互联网安全中心(简称CIS)控制措施是国际计算机安全领域重要的应用实践标准之一,旨在将风险降低到可接受的水平,以帮助组织应对无处不在的严重网络威胁。在CIS发布的第八版网络安全关键控制措施中,新规结合IT、安全行业,推荐企业开展网络安全建设的关键控制措施从20项减少到18.CIS密钥安全控制的价值CIS密钥安全控制不是针对未经授权的网络攻击或针对某个安全厂商的安全产品而设计的,而是帮助企业防止任何可疑的网络活动的发生。其主要目标是以更具成本效益的方式降低风险,保护企业数据和系统免受黑客、网络攻击和其他在线威胁。CIS关键安全控制设计为非侵入式,不会阻止任何符合公司政策或标准的行为,其关键安全措施可帮助企业按照行业最佳实践维护网络或系统信息资产的机密性和完整性和可用性。CIS关键安全控制对企业用户具有很高的参考价值,因为它们有助于保护企业数据、资源和基础设施。CIS关键安全控制旨在帮助企业实施有效的网络防御系统,包括最新的行业实践,可以在大多数企业的安全系统中轻松实施,无需对其基础设施进行重大改变或投资,并且不会影响正常的业务运营。企业可以通过3个步骤轻松实现CIS关键安全控制:第一步:识别需求企业首先需要确定哪些业务适用于CIS关键安全控制。第二步:设置优先级企业应首先选择一些适合自身需要的关键CIS安全控制措施实施。第3部分:实施和执行CIS的关键安全控制。企业可以定期或在安全系统发生重大变化后持续监控账户和维护流程。18CIS关键安全控制措施第八版CIS控制基准将关键安全控制的数量从20个减少到18个。1.硬件清单和控制监控网络上的所有硬件设备对于企业来说至关重要,确保:只有授权的设备才能访问,并且可以在犯罪分子造成损害之前检测到攻击并断开连接。2.软件盘点和控制为了防止未经授权的软件在资产上运行,企业需要使用软件盘点工具来自动记录所有软件。3、数据保护企业的关键系统和数据必须得到保护,并定期备份。安全团队必须有一个行之有效的方法来实现及时的数据恢复。它可以通过实施CISCSC(关键安全控制)来确保所有数据的传输或存储。得到妥善保护。但是,大多数企业通常在发生违规事件后才考虑其数据和系统安全性。4.硬件和软件的安全配置组织必须建立、维护和实施网络基础设施设备的安全配置。5.账户管理所有内部或托管系统都应具有多因素身份验证,确保所有用户都拥有强大、唯一且定期更改的密码,以防止未知人员未经授权访问敏感数据,至少很重要。虚拟专用网络或远程身份验证等访问控制有助于保护企业网络。6.管理权限的受控访问为了防止攻击者使用管理帐户,企业安全团队必须根据访问权限控制权限,因为拥有服务帐户、管理凭证和足够的密码要求的清单至关重要。7.持续的漏洞管理在安全问题成为实际漏洞之前对其进行检测非常重要。扫描公司网络中的弱点然后快速补救它们是至关重要的。如果安全团队想要获得有效的测试,请密切关注与CISCSC相关的所有安全问题,并及时了解漏洞更新,包括软件更新和补丁。漏洞管理是企业避免黑客攻击或数据泄露的最佳方式。8.审计日志的维护、监控和分析定期检查、维护业务流程和应用程序有助于安全团队分析事件数据、正确解释信息并迅速采取行动。因此,企业安全团队需要确保打开本地日志记录,并将必要的日志安全地传输到中央日志管理系统,以进行持续分析和警报。9.电子邮件和网络浏览器保护企业电子邮件系统和网络浏览器面临许多威胁,为了尽量减少攻击面,必须确保只使用完全受支持的网络浏览器和电子邮件客户端。10.恶意软件防御恶意软件用于各种网络犯罪活动,例如身份盗用和企业间谍活动。企业的防病毒和反恶意软件应集中管理,以持续监控和保护每个工作站和服务器。11、数据恢复能力企业必须保证重要系统和数据的备份,同时需要有快速恢复数据的有效方法。这样,备份可以确保数据安全,并在安全团队在安全事件发生后对数据完整性有疑问时为数据比较提供参考点。12.网络基础设施管理拥有最新的固件和软件等安全措施对于企业网络基础设施设备至关重要,其安全配置(如路由器、移动设备、防火墙和交换机)必须由企业建立、实施和维护。13.网络监控和防御每个企业都必须制定强大、可靠的网络安全策略来检测和防御Internet危险。监控公司网络的外部和内部威胁至关重要,良好的监控工具可以识别错误配置、未经授权的网络设备或可疑活动,而不会对端点资源造成重大负担。14.安全意识和技能培训在当今数字时代,企业员工必须接受网络钓鱼、电话诈骗、假电话等各类网络攻击的教育,以应对各种网络攻击。15.服务提供商管理如今,越来越多的企业使用第三方服务来实现业务功能,例如客户电话服务或信用卡处理。在数据隐私和安全控制方面,拥有服务提供商期望的流程和程序非常重要。16.应用软件安全随着第三方应用程序的激增和网络攻击风险的增加,企业制定管理软件部署和使用的策略非常重要。17.事件响应管理企业制定事件响应计划是非常必要的。企业必须为所有类型的网络威胁做好准备,例如恶意软件和勒索软件、数据泄露、系统中断、冒充公司员工进行的社会工程攻击等。18.渗透测试渗透测试是企业持续安全管理的必要环节。有效的渗透测试计划(如针对应用程序、数据存储和网络设备的渗透测试计划)对于企业评估内部漏洞至关重要。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
