In de laatste paar jaar is het duidelijk geworden dat in de wereld van informatiebeveiliging, de aanval beter presteert dan de verdediging. Hoewel de budgetten stijgen en het management meer aandacht besteedt aan de risico ‘ s van gegevensverlies en systeempenetratie, gaan gegevens nog steeds verloren en worden systemen nog steeds gepenetreerd. Steeds weer vragen mensen zich af: “wat kunnen we praktisch doen om onze informatie te beschermen?”Het antwoord is gekomen in de vorm van 20 controles op informatieborging, bekend als de controles van het DIS.,
the CIS Critical Security Controls-Version 7.,Control
Critical Security Controls voor Effectieve Cyber Defense
De volgende beschrijvingen van de Critical Security Controls kunnen worden gevonden op De SANS Institute ’s Website:
Over de jaren heen, veel security-eisen en de eisen kaders zijn ontwikkeld in pogingen om de risico’ s op enterprise-systemen en de kritische gegevens., Echter, de meeste van deze inspanningen zijn in wezen geworden oefeningen in de rapportage over de naleving en hebben eigenlijk afgeleid security programma middelen van de voortdurend evoluerende aanvallen die moeten worden aangepakt. In 2008 werd dit erkend als een ernstig probleem door de Amerikaanse National Security Agency (NSA), en ze begonnen een inspanning die een “aanval moet de verdediging informeren” aanpak om prioriteit te geven aan een lijst van de controles die de grootste impact zou hebben in het verbeteren van de risico houding tegen Real-world bedreigingen. Een consortium van U. S., en internationale agentschappen snel groeide, en werd vergezeld door deskundigen uit de particuliere industrie en over de hele wereld. Uiteindelijk werden aanbevelingen voor wat later de kritische veiligheidscontroles (de controles) werden gecoördineerd door het SANS Institute. In 2013 werd het beheer en de ondersteuning van de controles overgedragen aan de Council on CyberSecurity (de Council), een onafhankelijke, wereldwijde non-profit entiteit die zich inzet voor een veilig en open Internet.,
De kritische beveiligingscontroles zijn in de eerste plaats gericht op het prioriteren van beveiligingsfuncties die effectief zijn tegen de nieuwste geavanceerde gerichte bedreigingen, met een sterke nadruk op “wat werkt” – beveiligingscontroles waarbij producten, processen, architecturen en diensten worden gebruikt die effectief zijn gebleken in de echte wereld. Standaardisatie en automatisering is een andere topprioriteit, om de operationele efficiëntie te verbeteren en tegelijkertijd de effectiviteit te verbeteren., De acties gedefinieerd door de controles zijn aantoonbaar een subset van de uitgebreide catalogus gedefinieerd door het National Institute of Standards and Technology (NIST) SP 800-53. De controles zijn niet bedoeld om het werk van NIST te vervangen, met inbegrip van het Cybersecurity Framework dat is ontwikkeld in reactie op Executive Order 13636. De controles in plaats daarvan prioriteren en richten zich op een kleiner aantal bruikbare controles met een hoge payoff, gericht op een “must do first” filosofie., Aangezien de controles waren afgeleid van de meest voorkomende aanvalspatronen en werden doorgelicht in een zeer brede gemeenschap van overheid en industrie, met een zeer sterke consensus over de resulterende reeks controles, dienen zij als basis voor onmiddellijke actie van hoge waarde.
Aanbevolen Referenties
De Critical Security Controls (versie 7.,1) | ||||
AuditScripts Critical Security Control Executive Assessment Tool | ||||
CIS Critical Security Control v7.,9768b575″> | Implementing the 20 Critical Controls with Security Information and Event Management Systems | |||
A Small Business No Budget Implementation of the SANS 20 Critical Controls |