互聯(lián)網(wǎng)安全中心 (Center for Internet Security,,簡稱CIS)控制措施是國際計算機安全領域重要的應用實踐標準之一,,旨在通過將風險降低到可接受水平,來幫助企業(yè)組織應對普遍存在并且后果較嚴重的網(wǎng)絡威脅,。在CIS發(fā)布的第八版網(wǎng)絡安全關(guān)鍵安全控制措施中,,通過將新規(guī)則與IT和安全行業(yè)結(jié)合,,將企業(yè)開展網(wǎng)絡安全建設時的關(guān)鍵控制措施建議從20個減少為18個。
CIS關(guān)鍵安全控制的價值
CIS關(guān)鍵安全控制不是為未經(jīng)授權(quán)的網(wǎng)絡攻擊或針對某個安全廠商的安全產(chǎn)品而設計,,而是為了幫助企業(yè)防止任何可疑網(wǎng)絡活動的發(fā)生,。其主要目標是以更具成本效益的方式降低風險,確保企業(yè)數(shù)據(jù)和系統(tǒng)免受黑客,、網(wǎng)絡攻擊和其他在線威脅的侵害,。
CIS關(guān)鍵安全控制被設計為非侵入性,它們不會阻止任何符合公司政策或標準的行為,,其關(guān)鍵安全措施通過遵循行業(yè)最佳實踐,,幫助企業(yè)維護網(wǎng)絡或系統(tǒng)上信息資產(chǎn)的機密性、完整性和可用性,。
CIS關(guān)鍵安全控制對企業(yè)用戶具有較高的參考價值,,因為它們有助于保護企業(yè)數(shù)據(jù)、資源和基礎設施,。CIS關(guān)鍵安全控制旨在幫助企業(yè)實施有效的網(wǎng)絡防御系統(tǒng),,包括最新的行業(yè)實踐,可以輕松地在大多數(shù)企業(yè)的安全系統(tǒng)中實施到,,無需對其基礎架構(gòu)進行重大更改或投資,,也不會影響企業(yè)業(yè)務的正常開展。
企業(yè)可以通過3個步驟輕松實施CIS關(guān)鍵安全控制:
第一步: 確認需求
企業(yè)首先需要確定哪些業(yè)務適用CIS關(guān)鍵安全控制,。
第二步:設置優(yōu)先級
企業(yè)應該首先選擇適合其需求的部分CIS關(guān)鍵安全控制措施進行落地準備,。
第三部:實施
實施 CIS關(guān)鍵安全控制,企業(yè)可以定期或安全系統(tǒng)發(fā)生重大變化后持續(xù)監(jiān)控賬戶和維護流程,。
CIS關(guān)鍵安全控制的18項措施
CIS控制基準第八版,,將關(guān)鍵安全控制措施從20個減少到18個,。
1. 硬件的盤點和控制
企業(yè)監(jiān)控網(wǎng)絡的所有硬件設備至關(guān)重要,確保只有經(jīng)過授權(quán)的設備才能訪問,,并且可以在不法分子造成損害之前檢測到攻擊并斷開連接,。
2. 軟件的盤點和控制
為防止未經(jīng)授權(quán)的軟件在資產(chǎn)上運行,企業(yè)需使用軟件清單工具自動記錄所有軟件,。
3. 數(shù)據(jù)保護
企業(yè)關(guān)鍵系統(tǒng)和數(shù)據(jù)必須受到保護并定期備份,,安全團隊必須擁有經(jīng)過驗證的方法來實現(xiàn)及時的數(shù)據(jù)恢復能力,可以通過實施CIS CSC(Critical Security Control)確保所有數(shù)據(jù)在傳輸或存儲之前得到適當保護,。不過,,大多數(shù)企業(yè)通常在發(fā)生漏洞后才會考慮其數(shù)據(jù)和系統(tǒng)安全性。
4. 硬件和軟件的安全配置
企業(yè)必須設置,、維護和執(zhí)行網(wǎng)絡基礎設施設備的安全配置,。
5. 賬戶管理
所有內(nèi)部或第三方托管系統(tǒng)都應該進行多因素身份驗證,確保所有用戶都擁有強大,、獨特且定期更改的密碼,,以防止未知人員對敏感數(shù)據(jù)進行未經(jīng)授權(quán)的訪問,這一點至關(guān)重要,。VPN或遠程身份驗證等訪問控制有助于保護企業(yè)網(wǎng)絡,。
6. 管理權(quán)限的受控訪問
為了防止攻擊者使用管理帳戶,企業(yè)安全團隊必須擁有基于訪問權(quán)限的受控權(quán)限,,因為擁有一份服務帳戶清單,、管理憑據(jù)和足夠的密碼要求至關(guān)重要。
7. 持續(xù)的漏洞管理
在安全問題成為真正的漏洞之前,,檢測它們很重要,。掃描企業(yè)網(wǎng)絡中的弱點,然后迅速修復,,這一點至關(guān)重要,。如果安全團隊希望獲得有效的測試,請密切關(guān)注與CIS CSC相關(guān)的所有安全問題,,跟上漏洞更新的腳步,,包括軟件更新和補丁。漏洞管理是企業(yè)避免黑客入侵或數(shù)據(jù)泄露的最佳方式,。
8. 審計日志的維護,、監(jiān)控和分析
企業(yè)流程和應用的定期檢查、維護有助于安全團隊分析事件數(shù)據(jù),、正確解釋信息并迅速采取行動,。因此,企業(yè)安全團隊需要確保打開本地日志記錄,并將必要的日志安全傳輸?shù)街醒肴罩竟芾硐到y(tǒng),,以進行持續(xù)分析和警報,。
9. 電子郵件和網(wǎng)絡瀏覽器保護
企業(yè)電子郵件系統(tǒng)和網(wǎng)絡瀏覽器面臨很多威脅,為最大限度地減少攻擊面,,必須確保僅使用完全受支持的Web瀏覽器和電子郵件客戶端,。
10. 惡意軟件防御
惡意軟件被用于各種網(wǎng)絡犯罪活動中,如身份盜竊和企業(yè)間諜活動等,。企業(yè)的防病毒軟件和反惡意軟件應集中管理,,以持續(xù)監(jiān)控和保護每個工作站和服務器的安全。
11.數(shù)據(jù)恢復能力
企業(yè)必須確保備份重要系統(tǒng)和數(shù)據(jù),,同時,,還需要有一種行之有效的方法來快速恢復數(shù)據(jù)。這樣,,當企業(yè)發(fā)生安全事件后安全團隊對數(shù)據(jù)完整性存在疑問時,,備份可確保數(shù)據(jù)安全并為數(shù)據(jù)比較提供參考點。
12. 網(wǎng)絡基礎設施管理
對于企業(yè)網(wǎng)絡基礎設施設備而言,,擁有最新的固件和軟件以及其他安全措施至關(guān)重要,這些設施設備(例如路由器,、移動設備,、防火墻和交換機)的安全配置必須由企業(yè)建立、實施和維護,。
13. 網(wǎng)絡監(jiān)控與防御
每個企業(yè)都必須制定強大,、可靠的網(wǎng)絡安全策略來檢測和防御互聯(lián)網(wǎng)危險。監(jiān)控企業(yè)網(wǎng)絡的外部和內(nèi)部威脅至關(guān)重要,,好用的監(jiān)控工具可以識別錯誤配置,、未經(jīng)授權(quán)的網(wǎng)絡設備或可疑活動,而不會對端點資源造成重大負載,。
14. 安全意識和技能培訓
在當今的數(shù)字化時代,,企業(yè)員工必須接受各種類型的網(wǎng)絡攻擊教育,例如網(wǎng)絡釣魚,、電話欺詐和假冒電話等,,以應對各種網(wǎng)絡攻擊。
15. 服務商管理
如今,,越來越多的企業(yè)開始使用第三方服務來實現(xiàn)業(yè)務功能,,如客戶電話服務或信用卡處理等。在數(shù)據(jù)隱私和安全控制方面,,擁有服務提供商所期望的流程和程序非常重要,。
16. 應用軟件安全
隨著第三方應用程序的不斷增長,網(wǎng)絡攻擊的風險也在持續(xù)增加,對于企業(yè)而言,,制定管理軟件部署和使用的策略非常重要,。
17. 事件響應管理
對于企業(yè)來說,制定事件響應計劃非常有必要,。企業(yè)必須為所有類型的網(wǎng)絡威脅做好準備,,如針對惡意軟件和勒索軟件、數(shù)據(jù)泄露,、系統(tǒng)中斷,、冒充企業(yè)員工進行社會工程攻擊嘗試等威脅做相關(guān)準備和防范。
18. 滲透測試
滲透測試是企業(yè)進行持續(xù)安全管理的必要部分,,有效的滲透測試計劃(如應用程序,、數(shù)據(jù)存儲和網(wǎng)絡設備等滲透測試計劃),對于企業(yè)評估內(nèi)部漏洞至關(guān)重要,。