IG1 IG2 IG3

الإدارة الآمنة لأصول المؤسسة والبرمجيات

مجموعة الضابط: 4. التكوين الآمن لأصول المؤسسة والبرمجيات

نوع الأصل: الشبكة

وظيفة الأمان: حماية

الوصف

الإدارة الآمنة لأصول المؤسسة والبرمجيات. تتضمن تطبيقات المثال إدارة التكوين من خلال البنية التحتية المُدارة كرمز والوصول إلى الواجهات الإدارية عبر بروتوكولات الشبكة الآمنة مثل SSH و HTTPS. لا تستخدم بروتوكولات الإدارة غير الآمنة مثل Telnet و HTTP لإدارة أصول المؤسسة.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

CIS-CAT Pro CIS Official Benchmark Tool; Industry Standard

أداة تقييم آلية لمعايير مركز أمن الإنترنت لفحص امتثال التكوين عبر أنظمة التشغيل والتطبيقات والسحابة

Center for Internet Security · عضوية حزمة الأمان من مركز أمن الإنترنت

Qualys Policy Compliance Gartner MQ Leader, Vulnerability Management 2024

منصة سحابية لتقييم التكوين والامتثال مع دعم معايير مركز أمن الإنترنت والمراقبة المستمرة

Qualys · اشتراك لكل أصل

Microsoft Intune Gartner MQ Leader, UEM 2024

منصة إدارة نقاط النهاية الموحدة لتسجيل الأجهزة ونشر البرمجيات والتكوين والامتثال عبر أنظمة التشغيل المختلفة

Microsoft · اشتراك لكل مستخدم أو لكل جهاز

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

اعتراض بيانات الاعتماد عبر بروتوكولات الإدارة غير الآمنة

السرية

يتم التقاط بيانات الاعتماد الإدارية المنقولة عبر Telnet أو HTTP أو SNMP غير المشفر من قبل المهاجمين الذين يقومون بالتنصت على الشبكة، مما يمنح تحكماً إدارياً كاملاً.