互聯(lián)網(wǎng)安全中心 (Center for Internet Security,簡稱CIS)控制措施是國際計算機安全領(lǐng)域重要的應(yīng)用實踐標準之一,旨在通過將風(fēng)險降低到可接受水平,來幫助企業(yè)組織應(yīng)對普遍存在并且后果較嚴重的網(wǎng)絡(luò)威脅。在CIS發(fā)布的第八版網(wǎng)絡(luò)安全關(guān)鍵安全控制措施中,通過將新規(guī)則與IT和安全行業(yè)結(jié)合,將企業(yè)開展網(wǎng)絡(luò)安全建設(shè)時的關(guān)鍵控制措施建議從20個減少為18個。
CIS關(guān)鍵安全控制的價值
CIS關(guān)鍵安全控制不是為未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊或針對某個安全廠商的安全產(chǎn)品而設(shè)計,而是為了幫助企業(yè)防止任何可疑網(wǎng)絡(luò)活動的發(fā)生。其主要目標是以更具成本效益的方式降低風(fēng)險,確保企業(yè)數(shù)據(jù)和系統(tǒng)免受黑客、網(wǎng)絡(luò)攻擊和其他在線威脅的侵害。
CIS關(guān)鍵安全控制被設(shè)計為非侵入性,它們不會阻止任何符合公司政策或標準的行為,其關(guān)鍵安全措施通過遵循行業(yè)最佳實踐,幫助企業(yè)維護網(wǎng)絡(luò)或系統(tǒng)上信息資產(chǎn)的機密性、完整性和可用性。
CIS關(guān)鍵安全控制對企業(yè)用戶具有較高的參考價值,因為它們有助于保護企業(yè)數(shù)據(jù)、資源和基礎(chǔ)設(shè)施。CIS關(guān)鍵安全控制旨在幫助企業(yè)實施有效的網(wǎng)絡(luò)防御系統(tǒng),包括最新的行業(yè)實踐,可以輕松地在大多數(shù)企業(yè)的安全系統(tǒng)中實施到,無需對其基礎(chǔ)架構(gòu)進行重大更改或投資,也不會影響企業(yè)業(yè)務(wù)的正常開展。
企業(yè)可以通過3個步驟輕松實施CIS關(guān)鍵安全控制:
第一步: 確認需求
企業(yè)首先需要確定哪些業(yè)務(wù)適用CIS關(guān)鍵安全控制。
第二步:設(shè)置優(yōu)先級
企業(yè)應(yīng)該首先選擇適合其需求的部分CIS關(guān)鍵安全控制措施進行落地準備。
第三部:實施
實施 CIS關(guān)鍵安全控制,企業(yè)可以定期或安全系統(tǒng)發(fā)生重大變化后持續(xù)監(jiān)控賬戶和維護流程。
CIS關(guān)鍵安全控制的18項措施
CIS控制基準第八版,將關(guān)鍵安全控制措施從20個減少到18個。
1. 硬件的盤點和控制
企業(yè)監(jiān)控網(wǎng)絡(luò)的所有硬件設(shè)備至關(guān)重要,確保只有經(jīng)過授權(quán)的設(shè)備才能訪問,并且可以在不法分子造成損害之前檢測到攻擊并斷開連接。
2. 軟件的盤點和控制
為防止未經(jīng)授權(quán)的軟件在資產(chǎn)上運行,企業(yè)需使用軟件清單工具自動記錄所有軟件。
3. 數(shù)據(jù)保護
企業(yè)關(guān)鍵系統(tǒng)和數(shù)據(jù)必須受到保護并定期備份,安全團隊必須擁有經(jīng)過驗證的方法來實現(xiàn)及時的數(shù)據(jù)恢復(fù)能力,可以通過實施CIS CSC(Critical Security Control)確保所有數(shù)據(jù)在傳輸或存儲之前得到適當保護。不過,大多數(shù)企業(yè)通常在發(fā)生漏洞后才會考慮其數(shù)據(jù)和系統(tǒng)安全性。
4. 硬件和軟件的安全配置
企業(yè)必須設(shè)置、維護和執(zhí)行網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的安全配置。
5. 賬戶管理
所有內(nèi)部或第三方托管系統(tǒng)都應(yīng)該進行多因素身份驗證,確保所有用戶都擁有強大、獨特且定期更改的密碼,以防止未知人員對敏感數(shù)據(jù)進行未經(jīng)授權(quán)的訪問,這一點至關(guān)重要。VPN或遠程身份驗證等訪問控制有助于保護企業(yè)網(wǎng)絡(luò)。
6. 管理權(quán)限的受控訪問
為了防止攻擊者使用管理帳戶,企業(yè)安全團隊必須擁有基于訪問權(quán)限的受控權(quán)限,因為擁有一份服務(wù)帳戶清單、管理憑據(jù)和足夠的密碼要求至關(guān)重要。
7. 持續(xù)的漏洞管理
在安全問題成為真正的漏洞之前,檢測它們很重要。掃描企業(yè)網(wǎng)絡(luò)中的弱點,然后迅速修復(fù),這一點至關(guān)重要。如果安全團隊希望獲得有效的測試,請密切關(guān)注與CIS CSC相關(guān)的所有安全問題,跟上漏洞更新的腳步,包括軟件更新和補丁。漏洞管理是企業(yè)避免黑客入侵或數(shù)據(jù)泄露的最佳方式。
8. 審計日志的維護、監(jiān)控和分析
企業(yè)流程和應(yīng)用的定期檢查、維護有助于安全團隊分析事件數(shù)據(jù)、正確解釋信息并迅速采取行動。因此,企業(yè)安全團隊需要確保打開本地日志記錄,并將必要的日志安全傳輸?shù)街醒肴罩竟芾硐到y(tǒng),以進行持續(xù)分析和警報。
9. 電子郵件和網(wǎng)絡(luò)瀏覽器保護
企業(yè)電子郵件系統(tǒng)和網(wǎng)絡(luò)瀏覽器面臨很多威脅,為最大限度地減少攻擊面,必須確保僅使用完全受支持的Web瀏覽器和電子郵件客戶端。
10. 惡意軟件防御
惡意軟件被用于各種網(wǎng)絡(luò)犯罪活動中,如身份盜竊和企業(yè)間諜活動等。企業(yè)的防病毒軟件和反惡意軟件應(yīng)集中管理,以持續(xù)監(jiān)控和保護每個工作站和服務(wù)器的安全。
11.數(shù)據(jù)恢復(fù)能力
企業(yè)必須確保備份重要系統(tǒng)和數(shù)據(jù),同時,還需要有一種行之有效的方法來快速恢復(fù)數(shù)據(jù)。這樣,當企業(yè)發(fā)生安全事件后安全團隊對數(shù)據(jù)完整性存在疑問時,備份可確保數(shù)據(jù)安全并為數(shù)據(jù)比較提供參考點。
12. 網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理
對于企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備而言,擁有最新的固件和軟件以及其他安全措施至關(guān)重要,這些設(shè)施設(shè)備(例如路由器、移動設(shè)備、防火墻和交換機)的安全配置必須由企業(yè)建立、實施和維護。
13. 網(wǎng)絡(luò)監(jiān)控與防御
每個企業(yè)都必須制定強大、可靠的網(wǎng)絡(luò)安全策略來檢測和防御互聯(lián)網(wǎng)危險。監(jiān)控企業(yè)網(wǎng)絡(luò)的外部和內(nèi)部威脅至關(guān)重要,好用的監(jiān)控工具可以識別錯誤配置、未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或可疑活動,而不會對端點資源造成重大負載。
14. 安全意識和技能培訓(xùn)
在當今的數(shù)字化時代,企業(yè)員工必須接受各種類型的網(wǎng)絡(luò)攻擊教育,例如網(wǎng)絡(luò)釣魚、電話欺詐和假冒電話等,以應(yīng)對各種網(wǎng)絡(luò)攻擊。
15. 服務(wù)商管理
如今,越來越多的企業(yè)開始使用第三方服務(wù)來實現(xiàn)業(yè)務(wù)功能,如客戶電話服務(wù)或信用卡處理等。在數(shù)據(jù)隱私和安全控制方面,擁有服務(wù)提供商所期望的流程和程序非常重要。
16. 應(yīng)用軟件安全
隨著第三方應(yīng)用程序的不斷增長,網(wǎng)絡(luò)攻擊的風(fēng)險也在持續(xù)增加,對于企業(yè)而言,制定管理軟件部署和使用的策略非常重要。
17. 事件響應(yīng)管理
對于企業(yè)來說,制定事件響應(yīng)計劃非常有必要。企業(yè)必須為所有類型的網(wǎng)絡(luò)威脅做好準備,如針對惡意軟件和勒索軟件、數(shù)據(jù)泄露、系統(tǒng)中斷、冒充企業(yè)員工進行社會工程攻擊嘗試等威脅做相關(guān)準備和防范。
18. 滲透測試
滲透測試是企業(yè)進行持續(xù)安全管理的必要部分,有效的滲透測試計劃(如應(yīng)用程序、數(shù)據(jù)存儲和網(wǎng)絡(luò)設(shè)備等滲透測試計劃),對于企業(yè)評估內(nèi)部漏洞至關(guān)重要。
