中心互联网安全(CIS)v8——为何应予以重视
框架概述
中心互联网安全(CIS)控制措施是一套高效防御行动建议集,为网络安全防御提供具体可操作的方法,旨在预防最危险和普遍的网络攻击。该框架最初由SANS研究所开发,原名SANS关键安全控制,凝聚了各行业专家的集体智慧,成为任何规模组织必须实施的起点。
CIS控制措施通过优先级路径帮助组织提升网络安全计划。2021年5月,中心互联网安全发布了CIS控制措施第八版(v8)。新版框架基于现代威胁态势重新评估,采用以任务为中心的活动分组方式,替代原有按设备管理组划分的模式。控制项数量从20项精简至18项,包含153项安全措施(原称子控制项,v7.1为171项),并显著提升了对云和移动技术的支持。
实施分组(IGs)
v8延续v7.1的三个实施分组:
IG1:针对中小型组织,IT和安全人员有限,主要关注业务连续性,对停机/中断容忍度低。IG1的安全措施需支持有限专业知识实施,采用商用现成硬件/软件,主要防范常规非定向攻击。
IG2:包含IG1所有措施,面向拥有专职IT和安全团队的组织,主要目标是保护IT基础设施。这些组织通常能容忍短期停机/中断,更关注违规事件导致的声誉损害。IG2措施需要企业级技术和专业 expertise 实现有效部署。
IG3:包含IG1和IG2所有措施。该级别组织通常拥有具备渗透测试、事件响应或数字取证等专业技能的安全团队,且受特定法规或合规要求约束。IG3措施旨在缓解当今复杂对手的定向攻击。
v8控制项详解
以下是v8与v7.1的控制项对比及核心内容:
| v8控制项 | v7.1对应控制项 | 核心要点 |
|---|---|---|
| 1. 企业资产清单与控制 | 硬件资产清单与控制 | 覆盖所有企业资产(包括IoT、移动和云环境),传统网络边界已消失 |
| 2. 软件资产清单与控制 | 软件资产清单与控制 | 维护所有软件清单(含操作系统及网络设备),确保全面管理 |
| 3. 数据保护 | 持续漏洞管理 | 扩展至云存储数据,强调数据分类和保护的高优先级 |
| 4. 企业资产与软件安全配置 | 管理权限受控使用 | 纳入非传统计算设备(如IoT、工厂设备、医疗设备)的安全配置 |
| 5. 账户管理 | 移动设备/服务器安全配置 | 防范凭据攻击,确保所有账户(含管理/服务账户)的密码唯一性 |
| 6. 访问控制管理 | 审计日志维护与分析 | 通过IAM解决方案自动化管理账户最小权限访问 |
| 7. 持续漏洞管理 | 电子邮件和浏览器保护 | 尽管漏洞利用重要性下降,仍需及时访问未管理/未缓解漏洞 |
| 8. 审计日志管理 | 恶意软件防御 | 系统日志和审计日志并重,加速攻击检测和事件响应 |
| 9. 电子邮件和浏览器保护 | 网络端口/协议/服务限制 | 通过URL过滤、禁用未授权插件和MFA减少攻击面 |
| 10. 恶意软件防御 | 数据恢复能力 | 仍是深度防御策略关键层,需覆盖Windows、Mac和Linux系统 |
| 11. 数据恢复 | 网络设备安全配置 | 强调备份策略必须包含测试恢复,应对勒索软件威胁 |
| 12. 网络基础设施管理 | 边界防御 | 维护准确网络图并确保设备软件最新,消除盲点 |
| 13. 网络监控与防御 | 数据保护 | 通过IDS/IPS、威胁狩猎和网络分段减少基于网络的攻击影响 |
| 14. 安全意识与技能培训 | 基于知情的受控访问 | 针对钓鱼攻击(2020年Verizon DBIR首要威胁行动)培训用户 |
| 15. 服务提供商管理 | 无线访问控制 | 新增控制项,确保第三方供应商充分保护平台和数据 |
| 16. 应用软件安全 | 账户监控与控制 | 扩展至托管环境,防范缓冲区溢出、XSS和命令注入等漏洞 |
| 17. 事件响应管理 | 安全意识与培训计划 | 有效计划区分小事件与头条违规,涵盖保护、检测、响应和恢复 |
| 18. 渗透测试 | 事件响应与管理 | 通过利用漏洞和错误配置测试攻击影响,优先于攻击者修复 |
渗透测试与漏洞测试的区别
- 漏洞测试:仅检测已知漏洞
- 渗透测试:尝试利用漏洞和系统错误配置,评估攻击者可能达到的深度和业务影响,最终目标是在攻击者之前发现并修复问题
实施价值
研究表明,采用前五项控制可预防约85%的攻击,全面采用所有控制可预防97%以上攻击。无论组织规模如何,CIS控制措施v8都是强化安全性的理想起点。
完整控制详情请访问中心互联网安全官网。