TAGS
SANS 2013 Críticos de Seguridad Controles Encuesta: pasar de la sensibilización a la acción de junio de 2013 A SANS Whitepaper Escrito por: John Pescatore Asesor Tony Sager nivel de conciencia Page 5 beneficios percibidos y barreras para la adopción Página 7 de evaluación: La identificación de las brechas Página 9 Niveles de Aprobación Página 11 Aplicación Progreso y experiencia en la página 15 Medición y métricas Page 17 patrocinado por eIQ Networks, FireEye, IBM, Symantec y Seguridad © 2013 Instituto ™ SANS Tenable Network lo largo de los años, muchas de las normas de seguridad y marcos requisitos se han desarrollado en un intento de hacer frente a los riesgos para la sistemas de la empresa y los datos críticos en ellos. Sin embargo, la mayoría de estos esfuerzos se han convertido esencialmente en ejercicios en la presentación de informes sobre el cumplimiento y, de hecho han desviado recursos del programa de seguridad de los ataques en constante evolución que deben ser abordados. En 2008, la Agencia de Seguridad Nacional de EE.UU. (NSA) reconoció el desvío de recursos como un problema grave, y la agencia comenzó un esfuerzo quetomó una "ofensa debe informar a la defensa" para la priorización de una lista de los controles que tendría el mayor impacto en la mejora de la situación de riesgos contra el mundo real threats.1 Un consorcio de Estados Unidos y las agencias internacionales creció rápidamente, y en última instancia, recomendaciones para lo que eran para convertirse en los controles de seguridad críticas (CSC) se coordinan a través del SANS Institute.2 ¿qué tan bien están las células madre cancerosas conocidas en el gobierno y la industria privada, y cómo están siendo utilizados? Más importante aún, ¿qué podemos aprender de las implementaciones CSC hasta la fecha? Estas y otras preguntas se plantearon a 699 participantes en una encuesta reciente llevada a cabo por el Instituto SANS. Esto es lo que encontramos: • La mayoría de los encuestados (73%) son conscientes de las células madre cancerosas y se han adoptado o programado para adoptarlos, mientras que otro 15% son conscientes de los controles, pero no tienen planes de adoptar ellos. Sólo el 12% no había oído hablar de los controles previos a la encuesta. • controlador principal de los encuestados para su aprobación controles es el deseo demejorar la visibilidad de la empresa y reducir los incidentes de seguridad. • silos operacionales dentro de la organización de seguridad de TI y entre éste y otros departamentos de la empresa siguen siendo el mayor impedimento para la implementación de procesos repetibles basados en los controles. • Sólo el 10% de los encuestados cree que han hecho un trabajo completo de la aplicación de todos los controles que se aplican a sus organizaciones. Una información más detallada y consejos sobre los resultados y la células madre cancerosas se incluyen en este documento. Programa SANS Analista 1 SANS 2013 Controles de seguridad crítica Encuesta: Mover el disco de conciencia a la acción 1 www.sans.org/critical-security-controls/history.php 2 www.sans.org/critical-security-controls Resumen Ejecutivo El Instituto SANS llevó a cabo una encuesta en línea sobre las actitudes hacia la adopción de las células madre cancerosas durante marzo y abril de 2013. la encuesta tenía un total de 699 encuestados. Que tomaron los profesionales de la seguridad Encuesta representaban el mayor grupo ocupacional entre los encuestados, con el mayor solacategoría profesional en la encuesta de ser administradores de seguridad o los analistas, al 45% del total. los profesionales de seguridad de alto nivel (los administradores de seguridad, directores o CSO / CISO) constituían el 25%, y el gerente de TI / director / CIO categorías cada uno representado poco más del 10%. Las operaciones de red / personal de administración de sistemas compuestos por un 20% de los encuestados, y el Oficial de Cumplimiento / auditores y consultores formados por un 11% (véase la Figura 1). Figura 1. Funciones de los encuestados Numerosos encuestados en la categoría "Otros" ampliamente distribuido indicaron que también son administradores, pero muchos desarrolladores también estuvieron representadas en la categoría "Otros". (Tenga en cuenta que los encuestados podían elegir más de una opción, lo que representa una superposición de responsabilidades en algunos casos.) SANS Programa de Analista 2 SANS 2013 Críticos de Seguridad Controles Encuesta: Mover el disco de conciencia a la acción Demografía y Analytics Demografía y Analytics (CONTINUACIÓN) Las Industrias representados los tipos de organizaciones representadaspor los encuestados sesgado fuertemente hacia las grandes empresas multinacionales o de otro tipo. El grupo más numeroso de los encuestados (40%) trabajan para las grandes empresas (define por tener 2.000 o más empleados), y un 14% de trabajo para las empresas Global 200, que normalmente tienen más de 50.000 empleados. Los encuestados restantes eran más o menos uniformemente distribuido entre las empresas pequeñas y medianas, como se muestra en la Figura 2. Figura 2. Tamaño de la Organización Curiosamente, aunque las células madre cancerosas fueron concebidos inicialmente como un marco orientado hacia el gobierno federal de TI, una gama amplia de la industria verticales están representados en esta encuesta, siendo el mayor entidades gubernamentales (20%) y las instituciones financieras (17%). importantes segmentos de la industria pequeña, pero aún eran la educación, de alta tecnología, cuidado de la salud / farmacéutica, la industria manufacturera y de la energía / servicios públicos (véase la Figura 3). Figura 3. industrias representadas Esta representación de la industria variada indica que organizaciones de todo tipo están encontrando usos para elControles. Programa SANS Analista 3 SANS 2013 Críticos de Seguridad Controles Encuesta: Mover el disco de conciencia a la acción Demografía y Analytics (CONTINUACIÓN) El enfoque del análisis de SANS Para fines analíticos, SANS agrupan las respuestas a las preguntas de la encuesta en seis áreas, que están dispuestas esencialmente por orden cronológico: 1. Conocimiento - los niveles de la organización que son conscientes de la células madre cancerosas 2. Percepción de los beneficios y barreras para la adopción - "Yendo en" supuestos de ambas ganancias esperadas de la adopción de los controles y las razones controles no podrían ser adoptados o wouldn ' t trabajo 3. evaluación inicial - Si, y cómo se llevó a cabo una evaluación inicial de la diferencia 4. Niveles de adopción - La medida en que los controles han sido integrados con y optimizados para TI y procesos de seguridad 5. progreso de la ejecución y la experiencia - que controla tienen puesto en práctica, y qué planes de trabajo y las herramientas se utilizaron 6. Medición y métricas - ¿Cómo han sido cuantificados prestaciones y en las principales ventajas tienenha visto SANS Programa de Analista 4 SANS 2013 Controles de seguridad crítica Encuesta: Mover el disco de conciencia a la acción En la actualidad, 20 áreas de seguridad se enumeran en los controles críticos, versión 4.1. Estos controles comienzan con inventario y evaluación de dispositivos y aplicaciones, e incluyen las defensas del perímetro, reparación de vulnerabilidades, seguridad de aplicaciones, respuesta a incidentes y más. La figura 4 muestra cada uno de los controles con enlaces incrustados debajo de los botones. Figura 4. Los 20 controles críticos Programa SANS Analista 5 SANS 2013 Controles de seguridad crítica Encuesta: Movimiento de la conciencia a nivel de acción de la conciencia de 3 configuraciones seguras para periféricos y software en dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores de 8 Capacidad de Recuperación de Datos 13 de Límites de Defensa 18 Respuesta a Incidentes y Gestión 2 Inventario de software autorizados y no autorizados 7 control del dispositivo inalámbrico 12 uso controlado de los privilegios administrativos de prevención de pérdida de datos 17 4 Evaluación de la vulnerabilidad y continuoRemediación 9 Seguridad evaluación de habilidades y de formación adecuados para llenar los vacíos 14 Mantenimiento, Monitoreo y Análisis de logs de auditoría 19 Secure Defensas Ingeniería de Red 5 de malware 10 configuraciones seguras para dispositivos de red tales como cortafuegos, enrutadores y conmutadores 15 Acceso controlado basa en la necesidad de saber 20 pruebas de Penetración y el equipo rojo ejercicios 1 Inventario de dispositivos autorizados y no autorizados de Seguridad 6 Software de Aplicación 11 de limitación y control de puertos de red, protocolos y servicios 16 de monitorización y control de cuentas de 20 controles de seguridad crítica para la efectiva de Defensa Cibernética nivel de conciencia (CONTINUACIÓN) como se ha señalado en la introducción, un gran porcentaje de los encuestados (73%) han adoptado o tienen previsto fijar, algunos o todos los controles, y otro 15% son conscientes de ellos, pero no han adoptado ninguna de ellas. Las encuestas sobre cualquier tema tienden a atraer a los encuestados que están familiarizados con el tema, pero aun cuando este hecho se tiene en cuenta, un combinaron 88%representa un nivel muy alto de conciencia. Este hallazgo es consistente con muchos de los de larga duración respuestas a la última pregunta de la encuesta -que pidió sugerencias para mejorar los controles de esfuerzo-así como con la información anecdótica SANS ha recibido en sesiones informativas y reuniones relacionadas con el CSC. Por ejemplo, el Multi-Estado Intercambio de Información y Análisis Centro (MS-ISAC) 3 ha demostrado un alto nivel de conciencia en las agencias del gobierno de Estados Unidos Estado. El hecho de que las células madre cancerosas se encuentran la necesidad de un "lente" que concentra los esfuerzos de seguridad en las áreas que ofrecen el más alto retorno de la inversión frente a las amenazas existentes está impulsando claramente este alto nivel de adopción. Los resultados de la encuesta también muestran importantes tomadores de decisiones de alto nivel de sensibilización e influencia-by, con los directores de TI que muestran la conciencia ligeramente superior a los CISO. Casi un tercio informó que los CEO / COO son conscientes y de apoyo de los controles, como se muestra en la Figura 5. El escaso conocimiento informado por administradores de cumplimiento puede parecer sorprendente, pero esimportante tener en cuenta que las empresas que responden a la demografía de las respuestas de los encuestados a menudo no tienen una posición de presidente de la conformidad formal. Este mismo factor de impacto en el nivel de conciencia reportado oficial de privacidad. Sin embargo, un factor más significativo es que, aunque se entrelazan seguridad y privacidad, el esfuerzo CSC no se ha centrado directamente en cuestiones como la divulgación, notificación y otros requisitos legales que son de primera-de-mente para los oficiales de privacidad. Como se dijo anteriormente, las células madre cancerosas se centran en reducir el coste y la complejidad de la seguridad de TI mediante la automatización y, en última instancia, en la mejora de la situación de riesgos. Para llevar: El alto grado de conciencia de los tomadores de decisiones de alto nivel presenta una oportunidad para aprovechar la células madre cancerosas para obtener ganancias significativas a largo plazo en la prestación eficaz y eficiente de seguridad de la empresa. Programa SANS Analista 6 SANS 2013 Controles de seguridad crítica Encuesta: pasar de la sensibilización a la figura de acción 5. Soporte de Alto Nivel 3 Un objetivo de la encuesta eradeterminar cuáles son los beneficios las empresas ven en la adopción de los controles de seguridad crítica, así como las barreras que impiden o frenan la adopción. Los beneficios percibidos El esfuerzo CSC comenzó como una manera de dar prioridad a las herramientas de seguridad que son más eficaces en la detección, mitigación o el bloqueo de las amenazas actuales. Ese beneficio ha llegado claramente a través de los encuestados: Los tres primeros pilotos para la adopción de las células madre cancerosas se refieren todos ellos a aumentar la visibilidad de los ataques, lo que mejora la respuesta y la reducción del riesgo, como se muestra en la Figura 6. Figura 6. Los conductores de adopción de la Seguridad Crítica controla otra objetivo principal del esfuerzo CSC ha sido centrarse en las amenazas en primer lugar, y luego para hacer frente a los requisitos de compliancedriven. El cumplimiento se debe centrar principalmente en la presentación de informes sobre los resultados de un enfoque centrado en la amenaza a la seguridad y no en cumplimiento a sí mismo como el objetivo principal. Por lo tanto, no es de extrañar que la conciliación y aumentando los regímenes de cumplimiento y otros marcos de seguridad fue el siguiente más frecuentemente citadocontrolador para la adopción de la células madre cancerosas. Sólo un poco más del 17% de los encuestados citó directivas internas como su principal motor. Esto es en realidad mayor de lo esperado, debido a que las células madre cancerosas son un esfuerzo voluntario impulsado por la comunidad. No sustituyen a cualquier régimen de cumplimiento, y no hay un régimen de cumplimiento obligando a las empresas a adoptar ellos. Esto hace que el hecho de que casi uno de cada cinco encuestados tienen políticas internas que impulsan su uso en lugar impresionante. Sin embargo, si los beneficios obtenidos mediante la aplicación de los controles son para convertirse en duradera, deben ser incorporados en las políticas formales y las directivas del programa de seguridad. Para llevar: Debido a toda la publicidad en torno a ataques avanzados, los niveles más altos de conciencia de los riesgos que significan ganancias para el apoyo de la células madre cancerosas. El uso de la células madre cancerosas se debe "al horno en" cambios a las arquitecturas de seguridad, políticas y planes de trabajo. Programa SANS Analista 7 SANS 2013 Controles de seguridad crítica Encuesta: pasar de la conciencia de los Beneficios y barreras para la adopción de acción percibidaOtro aumento del número de ataques descubiertos dentro de nuestro entorno Para conciliar / aumentar otros marcos de seguridad o sistemas de cumplimiento (por ejemplo, FISMA, PCI, ISO) Un creciente número de intentos de ataques en contra de nuestros sistemas Necesitamos un mejor medio para detectar ataques avanzados / mejorar la respuesta Necesitamos una imagen más clara de nuestra postura de riesgo para gestionar las vulnerabilidades / mejorar la postura de riesgos En respuesta a las directivas de grupo o agencia internos (como el DHS, la OMB, la sede) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% Beneficios y barreras para la adopción percibido (CONTINUACIÓN) las barreras a la adopción para entender cómo implementar los controles, es importante saber lo que se interpone en el camino de la adopción. Según los encuestados, las dos barreras más importantes para la adopción de CSC (ver Figura 7) son problemas de organización (silos operacionales) y cuestiones de formación. Figura 7. Las barreras a la adopción de la Seguridad Crítica controla muchos de los CSCs bien están dirigidos a mitigar las deficiencias de operaciones de TI (porejemplo, gestión de la configuración, administración de parches y gestión de privilegios) o requieren la integración con los procesos y sistemas (como el inventario, desarrollo de aplicaciones y acceso en la necesidad de conocer las operaciones de TI). A fin de que las mejoras de seguridad que se hizo, las operaciones de TI y de seguridad deben trabajar juntos y han integrado los procesos. La tercera barrera más frecuentemente citada para la adopción es la incapacidad de dar prioridad a cuál de los controles para poner en práctica por primera vez. Esto puede parecer sorprendente, ya que las células madre cancerosas están numerados en orden de prioridad de mitigación de ataques. Sin embargo, la preocupación por el establecimiento de prioridades destaca el hecho de que muy pocos de los controles en realidad están aislados: Hay relaciones entre los controles individuales, entre los controles y los demás conductores de cumplimiento y entre los grupos de los controles -todos constreñidas por las exigencias de los sistemas heredados y los presupuestos limitados . Estas interacciones son únicos para cada empresa y requieren un esfuerzo de priorización individuales. La percepción de la falta de planificación ocapacidades de gestión fue también altamente citados. Este es un problema común con cualquier intento de cambio; organizaciones pueden tener grandes habilidades para la implantación, pero sin sistemas de planificación de la fuerza y de gestión, que se calcifican y encontrar difícil el cambio. Se hace mucho más fácil para ellos se centran en la repetición de los mismos procesos de cumplimiento, incluso si estos procesos no son eficaces. Para llevar: La mejor manera de luchar contra la resistencia al cambio es para ganar apoyo a la gestión de alto nivel. Casi el 55% de los encuestados indican que tienen la conciencia CIO y el apoyo a las células madre cancerosas, y el 32% tienen conciencia a nivel CEO / COO. Sólo el 25% informó de que la falta de apoyo como un problema, por lo que los CISO deben priorizar y aprovechar este alto nivel de visibilidad para acelerar la ejecución de los controles. Programa SANS Analista 8 SANS 2013 Controles de seguridad crítica Encuesta: pasar de la sensibilización a la organizaciones de acción vería beneficios de importancia de comenzar con un espacio de evaluación inicial, porque sabiendo que controla para iniciarcon la que se percibe como tal barrera y luego mirando a la implementación de los controles con el fin de riesgo priorizado. La encuesta preguntó a los encuestados cómo se realiza una evaluación inicial de la diferencia. De los que respondieron a esta pregunta, sólo el 13% no ha realizado evaluaciones del déficit en absoluto. El resto informaron de que estaban llevando a cabo evaluaciones del déficit. Sus respuestas, sin embargo, muestran una fuerte dependencia de los procesos manuales para evaluar las diferencias entre el estado actual de la seguridad y los controles, como se muestra en la Figura 8. Figura 8. Los medios de Realización Gap inicial a evaluaciones Menos del 3% de los encuestados se basa únicamente en las herramientas automatizadas, el 27% utiliza sólo los procesos manuales y el 44% utiliza una combinación de herramientas -que automatizados y manuales que quiere decir que más del 73% están confiando en gran medida de los procesos manuales. Hay un efecto de "Catch 22" en el trabajo aquí: Hasta que una organización tiene procesos de seguridad maduros, que no será capaz de automatizar los procesos utilizando herramientas automatizadas. Sin embargo, sin centrarse enactualización y automatización de los procesos clave de amenaza a la marcha, las organizaciones a menudo se consume con el día a día "lucha contra el fuego" y no tienen el tiempo o los recursos para centrarse en la madurez del proceso. En última instancia, se reduce a los recursos. Ninguna organización de seguridad solo puede dejar existentes "fuegos" queman con el fin de mejorar los procesos de ambas tareas tienen que ser abordados al mismo tiempo. Esto requiere invariablemente un mayor esfuerzo, que requiere la aprobación de la gestión. La obtención de esta autorización requiere que la organización de seguridad de gestión de convencer de que hay un problema que afecta el negocio y luego demostrar que el aumento de la inversión de los recursos va a resolver el problema de una manera rentable. Controles del Programa SANS Analista 9 SANS 2013 Críticos de Seguridad Encuesta: pasar de la sensibilización a la evaluación de la acción: La identificación de las brechas de Evaluación: La identificación de las brechas (CONTINUACIÓN) Una forma tradicional alrededor de la primera parte de este problema es el uso de consultores externos para llevar a cabo la evaluación de las deficiencias, perolos resultados de la encuesta muestran que sólo el 10% de los encuestados lo han hecho. Esto probablemente refleja dos factores: problemas de presupuesto durante el período de incertidumbre económica que condujo a la encuesta impedido que muchas organizaciones de recurrir a consultores externos (SANS estima que por lo general el 25% de las empresas utilizan rutinariamente consultas externas para las evaluaciones de seguridad), y gran parte de la comunidad todo el esfuerzo células madre cancerosas ha venido de organizaciones de usuarios finales y no de los proveedores de servicios de seguridad. En los primeros meses de 2013, en los eventos SANS y en otros debates, hemos visto un crecimiento en servicios de consultores que se centran en las células madre cancerosas. Para llevar: Las organizaciones que no han llevado a cabo evaluaciones del déficit, o tienen sólo los procesos ad hoc para hacerlo, deben mirar a consultorías externas que han abrazado las células madre cancerosas (véase www.sans.org/critical-security-controls/vendor-solutions). Las entregas de compromiso deben incluir recomendaciones de herramientas automatizadas para el futuro de autoevaluación. La segunda parte de esteproblema se abordará en la sección "Mediciones y métricas" de este documento. Programa SANS Analyst 10 SANS 2013 Controles de seguridad crítica Encuesta: Pasar de la conciencia a la acción Un objetivo clave de la encuesta fue determinar donde las empresas estaban en la planificación e implementación de la células madre cancerosas. Guías orientativas de un gran porcentaje de los encuestados tienen planes de adoptar los controles, y alrededor del 54% tienen algún tipo de mapa de implantación en su lugar. Sólo el 18% tiene una hoja de ruta completa, el 27% tienen algunas partes de una hoja de ruta definida y un 9% se centra en una o dos áreas de control en sus planes de trabajo, como se ilustra en la Figura 9. Figura 9. El uso de hojas de ruta para la implementación CSC De acuerdo con la prioridad "asegurar un poco, probar un poco de" enfoque que impulsa el esfuerzo CSC, no esperamos más de 25-30% de las empresas para completar alguna vez un plan de trabajo formal. La mayoría se centrará sus esfuerzos en las implementaciones a corto plazo de los controles de más alta prioridad y en la mejora de las actuales implementaciones de algunosde los controles de nivel inferior. Hoja de ruta esfuerzos se centrarán en los restantes controles y los esfuerzos a largo plazo, donde actualizar los controles de seguridad serán vinculados a mejoras en la infraestructura de TI y las transiciones. El 13% de los encuestados que aún no han comenzado a desarrollar un plan de trabajo probablemente se mantenga en el rango de empresas que nunca se pondrán formalmente una juntos. Muchos de los encuestados restantes que indicaron que están empezando es probable que necesiten el apoyo de consultoría externa o personal adicional para comenzar a desarrollar un plan de trabajo. Programa SANS Analyst 11 SANS 2013 Controles de seguridad crítica Encuesta: Movimiento de la conciencia a niveles de actuación de los niveles de adopción de Adopción (continuación) Cuando se preguntó a los encuestados si han implementado controles de hecho, el 22% de ellos indicó que no se han puesto en práctica cualquiera de los controles . Debido a que la células madre cancerosas en esencia representan un nivel básico de seguridad "higiene" para mitigar las amenazas específicas, sería muy preocupante si hay más de uno de cadacinco empresas no habían aplicado cualquiera de los controles. Sin embargo, otras figuras de la industria y la evidencia anecdótica muestran que, por ejemplo, defensa de las fronteras y la penetración del firewall es superior al 95%. Otras respuestas de larga duración sugieren que los encuestados fueron probablemente comentando sobre los bajos niveles de eficacia de sus controles existentes en oposición a una falta completa. Para llevar: La mayoría de las empresas deben dar prioridad a la primera actualización o mejora de los controles existentes para hacer frente a las amenazas identificadas en el corto plazo y luego pasar a planes de trabajo formales. Una empresa que en realidad no ha implementado ninguna evaluación de la vulnerabilidad, antimalware o borde defensa debe encontrar de control 18 (Respuesta a Incidentes y Gestión) un buen punto de partida, ya que su red ha sido probablemente ya comprometida. Los controles están implementando ahora Un programa de seguridad madura utilizando las células madre cancerosas tendría la política, la automatización y la gestión centralizada de la integración de los 20 controles en todos los otros elementos de seguridad. En otra encuestacuestión relativa a la maduración de las implementaciones, menos del 10% de los encuestados reportó haber alcanzado este nivel en todos los controles, pero más de un tercio informó de que había alcanzado ese nivel de algunos de los controles (muy probablemente los que llamamos "maduras" y " la evolución de "controles en una cuestión más adelante en la encuesta.) Menos de un tercio de los encuestados afirmó que" sólo unos pocos "de sus controles están en la fase avanzada, y estos son los más probable es que sólo los controles maduros, como antimalware de escritorio y defensa de las fronteras. Poco más del 20% de los encuestados indicó que están trabajando en la política, pero aún no han llegado a la etapa de ejecución de cualquiera de los controles. Esto puede indicar el fenómeno que a veces se llama "parálisis por análisis", porque ninguno de los controles requiere cambios importantes en las políticas de seguridad típicas existentes. Programa SANS Analyst 12 SANS 2013 Controles de seguridad crítica Encuesta: Movimiento de la conciencia a niveles de actuación de Adopción (CONTINUACIÓN) Analyst SANSPrograma 13 SANS 2013 Controles de seguridad crítica Encuesta: pasar de la sensibilización a la Acción Tabla 1 proporciona un ranking de los controles de los entrevistados ya se están implementando, ya sea como implementaciones parcial o total. Control parcial completo Cantidad defensas de malware tabuladas 122 126 248 500 defensa de Límites 99 125 224 474 capacidad de recuperación de datos 115 107 222 436 configuraciones seguras para los dispositivos de red tales como firewalls, routers y conmutadores 119 104 223 431 El uso controlado de los privilegios administrativos 131 92 223 407 limitación / control de los puertos de red, protocolos y servicios 127 88 215 391 Inventario de los dispositivos autorizados y no autorizados 172 71 243 385 de evaluación de la vulnerabilidad y de remediación 136 82 218 382 de respuesta y manejo de incidentes 121 86 207 379 dispositivo inalámbrico de control 119 83 202 368 configuraciones seguras continuas de hardware y software y los dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores 156 68 224 360 acceso controlado basado en la necesidad de conocer 136 72 208 352 Inventario deautorizada y software no autorizado 168 61 229 351 monitoreo y control de cuentas 137 66 203 335 Red segura de ingeniería 123 67 190 324 Mantenimiento, seguimiento y análisis de los registros de auditoría 144 53 197 303 prevención de pérdida de datos (DLP) 121 54 175 283 pruebas de penetración y rojo equipo de ejercicios 49 129 178 276 Aplicación de software de seguridad 146 37 183 257 evaluación de las competencias de seguridad y la formación adecuada para llenar los vacíos 134 38 172 248 Tabla 1. Los controles de seguridad crítica Niveles desplegada de Adopción (CONTINUACIÓN) SANS analista del programa 14 SANS 2013 Controles de seguridad crítica de la encuesta: Pasar de la conciencia a la acción ponderando el despliegue completo en tres veces despliegue parcial ( "ponderado") y luego mirando a la relación de total a parcial, que se rompió el nivel de ejecución de los controles hacia abajo en diferentes segmentos: • controles maduros. Antimalware, la defensa de límites y de recuperación de datos aparece con mayores niveles de implementaciones completas. Esto no es sorprendente, ya que las herramientas antivirus, cortafuegos yla continuidad del negocio / recuperación de desastres / continuidad de las operaciones (BC / DR / COOP) son las zonas más maduras de seguridad. Tenga en cuenta que casi la mitad de las respuestas en el malware sólo citó despliegue parcial, que no se alinea con las realidades del mercado que más del 95% de los ordenadores de sobremesa y más del 90% de los servidores de correo electrónico se haya instalado software antivirus. Con tantas empresas que indica un despliegue parcial de herramientas antimalware, las empresas pueden reconociendo que se necesitan técnicas de detección de amenazas avanzadas para aumentar los enfoques tradicionales de la firma centrada. Respuestas similares alrededor de recuperación de datos, probablemente, representan el movimiento hacia las capacidades de recuperación basados en la nube como una forma de reducir los costos y hacer frente a la movilidad. • La evolución de los controles. Los controles como los de control de privilegios administrativos, lo que limita los puertos, evaluación de la vulnerabilidad, el inventario y monitoreo de cuentas son prácticas básicas de configuración de seguridad. Sin embargo, estos controles muestran niveles único medio de la adopción plena y altolos niveles de adopción parcial. Este resultado refleja el ambiente de amenaza y vulnerabilidad dinámica, así como el impacto que traer su propio dispositivo (BYOD) las políticas y el uso de la nube han tenido sobre la manera de TI y las organizaciones de seguridad tratan de poner en práctica estos controles. La evidencia anecdótica sugiere que muchas empresas han comenzado a darse cuenta de que el análisis de vulnerabilidades de forma trimestral, realizado en forma aislada de otros procesos de seguridad, ni siquiera se acercan a la "monitorización continua vulnerabilidad", lo que conduce a actualizaciones y mejoras. • Los controles de inmaduros. Controles como la monitorización de registros, prevención de pérdida de datos (DLP), pruebas de penetración y mostrar seguridad de las aplicaciones bajos niveles de adopción plena y niveles medios de la adopción parcial. Estas son las áreas en las que las empresas han hecho inversiones con frecuencia, encontraron la primera generación de productos a menudo sobrevalorado y los abandonó. (Los ejemplos más comunes son la información de seguridad y gestión de eventos [SIEM] y DLP.) Otro escenario puede serque la empresa no contaba con el personal capacitado para aplicar productos (tales como herramientas de seguridad de las aplicaciones y la pluma de prueba) y recurrió al uso esporádico de consultorías para las evaluaciones. Para llevar: mejora de los controles de aplicación maduro existentes y en evolución probablemente representa el enfoque más eficaz y eficiente para aumentar la resistencia a las amenazas avanzadas actuales. Pero no son los únicos controles necesarios para reducir el riesgo y automatizar los procesos de seguridad. Los controles mencionados como inmaduras pueden proporcionar muy alto retorno de la inversión, pero pueden requerir la formación del personal de seguridad o el uso de servicios profesionales externos para garantizar el retorno adecuado. Una de las maneras más eficaces y eficientes para poner en práctica la células madre cancerosas es integrarlos con las prácticas operativas existentes, como la configuración y gestión de activos. Sin embargo, casi el 80% de los encuestados indicó que se están centrando en los controles que tienen más sentido, mientras que el siguiente grupo más grande, en el 52%, está llevando a cabo el alcance deotros grupos empresariales para integrar la gestión de los controles en las operaciones de TI existentes y de seguridad. (Tenga en cuenta que los encuestados podían elegir la opción "Todo lo que corresponda" para esta pregunta.) Sólo el 21% dijo que se están desarrollando activamente conectores a otros programas o procesos, como se muestra en la Figura 10. Figura 10. Nivel de los controles de integración para ganar a largo beneficio a largo plazo la seguridad de los controles, la integración en el negocio repetible formal y los procesos de TI es crítica. Más de la mitad de los encuestados informó que se han hecho algunos esfuerzos para llegar a los otros grupos, y esto debería conducir a mayores niveles de integración en el futuro. Las organizaciones de seguridad también están tomando ventajas de los ciclos de actualización de tecnología (47%) y las deficiencias identificadas (43%), todos los cuales pueden ser utilizados para justificar la inversión en tecnologías para implementar las células madre cancerosas. Menos del 10% de los encuestados indicó que están utilizando los proveedores de servicios de seguridad gestionada (MSSPs) para supervisar las CSC, lo que indica que no lo hacensin embargo, tener en cuenta la rutina esfuerzo CSC lo suficiente o lo suficientemente maduros como para externalizar. Creemos que esto va a cambiar rápidamente en los próximos años, ya que los MSSP comienzan a trazar su oferta de servicios a la células madre cancerosas, especialmente para los controles maduros como la defensa límite avanzado y antimalware. Para llevar: Aplicación de la células madre cancerosas puede proporcionar beneficios inmediatos, pero, beneficios repetibles fiables a largo plazo requerirá la integración en el negocio, TI y procesos de gestión de la seguridad. Programa SANS Analyst 15 SANS 2013 Críticos de Seguridad Controles Encuesta: Mover el disco de conciencia a la acción progreso de la implementación y el Progreso experiencia de implementación y Experiencia (CONTINUACIÓN) SANS Programa de Analista 16 SANS 2013 Críticos de Seguridad Controles Encuesta: pasar de la sensibilización a la Herramientas de acción para tramitar la Figura 11 indica la sistemas de los encuestados citan como ya existe para la gestión de las zonas de control, junto con el nivel de actualización o adición a las capacidades necesarias para gestionar los controles. Figura 11. Herramientas utilizadas para gestionarÁreas de Control Crítico de defensa de Límites, protección de puntos finales y la evaluación de la vulnerabilidad mostraron los niveles más bajos de mejora, así como altos niveles de legado. SIEM / gestión de registro y seguridad de las aplicaciones se reportaron en los niveles de legado significativamente más bajos, y ambos mostraron altos niveles de actualización que sea necesario. Muchas empresas centran sus despliegues iniciales SIEM en los informes de cumplimiento impulsada, y estos despliegues probable es que no son lo suficientemente escalable para soportar la analítica de control y de seguridad continuas en toda la empresa. Del mismo modo, los ciclos de vida de desarrollo seguro puesto en marcha para el cliente tradicional / aplicaciones de servidor a menudo se rompen cuando los desarrolladores de aplicaciones 'foco se desplaza a aplicaciones móviles y basadas en la nube que requieren ciclos de desarrollo más rápido. La inteligencia de seguridad y análisis, protección de datos y análisis de comportamiento de la red se produjo en niveles mucho más bajos heredados en el, con niveles aún más altos de actualización y adición, lo que indica que estas son las áreas menos maduros en general. Para llevar son: Empresasla planificación para aprovechar las oportunidades a corto plazo para mejorar SIEM y capacidades de seguridad de aplicaciones como parte de sus esfuerzos para desplegar la células madre cancerosas. Más capacidades avanzadas, tales como análisis de seguridad, DLP, análisis de comportamiento de la red y análisis forense de red, representan iniciativas a largo plazo. Programa SANS Analyst 17 SANS 2013 Críticos de Seguridad Controles Encuesta: Mover el disco de conciencia a la acción En por lo menos en un aspecto, el mundo de la células madre cancerosas no es muy diferente del mundo de seguridad más amplio: Hojas de cálculo siguen dominando como la herramienta de informes y análisis de la elección, de acuerdo a las respuestas de la encuesta. Sin embargo, las herramientas de informes comerciales fueron el siguiente más frecuentemente citados, y fueron los más altos reportados como siendo planeado para su uso en los próximos 12 meses, como se muestra en la Figura 12. Figura 12. Tipo de cuadros de mando de informes de cosecha propia fuera la siguiente opción más frecuente para la próximos 12 meses, a casi el doble del nivel de hojas de cálculo. Para llevar: A medida que las implementaciones de las células madre cancerosas maduran, la demanda deherramientas de informes y cuadros de mando comerciales crecerán. Medición y métricas de medición y métricas (CONTINUACIÓN) SANS Programa de Analista 18 SANS 2013 Crítica de seguridad controla Encuesta: Mover el disco de conciencia a la acción sistémica Mejoras: El objetivo final El objetivo de la aplicación de los controles de seguridad crítica es la mejora sistémica a través de la evaluación, corrección y mejora / aerodinámica -defensas del sistema y la documentación de estas mejoras utilizaron luego para satisfacer las exigencias de información de cumplimiento. Los directores de seguridad históricamente han informado de que lo que hacen reduce los riesgos, pero han tenido problemas de cuantificación de dicha reducción. Esa tendencia continúa aquí, con casi el 80% de los encuestados que han implementado los controles creyendo que han reducido el riesgo, pero menos del 25% en condiciones de cuantificar que la mejora en la situación de riesgos. El resto eran inciertos (13%) o no cuantificó sus posturas de seguridad (8%). Cuando se le preguntó acerca de las mejoras y beneficios específicos derivados de los controlesse han aplicado hasta la fecha, los encuestados citaron la reducción de riesgos, mejoras a arriesgar la postura y la mejora de la conciencia de la situación ya que sus beneficios más importantes (véase la Figura 13). Figura 13. Beneficios de los controles implementados Estos resultados reflejan, una vez más, una fuerte creencia de que una ventaja importante de la células madre cancerosas radica en la reducción del riesgo (58%) y la mejora de la situación de riesgos en general (a pesar de que sólo el 24% podía cuantificar esto, como se muestra en la sección anterior). beneficios de cumplimiento clasifican ligeramente superiores a las de mitigación de amenazas. Medición y métricas (CONTINUACIÓN) SANS Programa de Analista 19 SANS 2013 Críticos de Seguridad Controles Encuesta: Mover el disco de conciencia a la acción Como un ejemplo de los costos comparativos de la reducción de riesgos relacionados con el CSC, SANS parecían recientemente en un incidente de seguridad reciente, donde recibió una multa de la Universidad del Estado de Idaho $ 400K por el Departamento de HHS por no darse cuenta de los cambios de política de firewall que dieron lugar a la exposición potencial de la información personal de salud para 17.500 pacientes.4 Nosotrosestimado que el costo global de ese incidente como más o menos $ 2 M, mientras que la aplicación de un único CSC (Crítico de Control de Seguridad 10: configuraciones seguras para los cortafuegos, routers y switches), a un costo estimado de $ 75,000, habría evitado el incidente y operadora costes. Para llevar: Una de las principales ventajas de la utilización de la madura células madre cancerosas es que permite a los auditores a centrar sus esfuerzos vigilancia del cumplimiento de los controles que tienen el mayor impacto en términos de reducción de la vulnerabilidad y mitigación de amenazas. Los resultados de la encuesta muestran que los encuestados parecen estar logrando que la sinergia. Aumentar el valor de la células madre cancerosas La última pregunta en la encuesta permitió de forma libre respuestas, y 123 encuestados se tomó el tiempo para dar sus sugerencias sobre cómo mejorar el esfuerzo CSC. La mayoría de sus respuestas evaluación comparativa refiere, por lo que los controles interactivos y la adición de la capacidad de asignar a otros requisitos, tales como la Ley de Gestión de Información Federal de Seguridad de EE.UU. (FISMA). Otroencuestados pidieron mejores interfaces estadísticos y más casos de la vida real que contengan los controles. (Más estudios de casos existen y que están siendo añadidos a la sala de lectura SANS.) 5,6 Estas son algunas de las respuestas más comúnmente citados: 1. Mostrar puntos de referencia e indicadores de éxito de las implementaciones de CSC. 2. Proporcionar más información sobre estudios de casos y mejores prácticas en torno a la implementación y operación. 3. Mostrar enlaces a e integración con otros regímenes de cumplimiento y los marcos de seguridad. 4. Proporcionar más información sobre productos, herramientas y plantillas que ayudan a poner en práctica la células madre cancerosas. 5. Mostrar a cuadros de mando utilizados para el monitoreo continuo de la eficacia de los controles. 6. Proporcionar versiones adaptadas de los controles para diferentes mercados verticales, diferentes prioridades de negocio, etc. SANS también es el mapeo de los controles para herramientas en un cartel que se actualiza annually.7 Y, algunos vendedores están desarrollando herramientas que incluyen componentes de cumplimiento para la células madre cancerosas, así como los módulos de conformidad que ya incluyen(Por ejemplo, para FISMA y la Ley Sarbanes-Oxley). También debe ser la integración de cuadros de mando y versiones adaptadas a base de verticales de la industria. Para llevar: Las organizaciones están abordando muchos de los controles por las herramientas y middleware para el desarrollo de sus propios usos. Sin embargo, los proveedores de herramientas también están integrando más funcionalidad y las plantillas en sus productos. SANS espera que en 2014, cuando se vuelve a visitar esta encuesta, más de estas herramientas y métricas estará en su lugar. 4 www.sans.org/security-trends/2013/05/30/analyzing-the-cost-of-a-hipaa-related-breach-through-the-lens-of-the-critical-security-controls 5 www.sans.org/reading_room/analysts_program/implementing-critical-security-controls.pdf 6 7 www.sans.org/reading_room/analysts_program/mcAfee_next_generation.pdf www.sans.org/critical-security-controls/spring-2013 -poster.pdf Conclusión los resultados del estudio muestran que las células madre cancerosas han alcanzado rápidamente un alto nivel de visibilidad y, sobre todo, tener la atención y el apoyo a los altos niveles dentroempresas. Hay muchos esfuerzos parciales de ejecución de CSC en curso. Muchos de estos esfuerzos se centran en la mejora de las implementaciones anteriores de los controles de seguridad maduros, como las defensas fronterizas, protección de puntos finales y herramientas de evaluación de vulnerabilidad, para que sean más eficaces contra las amenazas avanzadas. Otras áreas, como SIEM, antimalware y la seguridad de aplicaciones, requieren inversiones en nuevas habilidades o nuevos productos para reducir la probabilidad de incumplimiento. Las empresas están buscando tecnologías más avanzadas, así, pero ellos están asignando alta prioridad a una mayor visibilidad en implementaciones exitosas de las células madre cancerosas y puntos de referencia eficaces y métricas para medir y demostrar el beneficio. Debido a que el esfuerzo de CSC está impulsado por la comunidad, SANS cree que veremos mayor intercambio de información a través de la comunidad CSC de productos que funcionan, los procesos que los enfoques de escala, de sensibilización que cambiar el comportamiento y las métricas que demuestran que la gestión del rendimiento de la inversión proporcionada porla aplicación de las células madre cancerosas. Dentro de esa amplia comunidad, también esperamos para ver la adaptación verticales específicas de la prioridad de los controles y de las formas de superar las barreras a la adopción. Hay esfuerzos verticales ya vibrantes en el gobierno federal y estatal y las aplicaciones industriales, y las crecientes esfuerzos en el cuidado de la salud y las industrias al por menor. regímenes de cumplimiento son, invariablemente, las estructuras rígidas de arriba hacia abajo, mientras que el esfuerzo CSC es deliberadamente bottomup y se actualiza continuamente. Mientras que tiene obvios beneficios, sino que también se basa en un esfuerzo de la comunidad para tener éxito. Esta encuesta muestra que el esfuerzo de la comunidad que la requerida está en marcha y ya empieza a generar cambios. SANS y los patrocinadores de la encuesta invitan a participar en el proceso continuo. Programa SANS Analyst 20 SANS 2013 Controles de seguridad crítica Encuesta: Mover el disco de conciencia a la acción 7 www.sans.org/critical-security-controls/winter-2012-poster.pdf sobre el autor del programa SANS Analyst 21 SANS 2013 de seguridad críticaControles Encuesta: Mover el disco de conciencia a la acción John Pescatore se unieron SANS en enero de 2013, con 35 años de experiencia en la computadora, la red y la seguridad de la información. Era analista de seguridad de Gartner plomo durante más de 13 años, que trabaja con 5000 empresas globales, agencias gubernamentales y los principales proveedores de tecnología y servicios. En 2008, fue nombrado uno de los 15 mejores personas más influyentes en la seguridad y ha testificado ante el Congreso sobre la seguridad cibernética. Antes de unirse a Gartner Inc. en 1999, John fue consultor senior de Entrust Technologies y sistemas de información fiables, donde comenzó, creció y seguridad administrada grupos centrados en los servidores de seguridad, seguridad de red, cifrado de clave pública e infraestructuras consulta. Antes de eso, pasó 11 años con GTE desarrollo de sistemas informáticos y de telecomunicaciones seguras. En 1985 ganó un premio GTE en todo el Logro Técnico Warner. John comenzó su carrera en la Agencia Nacional de Seguridad, donde diseñó sistemas de voz seguras, y laEstados Unidos Servicio Secreto, donde desarrolló comunicaciones seguras y sistemas de vigilancia y la instalación de blindaje balístico de vez en cuando. Posee una licenciatura en ingeniería eléctrica de la Universidad de Connecticut y es un ingeniero de criptología certificado por la NSA. Él es un radioaficionado de clase extra, K3TN indicativo. SANS quiere agradecer a los patrocinadores de esta encuesta:
Por favor, consulte las instrucciones y la fuente que proporcionaron, a continuación, decidir si puede hacerlo o no!
Fecha de vencimiento: 24 Junio, el año 2015 las 12:00 pm, hora de Chicago!
El documento final será del 4 a 6 páginas, a doble espacio con citas apropiadas y se deberá durante la última semana del curso. En el documento se va a escribir ya sea en el formato de la APA o MLA e incluirá una portada y una página de obras citadas. La portada y la página de referencias no cuentan para el requisito mínimo de página.
Adopción de los controles de seguridad crítica es un tema candente en las organizaciones de hoy en día. Revisar el documento encuesta CSC y proporcionar al menos una sugerencia en tres controles diferentes para una organización para pasar de la conciencia de la implementación del CSC. Por favor, siéntase libre de hacer suposiciones, según sea necesario para que pueda desarrollar recomendaciones para una empresa ficticia.
Nota: por favor, siga estas instrucciones, No utilice fuentes externas. Usted sólo debe utilizar el archivo PDF que he proporcionado como recurso.
.
