博客
有效的网络防御有哪些CIS控制措施?
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

CIS关键安全控制是针对以下方面的优先措施: 网络安全 that 对于 m a 纵深防御 一套特定且可行的最佳做法,以减轻最常见的情况 网络攻击。独联体控制的主要好处是它们优先考虑并着重于少数可大大减少 网络安全风险.  

CIS控件最初由SANS研究所开发,称为SANS关键控件,现在由Internet安全中心管理,由一群专家组成,他们根据CISO和安全专家的经验开发出全球公认的安全最佳实践。这些专家来自零售,制造业,医疗保健,教育,政府机构和国防等众多领域。

CIS控制为何重要?

CIS控制非常重要,因为它们可以最大程度地降低 数据泄露数据泄漏,知识产权盗窃, 企业间谍活动,身份盗用,隐私丢失,拒绝服务及其他 网络威胁.

作为安全专家,我们可以使用一系列安全工具和技术,安全标准,培训,认证,漏洞数据库,最佳实践,安全控制,清单,基准和建议。 

为了帮助我们了解威胁,我们'我已经看到了介绍 安全等级第三方安全等级数据泄漏检测 and the NIST网络安全框架。更不用说,我们'被GDPR等法规要求所包围,  LGPD 注册会计师 FISMA CPS 234 GLBA ,PCI DSS和  皮派达  that require clear 第三方风险管理框架供应商风险管理 and robust 风险评估方法

对于热衷于安全的从业人员而言,有关如何保护其组织的信息并不缺乏。但是,所有这些技术,信息和监督导致了相互竞争的选择方案,优先事项,观点和主张,它们可能会分散最终解决方案的最终使命 攻击载体 and reducing your 攻击面.

随着业务的增长,依赖性的扩大,威胁的发展以及客户的期望, 强大的网络安全从未如此重要

CIS控件可帮助我们回答以下问题: 

  • 建立风险管理计划的最关键领域是什么?
  • 哪些防御步骤可提供最大价值?
  • 我们如何跟踪风险管理计划的成熟度?
  • 我们如何分享对攻击和攻击者的见解并找出根本原因?
  • 哪些工具最适合解决哪些问题?
  • 哪些CIS控件映射到我的组织'的监管和合规框架?

CIS控制为何起作用?

CIS控制之所以起作用,是因为它们是:

  • 受到常见攻击和有效防御的通知
  • 反映来自公司,政府和个人以及各个部门(政府,电力,国防,金融,运输,学术界,咨询,安全,IT)的专家知识
  • 来自每个角色(威胁响应者和分析人员,技术人员,漏洞发现者,工具制造者,解决方案提供者,防御者,用户,政策制定者,审计师等)

CIS控制已从安全控制的共识列表演变成安全专家认为是最好的防御技术, 防止数据泄露 并减轻网络攻击造成的破坏。

除了阻止未经授权的访问外,CIS控件还可以进行地址检测 妥协指标 并防止其他攻击。

独联体控制中确定的防御措施可以减少初始攻击面 强化服务器,识别受感染的计算机,破坏命令和控制或 恶意软件 并建立持续改进的适应性持续防御。 

此外,CIS基准认可大多数组织所面临的现实,即资源有限且必须确定优先级。  

因此,独联体将控制分为三类:基本,基础和组织,与行业无关。这些类别和控件的优先级是使CIS Controls如此出色地工作的原因。 

有效的网络防御的五个关键原则是什么?

有效的网络防御系统的五个关键原则是:

  1. 犯罪通知辩方: 使用对系统造成威胁的实际网络攻击为学习和建立有效的实用防御提供基础。避免避风港'被证明可以阻止现实世界的攻击。 
  2. 优先顺序: 投资于能够最大程度地降低风险并保护免受可能实施的最危险攻击的控制措施。  
  3. 度量和指标:  采用 通用指标 为高管,安全专业人员,审计人员和员工提供一种共享的语言,以衡量组织内安全措施的有效性。
  4. 持续诊断和缓解: 持续监控您的安全状况 测试和验证安全控制的有效性,并帮助推进下一步。
  5. 自动化: 自动执行防御,以可靠地扩展并持续监控对控件的遵守情况。考虑将此扩展到您的 第三方供应商 and their vendors by 持续监控第三方和第四方的安全状况.

什么是20种关键安全控制措施?

有效网络防御的20个关键安全控制措施(有时称为SANS Top 20)分为三组:

  1. 基本CIS控制(1-6)是任何组织的起点's 网络安全
  2. 基础CIS控制(7-16)
  3. 组织CIS控制(17-20)

您可以从以下位置下载整个CIS Controls白皮书 //www.cisecurity.org/controls/.

1.硬件资产的库存和控制

攻击者不断扫描要攻击目标的新的和可能易受攻击的系统'的网络。他们对来自企业网络的来回设备特别感兴趣,例如便携式计算机或自带设备(BYOD)等'安装安全更新或可能已被破坏。 

一旦检测到,攻击者便可以利用此硬件并获得对组织的访问权限,或使用它来发起其他网络攻击。 

此控件要求组织管理其网络上的硬件设备,以确保只有授权的设备才能访问敏感区域。所有设备的受控控制在计划和执行系统备份,事件响应和恢复中也起着关键作用。 

2.软件资产的清单和控制

就像硬件一样,攻击者寻找攻击者寻找 漏洞 that can be remotely 被剥削 in software.

一个很好的例子是EternalBlue,它是旧版Windows操作系统中的一个漏洞,用于启动该漏洞。 想哭 勒索软件 电脑蠕虫.

攻击者可能通过网站发布恶意软件, 网络钓鱼 or 鱼叉式网络钓鱼 电子邮件或其他可信赖的第三方站点。 

当受害者访问可利用机器上的内容时,攻击者可以获得访问权限并安装未经授权的软件或 不同类型的恶意软件.

更复杂的攻击者可能会使用 零日漏洞 利用未列出的漏洞  CVE  并且尚未发布任何补丁。

如果没有适当的知识或对组织中部署的软件的控制,防御者将无法正确保护其资产,从而导致 数据泄露 and exposure of 敏感数据。然后可以使用网络中受损的计算机来启动其他计算机 网络攻击.

该控件通过要求组织主动管理网络上的所有软件来减轻这种风险,因此仅安装授权的软件即可执行。 

3.持续的漏洞管理

漏洞管理 and 漏洞评估 要求网络防御者获取源源不断的新信息,软件更新,补丁,安全公告等。 

攻击者将使用相同的信息来利用新漏洞的出现与其对攻击目标的补救之间的空白。 

为了最大程度地降低这种风险,此控制要求组织不断获取,评估新信息并采取行动,以识别漏洞,进行补救并最大程度地减少机会。 

如果不扫描漏洞并主动解决问题,组织将面临遭受危害的巨大风险。

4.控制特权的使用

的  最小特权原则 and other 访问控制 这些方法旨在创建过程和工具,以跟踪,控制,防止和纠正管理特权的使用,分配和配置。 

这有助于减少滥用管理特权,这是在组织内部传播的一种常见攻击方法。 

攻击者将经常使用 社会工程学 诱骗受害者打开自动运行的恶意文件。 

如果受害者具有管理特权,则攻击者可以接管受害者's machine installing 恶意软件间谍软件 or stealing 敏感数据

5.移动设备,便携式计算机,工作站和服务器上的硬件和软件的安全配置

操作系统和应用程序的默认配置通常适合于易于部署和使用,而不是安全性。当保持默认状态时,可以利用基本控件,开放服务和端口,默认密码和过时的协议。

为了最大程度地降低这种风险,组织必须使用配置管理和更改控制流程来建立,实施和主动管理移动设备,便携式计算机,服务器和工作站的安全配置,以防止攻击者利用易受攻击的服务和设置。 

6.维护,监视和分析审核日志

安全日志记录和分析的缺陷使攻击者可以隐藏其位置,恶意软件的安装以及对受害者的活动's machine. 

为了减轻这种情况,组织必须收集,管理和分析事件的审核日志,以帮助检测,识别和从攻击中恢复。 

7.电子邮件和Web浏览器保护

Web浏览器和电子邮件客户端由于其技术复杂性,灵活性和高使用率而成为常见的攻击点。可以精心设计内容以诱使或欺骗用户采取行动,从而盗窃有价值的数据或引入恶意代码。 

这种控制可以最大程度地减少攻击面,并减少攻击者通过与Web浏览器和电子邮件系统的交互来操纵人类行为的机会。 

8.恶意软件防御

恶意软件旨在攻击您的系统,设备和数据。它可以通过最终用户设备,电子邮件附件,网页,云服务,用户操作和可移动媒体来输入。复杂的威胁甚至旨在规避,避免和禁用防御。 

组织必须控制恶意代码的安装,传播和执行,同时优化自动化的使用,以实现防御,数据收集和纠正措施的快速更新。  

9.网络端口,协议和服务的限制和控制

攻击者远程搜索容易受到利用的可访问网络服务。常见的示例包括配置不正确的Web服务器,邮件服务器,文件和打印服务以及默认情况下安装的DNS服务器。

该控件必须管理网络设备上端口,协议和服务的持续使用,以最小化攻击者可用的漏洞窗口。 

10.数据恢复能力

当攻击者获得对计算机的访问权限时,他们可以对配置和软件进行重大更改。在某些情况下,它们会对存储的数据进行细微改动,从而可能损害组织'的操作能力。发现攻击者后,组织需要能够删除攻击者的所有方面'来自机器的状态。 

这就是为什么组织必须使用流程和工具以可靠的方法正确备份关键信息,以便及时恢复它。 

11.网络设备(如防火墙,路由器和交换机)的安全配置

网络基础结构的默认配置旨在简化部署和使用而非安全性。在默认状态下,可能会利用开放服务和端口,默认密码,对较早协议的支持以及预安装的软件。 

组织必须通过使用配置管理和更改控制过程来建立,实施和主动管理网络基础结构设备的安全配置,以防止攻击者利用易受攻击的服务和设置。 

这是一个连续的过程,因为硬件和软件配置不是一次性事件,随着用户要求合法业务需求例外,攻击者可以利用随时间变化的配置优势。当业务需求不再存在时,可以打开这些例外,从而释放潜力 攻击载体

12.边界防御

攻击者专注于利用可访问Internet的系统。有组织的犯罪集团和民族国家行为者可以利用外围系统,网络设备和客户端计算机中发现的配置和体系结构弱点来获得对组织的初始访问权限。  

边界防御控件可检测,阻止和纠正跨不同信任级别的网络之间传递的信息流,并侧重于破坏安全性的数据。 

13.数据保护

敏感数据 居住在许多地方。通过以下方法的结合,可以最好地实现对数据的保护: 加密,完整性保护和防止数据丢失的技术。

数据保护控件是旨在防止数据泄露,减轻泄露数据的影响并确保敏感信息的隐私和完整性的过程和工具。 

14.基于需要的受控访问

加密数据可确保即使发生数据泄露也能保证'在没有大量资源的情况下访问纯文本是不切实际的。就是说,应该首先采取控制措施以减轻数据泄露的威胁。 

组织必须具有流程和工具,以根据人员,计算机和应用程序的访问控制权限(基于需要或先前分类的权限)来跟踪,控制,阻止和纠正对关键资产的安全访问。

15.无线访问控制

许多数据泄露是由攻击者发起的,他们已经从物理建筑物外部无线访问组织,并无线连接到访问点。

公共Wi-Fi网络可以成为 中间人攻击 并可以安装后门以重新连接到目标组织的网络。  

无线访问控制是跟踪,控制,防止和纠正对无线局域网(WLAN),访问点和无线客户端系统的安全使用的过程和工具。 

16.帐户监控

攻击者经常发现并利用合法但不活动的用户帐户来模拟合法,不活动的用户帐户来模拟用户,从而使安全人员更难检测到它们。 

这种控制要求在系统和应用程序帐户的整个生命周期中进行积极的管理-创建,使用,休眠和删除-最大限度地减少攻击者的机会。 

17.实施安全意识和培训计划

虽然它'为了将网络安全视为主要的技术挑战,员工的行动甚至对最自动化的网络安全计划的成败都起着至关重要的作用,无论是在设计,实施,操作,使用还是监督方面。 

这意味着对于所有职能角色,对于关键任务功能或安全性而言,组织必须确定支持组织防御所需的特定知识,安全技能和能力,制定并执行计划以评估,发现差距并通过政策进行补救,计划,培训和意识计划。

18.应用软件安全

攻击者经常利用基于Web的应用程序和其他应用程序软件中的漏洞。这些漏洞可能源于编码错误,逻辑错误,要求不完整以及无法测试异常或意外情况。 

为了减轻这种攻击媒介,组织必须在其整个生命周期内管理所有内部和购置软件的安全性。 

19.事件响应与管理

组织必须通过开发和实施事件响应基础架构(例如计划,定义的角色,培训,沟通,管理监督)来保护自己的信息和声誉,以快速发现攻击然后遏制破坏,消除攻击者'访问并恢复网络和系统的完整性。 

现在,安全事件已成为每个组织的一部分。甚至大型,资金充裕且技术精湛的组织也可能难以跟上网络犯罪分子的步伐,只需看看Yahoo顶部的 世界'最大的数据泄露

发生事故时'制定正确的程序,报告,数据收集,管理,法律程序和沟通策略为时已晚。这就是为什么 事件响应计划 在成功攻击之前进行开发很重要。 

20.渗透测试和红队练习

组织必须通过模拟攻击者的目标和行动来测试其总体防御(技术,流程和人员)。 

攻击者经常利用良好的防御性设计与实际实施之间的差距。一个很好的例子是发现漏洞与修复每台漏洞计算机之间的时间间隔。 

成功的防守态势需要有效的全面计划  信息安全政策,强大的技术防御和人们的适当行动。 

红队演习在组织的所有政策,流程和防御措施中采取了全面的方法,以提高组织准备水平,改进对防御从业人员的培训并检查当前的绩效水平。

UpGuard如何改善您的组织's 网络安全

像这样的公司 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard保护其数据, 防止数据泄露,监视 漏洞 and avoid 恶意软件.

We're experts in 数据泄露 and 数据泄漏 , 我们的  研究 已在 纽约时报华尔街日报彭博社华盛顿邮报 福布斯 路透社 and Techcrunch。

UpGuard供应商风险 通过自动化可以最大程度地减少组织花费在管理第三方关系上的时间 供应商问卷 并持续监控您的供应商' 安全态势 随着时间的流逝,同时将它们与行业进行比较。 

每个供应商均根据50多个标准(例如是否存在  SSL协议 协议  and  域名系统 ,以及 域名劫持中间人攻击 and 电子邮件欺骗 for 网络钓鱼.

每天,我们的平台都会通过 网络安全等级 out of 950. We'如果他们的分数下降,我会提醒您。

UpGuard BreachSight 可以帮助监控DMARC,打击 抢注, 避免 数据泄露 and 数据泄漏,避免监管罚款并保护您的客户's trust through 网络安全等级 和连续曝光检测。 

如果你'd想看看您的组织如何堆叠, 获得免费的网络安全评级

立即预订UpGuard平台的演示。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状