Center for Internet Security (CIS) v8 – 为什么您应该关注
Dale Hobbs //
Center for Internet Security (CIS) Controls 是一套推荐的高效网络防御措施,提供具体且可操作的方法来预防最危险和普遍的网络攻击。它们最初由SANS Institute开发,最初被称为SANS关键安全控制。这些控制措施汇集了来自各个市场的行业专家的知识, effectively 成为任何组织(无论大小)的“必须做”的起点。
CIS Controls 提供了一个优先路径,帮助组织改进其网络安全计划。2021年5月,Center for Internet Security发布了CIS Controls版本8(v8)的最新迭代。
在重新评估这些控制措施及其如何匹配现代威胁 landscape 后,它们现在以任务为中心,并按活动分组,而不是按组织中管理相关设备的组别分组。因此,CIS Controls从20个减少到18个。这18个控制措施包含153个保障措施(以前称为子控制),而v7.1中有171个,并且它们在整合云和移动技术方面做得更好。这是v7.1中缺乏的一个领域,所以这是朝着正确方向迈出的一大步。
V8仍然使用了v7.1中引入的三个实施组(IGs)。如果您不熟悉这些组,让我们回顾一下。
IG1针对中小型组织,这些组织内部IT和安全人员有限,主要关注保持业务运行,对任何停机和/或中断的容忍度很低。IG1的目标是保障措施可以用有限的专业知识实施,可以用商业现成的硬件和软件实施,并且通常针对普通的、非针对性的攻击。
IG2包括IG1的所有保障措施,但针对那些有专门IT和安全人员的组织,其主要目标是保护组织的IT基础设施。这些组织通常能够容忍短期的停机和/或中断,并且主要关注如果发生违规会造成的声誉损害。IG2的保障措施通常需要企业级技术和专业知识来有效实施这些技术。
IG3包括IG1和IG2的所有保障措施。这个级别的组织通常有具有专业技能的安全人员,例如渗透测试、事件响应或数字取证等。这些组织通常受特定法规或合规要求的约束。IG3的保障措施旨在减轻来自当今复杂对手的针对性攻击。
让我们深入了解一下CIS Controls v8。您会注意到的第一件事(除了现在只有18个控制措施)是一些名称从v7.1发生了变化,并且一些控制措施的排序也发生了变化。这样做是为了与CIS在v8中采取的“按活动基于任务分组”的方法保持一致。
| 控制措施 | v8 | v7.1 |
|---|---|---|
| 1 | 企业资产清单和控制 | 硬件资产清单和控制 |
| 2 | 软件资产清单和控制 | 软件资产清单和控制 |
| 3 | 数据保护 | 持续漏洞管理 |
| 4 | 企业资产和软件的安全配置 | 管理权限的受控使用 |
| 5 | 账户管理 | 移动设备、笔记本电脑、工作站和服务器的硬件和软件的安全配置 |
| 6 | 访问控制管理 | 审计日志的维护、监控和分析 |
| 7 | 持续漏洞管理 | 电子邮件和Web浏览器保护 |
| 8 | 审计日志管理 | 恶意软件防御 |
| 9 | 电子邮件和Web浏览器保护 | 网络端口、协议和服务的限制和控制 |
| 10 | 恶意软件防御 | 数据恢复能力 |
| 11 | 数据恢复 | 网络设备的安全配置,如防火墙、路由器和交换机 |
| 12 | 网络基础设施管理 | 边界防御 |
| 13 | 网络监控和防御 | 数据保护 |
| 14 | 安全意识和技能培训 | 基于需要知道的受控访问 |
| 15 | 服务提供商管理 | 无线访问控制 |
| 16 | 应用软件安全 | 账户监控和控制 |
| 17 | 事件响应管理 | 实施安全意识和培训计划 |
| 18 | 渗透测试 | 应用软件安全 |
| 19 | 事件响应和管理 | |
| 20 | 渗透测试和红队演练 |
控制措施1:企业资产清单和控制。
这以前被称为“硬件资产清单和控制”。这个控制措施的关键是它专注于所有企业资产。这包括IoT、移动设备以及位于云环境中的资产。传统的网络边界不再存在,知道您整个环境中有什么资产对于保护组织至关重要。毕竟,您无法保护您不知道存在的东西。
控制措施2:软件资产清单和控制。
这个控制措施的目标与v7.1保持不变,意图是知道并维护组织内所有软件的清单。像控制措施1一样,您无法管理您不知道存在的东西。拥有准确的软件清单可以让您确保所有软件都得到管理。而软件,我们不仅指像Adobe Reader和Microsoft Office这样的应用程序。软件还包括操作系统,不仅是您的服务器、台式机和笔记本电脑,还包括您的防火墙、路由器和交换机。哦,别忘了午餐室里的智能电视。
控制措施3:数据保护
这个控制措施带来了一些受欢迎的变化,并扩展到存储在云中的数据。我们的物理边界不再存在,所以边界也不再适用于我们的数据。您的数据不仅对您的组织有价值,对罪犯也有价值,所以分类和保护所有公司数据应该是任何组织的高度优先事项,包括您在云中的数据。
控制措施4:企业资产和软件的安全配置。
这是另一个控制措施,其中非传统计算设备如IoT设备终于被考虑在内。不仅为笔记本电脑、服务器和工作站拥有安全配置至关重要,我们还需要考虑非计算/IoT设备的配置,如工厂设备、库存跟踪设备和医疗设备等。拥有安全且标准化的配置显著提高了这些资产的安全性,并减少了管理开销。
控制措施5:账户管理
罪犯已将很多注意力从传统的基于恶意软件的攻击转移到针对用户凭据的攻击,无论是在网络钓鱼攻击中还是利用被盗凭据。所有账户,包括管理账户和服务账户,都需要像硬件和软件资产一样受到同样的尽职调查。这意味着知道哪些账户是活跃的,哪些是休眠的,并确保没有两个账户有相同的密码。密码重用是不允许的,并且可以用像Microsoft LAPS这样的工具轻松管理。
控制措施6:访问控制管理
您可能想知道为什么控制措施5和6被当作单独的控制措施处理。控制措施5处理账户管理本身,而控制措施6处理这些账户拥有的访问权限的管理。账户应该只有执行其所需功能所需的最低访问级别。身份和访问管理(IAM)解决方案为访问管理提供了基础。手动执行这是一项繁琐的任务,并可能导致配置错误。用IAM解决方案自动化这对于成功实施这个控制措施至关重要。
控制措施7:持续漏洞管理
这个控制措施以前位于控制措施的第3位。为什么它被移到第7位?这是一个好问题!您必须向CIS询问官方答案,但事实是根据2020 Verizon数据泄露调查报告(DBIR),利用漏洞虽然仍然重要,但已经让位于基于用户的攻击。也就是说,这仍然是一场永无止境的猫鼠游戏,所以在您的环境中拥有一个有效的漏洞管理计划非常重要,该计划可以及时访问您组织内已知的未管理或未缓解的漏洞。仅仅因为它从第3位移到第7位并不意味着您应该减少对它的关注和注意力。
控制措施8:审计日志管理
您不会闭着眼睛开车,所以为什么您会在没有可见性的情况下操作您的基础设施?没有适当的日志记录,很难检测到潜在的妥协或攻击。拥有正确的日志不仅会帮助您的事件响应(IR)团队在调查期间确定发生了什么,还会帮助您的安全团队更快地检测攻击。我们越早发现攻击,就能越早管理它,并且越有可能最小化损害。通常有两种类型的日志:系统日志和审计日志。安全事件并不总是从审计日志中发现。在许多情况下,是系统性能突然下降触发调查,所以为您的环境适当配置系统和审计日志至关重要。
控制措施9:电子邮件和Web浏览器保护
电子邮件和Web浏览器通常是您的用户与您环境外部世界交互的方式。它们是用户与网站交互或访问电子邮件的方式,因此,它们是对手的常见入口点,不仅通过使用恶意代码,还通过社会工程。确保为这些工具配备适当的保护机制至关重要。像URL过滤以限制用户可以访问的网站类型、禁用未经授权和未经审查的浏览器插件、多因素认证(MFA)等,只是您可以做的事情的一些例子,以减少电子邮件和Web浏览器的攻击面。
控制措施10:恶意软件防御
虽然根据2020 Verizon DBIR,基于恶意软件的攻击在顶级威胁行动品种中已降至第7位,网络罪犯仍然试图引诱您的用户点击链接或打开包含恶意软件的附件。因此,恶意软件防御仍然是您整体深度防御策略中的关键层。而且,与普遍看法相反,Mac确实会感染病毒,所以请确保您的实施包括您环境中的所有Windows、Mac和基于Linux的系统。
控制措施11:数据恢复
如果备份在您需要时不起作用,那它们有什么用?不仅一个可靠的备份策略重要,您的策略包括经常被忽视的执行测试还原任务也至关重要。随着勒索软件的兴起,您能够成功还原到事件前状态比以往任何时候都更关键。
控制措施12:网络基础设施管理
像人体中的神经系统一样,网络基础设施是您环境的骨干。当数据传输时,它遍历构成网络基础设施的各种组件。因此,拥有准确的网络图并确保所有网络设备运行最新的软件版本是关键。很像控制措施1,如果存在您不知道的网络设备或路径,那么您有一个盲点,不能现实地期望保护对手可能利用的所有路径。
控制措施13:网络监控和防御
这个控制措施与上面讨论的控制措施12密切相关。期望您的网络防御完美是不现实的,因此持续监控您的网络基础设施对于监控针对网络本身的攻击以及检测和/或预防横向移动至关重要。入侵预防和入侵检测系统(IDS/IPS)、威胁狩猎和网络分段等能力只是帮助减少基于网络的攻击影响的一些控制措施例子。
控制措施14:安全意识和技能培训
虽然经常说用户是您最薄弱的环节,但我从来不喜欢这种说法。然而,事实仍然是,人为因素是组织安全计划成功或失败的关键部分。通常找到漏洞比操纵用户打开电子邮件附件并安装恶意软件要困难得多。根据2020 Verizon DBIR,网络钓鱼是对手获得环境访问权限的顶级威胁行动。为什么?因为它有效!您给汽车换油!您给操作系统打补丁!那么为什么您不“维护和修补”您的用户呢?
控制措施15:服务提供商管理
随着我们越来越依赖供应商和其他第三方来管理我们的数据或为我们的核心应用程序提供基础设施,这是一个新的且受欢迎的控制措施。因此,确保这些供应商充分保护这些平台和数据的流程至关重要。随着越来越多的第三方违规发生,提供商的安全性和漏洞对您的组织有直接后果。
控制措施16:应用软件安全
这是另一个已扩展到包括托管环境的控制措施。软件应用程序是允许用户与应用程序或数据库交互的接口。随着这些应用程序变得越来越复杂,它们很少是从头创建的,而是倾向于由新的和现有的代码和库混合组装而成。漏洞,如缓冲区溢出、跨站脚本和命令注入,经常被对手用作进入我们环境的入口点。这意味着我们传统的安全方法不再像以前那样简单,因为随着这些新复杂性引入的漏洞并不总是被充分理解。
控制措施17:事件响应管理
公司通常不会因为被违规而登上头版新闻,而是因为违规管理不善。拥有有效的事件响应计划在小安全事件和全面头版违规之间产生所有差异。一个有效的计划包括保护、检测、响应和恢复能力。认为我们的安全保护100%有效是不合理的,并且从统计上讲,安全事件会发生!您的事件响应计划有多全面将决定损害的程度,以及您是头版新闻还是只是另一个统计数字。
控制措施18:渗透测试
在当今复杂的环境中,随着不断发展的技术和不断出现的攻击者 tradecraft,对我们环境进行受控测试是一个全面和综合安全计划的关键但经常被忽视的组成部分。渗透测试和漏洞测试经常被混淆,并且这些术语经常被误用 interchangeably。漏洞测试就是测试已知漏洞,仅此而已,而渗透测试更进一步,试图利用这些漏洞和系统的错误配置,期望结果是看到攻击者能走多远,以及如果攻击者能够滥用这些漏洞,哪些业务流程或数据会受到影响。渗透测试的最终目标是发现漏洞和错误配置,然后在攻击者之前修复或缓解它们。
虽然这里的目的是提供CIS Controls v8的高级概述,但对控制措施进行更深入的探索对任何公司来说都是一项值得的投资,特别是对于那些希望提高其网络安全计划成熟度的公司。
之前的一项研究发现,仅采用前五个控制措施,大约85%的攻击可以被预防,而采用所有控制措施将预防超过97%的所有攻击。所以,无论您是一个小型杂货店连锁店、一个大型跨国银行,还是介于两者之间,如果您想加强安全但不知道从哪里开始,CIS Controls v8是一个极好的起点。
控制措施的完整细节在Center for Internet Security的网站上。