A.什么是CIS?
CIS是一个社区驱动的非营利组织,负责管理维护CIS Controls®和CIS benchmark™,全球公认保护IT系统和数据的最佳实践。CIS领导全球IT专业人士不断发展这些标准,并提供产品和服务,积极防范新出现的威胁。
B.CIS Controls ver7.1
在CIS Controls中列出了20项安全控制。分为Basic(6项)、Foundation(10项)、Organizational(4项)。CIS从另一个维度(Implementation Groups,实践组织)给出了针对不同规模组织实施建议。
C.相关话题
CIS Controls本身是一套方法论,对企业安全建设提供基础的指导。
这套方法论普遍适用于所有企业,但是我们也需要注意这套方法的短板:以业务为驱动的企业,更加关注来自于业务方向的安全,CIS Controls不针对业务提出具体安全建设方法,限制了其在更加深入层面的应用。
对于国内企业来说,信息安全建设重视度依然不足,中小企业普遍存在一个人的安全管理部门,人员无法全方位对企业信息安全管理予以关注,管理人员的技能水平和管理经验是企业安全建设的短板。从哪些方面对企业信息安全进行管理?如何管理?企业目前的信息安全管理存在什么问题?或许可以从这里寻求一种解决途径和对比参照。
D.经验相关
笔者曾就职于于阿里巴巴外包供应商安全管理岗位,在与阿里巴巴的安全管理标准对标后发现,阿里安全基本层面的管理标准,与CIS Controls具有高度的一致性。
企业在信息安全管理过程中,首先要考量的不是全面的信息安全,而是安全建设的投入与效果是否符合企业利益。如我们所知,不是所有的企业都如阿里巴巴一样,能投入大量人员和资金全方位保障安全。在受限的人员、技能、资金面前,保障企业信息安全是一个非常艰巨的任务。
CIS Controls提供了一种极具灵活性的组合方式,在CIS Controls中,把实践组织分为了三种,后文将会展开描述。
E.题外话
因作者能力限制,加上文字工作量巨大,部分翻译内容可能并不符合国语区阅读习惯,请勿喷。同时为解决这个问题,也欢迎读者积极参与相关内容的修订。文末将提供可编辑文档供下载。
CIS Controls导引手册
1. 概述
CISControls控制项分类:
A. Basic 基础部分
1) Inventory and Control of Hardware Assets 硬件资产管理
2) Inventory and Control of Software Assets 软件资产管理
3) Continuous Vulnerability Management 漏洞持续管理
4) Controlled Use of Administrative Privileges 用户权限管理
5) Secure Configuration for Hardware and Software on MobileDevices, Laptops, Workstations and Servers 软硬件安全配置管理(移动设备、笔记本电脑、工作站和服务器等)
6) Maintenance,Monitoring and Analysis of Audit Logs审计日志的维护,监测和分析
B. Foundational 进阶安全基准
7) Email and Web Browser Protections 电子邮件及浏览器保护
8) Malware Defenses 恶意软件防御
9) Limitation and Control of Network Ports,Protocols and Services 网络端口/协议/服务的管控
10) Data Recovery Capabilities 数据恢复
11) Secure Configuration for Network Devices,such as Firewalls,Routers and Switches 网络设备的安全配置(防火墙、路由器、网关等)
12) Boundary Defense 网络边界防护
13) Data Protection 数据保护
14) Controlled Access Based on the Need to Know 基于需求的访问控制
15) Wireless Access Control 无线接入管控
16) Account Monitoand Control 账户管控
C. Organizational 集团(此处依据笔者个人理解)
17) Implement a Security Awareness and Training Program 安全意识培训及宣贯
18) Application Software Security 应用安全
19) Incident Response and Management 应急响应管理
20) Penetration Tests and Red Team Exercises 渗透测试及红队建设
2. 关于Implementation Groups
ImplementationGroups实施组织(IGs)是基于网络安全属性对组织进行自我评估的类别。IGs代表了为不同类型的企业量身定制的CIS安全控制项。每个IG都建立在前一个IG的基础上,IG2包括IG1, IG3包括IG1和IG2中所有的CIS子控件。
CIS建议各组织按照IGs的规定优先执行控制项。组织的执行顺序应该是先实施IG1中控制项,然后是IG2和IG3。IG1中包含的控制项对至关重要。IG1的实施应该被认为是作为网络安全计划首要任务之一。
IGs的分类:
1) 雇员人数在10人左右的家族企业归类于IGs1(实施组 1)
2) 对外提供服务的区域性的单位归类于IGs2 (实施组 2)
3) 雇员超过千人的大型企业归类于IGs3 (实施组 3)
一旦确定了分类,组织就可以集中精力实现不同IGs中的控制项。用于识别其组织的标准类别基于以下特征:
1. 组织提供服务数据的敏感性和关键度
因任何原因(如公共安全、关键基础设施等)必须提供服务的机构,或处理必须在进一步限制要求(如联邦立法)下受到保护数据的机构,需要实施比不提供服务的机构更严格的网络安全控制。 注.可配合等保2.0来理解。
2. 工作人员所体现的技术专业水平
在CIS控制范围内,很多控制项要求最低限度的核心IT能力,工作人员所体现的技术专业水平决定了能否成功实施。
3.可用于网络安全活动的资源
对于网络安全的实施,时间、资金和人员都是非常必要的条件,CIS基于以上考虑,优化了各控制项。能够充分投入资源用于网络安全的企业,可以在网络安全较量中先人一步。尽管开源工具有助于企业节省资金,提升防护能力,但也可能会带来额外的管理和部署开销,需要企业认识到这一点。
IGs不是绝对的,其目的是提供一个粗略的测量方法,方便组织优化网络安全工作。下面进一步定义和描述每个组:
1) IGs1 实施组1:
只具备有限的IT人员和网络安全人员(也可能没有专职安全管理人员)。这类组织主要关注保持业务运行,对停机时间的容忍是有限的;其数据敏感度数据很低,主要是围绕员工身份和财务信息(对于专业提供数据保护服务的企业例外,需要选取更高组标准)。为IGs1部署的控制项可以挫败一般性的、非针对性的攻击。
2) IGs2 实施组2:
有专业团队和部门负责管理和保护企业的基础设施,这些组织有明确的职责划分。这类组织可能具有一定的法律遵从性负担。IGs2组织会存储和处理敏感数据,也能够承受短时间的服务中断。为IGs2选择的控制项较IGs1更加复杂,一些控制项需要依赖于企业级技术支持和专业知识。
3) IGs3 实施组3:
该类组织会聘请安全专家,专门研究网络安全不同方面的问题(例如风险管理、渗透测试、应用程序安全等)。IGs3的系统和数据包含敏感信息或受法规和遵从性监督的功能。IGs3组织必须处理服务的可用性以及敏感数据的机密性和完整性。成功的攻击会对公众利益造成重大损害。 注.关键公共基础设施和具有社会影响力的企业。
IGs3控制项主要目的是为了减少恶意攻击的广度和深度。
3. CIS Controls安全控制项
链接:https://pan.baidu.com/s/1Sn3d5paLJZ2yYlhGYio2eg
提取码:anko
*本文作者:吞龙,转载请注明来自FreeBuf.COM
来源:freebuf.com 2020-06-16 14:10:30 by: 吞龙
请登录后发表评论
注册