這些最佳實踐最初由SANS研究所提出,名為“SANS關鍵控制”,是各類公司企業不可或缺的安全控制措施。通過采納這些控制方法,公司企業可防止絕大部分的網絡攻擊。
有效網絡防御的20條關鍵安全控制
對上一版“20大安全控制”的研究表明,僅僅采納前5條控制措施,就能阻止85%的攻擊。20條全部采納,可阻止97%的網絡攻擊。這一版的主要目的之一,是要與每套控制措施的工作流保持一致。即便在內容上改動不大的現有控制措施,也在需求順序方面進行了重新洗牌。每套控制措施都有對評估、基線、緩解和自動化的摘要版介紹。另外,較之前版,在語言上也做了大幅精簡,用語高度抽象,可使這些控制措施應用在更廣泛的平台和攻擊上。不過,至於怎樣實現這些控制措施,就是看公司的策略和所用工具了。公司企業自己實現起來可能會比較困難,應與其安全供應商合作,聽取他們在各種控制措施的“自由發揮”部分上的建議。已有控制措施中的大部分都維持了原樣,只除了一些冗余要求的整合和用語上的精簡。
CIS 20
大關鍵控制快速瀏覽
因為能擋住絕大部分攻擊,前5項基本控制維持不變(順序上略作調整)。下面我們就來瀏覽一下這第7版的CIS 控制:
CIS
控制1:硬件資產庫存與控制
對網絡上設備的全面了解,是減小公司攻擊界面的第一步。持續使用主動和被動資產發現解決方案以監視自身資產庫存,並確保所有硬件都有人負責。
CIS控制1詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-1-inventory-of-authorized-and-unauthorized-devices/
CIS
控制2:軟件資產庫存與控制
首要控制措施中又一個與資產發現有關的,標志着網絡盤點是夯實公司系統安全最關鍵的一步。畢竟,如果不知道自家網絡上都有些什么,也就談不上跟蹤這些資產了。
CIS控制2詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-2-inventory-of-authorized-and-unauthorized-software/
CIS
控制3:持續的漏洞管理
定期掃描網絡查找漏洞,可在數據泄露切實發生前暴露出安全風險。對公司整個環境進行自動化驗證掃描非常重要。
CIS控制3詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/security-controls/cis-top-20-critical-security-controls/
CIS
控制4:控制管理員權限的使用
管理員憑證是網絡罪犯的主要目標。幸運的是,可以采取多種方法來保護這些權限,比如維護好管理員賬戶清單和修改默認口令。
CIS控制4詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-4-controlled-privileges/
CIS
控制5:保護移動設備、筆記本電腦、工作站和服務器上硬軟件的配置
利用文件完整性監視(FIM)跟蹤配置文件、主鏡像等等。該控制措施滿足配置監視系統自動化要求,以便發生偏離已知基線的情況時可以觸發安全警報。
CIS控制5詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-5-secure-configurations/
CIS
控制6:維護、監視和分析審計日志
系統日志提供了對網絡上所有活動的准確重現。這意味着,如果發生網絡安全事件,恰當的日志管理操作可以拿出描述事件所需的全部數據,包括:誰干的,干了什么,在哪兒做的,什么時候做的,怎么做的。
CIS控制6詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-6-audit-logs/
CIS
控制7:電子郵件和Web瀏覽器防護
電子郵件和Web瀏覽器的安全威脅不單單只有網絡釣魚一種。甚至電子郵件圖片里的一個像素,都能給網絡罪犯帶來執行攻擊所需的信息。
CIS控制7詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-7-email-web-protections/
CIS
控制8:惡意軟件防御
確保你的反病毒工具與你其他安全工具鏈集成良好。完整實現該控制還意味着保持對命令行審計和DNS查詢的精確日志。
CIS控制8詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-8-malware-defenses/
CIS
控制9:限制並控制網絡端口、協議及服務
實現該條控制措施能幫你減小攻擊界面,可采取的策略包括自動化端口掃描和應用防火牆。
CIS控制9詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-9-limitation-control-network-ports/
CIS
控制10:數據恢復功能
你定期自動化備份嗎?確保恰當的數據恢復能力有助於免遭勒索軟件之類威脅的侵害。
CIS控制10詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-10-data-recovery/
CIS
控制11:安全配置網絡設備,比如防火牆、路由器和交換機
有很多方法可以保護網絡設備的安全,比如多因子身份驗證和加密。
CIS控制11詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-11-secure-configuration-network-devices/
CIS
控制12:邊界防御
該條控制處理的是你網絡邊界上通信的管控方式。可采用基於網絡的IDS傳感器和入侵防御系統實現。
CIS控制12詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-12-boundary-defense/
CIS
控制13:數據保護
名稱雖然簡單,卻是更為復雜和難以實踐的控制措施之一,因為盤點敏感信息之類持續的過程要實現數據保護涉及的方面太多了。
CIS控制13詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-13-data-protection/
CIS
控制14:基於“有必要才知悉”原則進行訪問控制
通過加密傳輸過程中的數據和禁止工作站之間的通信,你可以開始限制數據權限過於寬松時可能出現的安全事件了。
CIS控制14詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-14-controlled-access/
CIS
控制15:無線訪問控制
實現該控制的第一步,是統計你網絡中的無線接入點。基於此,再深入到緩解所有類型的無線訪問風險。
CIS控制15詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-15-controlled-access/
CIS
控制16:賬戶監視與控制
為防止有效憑證落入黑客之手,你必須設置一套控制身份驗證機制的系統。
CIS控制16詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-16-account-monitoring/
CIS
控制17:實現安全意識教育和培訓項目
因為不斷深化的網絡安全技術人才短缺問題,安全培訓應成為大多數公司的要務,而且,應是持續的安全培訓而不是一次性的走過場。
CIS控制17詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-17-awareness-training/
CIS
控制18:應用軟件安全
內部開發的代碼應經過靜態及動態安全分析之類的安全評估過程審查,發現隱藏的漏洞。
CIS控制18詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-18-application-software-security/
CIS
控制19:事件響應與管理
該控制有助於規划和測試網絡安全事件應對計划,防止當事件真的發生時出現忙亂狀況。
CIS控制19詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-19-incident-response/
CIS
控制20:滲透測試和紅隊演練
定期進行滲透測試有助發現漏洞和攻擊方法,減小惡意黑客早已利用漏洞滲入而公司渾然不覺的概率。
CIS控制20詳情地址:
https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-20-penetration-tests-red-team-exercises
原文地址:http://www.djbh.net/webdev/web/HomeWebAction.do?p=getXxgg&id=8a81825664ceff130165f9b895ba0069