互联网安全中心(Center for Internet Security,简称CIS)控制措施是国际计算机安全领域的重要应用实践标准之一,旨在通过将风险降低到可接受水平,帮助企业组织应对普遍存在和严重后果的网络威胁。CIS在发布的第八版网络安全关键安全控制措施中,通过新规则和IT结合安全行业,建议将企业网络安全建设的关键控制措施从20个减少到18个。
CIS关键安全控制的价值
CIS关键的安全控制不是为未经授权的网络攻击或针对安全制造商的安全产品而设计的,而是为了帮助企业防止任何可疑的网络活动。其主要目标是降低风险,确保企业数据和系统免受黑客、网络攻击和其他在线威胁。
CIS关键安全控制设计为非侵入性,不会阻止任何符合公司政策或标准的行为。关键安全措施将帮助企业保持网络或系统信息资产的机密性、完整性和可用性。
CIS由于有助于保护企业数据、资源和基础设施,关键的安全控制对企业用户具有较高的参考价值。CIS关键安全控制旨在帮助企业实施包括最新行业实践在内的有效网络防御系统,在大多数企业的安全系统中轻松实施,不需要重大改变或投资其基础设施,也不会影响企业业务的正常发展。
企业可以通过三个步骤轻松实施CIS关键安全控制:
第一步: 确认需求
企业首先需要确定哪些业务适用CIS关键安全控制。
第二步:设置优先级
企业应首先选择适合其需求的部分CIS准备落地重点安全控制措施。
第三部分:实施
实施 CIS在安全系统发生重大变化后,企业可以定期或持续监控账户和维护流程。
CIS18项关键安全控制措施
CIS第八版控制基准将关键安全控制措施从20个减少到18个。
1. 盘点和控制硬件
企业监控网络中的所有硬件设备都非常重要,以确保只有授权设备才能访问,攻击和断开连接可以在罪犯造成损害之前检测到。
2. 软件的盘点和控制
为防止未经授权的软件在资产上运行,企业需使用软件清单工具自动记录所有软件。
3. 数据保护
必须保护和定期备份企业的关键系统和数据。安全团队必须具备验证方法,以实现及时的数据恢复能力CIS CSC(Critical Security Control)确保所有数据在传输或存储之前都得到适当的保护。然而,大多数企业通常在出现漏洞后考虑数据和系统安全。
4. 软硬件安全配置
网络基础设施设备的安全配置必须设置、维护和执行。
5. 账户管理
所有内部或第三方托管系统都应进行多因素身份验证,以确保所有用户都有强大、独特和定期更改的密码,以防止未知人员未经授权访问敏感数据。虚拟专用网络或远程身份验证等访问控制有助于保护企业网络。
6. 管理权限的受控访问
为了防止攻击者使用管理账户,企业安全团队必须有基于访问权限的控制权,因为有服务账户清单、管理凭证和足够的密码要求非常重要。
7. 连续管理漏洞
在安全问题成为真正的漏洞之前,检测它们是非常重要的。扫描企业网络中的弱点并快速修复至关重要。如果安全团队想要进行有效的测试,请密切关注CIS CSC所有相关的安全问题都跟上了漏洞更新的步伐,包括软件更新和补丁。漏洞管理是避免黑客入侵或数据泄露的最佳方式。
8. 维护、监控和分析审计日志
企业流程和应用的定期检查、维护有助于安全团队分析事件数据、正确解释信息并迅速采取行动。因此,企业安全团队需要确保打开本地日志记录,并将必要的日志安全传输到中央日志管理系统,以进行持续分析和警报。
9. 电子邮件和网络浏览器保护
企业电子邮件系统和网络浏览器面临许多威胁。为了最大限度地减少攻击面,必须确保只使用完全支持Web浏览器和电子邮件客户端。
10. 恶意软件防御
恶意软件用于各种网络犯罪活动,如身份盗窃和企业间谍活动。为了不断监控和保护各工作站和服务器的安全,应集中管理企业的防病毒软件和反恶意软件。
11. 数据恢复能力
企业必须确保备份重要系统和数据,同时,还需要有一种行之有效的方法来快速恢复数据。这样,当企业发生安全事件后安全团队对数据完整性存在疑问时,备份可确保数据安全并为数据比较提供参考点。
12. 网络基础设施管理
拥有最新的固件、软件等安全措施对企业网络基础设施设备至关重要。这些设施设备(如路由器、移动设备、防火墙和交换机)的安全配置必须由企业建立、实施和维护。
13. 网络监控与防御
每个企业都必须制定强大可靠的网络安全策略来检测和防范互联网危险。监控企业网络的外部和内部威胁非常重要。易于使用的监控工具可以识别错误配置、未经授权的网络设备或可疑活动,而不会对终端资源造成重大负荷。
14. 安全意识和技能培训
在当今的数字时代,企业员工必须接受各种类型的网络攻击教育,如网络钓鱼、电话欺诈和假电话,以应对各种网络攻击。
15. 服务商管理
如今,越来越多的企业开始使用客户电话服务或信用卡处理等第三方服务来实现业务功能。在数据隐私和安全控制方面,拥有服务提供商所期望的流程和程序非常重要。
16. 应用软件安全
随着第三方应用程序的不断增加,网络攻击的风险也在增加,制定管理软件部署和使用策略对企业来说非常重要。
17. 事件响应管理
对于企业来说,制定事件响应计划是非常必要的。企业必须为恶意软件和勒索软件、数据泄露、系统中断、冒充企业员工进行社会工程攻击尝试等各种网络威胁做好准备和预防。
18. 渗透测试
渗透测试是企业持续安全管理的必要组成部分。有效的渗透测试计划(如应用程序、数据存储和网络设备)对企业评估内部漏洞至关重要。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章