行業(yè)動(dòng)態(tài)
首先應(yīng)該實(shí)現(xiàn)的5個(gè)CIS安全控制 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2019-10-21 瀏覽次數(shù): |
信息來源:企業(yè)網(wǎng)D1Net CIS關(guān)鍵安全控制清單(之前稱為SANS的20大關(guān)鍵控制)一直是安全防御建議的黃金標(biāo)準(zhǔn)。這些是你應(yīng)該首先完成的任務(wù)。
大多數(shù)公司都沒有正確評(píng)估計(jì)算機(jī)的安全風(fēng)險(xiǎn),最終導(dǎo)致了安全控制與其最大風(fēng)險(xiǎn)的不一致。這里有我的以數(shù)據(jù)驅(qū)動(dòng)計(jì)算機(jī)安全防御為主題的書籍。許多安全專家都知道這一點(diǎn),這就是為什么在我多次談?wù)擄L(fēng)險(xiǎn)管理之后,我仍然會(huì)被問及要從SANS的前20大關(guān)鍵控制清單中實(shí)施哪些控制。
據(jù)我所知,最嚴(yán)肅的計(jì)算機(jī)安全專業(yè)人士都期待著SANS Top 20的每一次更新以及隨之而來的推送。它包含了非常好的計(jì)算機(jī)安全防御建議,但是和任何行動(dòng)清單一樣,你不可能一次性完美地完成幾件事情。下面是關(guān)于首先要執(zhí)行哪些控制的建議,但首先讓我先來提供一些SANS清單的歷史。
現(xiàn)在是CIS控制
SANS幾年前將Top 20清單交給了互聯(lián)網(wǎng)安全中心(CIS),現(xiàn)在它被稱為了CIS關(guān)鍵安全控制。CIS是另一個(gè)備受尊敬的非營(yíng)利計(jì)算機(jī)安全組織,已有幾十年的歷史。他們最出名的可能是其發(fā)布的操作系統(tǒng)最佳實(shí)踐安全建議和基準(zhǔn)。如果你想要一個(gè)獨(dú)立的、非政府的實(shí)體對(duì)微軟Windows系統(tǒng)的安全性提出建議,那么CIS就是您的選擇。
SANS清單始于Tony Sager
如果你知道它的歷史,那么CIS獲得SANS的Top 20清單就不會(huì)令人驚訝了。該清單是從CIS高級(jí)副總裁兼首席福音傳道者Tony Sager開始的。Tony最有名的可能就是他的迷霧重重系列講座,他認(rèn)為信息過載是阻礙更好的計(jì)算機(jī)安全的主要問題之一。
Tony是一個(gè)聰明、有思想的人,他在國(guó)家安全局工作了34年,一直致力于提高計(jì)算機(jī)安全。大多數(shù)人只認(rèn)為國(guó)家安全局就是間諜的代名詞,但他們也有責(zé)任通過幫助我們建立和實(shí)施更好的防御來保護(hù)我們的國(guó)家。為了最后一個(gè)目標(biāo),Tony就是主要人物之一。他領(lǐng)導(dǎo)了國(guó)家安全局首批的“藍(lán)隊(duì)”之一,并最終成為了國(guó)家安全局漏洞分析和操作項(xiàng)目的首席領(lǐng)導(dǎo)。
“我可能是少數(shù)幾個(gè)可以說自己的整個(gè)職業(yè)生涯都是在國(guó)安局的國(guó)防部門度過的人之一,”Tony告訴我?!拔冶热魏稳硕几私庀到y(tǒng)是如何失敗的。我能夠從一個(gè)國(guó)家入侵另一個(gè)國(guó)家所做的事情中,了解他們是如何做到的,以及為什么沒有能夠阻止他們,從這兩個(gè)角度可以看到什么在保護(hù)計(jì)算機(jī)方面起了作用,什么沒有起作用?!?
Tony說,最初的清單來自他和其他的幾個(gè)人,有一天他們被困在一個(gè)房間里,試圖一起找出一個(gè)小清單?!拔覀儾幌胍环菽芙鉀Q世界上所有問題的清單?!彼麄兿胩暨x一些他們都同意的項(xiàng)目,作為他們對(duì)任何想要保護(hù)自己電腦和網(wǎng)絡(luò)的人的最佳建議。一天結(jié)束時(shí),他們拿出了一份簡(jiǎn)短的清單,最終發(fā)展成了十個(gè)控制。他們對(duì)其進(jìn)行了同行評(píng)審,Tony最終將他的清單發(fā)送給了五角大樓,用他的話說是,“作為一種友好的姿態(tài)”。
他驚訝地看到他的清單最終脫穎而出了,并贏得了信任。由于SANS與政府的密切合作關(guān)系,Tony認(rèn)識(shí)SANS的Allen Paller,他打電話問SANS能否接受這份清單,教授它,并推廣它。Tony很激動(dòng)。天哪,SANS拿到了它,帶著它走了。這些年來,Top 10變成了Top 20。它成為了嚴(yán)肅的計(jì)算機(jī)安全專業(yè)人員用來保護(hù)他們環(huán)境的清單。
最終,SANS和Tony認(rèn)為,對(duì)于這份已經(jīng)成為事實(shí)上的全球性安全指南的標(biāo)準(zhǔn)來說,正確的做法是將其轉(zhuǎn)交給非營(yíng)利組織。所以,它從國(guó)家安全局到了五角大樓,又從國(guó)家安全局來到了CIS。所以,幾十年后,Tony的清單有了一個(gè)組織,Tony也參與其中以確保安全。
這是Top 20控制的簡(jiǎn)要?dú)v史,現(xiàn)在讓我們回到您應(yīng)該首先實(shí)現(xiàn)的控制上來。
CIS Top 20控制中的前五項(xiàng)
CIS的Top 20安全控制都應(yīng)該被實(shí)現(xiàn)。沒有一個(gè)是不應(yīng)該盡快考慮和實(shí)施的。它們確實(shí)是每個(gè)計(jì)算機(jī)安全程序都應(yīng)該擁有的最低限度。話雖如此,你也必須從某個(gè)最初的地方開始。
以下是我的Top 5清單:
?實(shí)施安全意識(shí)和培訓(xùn)計(jì)劃
?持續(xù)的漏洞管理
?控制管理權(quán)限的使用
?審核日志的維護(hù)、監(jiān)控和分析
?事件響應(yīng)和管理
實(shí)施安全意識(shí)和培訓(xùn)計(jì)劃
根據(jù)Verizon的2019年數(shù)據(jù)泄露調(diào)查報(bào)告,高達(dá)90%的惡意數(shù)據(jù)泄露是由網(wǎng)絡(luò)釣魚和社會(huì)學(xué)工程造成的。僅此一點(diǎn)就使得第一條控制變得形同虛設(shè)了。與許多攻擊類型一樣,您可以使用技術(shù)控制(例如,防火墻、反惡意軟件、反垃圾郵件、反網(wǎng)絡(luò)釣魚、內(nèi)容過濾)和培訓(xùn)相結(jié)合的方式來進(jìn)行防御。
無論您使用什么樣的技術(shù)控制,一些網(wǎng)絡(luò)釣魚最終都會(huì)傳遞給最終用戶。這就是為什么你要教所有的用戶如何識(shí)別惡意,以及當(dāng)他們看到惡意時(shí)應(yīng)該怎么做的原因。如何進(jìn)行安全意識(shí)培訓(xùn)由您自己決定,但教育應(yīng)該一年進(jìn)行多次,每季度都必須有一次以上。低頻率的培訓(xùn)無助于降低風(fēng)險(xiǎn)。
持續(xù)的漏洞管理
未打補(bǔ)丁的軟件在所有成功的數(shù)據(jù)泄露事件中占到了20%到40%,這使它成為了組織成功被入侵的第二大常見原因。漏洞管理絕對(duì)應(yīng)該是你的第二個(gè)優(yōu)先事項(xiàng)。這不僅意味著需要掃描環(huán)境中的漏洞和缺失補(bǔ)丁,還要盡可能地自動(dòng)化修補(bǔ)程序。
需要修補(bǔ)什么?在去年公布的16555個(gè)單獨(dú)的漏洞中,只有不到2%的漏洞被用于危害某個(gè)組織。幾乎所有這些人都利用了無人管理的代碼,這是軟件漏洞是否會(huì)被用來攻擊組織的最佳預(yù)測(cè)。如果公共領(lǐng)域中沒有列出一個(gè)漏洞,就可以降低其重要性。
其次,我們都知道受攻擊最嚴(yán)重的客戶端漏洞是瀏覽器和瀏覽器加載項(xiàng),其次是操作系統(tǒng)漏洞。在服務(wù)器端,漏洞主要與網(wǎng)絡(luò)服務(wù)器軟件、數(shù)據(jù)庫和服務(wù)器管理有關(guān)。是的,其他類型的軟件也可能會(huì)受到攻擊,但以上這些類別是迄今為止最容易受到攻擊的類型。從積極修補(bǔ)這些類型的軟件程序開始,您的計(jì)算機(jī)安全風(fēng)險(xiǎn)將大幅下降。
控制管理權(quán)限的使用
最大限度地減少管理帳戶的數(shù)量并使用高安全性來保護(hù)管理帳戶是明智之舉。大多數(shù)試圖闖入你的環(huán)境的不良行為會(huì)在最初的利用后把提升賬戶權(quán)限作為第一要?jiǎng)?wù),這樣他們就可以造成最大的損害。對(duì)于攻擊者來說,你沒有和不經(jīng)常使用的每個(gè)管理帳戶都是一個(gè)目標(biāo)。
?減少任何高權(quán)限組的成員數(shù)量
?要求所有升級(jí)的賬戶使用多因素身份驗(yàn)證登錄
?要求檢查提高權(quán)限的憑證
?提權(quán)時(shí)間的限制
?大量記錄此類使用和登錄
想阻止對(duì)您的計(jì)算機(jī)和網(wǎng)絡(luò)的最嚴(yán)重的惡意濫用嗎?請(qǐng)阻止壞人獲得管理員權(quán)限。
審計(jì)日志的維護(hù)、監(jiān)控和分析
Verizon的數(shù)據(jù)泄露調(diào)查報(bào)告得出結(jié)論,大多數(shù)安全日志中都存在惡意入侵的證據(jù),如果組織能夠分析他們的日志,由此造成的損害就可能會(huì)最小化。我明白,收集和分析日志并不容易。它需要收集數(shù)以億計(jì)的事件,其中的大多數(shù)并沒有表現(xiàn)出惡意,這是在大海撈針。
這就是為什么您需要一個(gè)頂級(jí)的事件記錄系統(tǒng)來為您聚合和分析日志。一個(gè)好的安全信息事件管理(SIEM)系統(tǒng)應(yīng)該可以為你做好所有的艱苦工作。您所需要做的就是響應(yīng)指示的可疑事件,并修改和訓(xùn)練系統(tǒng),以最大限度地減少誤報(bào)和漏報(bào)。
事件響應(yīng)和管理
無論你做什么,都會(huì)有人通過你的防御。從來沒有完美的防守,所以要盡你所能做好失敗的計(jì)劃。這意味著需要開發(fā)有效的事件響應(yīng)人員、工具和流程。事件響應(yīng)的調(diào)查和補(bǔ)救越好、越快,對(duì)環(huán)境造成的損害就會(huì)越小。
對(duì)于您應(yīng)該實(shí)現(xiàn)的Top 5安全控制(如電子郵件和瀏覽器控件),還有許多其他強(qiáng)有力的競(jìng)爭(zhēng)者,但這些才是我會(huì)放在任何人的安全控制清單最前面的。一些控制并不像許多人所想的那么有幫助,比如網(wǎng)絡(luò)訪問控制和密碼策略。人們花在這兩個(gè)控制上的每一分鐘都不如花在更大問題上的時(shí)間。
最后一點(diǎn):最常見的root漏洞利用(社會(huì)工程和未修補(bǔ)軟件)是自計(jì)算機(jī)發(fā)明以來最常見的攻擊類型。我們需要做的用來對(duì)抗他們的事情也沒有太大的改變。我們只需要把注意力集中在少數(shù)玩家身上,并減少他們的影響。 |
下一篇:存在至少 4 年的 Linux 漏洞被發(fā)現(xiàn):可通過 WiFi 攻擊目標(biāo)計(jì)算機(jī) |