CIS关键安全控制列表(以前称为SANS20大关键控制)长期以来一直是安全防御建议的黄金标准。这些是您应该首先完成的任务。大多数公司未能正确评估计算机安全风险,并最终采用与其最大风险不符的安全控制措施。这是我关于数据驱动的计算机安全防御主题的书籍。许多安全专业人士都知道这一点,这就是为什么在我多次谈论风险管理之后,仍然有人问我要实施SANS的前20大关键控制列表中的哪些控制。据我所知,最认真的计算机安全专家都期待SANSTop20的每一次更新以及随之而来的推动。它包含非常好的计算机安全防御建议,但与任何清单一样,您无法同时完美地完成几件事。以下是关于首先实施哪些控制的建议,但首先让我提供一些SANS清单的历史。现在是CIS控制几年前,SANS将前20名的列表交给了互联网安全中心(CIS),现在称为CIS关键安全控制。CIS是另一个备受尊敬的非营利性计算机安全组织,已经存在了几十年。他们可能以其发布的操作系统最佳实践安全建议和基准而闻名。如果您希望独立的非政府实体就MicrosoftWindows系统的安全性提供建议,那么CIS适合您。SANS名单以TonySager开头如果您了解它的历史,那么CIS进入SANS前20名也就不足为奇了。该名单以CIS高级副总裁兼首席布道师TonySager开头。Tony最出名的可能是他的IntheDarkness讲座系列,在该系列讲座中,他认为信息过载是阻碍提高计算机安全性的主要问题之一。托尼是一个聪明、有思想的人,他在国家安全局工作了34年,致力于提高计算机安全性。大多数人只认为国家安全局是间谍活动的代名词,但他们也有责任通过帮助我们建立和实施更好的防御来保护我们的国家。对于最后一个目标,托尼是主角之一。他领导了NSA的首批“蓝队”之一,并最终成为NSA漏洞分析和运营计划的主要负责人。“我可能是少数几个可以说我的整个职业生涯都在国家安全局的国防部门度过的人之一,”托尼告诉我。“我比任何人都更了解系统是如何失败的。我能够了解一个国家为入侵另一个国家所做的事情,他们是如何做到的,为什么他们无法阻止他们,以及在保护计算机方面哪些有效,哪些无效。托尼说,最初的清单来自他和其他几个人,他们有一天被困在一个房间里,试图一起找出一个小清单。“我们不想要一份可以解决世界上所有问题的清单。“他们想挑选一些他们都同意的项目作为对任何希望保护他们的计算机和网络的人的最佳建议。在一天结束时,他们想出了一个最终成长为十个控制的短名单......他们对它进行了同行评审,托尼最终将他的名单发送给了五角大楼,用他的话来说,“这是一种善意的表现。”他很惊讶地看到他的名单名列前茅并赢得了信任。托尼从SANS因为SANS与政府之间的密切工作关系,他打电话询问SANS是否可以拿下这份清单,教授它并推广它。Tony很激动。天哪,SANS得到了它,并带来了Go。多年来,前10名变成了前20名。它成为认真的计算机安全专业人员用来保护他们的环境的清单。最终,SANS和Tony争辩说,根据安全指南的标准,已经成为事实上的全球性的东西没有错,正确的做法是将其转交给非营利组织组织。所以,它从国家安全局到五角大楼,从国家安全局到独联体。因此,几十年后,托尼的名单上有一个组织,托尼参与其中以确保安全。以上是前20个控件的简要历史,现在让我们回到您应该首先实施的控件。CISTop20控制的前五个CIS的Top20安全控制应该全部实施。无一不应该尽快考虑和实施。它们确实是每个计算机安全程序应该具备的最低限度。话虽如此,您最初也必须从某个地方开始。这是我的前5项检查清单:实施安全意识和培训计划持续的漏洞管理控制管理权限的使用审计日志维护、监控和分析事件响应和管理1.根据Verizon的说法,实施高达90%的安全意识和培训计划2019年数据泄露调查报告指出,恶意数据泄露是由网络钓鱼和社会工程学引起的。仅此一项就使第一个控件无用。对于许多攻击类型,您可以结合使用技术控制(例如,防火墙、反恶意软件、反垃圾邮件、反网络钓鱼、内容过滤)和培训来防御它们。无论您使用何种技术控制,一些网络钓鱼最终都会传递给最终用户。这就是为什么您要教会所有用户如何识别恶意软件以及当他们看到恶意软件时该怎么做。您如何进行安全意识培训取决于您,但教育应该每年进行多次,并且每个季度必须不止一次。不频繁的培训无助于降低风险。2.持续的漏洞管理未打补丁的软件占所有成功数据泄露事件的20%到40%,使其成为组织被成功入侵的第二大常见原因。漏洞管理绝对应该是您的第二要务。这意味着不仅要扫描环境中的漏洞和缺失的补丁,还要尽可能地自动打补丁。需要修补什么?在去年披露的16,555个单独漏洞中,只有不到2%被用于危害组织。几乎所有这些攻击都利用非托管代码,这是预测软件漏洞是否会被用来攻击组织的最佳预测指标。如果一个漏洞没有在公共领域列出,它的重要性就会降低。其次,众所周知,客户端漏洞攻击最严重的是浏览器和浏览器插件,其次是操作系统漏洞。在服务器端,漏洞主要与Web服务器软件、数据库和服务器管理有关。是的,其他类型的软件也可能受到攻击,但上述这些类别是迄今为止最容易受到攻击的。从主动为这些类型的软件程序打补丁开始,您的计算机安全风险将大大降低。3.控制管理权限的使用尽量减少管理帐户的数量并以高安全性保护它们是明智的。大多数试图闯入您的环境的不良行为者都会在初始利用后将提升帐户权限作为他们的首要任务,这样他们就可以造成最大的破坏。您不经常使用的每个管理帐户都是攻击者的目标。减少任何高权限组的成员数量需要对所有升级帐户进行多因素身份验证滥用?请阻止坏人获得管理员权限。4.审计日志的维护、监控和分析Verizon的数据泄露调查报告得出结论,恶意入侵的证据存在于大多数安全日志中,如果组织能够分析他们的日志,则可以将损害降到最低。我明白收集和分析日志并不容易。它需要收集数以亿计的事件,其中大部分似乎都不是恶意的,它正在大海捞针。这就是为什么您需要一个顶级的事件日志系统来为您聚合和分析日志。一个好的安全信息事件管理(SIEM)系统应该为您完成所有艰苦的工作。您需要做的就是响应指示的可疑事件并修改和训练系统以最大程度地减少误报和漏报。5.事件响应和管理无论你做什么,人们都会突破你的防御。从来没有完美的防御,所以尽可能为失败做好准备。这意味着开发有效的事件响应人员、工具和流程。事件响应的调查和补救措施越好越快,对环境造成的破坏就越小。对于您应该实施的前5名安全控制(例如电子邮件和浏览器控制),还有许多其他强有力的竞争者,但我会把这些放在任何人的安全控制列表的首位。有些控制并不像许多人想象的那么有用,例如网络访问控制和密码策略。人们花在这两个控件上的每一分钟都值得他们花在更大问题上的每一分钟。最后一点:最常见的根攻击(社会工程和未打补丁的软件)是自计算机发明以来最常见的攻击类型。我们需要做什么来对抗它们也没有太大变化。我们只需要关注少数玩家并减少他们的影响力。
