ampliamente disponible.

Como resultado, es fundamental limitar y controlar los puertos, protocolos y servicios de la red.

Cómo implementarlo
  • 9.1: Asociar puertos, servicios y protocolos activos al inventario de activos
  • 9.2: asegúrate de que solo se estén ejecutando los puertos, protocolos y servicios aprobados
  • 9.3: Realiza análisis de puertos automatizados regulares
  • 9.4: Aplicar firewalls basados ​​en host o filtrado de puertos
  • 9.5: Implementar firewalls de aplicaciones.

10. Capacidades de recuperación de datos

CIS Control 10 se enfoca en los procesos y herramientas que se utilizan para respaldar adecuadamente la información crítica con una metodología probada para una recuperación oportuna.

¿Por qué es crítico este control CIS?

CIS Control 10 es fundamental porque cuando los atacantes ponen en peligro las máquinas, a menudo realizan cambios significativos en las configuraciones y el software.

Además, pueden realizar alteraciones sutiles en los datos almacenados en máquinas comprometidas, lo que, a su vez, puede poner en peligro la eficacia de la organización con datos inexactos o incompletos.

Cuando y si se descubren atacantes, puede ser difícil para las organizaciones encontrar y eliminar todos los aspectos de la presencia del atacante y los cambios realizados en la máquina.

Como resultado, es fundamental contar con soluciones de recuperación de datos efectivas en las que confíes.

Cómo implementarlo
  • 10.1: Garantiza copias de seguridad automatizadas periódicas
  • 10.2: Realizar copias de seguridad completas del sistema
  • 10.3: datos de prueba en medios de copia de seguridad
  • 10.4: proteger copias de seguridad
  • 10.5: asegúrate de que todas las copias de seguridad tengan al menos un destino de copia de seguridad sin conexión.

11. Configuración segura para dispositivos de red como firewalls, enrutadores y conmutadores

CIS Control 11 se enfoca en establecer, implementar y administrar activamente (rastrear, informar y corregir) la configuración de seguridad de los dispositivos de infraestructura de red. Esto se hace mediante una gestión de configuración rigurosa y un proceso de control de cambios para evitar que los atacantes aprovechen los servicios y configuraciones vulnerables.

¿Por qué es crítico este control CIS?

CIS Control 11 es fundamental porque, en la mayoría de los casos, las configuraciones predeterminadas para los dispositivos de infraestructura de red están orientadas a la facilidad de uso y la facilidad de implementación, no a la seguridad.

Por ejemplo, los servicios y puertos abiertos, las cuentas predeterminadas o las contraseñas, la compatibilidad con protocolos más antiguos, la preinstalación de software innecesario, pueden explotarse en su estado predeterminado.

Como resultado, la gestión de las configuraciones de seguridad para los dispositivos de red no es una acción única, sino un proceso que implica un análisis y una evaluación continuos no solo de los elementos de configuración, sino también de los flujos de tráfico permitidos.

A menudo, los atacantes aprovechan que los dispositivos de red se vuelven menos seguros en sus configuraciones a medida que los usuarios exigen excepciones para necesidades comerciales específicas. En algunos casos, el riesgo de seguridad de la excepción no se analiza ni se mide adecuadamente en función de la necesidad comercial asociada. Además, tanto el riesgo empresarial como la necesidad pueden cambiar con el tiempo.

Los atacantes buscan configuraciones predeterminadas vulnerables, brechas e inconsistencias en conjuntos de reglas de firewall, enrutadores e interruptores y usan esos agujeros para penetrar las defensas.

Además, aprovechan las fallas en estos dispositivos para obtener acceso a las redes, redirigir el tráfico en una red e interceptar información durante la transmisión. A través de estas acciones, el atacante puede obtener acceso a datos confidenciales, alterar información importante e incluso puede usar una máquina comprometida para hacerse pasar por otro sistema confiable en la red.

Como resultado, es fundamental proteger la configuración de los dispositivos de red, como firewalls, enrutadores y conmutadores.

Cómo implementarlo
  • 11.1: Mantener configuraciones de seguridad estándar para dispositivos de red.
  • 11.2: Reglas de configuración del tráfico de documentos
  • 11.3: usa herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios.
  • 11.4: instala la última versión estable de cualquier actualización relacionada con la seguridad en todos los dispositivos de red.
  • 11.5: administra dispositivos de red mediante autenticación multifactor y sesiones cifradas.
    11.6: utiliza estaciones de trabajo dedicadas para todas las tareas administrativas de la red.
    11.7: administrar la infraestructura de red a través de una red dedicada.

12. Defensa de fronteras

CIS Control 12 se enfoca en detectar, prevenir y corregir el flujo de información a través de redes de diferentes niveles de confianza con un enfoque en los datos que dañan la seguridad.

¿Por qué es crítico este control CIS?

CIS Control 12 es fundamental porque los atacantes a menudo se centran en explotar los sistemas a los que pueden acceder a través de Internet, incluidos no solo los sistemas DMZ, sino también las estaciones de trabajo y las computadoras portátiles que extraen contenido de Internet a través de los límites de la red.

Por ejemplo, las amenazas como los grupos del crimen organizado y los estados-nación utilizan la configuración y las debilidades arquitectónicas que se encuentran en los sistemas perimetrales, los dispositivos de red y las máquinas cliente que acceden a Internet para obtener el acceso inicial a una organización.

Luego, con una base de operaciones en estas máquinas, los atacantes a menudo pivotarán para adentrarse más en el límite para robar o cambiar información o establecer una presencia persistente para ataques posteriores contra hosts internos.

También es fundamental filtrar tanto el tráfico entrante como el saliente.
Debe tenerse en cuenta que las fronteras entre las redes internas y externas están disminuyendo como resultado de una mayor conectividad dentro y entre las organizaciones. Además, el despliegue de tecnologías inalámbricas también es un factor que contribuye.

Estas líneas borrosas a menudo permiten a los atacantes obtener acceso dentro de las redes sin pasar por los sistemas de límites. Sin embargo, incluso con esta confusión de límites, las implementaciones de seguridad efectivas aún dependen de defensas de límites cuidadosamente configuradas que separan con éxito las redes con diferentes niveles de amenazas, conjuntos de usuarios, datos y niveles de control.

Cómo implementarlo
  • 12.1: Mantener un inventario de los límites de la red
  • 12.2: Escanea en busca de conexiones no autorizadas a través de los límites de la red confiable.
  • 12.3: Denegar comunicaciones con direcciones IP maliciosas conocidas
  • 12.4: Denegar comunicación a través de puertos no autorizados
  • 12.5: configurar sistemas de monitorización para registrar paquetes de red
  • 12.6: Implementar sensores IDS basados ​​en red
  • 12.7: Implementar sistemas de prevención de intrusiones basados ​​en red
  • 12.8: Implementar NetFlow Collection en dispositivos de límite de red
  • 12.9: Implementar servidor proxy de filtrado de capa de aplicación
  • 12.10: Descifrar el tráfico de red en el proxy
  • 12.11: Requerir que todos los inicios de sesión remotos utilicen autenticación multifactor.
  • 12.12: administrar todos los dispositivos de forma remota que inician sesión en la red interna.

13. Protección de datos

CIS Control 13 se enfoca en los procesos y herramientas utilizados para prevenir la exfiltración de datos con el fin de mitigar los efectos de los datos exfiltrados y garantizar la privacidad e integridad de la información confidencial.

¿Por qué es crítico este control CIS?

CIS Control 13 es fundamental porque los datos residen en muchos lugares y su protección se logra mejor mediante la aplicación de una combinación de técnicas de encriptación, protección de integridad y prevención de pérdida de datos.

A medida que las organizaciones continúan avanzando hacia la computación en la nube y el acceso móvil, es fundamental garantizar que se tomen las precauciones necesarias para limitar e informar sobre la exfiltración de datos y, al mismo tiempo, mitigar los efectos del compromiso de los datos.

Por ejemplo, algunas organizaciones no identifican y separan cuidadosamente sus activos más sensibles y críticos de la información menos sensible y de acceso público en sus redes internas.

Además, en muchos entornos, los usuarios internos tienen acceso a todos o la mayoría de los activos críticos.

Los activos sensibles también pueden incluir sistemas que brinden administración de control de sistemas físicos. Una vez que los atacantes han penetrado en una red de este tipo, pueden encontrar y exfiltrar fácilmente información importante, causar daños físicos o interrumpir las operaciones con poca o ninguna resistencia.

Como resultado, es importante administrar el proceso y las herramientas utilizadas para proteger tus datos.

Cómo implementarlo
  • 13.1: Mantener un inventario de información confidencial
  • 13.2: Eliminar datos confidenciales o sistemas a los que la organización no accede con regularidad.
  • 13.3: supervisar y bloquear el tráfico de red no autorizado
  • 13.4: Permitir solo el acceso a proveedores de correo electrónico o almacenamiento en la nube autorizados.
  • 13.5: supervisa y detecta cualquier uso no autorizado de cifrado
  • 13.6: cifrar datos de dispositivos móviles
  • 13.7: administrar dispositivos USB
  • 13.8: Administre las configuraciones de lectura / escritura de los medios extraíbles externos del sistema.
  • 13.9: cifrar datos en dispositivos de almacenamiento USB.

14. Acceso controlado basado en la necesidad de saber

CIS Control 14 se centra en los procesos y herramientas que se utilizan para rastrear, controlar, prevenir, corregir y asegurar el acceso a los activos críticos. Específicamente, el control sobre activos como información, recursos y sistemas, de acuerdo con la determinación formal de qué usuarios, computadoras y aplicaciones tienen la necesidad y el derecho de acceder a activos críticos con base en una clasificación aprobada.

¿Por qué es crítico este control CIS?

CIS Control 14 es fundamental porque el cifrado de datos proporciona un nivel de garantía de que, incluso si los datos están comprometidos, no es práctico acceder al texto sin formato sin acceso a recursos importantes. Sin embargo, se deben implementar controles para mitigar la amenaza de exfiltración de datos en primer lugar. Muchos ataques ocurren a través de la red, mientras que otros involucran el robo físico de equipos. Si el equipo almacena datos confidenciales en él, esto amenaza a la organización y sus datos.

Además, en muchos casos, las víctimas ni siquiera son conscientes de que los datos confidenciales están saliendo de sus sistemas porque no estaban monitorizando las salidas de datos. Supervisa electrónica y físicamente el movimiento de datos a través de los límites de la red para minimizar su exposición a los atacantes.

La pérdida de control sobre los datos confidenciales o protegidos por parte de las organizaciones es una seria amenaza para las operaciones comerciales e incluso puede ser una amenaza potencial para la seguridad nacional.

Como resultado, la adopción del cifrado de datos, tanto en tránsito como en reposo, reduce el riesgo de que los datos se vean comprometidos.

Además, asegúrate de que los productos utilizados dentro de una empresa implementen algoritmos criptográficos bien conocidos y examinados. También se recomienda la reevaluación anual de los algoritmos y tamaños de clave utilizados dentro de la empresa para garantizar que las organizaciones no se queden atrás en la fuerza de la protección aplicada a sus datos.

En los últimos años, ha habido un cambio notable en la atención y la inversión de proteger la red a proteger los sistemas dentro de la red y proteger los datos en sí. Los controles de DLP se basan en políticas e incluyen la clasificación de datos confidenciales, el descubrimiento de esos datos en toda la empresa, la aplicación de controles y la elaboración de informes y auditorías para garantizar el cumplimiento de las políticas.

Cómo implementarlo
  • 14.1: segmenta la red según la sensibilidad
  • 14.2: habilita el filtrado de firewall entre VLAN
  • 14.3: Desactivación de la comunicación de estación de trabajo a estación de trabajo.
  • 14.4: Cifra toda la información confidencial en tránsito
  • 14.5: utiliza una herramienta de descubrimiento activa para identificar datos confidenciales.
  • 14.6: proteger la información mediante listas de control de acceso
  • 14.7: hacer cumplir el control de acceso a los datos a través de herramientas automatizadas.
  • 14.8: cifrar información confidencial en reposo
  • 14.9: Aplicar el registro de detalles para el acceso o los cambios a datos confidenciales.

15. Control de acceso inalámbrico

CIS Control 15 se centra en los procesos y herramientas que se utilizan para rastrear, controlar, prevenir, corregir y asegurar el uso de redes de área local inalámbricas (WLAN), puntos de acceso y sistemas de clientes inalámbricos.

¿Por qué es crítico este control CIS?

CIS Control 15 es fundamental porque los atacantes han iniciado importantes robos de datos que han obtenido acceso inalámbrico a organizaciones desde fuera del edificio físico. En la mayoría de los casos, eludir los perímetros de seguridad de las organizaciones y conectarse de forma inalámbrica a los puntos de acceso dentro de la organización.

Los clientes inalámbricos que acompañan a los viajeros se infectan regularmente a través de la explotación remota mientras se encuentran en redes inalámbricas públicas que se encuentran en aeropuertos y cafés. Los sistemas explotados se vuelven a conectar a la red y se utilizan como puertas traseras.

Otras organizaciones han informado del descubrimiento de puntos de acceso inalámbrico no autorizados en sus redes, instalados y, a veces, ocultos para el acceso sin restricciones a una red interna. Dado que no requieren conexiones físicas directas, los dispositivos inalámbricos son un vector conveniente para que los atacantes mantengan el acceso a largo plazo al entorno objetivo.

Cómo implementarlo
  • 15.1: Mantener un inventario de puntos de acceso inalámbricos autorizados
  • 15.2: Detectar puntos de acceso inalámbricos conectados a la red cableada
  • 15.3: utiliza un sistema de detección de intrusiones inalámbrico
  • 15.4: deshabilita el acceso inalámbrico en dispositivos si no es necesario
  • 15.5: Limita el acceso inalámbrico en los dispositivos del cliente
  • 15.6: deshabilita las capacidades de red inalámbrica de igual a igual en clientes inalámbricos.
  • 15.7: aprovecha el estándar de cifrado avanzado (AES) para cifrar datos inalámbricos.
  • 15.8: utiliza protocolos de autenticación inalámbrica que requieran autenticación mutua y de múltiples factores.
  • 15.9: deshabilita el acceso periférico inalámbrico a los dispositivos
  • 15.10: Crea una red inalámbrica separada para dispositivos personales y no confiables.

16. Seguimiento y control de cuentas

CIS Control 16 se centra en la gestión activa del ciclo de vida del sistema y las cuentas de las aplicaciones. Por ejemplo, su creación, uso, inactividad y eliminación, para minimizar las oportunidades de que los atacantes los aprovechen.

¿Por qué es crítico este control CIS?

CIS Control 16 es fundamental porque los atacantes con frecuencia descubren y explotan cuentas de usuario legítimas pero inactivas para hacerse pasar por usuarios legítimos. Como resultado, descubrir al atacante puede resultar difícil para los equipos de seguridad. Las cuentas de contratistas y empleados despedidos, o las cuentas configuradas para pruebas de penetración (pero no eliminadas después) se han utilizado indebidamente de esta manera.

Además, estos también pueden ser puntos de acceso para personas internas malintencionadas y ex empleados para obtener acceso a cuentas dejadas en un sistema mucho después de la expiración del contrato. Los atacantes pueden mantener el acceso al sistema informático de una organización, así como a datos confidenciales para fines no autorizados o maliciosos.

Cómo implementarlo
  • 16.1: Mantener un inventario de sistemas de autenticación
  • 16.2: configurar el punto de autenticación centralizado
  • 16.3: Requiere autenticación multifactor
  • 16.4: cifrar o aplicar hash a todas las credenciales de autenticación
  • 16.5: Cifrar la transmisión del nombre de usuario y las credenciales de autenticación.
  • 16.6: Mantener un inventario de cuentas
  • 16.7: Establecer un proceso para revocar el acceso
  • 16.8: deshabilita cualquier cuenta no asociada
  • 16.9: deshabilitar cuentas inactivas
  • 16.10: Asegúrate de que todas las cuentas tengan una fecha de vencimiento
  • 16.11: Bloquear sesiones de estación de trabajo después de inactividad
  • 16.12: Supervisar los intentos de acceder a las cuentas desactivadas
  • 16.13: Alerta sobre desviación del comportamiento de inicio de sesión de la cuenta.

Organizativos

17. Implementar un programa de capacitación y concientización sobre seguridad

CIS Control 17 se enfoca en identificar los conocimientos y habilidades específicos necesarios para apoyar la defensa de la empresa, enfocándose específicamente en todos los roles funcionales en la organización, pero priorizando aquellos de misión crítica para el negocio y su seguridad. También se enfoca en desarrollar y ejecutar un plan integrado para evaluar, identificar brechas y remediar riesgos a través de políticas, planificación organizacional, capacitación y programas de concientización.

¿Por qué es crítico este control CIS?

CIS Control 17 es fundamental porque las acciones de las personas juegan un papel fundamental en el éxito o el fracaso de una empresa. La ciberdefensa es mucho más que un desafío técnico. Las personas cumplen funciones importantes en cada etapa del diseño, implementación, operación y supervisión del sistema.

Desafortunadamente, los atacantes son conscientes de estos problemas y los aprovechan. Por ejemplo, mensajes de phishing cuidadosamente elaborados que parecían rutinarios y esperaban tráfico para un usuario desprevenido. O explotando las brechas entre la política y la tecnología (Políticas que no tienen aplicación técnica). O bien, explotando la ventana de tiempo de revisión de registros y usando sistemas nominalmente no críticos para la seguridad como puntos de salto o bots.

Como resultado, empoderar a las personas con hábitos adecuados de defensa cibernética puede disminuir significativamente tu riesgo y aumentar tu preparación en caso de que ocurra un ataque.

Cómo implementarlo
  • 17.1: Realizar un análisis de la brecha de habilidades
  • 17.2: impartir formación para llenar el vacío de habilidades
  • 17.3: Implementar un programa de concientización sobre seguridad
  • 17.4: actualiza el contenido de concienciación con frecuencia
  • 17.5: Capacita a la fuerza laboral en autenticación segura
  •  17.6: Capacitar a la fuerza laboral en la identificación de ataques de ingeniería social.
  • 17.7: Capacitar a la fuerza laboral en el manejo de datos confidenciales.
  • 17.8: Capacitar al personal sobre las causas de la exposición involuntaria de datos.
  • 17.9: Capacitar a los miembros de la fuerza laboral en la identificación y notificación de incidentes.

18. Seguridad del software de aplicación

CIS Control 18 se centra en la gestión del ciclo de vida de la seguridad de todo el software desarrollado y adquirido internamente para prevenir, detectar y corregir las debilidades de seguridad.

¿Por qué es crítico este control CIS?

CIS Control 18 es fundamental porque los ataques a menudo se aprovechan de las vulnerabilidades que se encuentran en el software basado en la web y otras aplicaciones. Las vulnerabilidades surgen por varias razones. Por ejemplo, errores de codificación, errores lógicos, requisitos incompletos y fallas al probar condiciones inusuales o inesperadas.

Además, existe una gran cantidad de información pública y privada sobre tales vulnerabilidades disponible tanto para atacantes como para defensores. También existe un mercado sólido para herramientas y técnicas que convierten las vulnerabilidades en exploits como armas.

Cómo implementarlo
  • 18.1: Establecer prácticas de codificación seguras
  • 18.2: asegúrate de que se realiza una verificación de errores explícita para todo el software desarrollado internamente.
  • 18.3: Verifica que el software adquirido aún sea compatible
  • 18.4: Utiliza solo componentes de terceros actualizados y confiables
  • 18.5: usa solo algoritmos de cifrado estandarizados y ampliamente revisados.
  • 18.6: Asegúrate de que el personal de desarrollo de software esté capacitado en codificación segura.
  • 18.7: Aplicar herramientas de análisis de código estático y dinámico
  • 18.8: Establecer un proceso para aceptar y abordar informes de vulnerabilidades de software.
  • 18.9: Sistemas separados de producción y no producción
  • 18.10: Implementar firewalls de aplicaciones web
  • 18.11: usa plantillas de configuración de refuerzo estándar para bases de datos.

19. Respuesta y gestión de incidentes

CIS Control 19 se centra en proteger la información de la organización, así como su reputación, mediante el desarrollo e implementación de una infraestructura de respuesta a incidentes. Por ejemplo, planes, roles definidos, capacitación, comunicaciones y supervisión de la gestión. Estas áreas permiten a las organizaciones descubrir rápidamente un ataque y contener de manera efectiva el daño para que pueda erradicar la presencia del atacante y restaurar la integridad de la red y los sistemas.

¿Por qué es crítico este control CIS?

CIS Control 19 es fundamental porque incluso las empresas grandes, bien financiadas y técnicamente sofisticadas luchan por mantenerse al día con la frecuencia y complejidad de los ataques.

Después de que ocurre un incidente, no es el momento adecuado para desarrollar procedimientos, informes, recopilación de datos, responsabilidad administrativa, protocolos legales y estrategia de comunicación efectivos. Y son estas cosas las que permitirán a tu organización comprender, administrar y recuperarse con éxito.

Sin un plan de respuesta a incidentes, es posible que una organización ni siquiera descubra un ataque en primer lugar. O, si se detecta, es posible que la organización no siga los procedimientos de manera efectiva para contener el daño, erradicar la presencia del atacante y recuperarse de manera segura. Permitiendo así que el atacante tenga un impacto mucho mayor y cause más daño. Por ejemplo, infectar más sistemas y potencialmente filtrar más datos sensibles de lo que hubiera sido posible de otra manera.

Cómo implementarlo
  • 19.1: Documentar los procedimientos de respuesta a incidentes
  • 19.2: Asignar títulos de trabajo y deberes para la respuesta a incidentes
  • 19.3: Designar personal administrativo para apoyar el manejo de incidentes
  • 19.4: Diseñar estándares para toda la organización para informar incidentes
  • 19.5: Mantener la información de contacto para informar incidentes de seguridad.
  • 19.6: Publicar información sobre la notificación de anomalías e incidentes informáticos.
  •  19.7: Realización de sesiones periódicas de escenarios de incidentes para el personal.
  • 19.8: Creación de un esquema de priorización y puntuación de incidentes.

20. Pruebas de penetración y ejercicios del equipo rojo

CIS Control 20 se centra en probar la solidez general de la defensa de una organización. Específicamente, la tecnología, los procesos y los usuarios, estimulando los objetivos y acciones de un atacante.

¿Por qué es crítico este control CIS?

CIS Control 20 es fundamental porque en la mayoría de los casos los atacantes aprovechan la brecha entre los buenos diseños / intenciones de defensa y la implementación / mantenimiento. Por ejemplo, la ventana de tiempo entre el anuncio de una vulnerabilidad, la disponibilidad de un parche del proveedor y la instalación real en cada máquina.

Una postura defensiva exitosa requiere un programa integral. Esto debe incluir políticas y gobernanza efectivas, defensas técnicas sólidas y acciones apropiadas por parte de las personas. En un entorno complejo donde la tecnología está en constante evolución, aparecen nuevos métodos de atacantes con regularidad. Como resultado, las organizaciones deben probar periódicamente sus defensas para identificar brechas y evaluar su preparación mediante la realización de pruebas de penetración.

Las pruebas de penetración comienzan con la identificación y evaluación de vulnerabilidades. A continuación, se diseñan y ejecutan pruebas para demostrar cómo un atacante puede subvertir los objetivos de seguridad de la organización o lograr objetivos específicos contradictorios.

Los resultados proporcionan una visión más profunda, a través de la demostración, de los riesgos comerciales de varias vulnerabilidades.

Los ejercicios del Equipo Rojo adoptan un enfoque integral del espectro completo de políticas, procesos y defensas de la organización para mejorar la preparación de la organización. Además, mejora el entrenamiento de los practicantes defensivos e inspecciona los niveles de rendimiento actuales. Los equipos rojos independientes pueden proporcionar información valiosa y objetiva sobre la existencia de vulnerabilidades y la eficiencia de las defensas y los controles de mitigación.

Cómo implementarlo
  • 20.1: Establecer un programa de pruebas de penetración
  • 20.2: Realización de pruebas de penetración internas y externas con regularidad.
  • 20.3: Realiza ejercicios periódicos del equipo rojo
  • 20.4: Incluir pruebas de presencia de información y artefactos del sistema no protegidos.
  • 20.5: Cres un banco de pruebas para elementos que normalmente no se prueban en producción.
  • 20.6: utiliza herramientas de escaneo de vulnerabilidades y pruebas de penetración en concierto.
  • 20.7: asegúrate de que los resultados de las pruebas de penetración se documenten utilizando estándares abiertos legibles por máquina.
  • 20.8: controlar y supervisar las cuentas asociadas con las pruebas de penetración.