CIS关键安全清单(以前称为SANS的20个关键控件)已成为安全防御建议的黄金标准。这些是您必须首先完成的任务。
大多数公司没有充分评估计算机的安全风险,这最终导致安全控制与其更大风险之间的不一致。这是我有关基于数据的计算机安全防御的书籍。许多安全专家都知道,因此,在多次谈论风险管理之后,他们仍然问我从SANS的前20个关键控制列表中应实施哪些控制。
据我所知,最认真的计算机安全专业人员期待SANS Top 20的每次更新及其带来的动力。它包含非常好的计算机安全防御技巧,但是像任何动作列表一样,您不能同时完美地完成某些事情。以下是一些建议首先执行哪些控件的建议,但首先让我首先提供一些SANS列表的历史记录。
现在是CIS控制
几年前,SANS向Internet安全中心(CIS)提供了前20名的列表,现在被称为CIS关键安全控制。 CIS是另一个受人尊敬的非营利性计算机安全组织,已经存在了数十年。他们以发布的操作系统最佳实践的建议和安全性基准而闻名。如果您希望独立的非政府实体就Microsoft Windows系统的安全性提供建议,那么CIS是您的选择。
SANS列表以Tony Sager开头
如果您知道其历史,那么CIS获得20个主要SANS的列表就不足为奇了。这份名单以独联体高级副总裁兼首席传教士托尼·萨格(Tony Sager)开始。托尼(Tony)最著名的可能是他一系列令人困惑的会议,他认为信息过载是阻碍更好的计算机安全性的主要问题之一。
托尼(Tony)是一位聪明而有思想的人,在国家安全局(National Security Agency)工作了34年,一直致力于提高计算机安全性。大多数人只认为国家安全局是间谍的代名词,但他们也有责任通过帮助我们建立和实施更好的防御措施来保护我们的国家。直到最后一个进球,托尼都是主要角色之一。他领导了国家安全局的第一个“蓝队”,并最终成为了国家安全局的漏洞分析和运营项目的负责人。
托尼对我说:“我可以说是他整个职业生涯都花在了国家安全局国防部门的少数人之一。” “我比任何人都更清楚该系统是如何发生故障的。我能理解他们自入侵一个国家以来是如何做到的,以及为什么他们无法阻止它们。从这两个角度,来看保护计算机的有效方法和无效方法。”托尼说,最初的清单来自他和其他几个人,有一天,他们被困在一个房间里,试图一起寻找一小份清单。 “我们不希望有能够解决世界所有问题的清单。”他们希望选择一些人人都同意的项目,作为想要保护计算机和网络的任何人的最佳建议。最终,他们准备了一份清单,并最终成为十个控件。他们进行了一次同行评审,然后托尼用他的话“以友好的姿态”将清单发送给了五角大楼。
他惊讶地发现自己的名单最终脱颖而出并获得了信心。由于SANS与政府之间的密切关系,Tony认识了SANS的Allen Paller,并打电话询问SANS是否可以接受,教导和推广这份名单。托尼很兴奋。天哪,SANS掌握了它并接受了它。多年来,前10名已成为前20名。它已成为认真保护计算机环境的专业计算机安全专家的名单。
最后,SANS和Tony认为正确的做法是将标准传递给非营利组织。然后,它从国家安全局运到五角大楼,从国家安全局运到独联体。然后,几十年后,托尼的名单上有了一个组织,托尼也参与其中以确保安全。
这是20个主要控件的简要历史,现在让我们回到必须首先实现的控件上。
CIS Top 20控件中的五个主要元素
必须实施20个主要的CIS安全控制。没有人应尽快考虑和实施。实际上,它们是每个计算机安全程序应具有的最低要求。也就是说,您必须从另一个地方开始。
这是我的前5名名单:
实施安全意识和培训计划。
持续的漏洞管理
控制管理权限的使用。
维护,监视和分析审计记录。
事件响应和管理
1.实施安全意识和培训计划。
根据Verizon 2019数据披露调查,高达90%的恶意数据违规是网络钓鱼和社会学工程造成的。这只会使第一个控件显得徒劳。与许多类型的攻击一样,您可以结合使用技术控制(例如,防火墙,反恶意软件,反垃圾邮件,反网络钓鱼,内容过滤)和培训来进行防御。
无论您使用哪种技术控制,最终您都将网络钓鱼传递给最终用户。这就是为什么您应该教所有用户如何识别恶意软件以及当他们看到它们时该怎么做。如何进行安全意识培训取决于您,但是教育应该每年进行几次,每季度进行一次以上。低频训练无助于降低风险。2.持续的漏洞管理
无补丁软件占所有成功数据泄露的20%至40%,使其成为组织成功的第二大最常见原因。漏洞管理绝对应该是您的第二要务。这不仅意味着搜索环境中的漏洞和缺少的补丁程序,而且还意味着要尽可能地自动执行补丁程序。
需要修理什么?去年宣布的16555个个人漏洞中,只有不到2%的漏洞被用来伤害组织。几乎所有这些人都利用了非托管代码,这是对是否将使用软件漏洞攻击组织的最佳预测。如果漏洞未出现在公共领域,则可以减少该漏洞。
其次,我们都知道,客户端上最容易受到攻击的漏洞是浏览器和浏览器加载项,其次是操作系统漏洞。在服务器方面,漏洞主要与Web服务器软件,数据库和服务器管理有关。是的,其他类型的软件也可能受到攻击,但是到目前为止,这些类别是最易受攻击的类型。从此类软件程序的活动补丁开始,计算机的安全风险将大大降低。
3.控制行政权限的使用。
建议尽量减少管理帐户的数量,并使用高安全性来保护您的托管帐户。尝试进入您的环境的大多数不良行为将在首次使用后将高帐户权限作为优先级,因此,它们可能造成最大的损失。对于攻击者来说,对于他不经常使用的每个管理帐户,他都没有一个目标。
减少任何高特权组中的成员数量
要求所有更新的帐户使用多因素身份验证登录
要求验证凭证以增加权限
时间限制
注册此用途并大量登录
是否想避免对计算机和网络的最严重的恶意滥用?防止坏人获得管理员特权。
4.维护,监视和分析审计记录。
Verizon数据泄露调查报告得出的结论是,有证据表明恶意入侵了大多数安全记录,并且如果组织可以分析其记录,则可以将造成的损害降至最低。我知道收集和分析记录并不容易。您需要收集数亿个事件,其中大多数都没有表现出恶意,这是大海捞针。
这就是为什么您需要更高级别的事件日志记录系统来为您添加和分析记录的原因。一个好的安全信息事件管理系统(SIEM)应该为您完成所有艰苦的工作。您所要做的就是响应指示的可疑事件,并修改和培训系统以最大程度地减少误报和误报。
5.响应和事件管理。
无论您做什么,都会有人通过您的辩护。从来没有完美的防御,所以要尽最大的努力来计划失败。这意味着要开发有效的人员,工具和流程来响应事件。调查和修复事件响应的速度越快越好,对环境的破坏就越小。您必须实施的前5个安全控制措施还有许多其他强大的竞争对手(例如电子邮件和浏览器控件),但是我将这些放在任何人的安全检查表的顶部。某些控制功能没有人们想象的那么有用,例如网络访问控制和密码策略。人们花在这两个控件上的每一分钟都不如花在重大问题上的时间好。
中文
电话咨询
微信咨询
公众号
