写点什么

零信任态势评估:CIS 安全控制内容与实施

作者:权说安全
  • 2022 年 6 月 06 日
  • 本文字数:2481 字

    阅读完需:约 8 分钟

零信任态势评估:CIS安全控制内容与实施
摘要:

CIS 安全控制从安全领域专家的视角,针对企业网络不同层面的安全问题,提出了相应的安全保护措施和操作规范,供不同规模的企业参考实施。为了分析企业网络安全的风险来源,构建零信任安全态势的评估指标体系,本文对 CIS 安全控制的内容和实施方式进行梳理和介绍,为零信任安全态势评估的相关研究提供参考。


关键字:网络安全 CIS 安全控制 零信任 态势评估


一、CIS 控制的发展背景


CIS 安全控制(简称 CIS 控制)最初的目标是帮助企业识别网络中的安全风险,并针对各种攻击采取有效的防范措施。早期版本的 CIS 控制通过一个标准化的攻击列表,来测试控制措施是否有效。从 2013 年开始,CIS 与 Verizon 数据泄露调查报告(DBIR)团队合作,将其分析结果直接映射到 CIS 控制,以便将常见攻击与防护措施匹配起来,提高并改善企业防御方案的针对性。


在 CIS 社区防御模型(CDM)的研究中,CIS 基于 DBIR 和 MS-ISAC 的数据分析成果,通过 MITRE 组织的 ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)模型对 2019 年最常见 5 种攻击(包括 Web 应用攻击、内部人员权限滥用、恶意软件、勒索软件和针对性入侵)的攻击模式进行了定义,并将其防御手段纳入到 CIS 控制中。


这些研究活动保证了 CIS 控制不仅是一系列安全基线,同时也是符合行业或政府安全要求的规范性要求。本文主要介绍 CIS 控制(v8 版本)的基本内容,该版本的设计原则包括:


以攻促防

CIS 控制建立依据是明确的特定攻击行为,以及对应的有效阻止方法。


聚焦重点

帮助防御者确定当前最迫切的事情,以阻止重要攻击,避免试图解决所有安全问题或者锦上添花。


合理可行

每个建议(防护措施)均针对特定问题,且有效。


精确可测

所有 CIS 控制(特别是 IG1)必须可度量且不存在二义性。


和谐一致

以现有合规监管、标准框架等保持一致,无冲突。


二、CIS 控制的实施方法


从 7.1 版开始,CIS 将控制内容划分为 3 个实施组(Implementation Group,IG),来形成优先级分类。每个 IG 都是一个 CIS 控制子集,适用于资源规模或安全风险比较相近的一类企业。另外,IG 之间存在包含关系,即 IG2 包括 IG1,IG3 包括所有 IG1 和 IG2 中的防护措施。


IG1。适用于 IT 和网络安全专家非常有限的中小型企业,保护措施主要确保企业业务的正常运营,避免宕机。企业数据的敏感性较低,主要与员工和财务信息相关。IG1 防护措施不应依赖专业的安全知识,主要针对一般性的非目标攻击,也适用于小型或家庭办公室环境。


IG2(包括 IG1)。IG2 适用的企业一般都有专人负责管理和保护 IT 基础设施,企业各部门基于工作职能和任务面临不同的风险,而且存在监管合规的负担。IG2 企业通常需要存储和处理敏感客户或企业的信息,能够承受服务的短暂中断,但如果出现违规行为,将会带来公关问题。IG2 防护措施有助于安全团队应对不断增加的操作复杂性,但有些措施需要依赖于企业级技术和特定领域专家的专业技能。


IG3(包括 IG1 和 IG2)。IG3 适用的企业一般有专门的网络安全专家(包括风险管理、渗透测试、应用程序安全等领域)。这些企业的资产和数据包含受监管的敏感信息或功能,以及合规监督,因此必须解决服务可用性、敏感数据机密性和完整性的保护问题,企业网络一旦遭受攻击可能对公共福利造成重大损害。IG3 防护措施必须阻止来自熟练攻击者的针对性攻击,并减少零日攻击的危害和影响。


三、CIS 控制内容与措施


1

硬件资产清单和控制


主动管理(包括清点、跟踪和纠正)通过物理、虚拟、远程、云环境等方式连接到企业基础设施的所有资产(包括终端用户设备,如便携式和移动设备;网络设备,如非计算/物联网(IoT)设备;服务器等),以准确地了解需要被监控和保护的资产总量。



2

软件资产清单和控制


主动管理(清点、跟踪和更正)所有软件(操作系统和应用程序),确保只有经过授权的软件才能安装和执行,发现并防止未经授权和非托管软件的安装或执行。



3

数据保护


制定流程和技术控制,以识别、分类、安全地处理、保留和处置数据。



4

软/硬件安全配置


建立和维护企业软、硬件资产的安全配置。



5

账号管理


建立流程和工具对软、硬件资产的用户账号进行管理和授权,包括管理员账号、系统服务账号等。



6

访问控制管理


建立流程和工具对软、硬件资产的账号权限和凭证进行管理,包括创建、分配,调整、撤销等。



7

持续漏洞管理


针对企业基础设施的资产,制定持续的漏洞跟踪、评测计划,修复并最大限度地缩小攻击窗口,监控并收集安全行业公共、专用资源发布的威胁和脆弱性情报。



8

审计日志管理


对有助于攻击检测、分析和恢复的事件信息进行收集、告警、审查和记录。



9

邮件/Web 防护


提高对电子邮件和 Web 的威胁检测和保护,防范攻击者利用浏览器等发起的“拟人化”攻击。



10

恶意代码防范


防止或控制恶意程序、代码或脚本在企业资产上安装、传播和执行。



11

数据恢复


建立和维护充分的数据恢复措施,保证企业资产能恢复到攻击事件发生之前或受信任的状态。



12

网络基础设施管理


建立并实施对网络设备的主动管理(跟踪、报告、纠正),防止攻击者利用网络服务和访问漏洞发起攻击。



13

硬件资产清单和控制


健全网络监控和防御操作流程和工具,防范跨网络基础设施和用户群的安全威胁。



14

安全意识与技能培训


建立并维护安全意识计划,培养员工的安全意识和行为,降低企业的网络安全风险。



15

服务提供商管理


制定敏感业务或关键 IT 平台服务提供商(Service Provider)的评估流程,确保他们对相关平台和数据提供了适当的保护。



16

应用软件安全


对内部开发、托管或购置的软件进行安全生命周期管理,对它们进行漏洞检测和修复,防止影响企业资产安全。



17

事件响应管理


制定事件响应能力(例如政策、计划、程序、角色定义、训练和交流)开发和维护计划,对攻击事件进行准备、检测和快速响应。



18

渗透测试


通过识别和利用安全控制(包括人员、流程和技术)中的漏洞缺陷,模拟攻击者的目标和行动,测试企业资产的安全性。



为了建立能反映企业 IT 安全态势的安全指标体系,为零信任访问控制上下文提供科学、合理的安全属性,我们研究了与态势评估相关的风险管理理论、安全指标体系、量化评估模型、合规测试、内容自动化和安全控制等方面的最新技术发展,本文为“零信任态势评估”系列文章第二篇,欢迎大家研究讨论。

Ⅰ.零信任态势评估:安全指标的构建原则


发布于: 刚刚阅读数: 5
用户头像

权说安全

关注

专注零信任、网络安全 2022.04.28 加入

公众号【江苏易安联】【易安联安全云】

评论

发布
暂无评论
零信任态势评估:CIS安全控制内容与实施_网络安全_权说安全_InfoQ写作社区