跳跳糖
CIS Controls VERSION 8 Acknowledgments
CIS要感谢许多安全专家,他们自愿付出时间和才能来支持CIS Controls和CIS的其他工作。CIS的产品代表了整个行业中志愿者的努力,他们奉献自己的时间和才能给每个人带来更安全的在线体验。
介绍
CIS Controls®最初是一个简单的项目,旨在确定每天影响企业现实中最常见和最重要的网络攻击,将这些知识和经验转化为如何防御的行动,然后与更多人分享这些信息。最初的目标是帮助企业采取最重要的措施来保护自己免受真正重要的攻击。
在互联网安全中心(CIS®)的领导下,CIS控制措施已经成熟,成为一个由志愿者个人和机构组成的国际社区。
- 分享对攻击和攻击者的观察,并将其转化为防御行动
- 创建和分享工具、工作辅助工具、以及采用和解决问题的案例
- 将CIS Controls措施与监管和合规性框架相联系,以确保其一致性。
- 识别共同的问题和障碍(如初步评估和实施路线图),并作为一个社区解决这些问题。
CIS控制措施反映了来自生态系统各个部分(公司、政府、个人)、各种角色(威胁分析者、技术专家、信息技术(IT)操作者和防御者、漏洞发现者、工具制造商、解决方案提供者、用户、政策制定者、审计师等)以及许多部门(政府、电力、国防、金融、运输、学术、咨询、安全、IT等)专家的综合知识,他们一起来创建、采用和支持CIS Controls。
在CIS Controls措施的最早版本中,我们使用了一份公开已知攻击的列表,作为对防御简单的建议。从2013年开始,我们与Verizon数据泄露调查报告(DBIR)团队合作,将他们的大规模数据分析结果直接映射到CIS Controls上,以此将他们的攻击总结匹配到一个标准的防御改进方案中。
CIS最近发布了社区防御模型(CDM),这是我们到目前为止最具数据驱动力的方法。在其初始版本中,CDM着眼于最新的Verizon DBIR的结论,以及来自多个州信息共享和分析中心®(MS-ISAC®)的数据,以确定五种我们认为最重要的攻击类型。我们使用MITRE对抗性战术、技术和常识®(MITRE ATT&CK®)框架描述这些攻击,并创建攻击模型(攻击中使用的战术和技术的组合)。这使我们能够分析针对这些攻击每个防御行动的价值。具体来说,它还提供了一种一致的、可解释的方式,来观察一组给定的防御策略在整个攻击周期中的安全价值,并为纵深防御策略提供基础。这一分析的细节可在CIS网站上找到。
这个版本的CIS Controls
设计原则包括:
- 从攻击方式中获取防御依据
CIS Controls是基于数据来进行“选择、放弃和优先级”的确定,对攻击者的行为进行总结然后阻止他。
-
聚焦
-
帮助防御者确定阻止攻击者他们需要做的最关键的事情。
-
避免被诱导去解决每一个安全问题,例如:去做"你认为好的事情 "或 "你可以做的事情"
-
-
可行性
- 所有的建议(保障措施)都必须是具体的和切实可行的。
-
可衡量的
-
所有CIS Controls措施,特别是第1个实施级别,必须是可衡量的。
-
简化或删除模棱两可的语言,以避免不一致。
-
一些保障措施可能有门槛
-
-
统一
- 与其他治理监管、流程管理计划框架和结构可以共同实施。
与现有的独立标准和安全组织合作,例如国家标准与技术研究所®(NIST®)、云安全联盟(CSA)、卓越代码软件保障论坛(SAFECode)、ATT&CK、开放网络应用安全项目®(OWASP®)。
自第七版以来,我们都看到了技术和网络安全的重大变化。基于云计算、虚拟化、移动、在家办公以及不断变化的攻击方式已经成为核心。物理设备、固定的边界和隔离的安全策略已不再重要。此外,为了指导采用者实施第八版,CIS创建了一个词汇表,以消除术语的歧义。我们的指导原则是按照更自然地反映技术的发展,而不是企业团队的组织方式。
CIS Controls文档是设计、实施、测量、报告和管理企业安全的一个流程。在尽可能的情况下,以明确的方式要求 "一件事",并尽量减少解释;我们将重点放在可衡量的行动上,并将衡量定义为流程的一部分;我们一直试图在解决当前问题和整体防御性的改进与稳定性之间取得平衡。我们一直试图把重点放在优秀的网络防御上,并且一直试图关注新兴的防御技术,同时避免大多数企业无法企及的复杂技术。
CIS Controls生态
你可以从许多来源获得可靠的安全建议list,最好把list当作一个起点。重要的是,要寻找围绕list成长起来的生态系统。
-
我在哪里可以得到培训、补充信息和细节?
-
其他人是如何实施和使用这些建议的?
-
是否有一个供应商产品和服务可供选择?
-
我将如何衡量进展或成熟度?
-
如何与监管和合规框架保持一致?
CIS Controls的真正力量不在于创建最好的list,而在于利用各方面的经验。
它是关于利用个人和企业社区的经验,通过分享想法、工具、教训和集体行动来实际改进安全。自第六版以来,CIS和整个行业提供了大量的补充信息、产品和服务。
CIS Controls结构
本文件中每项Controls措施包括以下内容:
-
概述
- 简要描述该控制措施的意图及其作为一种防御行动的作用。
-
为什么该控制措施是关键
- 描述该控制在阻止、减轻或识别攻击方面的重要性,并解释如果没有的话攻击者会如何利用。
-
程序和工具
- 对实现该控制的实施和自动化的过程和技术进行更多的技术描述。
-
保障措施
- 企业应采取的具体行动。
实施组织(Implementation Groups)
IG1
IG1企业是中小型企业,在保护IT资产和人员方面的网络安全能力有限。这些企业的主要关注点是保持业务运营,因为他们对停机时间的容忍度有限。他们试图保护的数据的敏感性很低,主要是围绕人力和财务信息。为IG1选择的保障措施应该是可以通过有限的网络安全专业知识来实施的,目的是防御一般的、撒网式的攻击。
IG2(包括IG1)
IG2企业有专人负责管理和保护IT基础设施。同时支持多个部门,这些部门根据工作职能和任务有不同的风险。小型企业可能有监管合规的负担。IG2企业通常存储和处理敏感的客户或企业信息,如果发生漏洞,会丧失公众信心。一些保障措施将依赖于企业的技术和专业知识来实施。
IG3(包括IG1和IG2)
一个IG3企业雇用了专门从事网络安全不同方面的安全专家(例如,风险管理、渗透测试、应用安全)。IG3资产和数据包含敏感信息,需要接受监管和合规性监督。一个IG3企业必须解决服务的可用性以及敏感数据的保密性和完整性。被成功攻击会对公共利益造成重大伤害。
CIS Controls
01 企业资产
概述
积极管理(盘点、跟踪和纠正)以物理、虚拟、远程方式连接到基础设施物理的所有企业资产(终端用户设备,包括便携式和移动式;网络设备;非计算/物联网(IoT)设备;以及服务器)和云环境中的资产,准确了解企业内需要监测和保护的资产总量。这也将支持识别未经授权和未经管理的资产,以清除或补救。
为什么该控制措施是关键
企业无法保护他们不知道自己的东西。对所有企业资产的管理控制在安全监控、事件响应、系统备份和恢复方面也起到了关键作用。企业应该知道哪些数据对他们来说是关键的,资产管理将有助于识别那些保存或处理这些关键数据的企业资产,从而可以安全管理。
外部攻击者正在不断地扫描目标企业的IP,无论是在企业内部还是在云端,都能识别出连接到企业网络的可能未保护的资产。攻击者会利用没有进行安全的配置并打补丁的新资产进行攻击。在企业内部,未识别的资产也可能有薄弱的安全配置,使其容易受到基于网络或电子邮件的恶意软件的攻击;一旦进入企业内部,对手可以利用薄弱的安全配置来横向移动获取更多权限。
连接到企业网络的其他资产(如演示系统、临时测试系统、访客网络)应被标记隔离,以防止影响企业运营的安全。
大型企业在管理错综复杂、快速变化的资产方面有困难。然而,攻击者已经表现出有能力、有耐心、有意愿在非常大的范围内"查找和控制 "我们的企业资产。
另一个挑战是,便携式终端用户设备会定期加入网络,然后消失,使得当前可用资产的库存非常动态。同样,云环境和虚拟机在关闭或暂停时,也很难在资产库存中进行追踪。
程序和工具
这个CIS Control需要技术和流程上的相互配合。大型企业做专门的平台来维护IT资产。较小的企业可以利用已经安装在企业资产上或用于网络安全的工具来收集这些数据。这包括用漏洞扫描器对网络进行扫描;审查监测恶意软件的日志、终端安全的日志、交换机的网络认证日志;并在数据库中管理结果。
保持企业资产最新和准确是一个持续和动态的过程。因为企业资产并不总是由IT部门提供或安装的,所以可能需要多部门配合,来保证企业资产的高置信度。企业可以定期主动扫描识别连接到网络的资产。除了上面提到的小型企业的资产来源,大型企业可以从数据收集平台的日志中收集数据,如:活动目录(AD)、单点登录(SSO)、多因素认证(MFA)、虚拟专用网络(VPN)、入侵检测系统(IDS)或深度包检测(DPI)、移动设备管理(MDM)和漏洞扫描工具,有一些工具和方法可以将这些数据规范化。
保障措施
1.1 建立和维护详细的企业资产
建立并维护一份准确、详细和最新的所有存储或处理企业数据的资产列表。包括:终端用户设备(包括便携式和移动式)、网络设备、非计算/物联网设备和服务器。记录网络地址(如果是静态的)、硬件地址、机器名称、企业资产所有者、每个资产的部门,以及该资产是否已被批准连接到网络。对于移动终端用户设备,MDM类型的工具可以支持这个事情。该列表包括物理、虚拟、远程连接到基础设施的资产,以及云中的资产。此外,它还包括定期连接到企业网络基础设施的资产,即使它们不在企业的控制之下。每两年或更频繁地审查和更新所有企业资产的清单。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 识别 | 1,2,3 |
1.2 处理未经授权的资产设备
确保存在一个每周处理未经授权资产的流程。企业可以选择从网络中移除资产,拒绝该资产连接到网络,或隔离该资产。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 响应 | 1,2,3 |
1.3 利用主动发现工具
利用主动发现工具来识别连接到企业网络的资产。配置主动发现工具,每天或更频繁地执行。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 监测 | 2,3 |
1.4 使用动态主机配置协议(DHCP)日志对设备进行识别更新
在所有的DHCP服务器日志或IP地址管理工具上更新企业的资产。每周或更频繁地审查和使用日志来更新企业的资产。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 识别 | 2,3 |
1.5 使用被动发现工具来识别连接到企业网络的资产。
至少每周或更频繁地审查和使用扫描来更新企业的资产清单。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 检测 | 3 |
02 软件资产
概述
积极管理(盘点、跟踪和纠正)网络上的所有软件(操作系统和应用程序),只有授权的软件被安装并可以执行,未经授权和未被管理的软件被发现并阻止其安装或执行。
为什么该控制措施是关键
一个完整的软件列表是阻止攻击的重要基础。攻击者不断扫描目标企业,寻找可被远程利用的软件。例如,如果用有漏洞的浏览器打开一个恶意网站或附件,攻击者往往可以安装后门程序,让攻击者长期控制系统。攻击者还可以利用这种权限在网络中横向移动。针对这些攻击的关键防御措施之一是更新软件。然而,如果没有一个完整的软件资产列表,企业就无法确定他们是否有易受攻击的软件,或者是否有潜在的许可违规行为。
即使补丁尚未推出,一个完整的软件列表也可以让企业防范已知的攻击。一些高级攻击者使用 "0day漏洞",这些漏洞尚未有补丁。根据漏洞的严重程度,企业可以实施临时缓解措施,以防范攻击,直到补丁发布。
软件资产的管理对于识别不必要的安全风险也很重要。企业应审查其软件列表,可以看到不需要的软件。例如,可能安装了默认的软件,该软件会产生潜在的安全风险,并且对企业没有任何好处。清查、了解、评估和管理与企业基础设施相连的所有软件是至关重要的。
程序和工具
列表清单可以使用一些工具、策略或反恶意软件、操作系统附带的应用程序工具组合来实现。商业软件列表工具在当今许多企业中使用。这些工具提供了对企业中使用的数百种常见软件进行检查。这些工具拉出每个已安装程序的补丁信息,看它是不是最新的版本,并利用标准化的应用程序名称,如在通用平台枚举(CPE)规范中发现的那些。也可以使用安全内容自动化协议(SCAP)。关于SCAP的其他信息可以在这里找到:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-126r3.pdf
许多现代终端安全套件中包括了收集应用程序列表的功能,甚至在某些版本的操作系统中原生实现。此外,商业解决方案越来越多地将反恶意软件、反间谍软件、个人防火墙、基于主机的IDS和入侵防御系统(IPS)与应用程序的允许和阻止列表捆绑在一起。大多数端点安全解决方案可以查看特定可执行文件的名称、文件系统位置和哈希值,以确定是否应允许该应用程序在机器上运行。这些工具中最有效的是基于可执行路径、哈希值或正则表达式匹配的自定义允许列表。一些工具甚至允许管理员为某些用户和一天中的某些时间定义特定软件的执行规则。
保障措施
2.1 建立和维护详细的企业资产
建立并维护企业资产上安装的所有授权软件的详细列表。软件列表必须记录每个软件的名词、开发商、初始安装/使用日期和业务目的;在适当情况下,包括URL、应用程序商店、版本、部署机制和退出运行时间。每两年或更频繁地审查和更新软件清单。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 识别 | 1,2,3 |
2.2 确保授权的软件是目前有人支持的
确保在企业资产的软件清单中,只有当前支持的软件被指定为授权软件。如果软件不受支持,但对完成企业的任务是必要的,则应记录例外情况,详细说明减轻控制和接受剩余风险。对于任何没有例外文件的不支持的软件,应指定为未经授权。至少每月或更频繁地审查软件清单,以核实软件支持情况。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 识别 | 1,2,3 |
2.3 处理未经授权的软件
从企业资产上将未经授权的软件删除,除非有记录例外的文件。每月审查一次,或更频繁。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 响应 | 1,2,3 |
2.4 利用自动化的工具
在可能的情况下,在整个企业范围内利用软件收集记录工具,以自动发现和管理软件。记载已安装的软件。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 检测 | 2,3 |
2.5 技术控制授权的软件
使用技术控制,以确保只有授权的软件可以执行或被执行、访问。每两年或更频繁地重新评估。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 2,3 |
2.6 建立授权允许的库列表
使用技术控制来确保只有授权的软件库,如特定的.dll、.ocx、.so等文件被允许加载到系统进程。阻止未经授权的库加载到系统进程中。每两年或更频繁地重新评估。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 2,3 |
2.7 建立授权允许的脚本列表
使用技术控制,如数字签名和版本控制,以确保只有授权的脚本,如特定的.ps1,.py等文件被允许执行。阻止未经授权的脚本的执行。每两年或更频繁地重新评估。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 3 |
03 数据保护
概述
制定流程和技术控制,以识别、分类、安全处理、保存和处置数据。
为什么该控制措施是关键
数据不再仅仅是在企业的内部;数据在云上,在员工的移动终端设备上,并且经常传输给合作伙伴或云上服务,可能在世界任何地方都有它。除了企业的财务、知识产权和客户数据有关的敏感数据外,还可能有许多保护个人数据的国际法规。数据隐私已变得越来越重要,企业应该了解隐私是对于数据的适当使用和管理,而不仅仅是加密。数据必须在其整个生命周期中都得到适当的管理。这些隐私规则对于任何规模的跨国企业来说都可能是复杂的;但是,有一些基本原则可以适用于所有企业。
一旦攻击者渗透了企业的基础设施,他们的首要任务之一就是找到并窃取数据。企业可能没有意识到敏感数据已经被窃取,因为他们没有监控数据外流。
企业失去对受保护或敏感数据的控制会产生严重的商业影响。虽然有些数据是由于盗窃或间谍活动而被破坏或丢失的,但绝大多数是由于对数据管理规则理解不透彻,以及员工错误造成的。采用数据加密,无论是在传输中还是在静止状态。更重要的是,这也是对大多数受控数据的监管要求。
程序和工具
企业必须制定一个数据管理流程,其中包括数据管理框架、数据分类指南以及保护、处理、保存和处理数据的要求。在事件响应流程,以及合规和沟通当中应当加入一个数据泄露流程。企业需要对其关键类型的数据进行分类。企业可以使用标签,如 "敏感"、"机密 "和 "公共",并根据这些标签对其数据进行分类。
一旦定义了数据敏感级别,就应该开发一个数据列表或映射,以确定企业的不同资产中保存着什么敏感级别的数据。理想情况下,使同一敏感度等级的企业资产在同一网络上,与不同敏感度等级的企业资产网络将分离。如果可能的话,防火墙需要控制对每个网段的访问,控制员工访问规则,只允许有业务需求的人访问数据。
为了更全面地处理这一问题,我们建议使用以下资源来帮助企业进行数据保护。
→ NIST® SP 800-88r1 Guides for Media Sanitization – https://nvlpubs.nist.gov/ nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf
→ NIST® FIPS 140-2 – https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.140-2.pdf
→ NIST® FIPS 140-3 – https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.140-3.pdf
→ For cloud-specific guidance, refer to the CIS Controls Cloud Companion Guide – https://www.cisecurity.org/controls/v8/
→ For tablet and smart phone guidance, refer to the CIS Controls Mobile Companion Guide – https://www.cisecurity.org/controls/v8/a
保障措施
3.1 建立和维护数据管理流程
建立和维护一个数据管理流程。在这个过程中,根据企业数据的敏感性和保存标准,解决数据敏感性、数据所有者、数据处理、数据保存限制和处置要求。每年审查和更新文件,或者当企业发生可能影响本保障措施的重大变化时更新。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 识别 | 1,2,3 |
3.2 建立和维护一个数据列表
根据企业的数据管理流程,建立和维护数据列表。至少要对敏感数据进行清查。至少每年审查和更新列表,优先考虑敏感数据。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 识别 | 1,2,3 |
3.3 配置数据访问控制列表
根据用户的需要,配置数据访问控制列表。对本地和远程文件系统、数据库和应用程序应用数据配置访问控制列表(访问权限)。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 保护 | 1,2,3 |
3.4 强制数据保留
根据企业的数据管理流程保留数据。数据保留必须有最短和最长的时间表。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 保护 | 1,2,3 |
3.5 安全地处置数据
按照企业的数据管理流程,安全地处置数据。确保处置过程和方法与数据的敏感性相对应。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 保护 | 1,2,3 |
3.6 加密终端用户设备上的数据
对含终端用户设备上的敏感数据进行加密。可以使用的工具包括:Windows BitLocker®、Apple FileVault®、Linux® dm-crypt。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 1,2,3 |
3.7 建立和维护一个数据分类表
为企业建立和维护一个整体的数据分类方案。企业可以使用标签,如 "敏感"、"机密 "和 "公共",并根据这些标签对其数据进行分类。每年审查和更新分类计划,或在企业发生可能影响本保障措施的重大变化时,审查和更新分类计划。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 识别 | 2,3 |
3.8 数据流文档
数据流文档包括服务提供商的数据流,并应以企业的数据管理流程为基础。每年审查和更新文件,或者当企业发生可能影响本保障措施的重大变化时。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 识别 | 2,3 |
3.9 加密可移动媒介上的数据
加密可移动媒介上的数据。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 保护 | 2,3 |
3.10 加密运输中的敏感数据
对传输中的敏感数据进行加密。包括:TLS、OpenSSH。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 保护 | 2,3 |
3.11 加密静态敏感数据
对包含敏感数据的服务器、应用程序和数据库的静态敏感数据进行加密。存储层加密,也被称为服务器端加密,符合本保障措施的最低要求。其他加密方法可包括应用层加密,也称为客户端加密,其中对数据存储设备的访问不允许访问明文数据。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 保护 | 2,3 |
3.12 根据敏感度对数据处理和存储进行分类
根据数据的敏感性来划分数据处理和存储。不要在用于低敏感度数据的企业资产上处理敏感数据。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 2,3 |
3.13 部署一个防止数据丢失解决方案
实施自动化工具,如基于主机的防止数据丢失的工具(DLP),以识别通过企业资产存储、处理或传输的所有敏感数据,并更新企业的敏感数据清单。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 保护 | 3 |
3.14 记录敏感数据的访问
记录敏感数据的访问,包括修改和丢弃。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 检测 | 3 |
04 企业资产和软件安全配置
概述
建立和维护企业资产(终端用户设备,包括便携式移动设备;网络设备;非计算/物联网设备;和服务器)和软件(操作系统和应用程序)的安全配置。
为什么该控制措施是关键
购买过来的企业资产和软件的默认配置通常都是为了便于部署和易于使用,而不是为了安全。基本控制、开放的服务和端口、默认账户或密码、预先配置的DNS、旧的(易受攻击的)协议以及预先安装的不必要的软件,如果不修改的话,都可能被利用。此外,这些安全配置更新需要在企业资产和软件的生命周期内进行管理和维护。配置更新需要通过配置管理工作流程进行跟踪和批准并进行记录,可以审查合规性,并支持审计。这种CIS Control对企业内部设备,以及远程设备、网络设备和云环境都很重要。
服务供应商在现代基础设施中发挥着关键作用,特别是对小型企业而言。他们往往没有以最安全的配置进行设置,以提供客户应用自己的安全策略的灵活性。因此,默认配置中普遍存在默认账户或密码、未授权访问或不必要的服务。这些都可能引入漏洞,而这些漏洞属于使用软件的企业的责任,而不是服务提供商的责任。这也延伸到了持续的管理和更新,因为一些平台即服务(PaaS)只延伸到操作系统,所以修补和更新托管应用程序是企业的责任。
程序和工具
每个系统都有许多可用的安全基线。企业应该从这些公开发布、审核和支持的安全基准、安全指南开始。包括:
→ The CIS BenchmarksTM Program – http://www.cisecurity.org/cis-benchmarks/
→ The National Institute of Standards and Technology (NIST®) National Checklist Program Repository – https://nvd.nist.gov/ncp/repository
企业应增加或调整这些基线,以满足企业安全政策以及行业和政府监管要求。对不符合标准配置的应记录,以方便将来的审查或审计。对于一个更大或更复杂的企业,根据安全要求或企业资产上的数据分类,会有多个安全基线配置。下面是一个建立安全基线步骤的例子。
01 确定企业资产上处理/存储的数据的风险分类(例如,高、中、低风险)。
02 创建一个安全配置脚本,设置系统安全设置,以满足保护企业资产上使用的数据的要求。使用如本节前面描述的基准。
03 安装基本的操作系统软件。
04 安装适当的操作系统和安全补丁。
05 安装适当的应用软件包、工具和实用程序。
06 对步骤4中安装的软件应用适当的更新。
07 为这个镜像安装本地定制脚本。
08 运行在步骤2中创建的安全脚本,设置适当的安全级别。
09 运行符合SCAP的工具来记录/评分基线镜像的系统设置。
10 执行一个安全质量保证测试。
11 在一个安全的地方保存这个基线映像。
商业和免费的配置管理工具,如CIS配置评估工具(CIS-CAT®)https://learn.cisecurity.org/cis-cat-lite,可以用来测量操作系统的设置。
检查被管理机器的操作系统和应用程序的设置,看是否与标准镜像配置有偏差。商业配置管理工具使用一些组合,在每个被管理的系统上安装一个代理,或者通过使用管理员证书远程登录每个企业资产,对系统进行检查。此外,有时也使用混合方法,即启动一个远程会话,在目标系统上部署一个临时或动态代理进行扫描,然后再移除代理。
保障措施
4.1 建立维护一个安全的配置流程
为企业资产(终端用户设备,包括便携式和移动式设备、非计算/物联网设备和服务器)和软件(操作系统和应用程序)建立并维护安全配置流程。每年审查和更新文件,或在发生可能影响本保障措施的重大企业变化时,审查和更新文件。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 1,2,3 |
4.2 建立并维护网络设施的安全配置流程
建立并维护网络设备的安全配置流程。每年审查和更新文件,或在发生可能影响本保障措施的重大企业变化时,审查和更新文件。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 1,2,3 |
4.3 配置企业资产上的自动会话锁定
在用户一段时间不活跃之后企业资产的自动会话锁定。对于通用的操作系统,该时间段不得超过15分钟。对于移动终端用户设备,该期限不得超过2分钟。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 用户 | 保护 | 1,2,3 |
4.4 管理服务器上的防火墙
有条件的情况下,在服务器上安装一个防火墙。包括虚拟防火墙、操作系统防火墙或第三方防火墙agent。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 1,2,3 |
4.5 在终端用户设备上实施和管理防火墙
在终端用户设备上实施和管理基于主机的防火墙或端口过滤工具,丢弃除明确允许的服务和端口外的所有流量。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 1,2,3 |
4.6 安全地管理企业资产和软件
通过版本控制进行代码管理配置,以及通过安全网络协议访问管理界面,如SSH和HTTPS。不要使用不安全的管理协议,如Telnet和HTTP,除非操作上有必要。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 1,2,3 |
4.7 管理企业资产和软件上的默认账户
管理企业资产和软件上的默认账户,如root、administrator和其他默认的账户。可以禁用默认账户。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 用户 | 保护 | 1,2,3 |
4.8 卸载或禁用企业资产和软件上的不必要的服务
卸载或禁用企业资产和软件上不必要的服务,如未使用的文件共享服务、web应用或服务。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 2,3 |
4.9 在企业资产上配置受信任的DNS服务器
在企业资产上配置可信的DNS服务器。包括:使用企业自己的的DNS服务器或外部可靠的DNS服务器。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 2,3 |
4.10 对便携式终端用户设备实施自动设备锁定
在允许的情况下,在便携式终端用户设备上的认证尝试达到预先确定的阈值后,强制执行自动设备锁定。对于笔记本电脑,不允许超过20次失败的认证尝试;对于平板电脑和智能手机,不超过10次失败的认证尝试。实施的例子包括Microsoft® InTune Device Lock 和 Apple® Configuration Profile maxFailedAttempts。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 响应 | 2,3 |
4.11 对便携式终端设备实施远程擦除功能
在某些时候,如设备丢失或被盗,或从企业离职,可以远程擦除企业终端设备上的企业数据。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 2,3 |
4.12 移动终端用户设备上的独立企业工作空间
在支持的情况下,确保在移动终端用户设备上使用独立的企业工作空间。例如:Apple® Configuration Profile or AndroidTM Work Profile来分离企业应用和数据与个人应用和数据。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 3 |
05 帐户管理
概述
使用流程和工具来分配和管理用户账户的授权,包括管理员账户以及服务账户,以及企业资产和软件的授权。
为什么该控制措施是关键
对于攻击者来说,通过使用有效的用户凭证来获得企业资产权限或数据比通过"黑客"方式更容易。有许多方法可以隐蔽地获得用户账户的权限,包括:弱口令、员工离开企业后仍然有效的账户、测试账户、数月或数年未更改的共享账户、嵌入脚本的应用程序中的服务账户、员工使用与其他互联网网站上相同密码、社会工程学获得密码,或使用恶意软件在内存或通过网络捕获密码或令牌。
管理账户,或高度特权账户是一个特别的目标,因为它们允许攻击者添加其他账户,或对资产进行更改,从而使它们更容易受到攻击。服务账户也很敏感,因为它们经常在企业内部和外部的团队之间共享,有时并不为人所知,只是在标准的账户管理审计中被发现。
最后,账户记录和监控是安全操作的一个重要组成部分。虽然账户记录和监控在CIS Control 8(审计日志管理)中有所涉及,但它在身份和访问管理(IAM)计划中非常重要。
程序和工具
用户凭证也是资产,必须像企业资产和软件一样被清点和跟踪,因为它们是进入企业的主要入口。应制定适当的密码政策。
→ 关于创建和使用密码的指导,请参考CIS密码政策指南 - https://www.cisecurity.org/white-papers/cis- password-policy-guide/。
还必须对账户进行跟踪;应当禁用处于休眠状态的账户,并最终从系统中删除。定期进行审计,以确保所有的活动账户都能追溯到企业资产的授权用户。查看找出自上次审查以来增加的新账户,特别是管理员和服务账户。应密切注意识别和跟踪管理账户或高权限账户和服务账户。
拥有管理员或其他特权访问权的用户应该有单独的账户来执行这些较高权限的任务。这些账户只在执行这些任务或访问特别敏感的数据时使用,以便在他们的正常用户账户被攻击时减少风险。对于拥有多个账户的用户来说,他们的基本用户账户,即日常用于非管理任务的账户,不应该有任何提升的权限。
当一个企业有许多应用程序,包括云应用程序时,单点登录(SSO)是方便和安全的,这有助于减少用户必须管理的密码数量。建议用户使用密码管理器应用程序来安全地存储他们的密码,并应被指示不要将其保存在电脑上的电子表格或文本文件中。对于远程访问,建议使用MFA(多因素认证)。
用户还必须在一段时间不活动后自动注销系统,并接受培训,在离开设备时锁定屏幕,以尽量减少用户周围的其他人访问其系统、应用程序或数据的可能性。
→ 一个很好的资源是NIST®数字身份指南 - https://pages.nist.gov/800-63-3/
保障措施
5.1 建立和维护账户列表
建立和维护企业所有的账户列表。该列表必须包括用户和管理员账户。该列表至少应包含个人的姓名、用户名、开始/停止日期和部门。验证所有活动账户是否得到授权,至少每季度一次,或更频繁地重复进行。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 用户 | 识别 | 1,2,3 |
5.2 使用不同的密码
对所有企业资产使用不同的密码。最佳实践的实施包括,使用MFA的账户至少要有8个字符的密码,不使用MFA的账户要有14个字符的密码。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 用户 | 保护 | 1,2,3 |
5.3 禁用休眠账户
在可行的情况下,不活动45天后,删除或禁用任何休眠账户
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 用户 | 响应 | 1,2,3 |
5.4 管理员使用专门的账户
管理员使用专门的账户。用户个人账户进行一般的计算活动,如互联网浏览、电子邮件和工作使用。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 用户 | 识别 | 1,2,3 |
5.5 建立和维护服务账户清单
建立和维护一个服务账户的清单。该清单至少必须包含部门所有者、审查日期和原因。进行服务账户审查,以验证所有活动账户都已获得授权,至少每季度一次,或更频繁。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 用户 | 识别 | 2,3 |
5.6 集中账户管理
通过身份服务集中管理账户
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 用户 | 保护 | 2,3 |
06 访问控制管理
概述
使用流程和工具来创建、分配、管理和撤销企业中用户、管理员和服务账户的证书和权限。
为什么该控制措施是关键
CIS Control 5专门涉及账户管理,而CIS Control 6则侧重于管理这些账户的访问权限,确保用户只能访问适合其角色的数据或企业资产,并确保关键或敏感的企业数据或功能有完善的认证。账户应该只拥有角色所需的最小授权。为每个角色制定一致的访问权限,并将角色分配给用户是一种最佳做法。
有一些用户活动会给企业带来更大的风险,包括从不受信任的网络中访问,或者是执行管理员功能,允许添加、改变或删除其他账户,或对操作系统或应用程序进行配置更改,使其安全性降低。这也强调了使用MFA和特权访问管理(PAM)工具的重要性。
一些用户可以访问他们所不需要的企业资产或数据;这可能是由于授权不当给予用户的访问权,或者由于用户随着时间的推移在企业内转岗而留下的访问。用户笔记本电脑的本地管理员权限也是一个问题,因为用户安装或下载的任何恶意代码都会对以管理员身份运行的企业资产产生更大影响。用户、管理员和服务账户的访问应该基于企业的角色和需要。
程序和工具
应该有一个授予和撤销用户账户权限的过程。这最好是基于企业的角色和需要。基于角色的访问是一种技术,根据最小特权、隐私要求或职责分离来定义和管理每个账户的访问要求。有一些技术工具可以帮助管理这个过程。同时,也可能会有更细化的或基于情况的临时访问。
MFA应该是所有特权或管理员账户的普遍做法。有许多手机应用程序有这功能,并且易于部署。使用号码生成器比仅仅发送带有一次性代码的短信息服务(SMS)信息,或提示用户接受"推送 "警报更安全。然而,两者都不建议用于特权账户MFA。PAM工具可用于特权账户控制,并提供一个一次性密码。
企业还应该清点和跟踪服务账户,因为一个常见的错误是在代码中留下明文令牌或密码,并发布到基于公共云的代码库。
高权限账户不应该被用于日常使用,管理员应该有单独的账户,这些账户不具备日常办公使用的高权限,只有在执行需要该级别授权的管理员功能时才应登录管理员账户。安全人员应定期收集正在运行的进程列表,以确定是否有浏览器或电子邮件客户端以高权限运行。
→ 一个很好的资源是NIST®数字身份指南 - https://pages.nist.gov/800-63-3/
保障措施
6.1 建立一个访问权授予流程
建立并遵循一个流程,最好是自动化的,以便在新员工或员工角色改变时授予对企业资产的访问权限。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 用户 | 保护 | 1,2,3 |
6.2 建立一个取消访问的流程
建立并遵循一个流程,最好是自动化的,以撤销对企业资产的访问,在员工离职、权利撤销或角色改变时立即禁用账户。禁用账户,而不是删除账户,对于保留审计跟踪可能是必要的。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 用户 | 保护 | 1,2,3 |
6.3 外界能访问的应用程序需要MFA
要求所有外部暴露的企业或第三方应用程序在支持的情况下强制执行MFA。通过目录服务或SSO执行MFA是个很好的保障措施。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 用户 | 保护 | 1,2,3 |
6.4 远程网络访问要求MFA
远程网络访问要求MFA。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 用户 | 保护 | 1,2,3 |
6.5 管理访问的要求MFA
在支持的情况下,对所有企业资产的管理访问账户要求MFA,无论是现场管理还是通过第三方供应商管理。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 用户 | 保护 | 2,3 |
6.6 建立并维护认证和授权系统的列表
建立并维护企业的认证和授权系统列表,包括那些在现场或在远程服务提供商处托管的系统。至少每年或更频繁地审查和更新该清单。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 用户 | 识别 | 2,3 |
6.7 集中访问控制
在支持的情况下,通过目录服务或SSO服务,集中控制所有企业资产的访问。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 用户 | 保护 | 2,3 |
6.8 定义和维护基于角色的访问控制
定义和维护基于角色的访问控制,通过确定和记录企业内每个角色成功履行其指定职责所需的访问权限。对企业资产进行访问控制审查,以验证所有的权限都得到了授权,至少每年一次,或更频繁。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 保护 | 3 |
07 漏洞管理
概述
制定一个计划,持续评估和跟踪所有企业资产的漏洞,尽量减少攻击者的机会。监测新威胁和漏洞信息。
为什么该控制措施是关键
网络防御者不断受到攻击者的挑战,他们在其基础设施中寻找漏洞,攻击获得访问权。防御者必须及时获得以下威胁信息:软件更新、补丁、安全公告、威胁公告等,他们应该定期审查他们的环境,以便在攻击者之前发现这些漏洞。了解和管理漏洞是一项持续的活动,需要集中时间、注意力和资源。
虽然从知道漏洞到修补漏洞的时间有差距,但防御者可以优先考虑哪些漏洞对企业的影响最大,或者由于容易使用而可能首先被利用。例如,当研究人员或社区报告新的漏洞时,研发人员必须开发和部署补丁、破坏指标(IOCs)和更新。防御者需要评估新漏洞对企业的风险,对补丁进行回归测试,并安装补丁。
在这个过程中,永远不会有完美的结果。攻击者可能正在使用一个不为安全界所知的漏洞的利用方法。他们可能找到一个"0day"漏洞的利用方法。一旦该漏洞被社区所知,上述的过程就开始了。因此,防御者必须记住,当漏洞被广泛传播时,一个漏洞可能已经存在。有时,漏洞在公开披露之前,可能已经在一个封闭的社区内知道了几周、几个月或几年。防御者必须意识到,总是有他们无法补救的漏洞,因此需要使用其他控制措施来缓解。
企业如果不评估其基础设施的漏洞并主动解决漏洞,就会面临其企业资产受到损害的巨大可能性。防御者在整个企业的漏洞修复方有特别大的挑战。
程序和工具
有很多的漏洞扫描工具可以用来评估企业资产的安全。一些企业也发现购买使用扫描设备是有效的。为了帮助规范整个企业对所发现的漏洞的定义,将漏洞映射到以下一种行业公认的漏洞分类方案中:通用漏洞和暴露(CVE®)、通用配置列举(CCE)、开放漏洞和评估语言(OVAL®)、通用平台列举(CPE)、通用漏洞评分系统(CVSS)和可扩展配置检查表描述格式(XCCDF)。这些是SCAP的组成部分。
→ 关于SCAP的更多信息可以在这里找到 - https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-126r3.pdf
扫描的频率应随着企业资产的增加而增加。高级漏洞扫描工具可以通过添加用户凭证来验证企业资产并执行更全面的评估。这些被称为 "认证扫描"。
除了检查整个网络的漏洞和错误配置外,各种免费和商业工具可以评估企业资产的安全配置。这些工具发现未经授权的修改或管理员无意中引入的漏洞。
将漏洞报告和修复进展的联系起来,有助于向高级管理层强调未修复的关键漏洞,以确保它们得到解决。一些成熟的企业会在IT安全指导委员会会议上审议这些报告,这些会议将IT部门和企业的领导人聚集在一起,根据业务影响确定修复工作的优先次序。
保障措施
7.1 建立和维护漏洞管理流程
为企业资产建立并维护一个漏洞管理流程。每年审查和更新文件,或在发生可能影响本保障措施的重大变化时,审查和更新文件。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 1,2,3 |
7.2 建立和维护补救流程
建立和维护基于风险的补救策略,并将其记录在补救流程中,每月或更频繁地进行审查。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 响应 | 1,2,3 |
7.3 操作系统补丁自动更新
通过每月或更频繁的自动更新补丁,对企业资产进行操作系统更新。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 1,2,3 |
7.4 应用程序补丁自动更新
通过每月或更频繁的自动更新补丁,对企业资产进行应用更新。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 1,2,3 |
7.5 对内部企业资产进行自动化漏洞扫描
每季度或更频繁地对内部企业资产进行自动化漏洞扫描。使用符合SCAP的漏洞扫描工具,进行认证和非认证的扫描。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 识别 | 2,3 |
7.6 对暴露在外部的企业资产进行自动漏洞扫描
使用符合SCAP的漏洞扫描工具对外部暴露的企业资产进行自动漏洞扫描。每月或更频繁地进行扫描。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 识别 | 2,3 |
7.7 对检测到的漏洞进行修复
每月或更频繁地对检测到的漏洞进行修复。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 响应 | 2,3 |
08 审计日志管理
概述
收集、审计和保存可能有助于检测、理解攻击事件的审计日志。
为什么该控制措施是关键
日志的收集和分析对企业快速检测恶意活动至关重要。攻击者知道许多企业出于合规目的保留审计记录,但很少分析它们。如果没有日志分析过程,攻击者有时会控制受害者的机器几个月或几年,而企业的任何人都不知道。
有两种类型的日志,一般都是独立处理的:系统日志和审计日志。系统日志通常提供系统级事件,显示各种系统进程的开始结束时间、崩溃等。这些是系统原生的,很容易配置开启。审计日志通常包括用户级别的事件--用户何时登录,何时访问某个文件等。需要花费比较多的经历来设置。
日志记录对于事件响应也很关键。在发现攻击后,日志分析可以帮助企业了解攻击的程度。完整的日志记录可以溯源攻击发生的时间和方式,哪些信息被访问,以及数据是否被窃取。
程序和工具
大多数企业资产和软件都提供日志记录功能。这种日志记录应该被开启,并将日志发送到集中的日志服务器。防火墙、代理服务器和远程访问系统(VPN等)都应该有日志记录。在需要进行事件调查的情况下,保存日志数据也很重要。
此外,所有的企业资产在用户尝试访问时应当有访问日志。为了评估这种日志记录是否到位,企业应定期扫描其日志,并将其与作为CIS Control 1的企业资产列表进行比较,以确保每个连接到网络的资产都定期生成日志。
保障措施
8.1 建立和维护审计日志管理流程
建立和维护一个审计日志管理流程,制定企业的日志要求。至少要解决企业资产审计日志的收集、审计和保存问题。每年审计更新文件,或者当企业发生可能影响本保障措施的重大变化时。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 1,2,3 |
8.2 收集审计日志
收集审计日志。在企业资产中启用日志,确保根据企业的审计日志管理流程。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 检测 | 1,2,3 |
8.3 确保审计日志存储
确保日志有足够的存储空间,以符合企业的审计日志管理流程。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 1,2,3 |
8.4 标准化时间同步
实现时间同步的标准化。在支持的情况下,在企业资产中至少配置两个同步的时间源。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 2,3 |
8.5 收集详细的审计日志
包含敏感数据的企业资产要有详细的审计日志。包括事件来源、日期、用户名、时间戳、源地址、目标地址以及其他有助于取证调查的有用信息。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 检测 | 2,3 |
8.6 收集DNS查询日志
在可以的情况下,收集企业资产的DNS查询日志。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 检测 | 2,3 |
8.7 收集URL请求日志
在允许的情况下,收集企业资产的URL请求日志。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 检测 | 2,3 |
8.8 收集命令行审计日志
收集命令行审计日志。包括从PowerShell®、BASH™和远程管理终端收集审计日志。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 检测 | 2,3 |
8.9 集中管理审计日志
集中收集和保留企业资产的审计日志。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 检测 | 2,3 |
8.10 保留审计日志
将整个企业资产的审计日志至少保留90天。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 2,3 |
8.11 进行日志审计
对日志进行审计,以发现可能的潜在威胁。在每周或更频繁的基础上进行审查。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 检测 | 2,3 |
8.12 收集服务日志
收集服务日志。包括收集认证和授权事件、数据创建和处置事件以及用户管理事件。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 检测 | 3 |
09 保护电子邮件和浏览器
概述
增加对电子邮件和浏览器的威胁的保护和检测,因为这些是攻击者可以直接获取员工权限的机会。
为什么该控制措施是关键
浏览器和电子邮件客户端是攻击者非常常见的切入点,因为它们可能直接获取企业员工权限。精心设计内容,引诱或欺骗用户凭证,让攻击者获得访问权,从而增加企业的风险。由于电子邮件和浏览器是员工与外部环境互动的主要途径,这些都是社会工程的主要目标。此外,随着企业转向web电子邮件,或移动电子邮件,员工不再使用传统的电子邮件客户端,这些客户端提供一些安全机制,如连接加密、强认证和钓鱼网站报告。
程序和工具
网络浏览器
网络犯罪分子可以通过多种方式攻击浏览器。他们可以制作恶意网页,当使用未打补丁的浏览器浏览时,就可以利用这些漏洞获取权限。或者,他们可以尝试针对浏览器的第三方插件进行攻击。这些插件,就像任何其他软件一样,需要审计漏洞,版本保持最新。许多插件来自不受信任的来源。因此,最好是防止用户有意或无意地安装这些插件。对浏览器进行简单的配置更新,可以防止特定类型的内容自动执行,使恶意软件更难被安装。
大多数流行的浏览器有钓鱼或恶意软件网站的数据库,可以提示用户。为了帮助强制阻止已知的恶意域名,还可以考虑DNS过滤服务,在网络层面阻止访问这些网站的尝试。
电子邮件
电子邮件是人与企业资产的最互动方式之一;培训正确的行为与技术上安全设置一样重要。电子邮件是针对企业的最常见的威胁手段。
在电子邮件网关上使用垃圾邮件过滤工具和恶意软件扫描可以减少进入企业网络的恶意电子邮件和附件的数量。安装一个加密工具以确保电子邮件和通信的安全。除了根据发件人进行拦截外,只允许用户在工作中需要的某些文件类型也是值得的。这需要与不同的业务部门进行协调,了解他们通过电子邮件收到哪些类型的文件,以确保他们的流程不会受到干扰。
网络钓鱼邮件技术不断发展,来绕过SPAM的过滤规则。因此必须培训员工如何识别网络钓鱼,并在看到网络钓鱼时通知IT安全。有许多平台对用户进行网络钓鱼测试,来帮助他们了解不同的案例。将网络钓鱼通知IT安全团队,有助于改善对基于电子邮件的威胁的保护和检测。
保障措施
9.1 确保只使用主流保持更新的浏览器和电子邮件客户端
确保只使用主流保持更新的浏览器和电子邮件客户端,只使用开发者提供的最新版本的浏览器和电子邮件客户端。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 1,2,3 |
9.2 使用DNS过滤服务
在所有企业资产上使用DNS过滤,以阻止对已知恶意域的访问。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 检测 | 1,2,3 |
9.3 对URL的过滤
执行并更新基于URL的过滤,限制企业资产连接到潜在的恶意或未经批准的网站。包括基于类别的过滤、基于信誉的过滤,或通过使用阻止列表。对所有企业资产执行过滤器。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 1,2,3 |
9.4 限制不必要的或未经授权的浏览器和电子邮件客户端扩展程序
卸载或禁用,限制任何未经授权或不必要的浏览器或电子邮件客户端插件、扩展和附加应用程序。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 2,3 |
9.5 实施DMARC
为了降低欺骗电子邮件,实施DMARC政策和验证,首先是实施发件人政策框架(SPF)和域名密钥识别邮件(DKIM)标准。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 检测 | 2,3 |
9.6 阻止不必要的文件类型
阻止不必要的文件类型进入企业的电子邮件网关。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 检测 | 2,3 |
9.7 部署和维护电子邮件服务器反恶意软件措施
部署和维护电子邮件服务器反恶意软件措施,如附件扫描或沙箱。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 检测 | 2,3 |
10 防御恶意软件
概述
防止或控制恶意应用程序、代码或脚本在企业资产上的安装、传播和执行。
为什么该控制措施是关键
恶意软件是互联网威胁的一个方面。它们可以有很多目的,从捕获凭证、窃取数据、识别网络中的其他目标,以及加密或破坏数据。恶意软件是不断发展的,现代变种利用了机器学习技术。
恶意软件通过企业内部终端设备、电子邮件附件、网页、云服务、移动设备上的漏洞进入企业。恶意软件往往通过终端用户的行为执行,如点击链接、打开附件、安装软件或配置文件,或插入USB。现代恶意软件的设计是为了欺骗或使防御系统失效。
恶意软件防御系统必须能够通过自动化、及时更新以及与漏洞管理和事件响应等其他流程的整合。它们必须部署在所有可能的入口点,以检测、防止传播或控制恶意软件或代码的执行。
程序和工具
恶意软件保护包括传统的端点恶意软件防御和检测。为了确保恶意软件的IOC是最新的,企业可以从厂商那里收到自动更新,以增加其他威胁数据。这些工具最好集中管理,以保证整个基础设施的一致性。
能够阻止或识别恶意软件只是CIS Control的一部分;还有一个重点是集中收集日志以支持警报、识别和事件响应。随着恶意攻击技术的发展,许多人开始采取living-off-the-land的方法,以减少被发现的可能性。这种方法是指攻击者使用目标环境中已经存在的工具或功能的行为。根据CIS Control 8中的保障措施,启用日志记录。CIS Control 8中的保障措施,将使企业更容易跟踪事件,了解发生了什么以及为什么发生。
保障措施
10.1 部署和维护反恶意软件
在所有企业资产上部署和维护反恶意软件。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 1,2,3 |
10.2 配置自动反恶意软件签名更新
配置所有企业资产的反恶意软件签名文件的自动更新。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 1,2,3 |
10.3 禁用可移动媒体的自动运行和自动播放功能
禁用可移动媒体的自动运行和自动播放的自动执行功能。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 1,2,3 |
10.4 配置反恶意软件以自动扫描可移动媒体。
禁用可移动媒体的自动运行和自动播放功能
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 检测 | 2,3 |
10.5 启用Anti-Exploitation功能
在允许的情况下,在企业资产和软件上启用Anti-Exploitation功能,如Microsoft® Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG), or Apple® System Integrity Protection (SIP) and Gatekeeper™.
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 2,3 |
10.6 集中管理反恶意软件
集中管理反恶意软件。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 2,3 |
10.7 使用基于行为的反恶意软件
使用基于行为的反恶意软件。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 检测 | 2,3 |
11 数据恢复
概述
建立并维护足以将企业的资产恢复到事件发生前的可信状态的数据恢复措施。
为什么该控制措施是关键
在网络安全三要素中:保密性、完整性和可用性(CIA),在某些情况下,数据的可用性比其保密性更重要。企业需要许多类型的数据来做出商业决策,当这些数据不可用或不被信任时,就会影响企业。
当攻击者破坏资产时,他们会对配置进行修改,增加账户、软件或脚本。这些变化并不总是容易识别,因为攻击者可能已经破坏了或用恶意版本替换了可信的应用程序,或者这些变化可能看起来是标准的账户名称。配置更改可以包括添加或改变注册表项、打开端口、关闭安全服务、删除日志或其他使系统不安全的恶意行为。这些行为不一定是恶意的,人为的错误也会造成每一种情况。因此,有能力拥有最近的备份或镜像,将企业资产和数据恢复到已知的可信状态是很重要的。
在过去的几年里,勒索软件的数量呈指数级增长。这不是一个新的威胁,尽管它已经变得更加商业化和有组织,成为攻击者赚钱的可靠方法。如果攻击者对企业的数据进行加密并要求恢复赎金,拥有一个最近的备份以恢复到一个已知的、可信赖的状态会有帮助。然而,随着勒索软件的发展,它也成为一种勒索技术,即数据在被加密之前就被窃取,攻击者要求付款以恢复企业的数据,以及防止数据被出售或公开。在这种情况下,恢复只能解决将系统恢复到可信状态并继续运行的问题。
程序和工具
每季度一次(或每当引入新的备份程序或技术时),测试小组应评估随机抽样的备份,并尝试在测试平台环境中恢复它们。应验证恢复备份,以确保操作系统、应用程序和备份中的数据都是完好无损和正常的。
在恶意软件感染的情况下,恢复程序应该使用一个被认为是在原始感染之前的备份版本。
保障措施
11.1 建立和维护数据恢复流程
建立和维护一个数据恢复流程。在这个过程中,要解决数据恢复的范围、恢复的优先级和备份数据的安全性。每年审查和更新文件,或在发生可能影响本保障措施的重大企业变化时,审查和更新文件。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 恢复 | 1,2,3 |
11.2 自动备份
对范围内的企业资产进行自动备份。根据数据的敏感性,每周或更频繁地运行备份。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 恢复 | 1,2,3 |
11.3 保护备份数据
用与原始数据一样的策略保护备份数据。根据要求,参考加密或数据分离。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 保护 | 1,2,3 |
11.4 建立和维护一个单独的恢复数据实例
建立和维护一个单独的恢复数据实例。实施的例子包括,通过离线、云、或异地系统备份数据。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 恢复 | 1,2,3 |
11.5 测试数据恢复
每季度或更频繁地测试备份恢复,对范围内的企业资产进行抽查。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 恢复 | 2,3 |
12 网络基础设施管理
概述
建立、实施和管理(跟踪、报告、纠正)网络设备,以防止攻击者利用有漏洞的网络服务和接入点。
为什么该控制措施是关键
保护网络基础设施是对攻击的基本防御。解决因为默认设置而导致的漏洞,监控变化,并评估当前配置。网络基础设施包括物理和虚拟化网关、防火墙、无线接入点、路由器和交换机等设备。
网络设备的默认配置是为了便于部署和使用,而不是为了安全。默认配置可能存在的漏洞包括开放服务和端口、默认账户和密码(包括服务账户)、对旧的有漏洞的协议的支持,以及预先安装不需要的软件。攻击者在防火墙规则、路由器和交换机中寻找可利用的漏洞,并利用这些漏洞进行渗透。
网络安全是一个不断变化的环境,需要定期对架构图、配置、访问控制和允许的流量进行重新评估。
程序和工具
企业应充分记录更新网络基础设施的架构图。重要的是,关键的基础设施组件要有供应商对补丁和功能升级的支持。企业需要监控他们的基础设施版本和配置是否存在漏洞,从而要求他们将网络设备升级到不影响基础设施的最新安全稳定版本。
一个最新的网络架构图,包括安全架构图,是基础设施管理的一个重要基础。其次是拥有完整的账户管理,访问控制、日志记录和监控。最后,基础设施的管理只能通过安全协议、强认证(PAM的MFA)、专用管理设备来进行。
商业工具可以帮助评估网络防火墙的规则。这些工具搜索规则集或访问控制列表(ACL)中的错误,这些错误可能允许非预期的服务通过网络设备。每次对防火墙规则集、路由器ACL或其他过滤技术做出重大改变时,都应运行此类工具。
保障措施
12.1 确保网络基础设施是最新的
确保网络基础设施是最新的。包括运行最新的稳定版本的软件,使用目前支持的网络即服务(NaaS)产品。每月或更频繁地审查软件版本,以验证软件支持。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 1,2,3 |
12.2 建立和维护一个安全的网络架构
建立和维护一个安全的网络架构。一个安全的网络架构必须至少解决分段、最小权限和可用性问题。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 2,3 |
12.3 安全地管理网络基础设施
安全地管理网络基础设施。包括基础设施代码使用版本控制,以及使用安全网络协议,如SSH和HTTPS。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 2,3 |
12.4 建立和维护架构图
建立和维护架构图。每年审查和更新文件,或在发生可能影响本保障措施的重大企业变化时,审查和更新文件。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 识别 | 2,3 |
12.5 集中管理网络认证、授权和审计
集中管理AAA。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 2,3 |
12.6 使用安全的网络管理和通信协议
使用安全的网络管理和通信协议(例如,802.1X、WPA2企业版或更高版本)。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 2,3 |
12.7 确保远程设备使用VPN并通过AAA
要求用户在访问终端用户设备上的企业资源之前,先对企业管理的VPN和认证服务进行认证。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 2,3 |
12.8 为所有行政工作建立和维护专用的计算资源
为所有行政工作需要的计算资源,无论是物理上还是逻辑上的分离。这些计算资源应与企业的主网络分开,并且不允许互联网访问。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 3 |
13 网络监控和防御
概述
通过操作流程和工具,在企业的网络基础设施和员工中建立和维护全面的网络监控和防御安全威胁。
为什么该控制措施是关键
我们不能依赖完美的网络防御系统。攻击技术不断发展和成熟,他们在其社区中分享或出售有关漏洞和绕过的信息。即使安全工具很优秀,也需要了解企业的风险态势来配置、调整和记录它们,才能使它更有效。通常情况下,由于人为错误或缺乏对工具能力的了解而造成的错误配置会给企业带来错误的安全感。
安全工具只有在持续监控的过程中才会有效,工作人员得到提醒并对安全事件作出快速反应。采用纯技术驱动的方法的企业会经历更多的误报,因为他们过度依赖工具的警报。识别和应对这些威胁需要对基础设施所有威胁,并在检测、分析和响应过程中加入人力成本。对于大型企业来说,关键是要有安全运营能力,在网络威胁对企业造成影响之前预防、检测和快速响应。这个过程将产生活动报告和指标,有助于加强安全策略,并支持许多企业的监管合规。
正如我们在媒体上多次看到的那样,很多企业被发现之前已经被入侵了数周、数月或数年。拥有全面态势感知的主要好处是提高检测和响应的速度。这对于在发现恶意软件、凭证被盗或敏感数据被泄露时做出快速至关重要。
通过良好的态势感知,企业将识别攻击者的战术、技术和程序(TTP),包括他们的IOC,这将有助于企业在识别未来的威胁或事件中变得更加积极主动。
程序和工具
大多数企业不需要建立一个安全运营中心(SOC)。这首先要了解关键业务功能、网络和服务器架构、数据和数据流、供应商服务和业务伙伴以及最终用户设备和账户。这为安全架构、技术控制、日志、监控和响应程序的发展提供了依据。
这个过程的核心是一个经过培训和组织的团队,实施事件检测、分析和修复的过程。这些能力可以在内部进行,也可以通过顾问或管理服务提供商进行。技术将发挥关键作用,收集和分析所有的数据,并监测企业内部和外部的企业资产。
将所有重要的日志转发给分析程序,如安全信息和事件管理(SIEM)。应当每周进行日志审查,调整识别异常事件的阈值。相关工具可以使审计日志更方便。但这些工具不能替代熟练的信息安全人员和系统管理员。即使有自动化的日志分析工具,通常也需要人类的专业知识和直觉来识别和理解攻击。随着这一过程的成熟,企业将创建、维护和发展一个知识库,以帮助理解和评估业务风险,发展内部威胁情报能力。
保障措施
13.1 集中管理安全告警
集中企业资产的安全警报,以便进行日志关联和分析。最佳实践的实施需要使用SIEM,其中包括供应商定义的事件关联警报。配置有安全相关的关联警报的日志分析平台也符合这一保障措施。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 检测 | 2,3 |
13.2 部署基于主机的入侵检测解决方案(HIDS)
在企业资产上部署基于主机的入侵检测解决方案。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 检测 | 2,3 |
13.3 部署网络入侵检测解决方案
在企业资产上部署网络入侵检测解决方案。包括使用网络入侵检测系统(NIDS)或同等的云服务提供商(CSP)服务。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 检测 | 2,3 |
13.4 在网段之间进行流量过滤
在网段之间进行流量过滤。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 2,3 |
13.5 管理资产的访问控制
管理连接到企业资资产的访问控制。根据以下情况确定对企业资源的访问量:安装了最新的反恶意软件,配置符合企业的安全配置流程,并确保操作系统和应用程序是最新的。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 2,3 |
13.6 部署基于主机的入侵防御解决方案
在企业资产上部署基于主机的入侵防御方案。包括使用端点检测和响应(EDR)或基于主机的IPS代理。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 检测 | 2,3 |
13.7 确保远程设备使用VPN并通过AAA
要求用户在访问终端用户设备上的企业资源之前,先对企业管理的VPN和认证服务进行认证。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 3 |
13.8 部署网络入侵防御方案
部署网络入侵防御方案。实施的例子包括使用网络入侵预防系统(NIPS)或同等的CSP服务。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 3 |
13.9 部署端口级访问控制
部署端口级访问控制。端口级访问控制利用802.1x或类似的网络访问控制协议认证。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 设备 | 保护 | 3 |
13.10 应用层过滤
应用层过滤。包括过滤代理、应用层防火墙或网关。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 3 |
13.11 调整安全事件警报阈值
每月或更频繁地调整安全事件警报阈值。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 检测 | 3 |
14 安全意识和技能培训
概述
建立和维护一个安全意识计划,使他们具有安全意识和能力,减少企业的网络安全风险。
为什么该控制措施是关键
人的行为对企业安全的成败起着关键作用。对于攻击者来说,诱使用户点击一个链接或打开一个电子邮件附件来安装恶意软件进入企业,要比找到一个网络漏洞直接进行攻击更容易。
用户本身,无论是有意还是无意,都可能错误地处理敏感数据、向错误的收件人发送含有敏感数据的电子邮件、丢失便携式终端用户设备、使用弱密码或使用他们在其他互联网网站上使用的相同密码而导致事故。
如果没有办法解决这个基本的人类弱点,任何安全计划都无法有效解决网络风险。企业中每个层次的用户都有不同的风险。例如:高管人员管理更多的敏感数据;系统管理员有能力控制对系统和应用程序的访问;财务、人力资源和合同部门的人都有机会接触不同类型的敏感数据,这更加使他们成为攻击者的目标。
培训应定期更新。这将提高安全文化,并阻止风险的方法。
程序和工具
一个有效的安全意识培训计划不应该只是一年一次的培训视频,定期的网络钓鱼测试。虽然每年的培训是需要的,但也应该有更频繁的专门关于安全的信息和通知。关于以下方面的信息:强密码的使用,网络钓鱼的兴起,或者提高对恶意邮件的认知。
培训还应该考虑企业不同的监管和威胁。金融公司可能在数据处理和使用方面有更多的合规性相关培训,医疗保健企业在处理医疗保健数据方面有更多的培训,而电商在信用卡数据方面有更多的培训。
社会工程培训,如网络钓鱼测试,也应包括对针对不同角色的认识。这些战术针对不同的角色。例如,金融团队将收到冒充高管要求汇钱的尝试,或收到来自受影响的合作伙伴或供应商的电子邮件,要求为其下一次付款更改银行账户信息。
为了更全面地处理这个话题,以下资源有助于建立一个有效的安全意识计划。
→ NIST® SP 800-50 信息安全意识培训 - https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-50.pdf
→ 国家网络安全中心(英国) - https://www.ncsc.gov.uk/guidance/10-steps-user-education and-awareness
→ EDUCAUSE - https://www.educause.edu/focus-areas-and-initiatives/policy-and-security/cybersecurity-program/awareness-campaigns
→ 国家网络安全联盟(NCSA) - https://staysafeonline.org/
→ SANS - https://www.sans.org/security-awareness-training/resources
→ 有关配置家用路由器的指导,请参见CIS控制远程工作和小型办公室网络安全指南 - https://www.cisecurity.org/white-papers/cis-controls-telework-and-small-offic-network-security-guide/。
保障措施
14.1 建立和维护安全意识规划
建立和维护一个安全意识规划。安全意识规划的目的是教育企业的员工如何以安全的方式与企业资产和数据互动。在招聘时进行培训,至少每年一次。每年审查和更新内容,或者当企业发生可能影响本保障措施的重大变化时。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 保护 | 1,2,3 |
14.2 培训员工识别社会工程攻击的能力
培训员工识别社会工程攻击,如网络钓鱼、短信欺骗和尾随攻击。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 保护 | 1,2,3 |
14.3 对工作团队成员进行认证最佳实践的培训
对工作团队成员进行认证最佳实践的培训。包括MFA、密码组成和证书管理。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 保护 | 1,2,3 |
14.4 对员工进行数据处理最佳做法的培训
培训员工如何识别和正确存储、转移、存储和销毁敏感数据。包括当他们离开企业资产时锁定他们的屏幕,在会议结束时擦除白板。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 保护 | 1,2,3 |
14.5 对工作人员进行培训,使其了解无意中暴露数据的情况
培训工作团队成员,使其了解非故意的数据暴露的情况。例如,错误的交付敏感数据、丢失便携式终端用户设备或向非预期的受众发布数据。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 保护 | 1,2,3 |
14.6 对员工进行识别和报告安全事件的培训
对员工进行培训,使其能够识别潜在的事件并能够报告此类事件。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 保护 | 1,2,3 |
14.7 培训员工如何识别和报告他们的企业资产是否未更新
培训员工了解如何验证和报告未打补丁的程序或自动化流程和工具的故障。这种培训的一部分应该包括通知IT人员自动化流程和工具中的故障。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 保护 | 1,2,3 |
14.8 对员工进行培训,使其了解在不安全的网络上连接和传输企业数据的危险性。
对员工进行培训,使其了解连接到不安全的网络并通过该网络传输数据的危险性。如果企业有远程工作人员,培训必须包括员工如何安全地配置其家庭网络基础设施。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 保护 | 1,2,3 |
14.9 针对特定角色的安全意识和技能培训
进行特定角色的安全意识和技能培训。包括针对IT专业人员的安全系统管理课程,针对web开发人员的OWASP®十大漏洞培训,以及针对高管角色的高级社会工程意识培训。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 保护 | 2,3 |
15 供应链管理
概述
制定流程来评估持有敏感数据或负责企业关键IT平台或流程的服务提供商,以确保这些平台和数据的安全性。
为什么该控制措施是关键
在我们现代的互联中,企业依靠供应商和合作伙伴来帮助管理他们的数据,或者依靠第三方基础设施来实现核心应用或功能。
已经有许多例子表明,第三方漏洞对企业产生了重大影响;例如,早在2000年代末,攻击者渗透到零售业中较小的第三方供应商后,支付卡被泄露。最近的例子包括勒索软件攻击了一个服务提供商,导致企业业务中断。如果网络相通,勒索软件攻击可能会加密主要企业的数据。
大多数数据安全和隐私法规要求他们的保护延伸到第三方服务提供商,如健康保险可携性和责任法案(HIPAA)在医疗保健方面的业务伙伴协议,联邦金融机构检查委员会(FFIEC)对金融业的要求,以及英国(U.K.)的网络要点。第三方信任是治理风险与合规(GRC)的核心职能,因为企业内部管理的风险会转移到企业外的实体。
审查第三方的安全已经有几十年了,但并没有一个评估安全的通用标准;许多服务提供商每月都要接受客户的多次审计,对他们自己的研发进度也造成了影响。这是因为每个企业都有一个不同的 "checklist "或一套标准来给服务提供商打分。只有少数几个行业标准,比如在金融领域,有共享评估计划,或者在高等教育领域,有其高等教育社区供应商评估工具包(HECVAT)。销售网络安全政策的保险公司也有自己的衡量标准。
程序和工具
大多数企业使用标准检查表,如ISO 27001或CIS Control中的checklist。通常这个流程是通过电子表格管理的;但是,现在有一些在线平台可以对这个流程进行集中管理。这个CIS Control的重点不在于checklist,而在基本流程。请确保每年重新审查,因为服务和数据可能发生变化。
无论企业的规模如何,都应该有一个关于审查供应链的政策。在合同中也应该有规定,如果发生影响企业的事件,要让他们承担责任。
→ 参考 NIST® 800-88r1: Guidelines for Media Sanitization, as appropriate – https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf
保障措施
15.1 建立和维护供应链的列表
建立并维护一份供应链的列表。该列表将列出所有已知的供应链,并为每个供应链指定一个企业联系人。每年或当企业发生可能影响本保障措施的重大变化时,审查和更新该列表。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 识别 | 1,2,3 |
15.2 对供应链进行分类
对供应链进行分类。分类考虑可包括一个或多个特征,如数据敏感性、数据量、可用性要求、适用法规、固有风险和减轻的风险。每年更新和审查分类,或在发生可能影响本保障措施的重大企业变化时,更新和审查分类。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 识别 | 2,3 |
15.3 对工作团队成员进行认证最佳实践的培训
对工作团队成员进行认证最佳实践的培训。包括MFA、密码组成和证书管理。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 识别 | 2,3 |
15.4 确保供应链的合同包括安全要求
确保供应链的合同包括安全要求。包括最基本的安全设计、安全事件和数据泄露通知和响应、数据加密和数据处理要求。这些安全要求必须与企业的供应链管理政策一致。每年审查服务提供商的合同,以确保合同不缺少安全要求。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 保护 | 2,3 |
15.5 评估供应链
根据企业供应链管理政策评估供应链。评估范围可根据分类而有所不同,并可包括审计评估报告。至少每年对服务供应商进行重新评估,或在新合同和续约时进行评估。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 识别 | 3 |
15.6 监控供应链
根据企业的供应链管理政策来监控供应链。监测包括定期重新评估供应链的合规性,监测供应链的发布公告,以及暗网监测。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 检测 | 3 |
15.7 安全的下线供应链
包括用户和服务账户的停用,数据停止传输,以及安全处置供应链系统内的企业数据。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 数据 | 保护 | 3 |
16 应用安全
概述
管理内部开发、托管或收购软件的安全生命周期,预防、检测和修复漏洞,以免其影响企业。
为什么该控制措施是关键
应用程序提供了一个人性化的界面,使用户能更友好的访问和管理数据。企业通常使用应用程序来管理他们最敏感的数据。因此,攻击者可以利用应用程序本身来获取数据。这就是为什么保护CIS Control 6中定义的用户凭证(特别是应用凭证)是如此重要。今天的应用程序是在一个高度复杂、多样化和动态的环境中开发、运行和维护的。应用程序在多个平台上运行:网络、移动、云等,其应用架构比传统的客户端-服务器或数据库-网络服务器结构更加复杂。开发周期变得更短。应用程序很少从头开始写,往往是由开发框架、库、现有代码和新代码的组合,以及数据保护法规,涉及用户隐私需要遵守地区或部门的数据保护要求。这些因素使得传统的安全方法,如控制(进程、代码源、运行时环境等)、检查和测试,更具挑战性。应用程序漏洞的存在有很多原因:不安全的设计、不安全的基础设施、编码错误、弱认证等。攻击者可以利用漏洞,如缓冲区溢出、SQL注入、跨网站脚本、跨网站请求伪造和点击劫持代码来获取敏感数据,或控制有漏洞的基础设施资产作为进一步攻击的发起点。现在获取软件即服务(SaaS)平台的情况更加普遍,软件完全通过第三方开发和管理。这些软件可能被托管在世界任何地方。这给企业带来了挑战,他们需要知道他们在使用这些平台时接受了哪些风险;而且,他们往往对这些平台的开发和应用安全实践没有可见性。其中一些SaaS平台允许对其界面和数据库进行定制。
程序和工具
CIS Controls 第8版与SAFECode合作,帮助开发该更新应用软件安全流程和保障。应用软件安全本身就是一个很大的话题,因此(与整个CIS Controls的原则相一致),我们在此着重介绍最关键的保障措施。
SAFECode用下面的方式区别不同的Development Group (DG)
DG1
- 企业在很大程度上依赖现成的或开源的软件(OSS)和软件包,只是偶尔增加一些小的应用程序或网站的代码。由于遵循CIS Controls的指导,该企业有基本的安全能力,并能管理其供应链的软件安全。
DG2
- 企业依靠一些定制的(内部或外包开发的)应用程序与第三方组件集成,并在企业内部或云上运行。企业有一个应用软件开发最佳实践的开发人员。企业关注它所依赖的第三方开放源代码或商业代码的质量和维护。
DG3
- 企业对其业务运行和定制软件进行了重大投入。软件可能放在自己的基础设施或云上,并整合大量的第三方开源和商业软件组件。提供SaaS的软件供应商和企业应考虑将DG3作为最低要求。
制定应用程序安全规划的第一步是实施漏洞管理流程。这个过程必须整合到开发生命周期中,并且应该是轻量级的,插入到标准的bug修复进度中。这个过程应该包括原因根本分析,以修复潜在的问题,从而减少未来的漏洞,并对严重程度进行评级,以确定修复工作的优先次序。
开发人员需要接受应用安全编码的培训。这包括获取或评估应用程序中使用的第三方软件、模块和库的过程,确保它们不会引入安全漏洞。应该教给开发人员哪些类型的模块他们可以安全地使用,在哪里可以安全地获得,以及哪些组件他们可以或不应该自己开发。
理想的应用程序安全规划是尽早地在软件开发生命周期中引入安全。安全问题的管理应该与标准的bug缺陷管理相一致整合,而不是一个单独的过程。
较大或较成熟的开发团队应考虑在设计阶段进行威胁建模。设计层面的漏洞比代码层面的漏洞更不常见;但是,它们往往非常严重,而且更难快速修复。威胁建模是在代码创建之前识别和解决应用安全设计缺陷的过程。威胁建模需要特定的培训、技术和业务知识。它最好通过由每个开发团队的内部最懂安全的人领导该团队软件的威胁建模实践。
较大的或商业性的开发团队也可以考虑采用漏洞赏金计划,对发现其应用程序中的缺陷的个人进行奖励。这种计划最好用于补充内部安全开发流程,并能提供一种有效的机制来识别该流程需要关注的漏洞类别。
最后,NIST®在2020年发布了安全软件开发框架(SSDF),该框架汇集了业界在过去20年中对软件安全的认识,并创建了一个安全软件开发框架,用于规划、评估和交流软件安全。
→ SAFECode Application Security Addendum – https://safecode.org/cis-controls/
→ NIST® SSDF – https://csrc.nist.gov/News/2020/mitigating-risk-of-
software-vulns-ssdf
→ The Software Alliance – https://www.bsa.org/reports/updated-bsa-framework- for-secure-software
→ OWASP® – https://owasp.org/
保障措施
16.1 建立和维护一个安全的应用程序开发流程
建立和维护一个安全的应用程序开发流程。在这一流程中,要解决以下问题:应用安全设计标准、安全编码实践、开发人员培训、漏洞管理、第三方代码的安全以及应用安全测试程序。每年审查和更新文件,或在发生可能影响本保障措施的重大企业变化时,审查和更新文件。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 2,3 |
16.2 建立并维护一个处理漏洞的流程
建立并维护一个处理漏洞报告的流程,包括为外部人员提供一个报告的途径。该流程应包括以下环节:确定漏洞报告流程的处理方法、处理漏洞报告的负责方,以及接收、分配、修复和复测的流程。使用漏洞跟踪系统,系统功能包括严重程度评级,以及衡量识别、分析和修复漏洞的时间的指标。每年审查和更新文件,或者在发生可能影响该保障措施的重大企业变化时,审查和更新文件。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 2,3 |
16.3 安全漏洞根本原因进行分析
对安全漏洞根本原因进行分析。在审查漏洞时,评估代码中的漏洞时,需要分析根本原因,而不仅仅是在出现个别漏洞时进行修复。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 2,3 |
16.4 建立和管理第三方软件组件的列表
建立并管理一份最新的开发中使用的第三方组件的列表,以及计划在未来使用的组件。该列表应包括每个第三方组件可能带来的风险。至少每月评估该清单,以确定这些组件的任何变化或更新,并验证该组件是否仍然受到支持。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 2,3 |
16.5 使用最新的和可信的第三方组件
使用最新的和可信的第三方组件。选择成熟的、经过验证的框架和库,它能提供足够的安全性。从可信的来源获得这些组件,或在使用前评估软件的漏洞。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 2,3 |
16.6 建立并维护应用程序漏洞的严重性评级系统和流程
建立并维护应用程序漏洞的严重性评级系统和流程,以方便对发现的漏洞进行优先级修复。这有助于确保最严重的漏洞首先被修复。每年审查和更新该系统和流程。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 2,3 |
16.7 对应用基础设施使用标准的加固配置
对应用基础设施组件使用标准的、行业推荐的加固配置。这包括底层服务器、数据库和网络服务器,并适用于云容器、平台即服务(PaaS)组件和SaaS组件。不要让内部开发的应用降低配置安全性。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 2,3 |
16.8 隔离生产环境和测试环境
隔离生产环境和测试环境
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 2,3 |
16.9 对开发人员进行应用安全编码的培训
确保所有的软件开发人员接受培训,为不同的开发人员做不同的编码培训。培训包括一般安全原则和应用安全标准实践。至少每年进行一次培训,并以促进开发团队内部安全的方式进行设计,在开发人员中建立安全文化。使用最新的和受信任的第三方软件组件。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 2,3 |
16.10 把安全设计加入应用架构中
把安全设计加入应用架构中。安全设计原则包括最小特权的概念,验证用户的每一个操作,加强"永远不要相信用户输入"的概念。安全设计还意味着最大限度地减少应用基础设施的攻击面,如关闭不受保护的端口和服务,删除不必要的程序和文件,以及重命名或删除默认账户。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 2,3 |
16.11 充分利用经过审计的模块或服务来实现应用组件安全
利用经过审计的模块或服务来实现应用组件安全,如身份管理、加密、审计和记录。在关键的安全功能中使用平台功能将减少开发人员的工作量,并将设计或实施错误的可能性降到最低。现代操作系统为识别、认证和授权提供了有效的机制,并将这些机制提供给应用程序使用。只使用标准化的、目前公认的、经过广泛审查的加密算法。操作系统还提供了创建和维护安全审计日志的机制。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 2,3 |
16.12 对代码进行安全检查
在应用程序的生命周期内应用静态和动态分析工具,验证安全编码做法是否得到遵循。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 3 |
16.13 对应用程序渗透测试
对于关键的应用程序进行渗透测试。与代码扫描和自动安全测试相比,渗透测试更适合于发现业务逻辑漏洞。渗透测试依赖于测试人员的技能。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 3 |
16.14 威胁建模
威胁建模是在代码创建之前,识别和解决设计中应用安全缺陷的过程。它是由受过专门培训的人进行的,他们评估应用程序的设计,衡量每个入口点和访问级别的安全风险。其目的是以一种结构化的方式描绘出应用程序、架构和基础设施,以了解其弱点。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 应用 | 保护 | 3 |
17 事件响应管理
概述
做一项规划,发展和维护事件响应能力(例如,政策、计划、程序、明确职责、培训和沟通),以准备、检测和快速响应攻击。
为什么该控制措施是关键
一个全面的网络安全计划包括保护、检测、响应和恢复能力。通常,在不成熟的企业中,最后两项被忽略了,或者对被破坏的系统的反应只是将其重置到原始状态。事件响应的主要目标是识别企业中的威胁,在它们扩大之前做出反应,并在它们造成伤害之前进行补救。如果不了解事件的全部范围,它是如何发生的,以及如何防止它再次发生,防御者就会永远处于 "打地鼠 "的模式。
我们不能期望我们的保护措施在100%的时间内都是有效的。当事件发生时,如果企业没有一个明确的计划,即使有优秀的人,也几乎不可能知道如何正确的进行调查、报告、数据收集、管理责任、法律协议和沟通策略,使企业能够成功地理解、管理和恢复。
如果我们要减少由于网络事件造成的实质性影响的概率,企业的领导层必须知道可能会有什么潜在的影响,这样他们就可以帮助确定补救或恢复决策的优先次序,以最好地支持企业。这些商业决策可能是基于监管法规、披露规则、与合作伙伴或客户的服务级别协议、收入或任务影响。
从攻击发生到被发现的停留时间可能是几天、几周或几个月。攻击者在企业的基础设施中停留的时间越长,他们就会更加深入,他们找到更多的方法保持权限,以免被发现。随着勒索软件的兴起,这种停留时间是至关重要的,特别是在加密数据索取赎金的情况下。
程序和工具
即使一个企业没有资源在内部进行事件响应,制定计划仍然是重要的。这将包括保护和检测的来源,向谁求助的列表,以及如何向领导层、员工、监管者、合作伙伴传达信息的沟通计划。
更为成熟的企业应将威胁情报纳入其事件响应流程。这将有助于团队更加积极主动的确定其企业或行业的主要攻击者,以监测或搜索其TTP。这将有助于集中检测和定义响应程序,更快地识别和修复。
CIS Control 17中的行动提供了具体的、高度优先的步骤,可以提高企业的安全性。此外,我们推荐以下专门针对这一主题的资源。
注册安全测试员委员会(CREST)网络安全事件响应指南 - https://www.crest-approved.org/wp-content/uploads/2014/11/CSIR-Procurement-Guide.pdf。
保障措施
17.1 指定人员来管理事件处理
指定一名关键人员和至少一名备用人员,负责管理企业的事件处理流程。管理人员负责协调和记录事件响应和恢复工作,可以由企业内部员工、第三方供应商或混合方式组成。如果使用第三方供应商,至少要指定一名企业内部人员来监督第三方的工作。每年审查一次,或在企业发生可能影响本保障措施的重大变化时审查。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 响应 | 1,2,3 |
17.2 建立和维护报告安全事件的联系人
建立和维护需要被告知安全事件的各方的联系人。联系人可能包括内部员工、第三方供应商、执法部门、网络保险供应商、相关政府机构、信息共享和分析中心(ISAC)合作伙伴或其他利益相关者。每年核实联系人,以确保信息是最新的。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 响应 | 1,2,3 |
17.3 建立和维护一个事件报告的流程
建立并维护企业员工报告安全事件的流程。该流程包括报告时间、报告人员、报告机制以及需要报告的最少信息。确保该流程对所有员工都是公开的。每年审查一次,或在发生可能影响本保障措施的重大企业变化时审查。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 响应 | 1,2,3 |
17.4 建立并维护事件响应流程
建立并维护一个事件响应流程,该流程涉及角色和责任、合规性要求以及沟通计划。每年审查一次,或在发生可能影响本保障措施的重大企业变化时审查。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 响应 | 2,3 |
17.5 指定关键角色和职责
指定事件响应的关键角色和责任,包括法律、IT、信息安全、设施、公共关系、人力资源、事件响应人员和分析人员。每年审查一次,或在发生可能影响本保障措施的重大企业变化时审查。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 响应 | 2,3 |
17.6 定义事件响应期间的沟通机制
确定在安全事件中使用哪些主要和次要机制进行沟通和报告。机制可以包括电话、电子邮件等。请记住,某些机制,如电子邮件,在安全事件中可能会受到影响。每年审查一次,或在发生可能影响本保障措施的重大企业变化时审查。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 响应 | 2,3 |
17.7 进行常规的事件响应演练
为参与事件响应过程的关键人员进行常规的事件响应演习和情景模拟,为真实世界的事件做好准备。演习需要测试沟通方式、决策和工作流程。至少每年进行一次测试。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 恢复 | 2,3 |
17.8 复盘事故
复盘事故。复盘事故有助于学习经验教训,防止后续行动事故再次发生。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 恢复 | 2,3 |
17.9 建立和维护安全事件阈值
建立和维护安全事件阈值,至少包括区分事件和事故。包括:异常活动、安全漏洞、安全弱点、数据泄露、隐私事件等。每年审查一次,或在发生可能影响本保障措施的重大企业变化时审查。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 恢复 | 3 |
18 渗透测试
概述
通过模拟攻击者的行动,测试企业资产的有效性和弹性。
为什么该控制措施是关键
成功的防御需要有效的策略和管理、强大的技术组成的综合方案。然而,它很少是完美的。在一个复杂的环境中,技术在不断发展,新的攻击技术经常出现,企业应定期测试他们的资产。这种测试可以从外部网络、内部网络、应用程序、系统或设备角度进行。包括对员工的社会工程,或物理访问的绕过。通常情况下,渗透测试是为特定目的而进行的。
让决策者相信其企业的弱点。
测试企业防御系统正确运行的一种手段。
测试企业是否首先建立了正确的防御系统。
渗透测试与CIS Control 7中描述的漏洞测试不同。漏洞测试只是检查是否存在已知的、不安全的企业资产。渗透测试更进一步,利用这些漏洞,看看攻击者能走多远,以及通过利用该漏洞可能会影响到什么业务流程或数据。这是一个重要的细节,渗透测试和漏洞测试经常被错误地交替使用。漏洞测试完全是自动扫描,有时是人工验证是否真实,而渗透测试需要更多的人工参与和分析,有时通过使用自定义工具或脚本来支持。然而,漏洞测试往往是渗透测试的一个起点。
另一个常用术语是 "红队 "演习。这与渗透测试类似,都是利用漏洞;但是,区别在于重点。红队模拟特定的攻击者TTP,以评估企业的环境如何抵御来自特定对手或一类对手的攻击。
程序和工具
渗透测试开始于对企业和环境的侦察,并通过扫描来识别可进入企业的漏洞。重要的是,要确保发现所有的企业资产,而不是仅仅依靠一个资产列表,因为这个列表可能已经过时不完整。接下来,发现这些目标中的漏洞。对这些漏洞的利用,展示对手如何入侵企业的资产。通过演示,对各种漏洞的商业风险有了更深刻的认识。
这个CIS Control中的保障措施提供了具体的、高度优先的步骤,可以提高企业的安全性。此外,我们建议使用一些专门针对该主题的优秀综合资源,以支持安全测试的计划、管理和报告。
保障措施
18.1 建立和维护渗透测试计划
建立和维护与企业的规模、复杂性和成熟度相适应的渗透测试计划。渗透测试计划包括范围,如网络、网络应用、应用编程接口(API)、托管服务、可接受的时间和攻击类型;联系点信息;补救措施,何在内部处理调查结果;以及复盘。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 识别 | 2,3 |
18.2 进行定期的外部渗透测试
根据计划要求定期进行外部渗透测试,不少于每年一次。外部渗透测试包括企业和环境侦查,以检测可利用的信息。渗透测试需要专门的技能和经验,必须通过合格的一方进行。测试可以是透明箱或不透明箱。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 识别 | 2,3 |
18.3 修复渗透测试漏洞
根据漏洞的优先级,对渗透测试结果进行修复。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 2,3 |
18.4 验证安全防御
在每次渗透测试后验证安全措施。修改防御规则集,检测测试期间使用的技术。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| 网络 | 保护 | 3 |
18.5 进行定期的内部渗透测试
根据计划要求定期进行内部渗透测试,不少于每年一次。测试可采用透明箱或不透明箱。
| 资产类型 | 安全功能 | IG |
|---|---|---|
| N/A | 识别 | 3 |
