信息來源:企業(yè)網(wǎng)D1Net
CIS關鍵安全控制清單(之前稱為SANS的20大關鍵控制)一直是安全防御建議的黃金標準����。這些是你應該首先完成的任務。
大多數(shù)公司都沒有正確評估計算機的安全風險�����,最終導致了安全控制與其最大風險的不一致�����。這里有我的以數(shù)據(jù)驅動計算機安全防御為主題的書籍�����。許多安全專家都知道這一點�,這就是為什么在我多次談論風險管理之后,我仍然會被問及要從SANS的前20大關鍵控制清單中實施哪些控制��。
據(jù)我所知���,最嚴肅的計算機安全專業(yè)人士都期待著SANS Top 20的每一次更新以及隨之而來的推送。它包含了非常好的計算機安全防御建議��,但是和任何行動清單一樣�����,你不可能一次性完美地完成幾件事情。下面是關于首先要執(zhí)行哪些控制的建議�,但首先讓我先來提供一些SANS清單的歷史。
現(xiàn)在是CIS控制
SANS幾年前將Top 20清單交給了互聯(lián)網(wǎng)安全中心(CIS)����,現(xiàn)在它被稱為了CIS關鍵安全控制。CIS是另一個備受尊敬的非營利計算機安全組織����,已有幾十年的歷史。他們最出名的可能是其發(fā)布的操作系統(tǒng)最佳實踐安全建議和基準��。如果你想要一個獨立的����、非政府的實體對微軟Windows系統(tǒng)的安全性提出建議,那么CIS就是您的選擇���。
SANS清單始于Tony Sager
如果你知道它的歷史�,那么CIS獲得SANS的Top 20清單就不會令人驚訝了���。該清單是從CIS高級副總裁兼首席福音傳道者Tony Sager開始的��。Tony最有名的可能就是他的迷霧重重系列講座��,他認為信息過載是阻礙更好的計算機安全的主要問題之一���。
Tony是一個聰明����、有思想的人��,他在國家安全局工作了34年���,一直致力于提高計算機安全���。大多數(shù)人只認為國家安全局就是間諜的代名詞,但他們也有責任通過幫助我們建立和實施更好的防御來保護我們的國家�����。為了最后一個目標�,Tony就是主要人物之一���。他領導了國家安全局首批的“藍隊”之一�����,并最終成為了國家安全局漏洞分析和操作項目的首席領導�����。
“我可能是少數(shù)幾個可以說自己的整個職業(yè)生涯都是在國安局的國防部門度過的人之一����,”Tony告訴我?���!拔冶热魏稳硕几私庀到y(tǒng)是如何失敗的。我能夠從一個國家入侵另一個國家所做的事情中��,了解他們是如何做到的��,以及為什么沒有能夠阻止他們���,從這兩個角度可以看到什么在保護計算機方面起了作用��,什么沒有起作用�?!?
Tony說���,最初的清單來自他和其他的幾個人,有一天他們被困在一個房間里���,試圖一起找出一個小清單���。“我們不想要一份能解決世界上所有問題的清單�。”他們想挑選一些他們都同意的項目�����,作為他們對任何想要保護自己電腦和網(wǎng)絡的人的最佳建議��。一天結束時����,他們拿出了一份簡短的清單,最終發(fā)展成了十個控制��。他們對其進行了同行評審���,Tony最終將他的清單發(fā)送給了五角大樓���,用他的話說是,“作為一種友好的姿態(tài)”�。
他驚訝地看到他的清單最終脫穎而出了,并贏得了信任���。由于SANS與政府的密切合作關系����,Tony認識SANS的Allen Paller��,他打電話問SANS能否接受這份清單�,教授它,并推廣它����。Tony很激動。天哪�����,SANS拿到了它���,帶著它走了��。這些年來���,Top 10變成了Top 20�。它成為了嚴肅的計算機安全專業(yè)人員用來保護他們環(huán)境的清單��。
最終�����,SANS和Tony認為���,對于這份已經(jīng)成為事實上的全球性安全指南的標準來說���,正確的做法是將其轉交給非營利組織。所以����,它從國家安全局到了五角大樓,又從國家安全局來到了CIS�。所以,幾十年后����,Tony的清單有了一個組織��,Tony也參與其中以確保安全����。
這是Top 20控制的簡要歷史��,現(xiàn)在讓我們回到您應該首先實現(xiàn)的控制上來���。
CIS Top 20控制中的前五項
CIS的Top 20安全控制都應該被實現(xiàn)。沒有一個是不應該盡快考慮和實施的��。它們確實是每個計算機安全程序都應該擁有的最低限度���。話雖如此��,你也必須從某個最初的地方開始�����。
以下是我的Top 5清單:
?實施安全意識和培訓計劃
?持續(xù)的漏洞管理
?控制管理權限的使用
?審核日志的維護����、監(jiān)控和分析
?事件響應和管理
實施安全意識和培訓計劃
根據(jù)Verizon的2019年數(shù)據(jù)泄露調查報告,高達90%的惡意數(shù)據(jù)泄露是由網(wǎng)絡釣魚和社會學工程造成的���。僅此一點就使得第一條控制變得形同虛設了��。與許多攻擊類型一樣�����,您可以使用技術控制(例如�,防火墻��、反惡意軟件����、反垃圾郵件、反網(wǎng)絡釣魚�、內容過濾)和培訓相結合的方式來進行防御。
無論您使用什么樣的技術控制�,一些網(wǎng)絡釣魚最終都會傳遞給最終用戶。這就是為什么你要教所有的用戶如何識別惡意����,以及當他們看到惡意時應該怎么做的原因。如何進行安全意識培訓由您自己決定����,但教育應該一年進行多次�,每季度都必須有一次以上���。低頻率的培訓無助于降低風險����。
持續(xù)的漏洞管理
未打補丁的軟件在所有成功的數(shù)據(jù)泄露事件中占到了20%到40%�����,這使它成為了組織成功被入侵的第二大常見原因���。漏洞管理絕對應該是你的第二個優(yōu)先事項。這不僅意味著需要掃描環(huán)境中的漏洞和缺失補丁���,還要盡可能地自動化修補程序���。
需要修補什么?在去年公布的16555個單獨的漏洞中,只有不到2%的漏洞被用于危害某個組織�����。幾乎所有這些人都利用了無人管理的代碼,這是軟件漏洞是否會被用來攻擊組織的最佳預測��。如果公共領域中沒有列出一個漏洞�,就可以降低其重要性。
其次��,我們都知道受攻擊最嚴重的客戶端漏洞是瀏覽器和瀏覽器加載項��,其次是操作系統(tǒng)漏洞�。在服務器端,漏洞主要與網(wǎng)絡服務器軟件�、數(shù)據(jù)庫和服務器管理有關。是的�����,其他類型的軟件也可能會受到攻擊���,但以上這些類別是迄今為止最容易受到攻擊的類型���。從積極修補這些類型的軟件程序開始,您的計算機安全風險將大幅下降����。
控制管理權限的使用
最大限度地減少管理帳戶的數(shù)量并使用高安全性來保護管理帳戶是明智之舉��。大多數(shù)試圖闖入你的環(huán)境的不良行為會在最初的利用后把提升賬戶權限作為第一要務����,這樣他們就可以造成最大的損害��。對于攻擊者來說�,你沒有和不經(jīng)常使用的每個管理帳戶都是一個目標。
?減少任何高權限組的成員數(shù)量
?要求所有升級的賬戶使用多因素身份驗證登錄
?要求檢查提高權限的憑證
?提權時間的限制
?大量記錄此類使用和登錄
想阻止對您的計算機和網(wǎng)絡的最嚴重的惡意濫用嗎?請阻止壞人獲得管理員權限�����。
審計日志的維護��、監(jiān)控和分析
Verizon的數(shù)據(jù)泄露調查報告得出結論����,大多數(shù)安全日志中都存在惡意入侵的證據(jù)���,如果組織能夠分析他們的日志��,由此造成的損害就可能會最小化�。我明白�,收集和分析日志并不容易�����。它需要收集數(shù)以億計的事件�,其中的大多數(shù)并沒有表現(xiàn)出惡意����,這是在大海撈針。
這就是為什么您需要一個頂級的事件記錄系統(tǒng)來為您聚合和分析日志�����。一個好的安全信息事件管理(SIEM)系統(tǒng)應該可以為你做好所有的艱苦工作����。您所需要做的就是響應指示的可疑事件,并修改和訓練系統(tǒng)�,以最大限度地減少誤報和漏報。
事件響應和管理
無論你做什么��,都會有人通過你的防御���。從來沒有完美的防守����,所以要盡你所能做好失敗的計劃。這意味著需要開發(fā)有效的事件響應人員����、工具和流程。事件響應的調查和補救越好����、越快,對環(huán)境造成的損害就會越小�。
對于您應該實現(xiàn)的Top 5安全控制(如電子郵件和瀏覽器控件),還有許多其他強有力的競爭者�����,但這些才是我會放在任何人的安全控制清單最前面的�����。一些控制并不像許多人所想的那么有幫助�,比如網(wǎng)絡訪問控制和密碼策略���。人們花在這兩個控制上的每一分鐘都不如花在更大問題上的時間�����。
最后一點:最常見的root漏洞利用(社會工程和未修補軟件)是自計算機發(fā)明以來最常見的攻擊類型��。我們需要做的用來對抗他們的事情也沒有太大的改變���。我們只需要把注意力集中在少數(shù)玩家身上�,并減少他們的影響���。
