Insight

CIS 20 – Pentest. Afprøvning af parathed, forsvar og modstandskraft

Vi sætter strøm til teorien, når vi stiller skarpt på, hvordan branchespecialister tænker it-sikkerhed. CIS-kontrollerne består af 20 praktiske og målbare kontroller, som tilsammen udgør et rammeværk for cybersikkerhed, og som har hjemme hos Center for Internet Security.

CIS-kontrollerne er nemme at anvende i praksis, fordi de kommer med direkte henvisninger til, hvordan de implementeres, og forslag til, hvilke KPI’er der bør opstilles for målinger. Det er også derfor, vi har valgt at udvikle en GAP-analyse, som bygger på selvsamme CIS-kontroller, kaldet IT-Sikkerhedsbarometeret. Over de næste måneder stiller vi derfor også skarpt på de 20 CIS-kontroller, hvordan de anvendes, og hvilke vigtige subkontroller de indeholder.

Hvad indeholder CIS-kontrol 20?

CIS-kontrol 20 (Penetration Tests and Red Team Excercises) indeholder kun to implementeringsgruppe 3-tiltag (20.3 og 20.7 – ikke nævnt nedenfor), hvilket betyder, at stort set alle virksomheder, som ikke er i en særlig risikogruppe, skal udføre alle otte tiltag (subkontroller). Der er tale om følgende tiltag:

  • Gennemfør aktive tests af hele spekteret af it-sikkerhedstiltag, fx angreb mod wireless, klienter og applikationer.
  • Gennemfør både interne og eksterne afprøvninger af it-sikkerhedstiltag.
  • Test forekomsten af information, der kan hjælpe en angriber, fx passwords i klartekst, netværksdiagrammer, ip-adresseplaner og resultatet af tidligere tests.
  • Lav en parallel udgave af produktionssystemer, som kan testes uden at påvirke virksomhedens drift.
  • Brug resultatet af sårbarhedsscanninger aktivt i afprøvningen af it-sikkerhedstiltag.
  • Slet/deaktiver alle konti, der er brugt under pentesten, når denne er gennemført. 

Hvad er red, blue og purple teams?

Hvem skal egentlig udføre en pentest, og hvor ofte skal den udføres? Det er der ikke noget endeligt svar på, men du bør anlægge en risikobaseret betragtning og være sikker på, at:

  • Testen gennemføres af virksomheden selv, hvis kompetencerne er til stede eller købes som en service, hvor det er nødvendigt.
  • Alle større it-sikkerhedstiltag afprøves – enkeltvis eller sammen, hvor det giver mening.
  • Resultaterne af en pentest tages til efterretning.
  • Der ryddes op efter hver pentest.
  • At resultatet af pentesten gøres til en del af ledelseskommunikationen, så de nødvendige ressourcer sikres, og effekten af de indførte rettelser etableres som en KPI.

Til at udføre pentest bruges et angribende team kaldet red team og et team til at forsvare virksomheden kaldet blue team. Det er det angribende teams opgave at gennemføre angrebet så hurtigt og effektivt (og ofte så uopdaget) som muligt, mens det forsvarende team skal opdage og forhindre red team i at gennemføre angrebet. Yderligere listes der følgende funktioner i BAD-modellen (Build, Attack, Defend):

  • Purple (lilla) – Ændring af blue team baseret på viden hos red team 
  • Orange (orange) – Ændring af hele pentestforløbet baseret på viden hos red team
  • Green (grøn) - Ændring af hele pentestforløbet baseret på viden hos blue team
  • Yellow (gult) team – opbygger hele pentestmodellen og metodikken.

En mulighed er at gennemføre et såkaldt ”war game”, som er en orkestreret udgave af et eller flere angrebsscenarier, fx baseret på MITRE ATT&CK-databasen, for at afprøve den organisatoriske parathed til at kunne agere korrekt i tilfælde af et cyberangreb.

Kan CIS-kontrollerne oversættes til andre begreber?

Når man sammenholder CIS-kontrollerne med et andet rammeværk, kan de oversættes til andre begreber, der ofte er lettere at formidle og forstå. Her gives CIS-kontrollerne forskellig værdier ved at optræde i en bestemt gruppering og danne grundlag for følgende:

  • Forsvar, parathed og modstandskraft
  • Identificer, beskyt, opdag, modsvar og gendan.

Sidstnævnte er funktioner i NIST Cyber Security Framework, og koblingen mellem CIS og NIST CSF kan findes beskrevet her. Her kan man desuden læse om koblingen mellem CIS og andre rammeværk.

Når resultatet af pentest skal fortolkes og kommunikeres til ledelsen, kan du med fordel bruge en kobling til andre rammeværk og begreber for hurtigere og nemmere at illustrere de svagheder, som pentesten evt. afslører, og de tiltag, der er nødvendige at indføre på baggrund af den gennemførte pentest. Pentesten kan også tilrettelægges, så der er de tekniske tiltag bag de begreber, der afprøves – altså evnen til at opdage, modsvare og gendanne efter et angreb.

Hør mere om disse begreber og koblinger på vores webinar om trykprøvning af it-sikkerhed, der afholdes den 25. marts kl. 10-11.30. Tilmeld dig her.

Fandt du dette nyttigt?