互聯網安全中心(CIS)發佈新版20大安全控制

時間 2019-12-09

原文原文鏈接

這些最佳實踐最初由SANS研究所提出，名爲「SANS關鍵控制」，是各種公司企業不可或缺的安全控制措施。經過採納這些控制方法，公司企業可防止絕大部分的網絡攻擊。

有效網絡防護的20條關鍵安全控制

對上一版「20大安全控制」的研究代表，僅僅採納前5條控制措施，就能阻止85%的攻擊。20條所有采納，可阻止97%的網絡攻擊。這一版的主要目的之一，是要與每套控制措施的工做流保持一致。即使在內容上改動不大的現有控制措施，也在需求順序方面進行了從新洗牌。每套控制措施都有對評估、基線、緩解和自動化的摘要版介紹。另外，較以前版，在語言上也作了大幅精簡，用語高度抽象，可以使這些控制措施應用在更普遍的平臺和攻擊上。不過，至於怎樣實現這些控制措施，就是看公司的策略和所用工具了。公司企業本身實現起來可能會比較困難，應與其安全供應商合做，聽取他們在各類控制措施的「自由發揮」部分上的建議。已有控制措施中的大部分都維持了原樣，只除了一些冗餘要求的整合和用語上的精簡。

CIS 20 大關鍵控制快速瀏覽

由於能擋住絕大部分攻擊，前5項基本控制維持不變(順序上略做調整)。下面咱們就來瀏覽一下這第7版的CIS 控制：

CIS 控制1：硬件資產庫存與控制

對網絡上設備的全面瞭解，是減少公司攻擊界面的第一步。持續使用主動和被動資產發現解決方案以監視自身資產庫存，並確保全部硬件都有人負責。

CIS控制1詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-1-inventory-of-authorized-and-unauthorized-devices/

CIS 控制2：軟件資產庫存與控制

首要控制措施中又一個與資產發現有關的，標誌着網絡盤點是夯實公司系統安全最關鍵的一步。畢竟，若是不知道自家網絡上都有些什麼，也就談不上跟蹤這些資產了。

CIS控制2詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-2-inventory-of-authorized-and-unauthorized-software/

CIS 控制3：持續的漏洞管理

按期掃描網絡查找漏洞，可在數據泄露切實發生前暴露出安全風險。對公司整個環境進行自動化驗證掃描很是重要。

CIS控制3詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/cis-top-20-critical-security-controls/

CIS 控制4：控制管理員權限的使用

管理員憑證是網絡罪犯的主要目標。幸運的是，能夠採起多種方法來保護這些權限，好比維護好管理員帳戶清單和修改默認口令。

CIS控制4詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-4-controlled-privileges/

CIS 控制5：保護移動設備、筆記本電腦、工做站和服務器上硬軟件的配置

利用文件完整性監視(FIM)跟蹤配置文件、主鏡像等等。該控制措施知足配置監視系統自動化要求，以便發生偏離已知基線的狀況時能夠觸發安全警報。

CIS控制5詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-5-secure-configurations/

CIS 控制6：維護、監視和分析審計日誌

系統日誌提供了對網絡上全部活動的準確重現。這意味着，若是發生網絡安全事件，恰當的日誌管理操做能夠拿出描述事件所需的所有數據，包括：誰幹的，幹了什麼，在哪兒作的，何時作的，怎麼作的。

CIS控制6詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-6-audit-logs/

CIS 控制7：電子郵件和Web瀏覽器防禦

電子郵件和Web瀏覽器的安全威脅不僅僅只有網絡釣魚一種。甚至電子郵件圖片裏的一個像素，都能給網絡罪犯帶來執行攻擊所需的信息。

CIS控制7詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-7-email-web-protections/

CIS 控制8：惡意軟件防護

確保你的反病毒工具與你其餘安全工具鏈集成良好。完整實現該控制還意味着保持對命令行審計和DNS查詢的精確日誌。

CIS控制8詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-8-malware-defenses/

CIS 控制9：限制並控制網絡端口、協議及服務

實現該條控制措施能幫你減少攻擊界面，可採起的策略包括自動化端口掃描和應用防火牆。

CIS控制9詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-9-limitation-control-network-ports/

CIS 控制10：數據恢復功能

你按期自動化備份嗎？確保恰當的數據恢復能力有助於免遭勒索軟件之類威脅的侵害。

CIS控制10詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-10-data-recovery/

CIS 控制11：安全配置網絡設備，好比防火牆、路由器和交換機

有不少方法能夠保護網絡設備的安全，好比多因子身份驗證和加密。

CIS控制11詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-11-secure-configuration-network-devices/

CIS 控制12：邊界防護

該條控制處理的是你網絡邊界上通訊的管控方式。可採用基於網絡的IDS傳感器和入侵防護系統實現。

CIS控制12詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-12-boundary-defense/

CIS 控制13：數據保護

名稱雖然簡單，倒是更爲複雜和難以實踐的控制措施之一，由於盤點敏感信息之類持續的過程要實現數據保護涉及的方面太多了。

CIS控制13詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-13-data-protection/

CIS 控制14：基於「有必要才知悉」原則進行訪問控制

經過加密傳輸過程當中的數據和禁止工做站之間的通訊，你能夠開始限制數據權限過於寬鬆時可能出現的安全事件了。

CIS控制14詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-14-controlled-access/

CIS 控制15：無線訪問控制

實現該控制的第一步，是統計你網絡中的無線接入點。基於此，再深刻到緩解全部類型的無線訪問風險。

CIS控制15詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-15-controlled-access/

CIS 控制16：帳戶監視與控制

爲防止有效憑證落入黑客之手，你必須設置一套控制身份驗證機制的系統。

CIS控制16詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-16-account-monitoring/

CIS 控制17：實現安全意識教育和培訓項目

由於不斷深化的網絡安全技術人才短缺問題，安全培訓應成爲大多數公司的要務，並且，應是持續的安全培訓而不是一次性的走過場。

CIS控制17詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-17-awareness-training/

CIS 控制18：應用軟件安全

內部開發的代碼應通過靜態及動態安全分析之類的安全評估過程審查，發現隱藏的漏洞。

CIS控制18詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-18-application-software-security/

CIS 控制19：事件響應與管理

該控制有助於規劃和測試網絡安全事件應對計劃，防止當事件真的發生時出現忙亂情況。

CIS控制19詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-19-incident-response/

CIS 控制20：滲透測試和紅隊演練

按期進行滲透測試有助發現漏洞和攻擊方法，減少惡意黑客早已利用漏洞滲入而公司渾然不覺的機率。

CIS控制20詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-20-penetration-tests-red-team-exercises

原文地址：http://www.djbh.net/webdev/web/HomeWebAction.do?p=getXxgg&id=8a81825664ceff130165f9b895ba0069web