为什么独联体前20名安全控制清单是正确的,你应该遵循它

作者:Albie Swartz, IT风险咨询高级经理 & 安全

亚伦克尔

导演

为什么独联体前20名安全控制清单是正确的,你应该遵循它

在几分钟内忘掉治理, 体系结构, 并基于500页的手册实现一个复杂的安全框架. 如果你想知道你的组织应该从哪里开始保护自己免受网络威胁, 只要看看互联网安全中心(CIS)前20名控制(CT20)就知道了.

我也是NIST网络安全框架(CSF)的粉丝. 同时使用CSF和CT20很有意义, 但如果你一定要选一张,那就选前20名吧. 这是为什么.

1. 《新万博app下载》出色地阐述了每项主要管制应实施的保障措施.

其他出版物更具有战略性、高级别和自上而下的重点. 例如COBIT 5, AICPA新的网络安全风险管理考试(CRME), NIST脑脊液, FFIEC等等. 还有一些超级指南,比如NIST 800-53和ISO 27001/2. 这些国家都没有做CIS做过的事情,因为他们不会告诉你 具体要实现什么,按什么顺序 根据优先顺序原则(i.e. 基于真实世界的攻击和漏洞,用最少的保护措施降低最大的风险), 同时强调测量, 指标, 持续的缓解, 和自动化. 记住,一个组织不能同时做所有的事情,它也不应该这样做. 你拥有宝贵的资源,在使用它们的时候一定要谨慎.

2. CT20实际上符合注重安全的大脑的想法.

最后, 一本引起我共鸣的出版物, 与我的思维过程一致,因为我试图帮助教育组织如何思考网络安全. 对于许多从事安全工作的美国人来说,情况往往是一样的, 我们是否咨询, 在内部管理, 或甚至作为ODAA的一部分戴上安全帽(其他分配的职责). 我们需要促进一种安全文化,同时在最需要的地方实施保障措施. CT20告诉我们地点和方式. 让我解释一下.

当有人告诉我他们需要安全方面的帮助,不管是具体的资产还是 一切,我问的第一件事是,“你(我)做什么?.e. 你的组织)?以及“您所有的IT资产是什么??“字面上的, 请把你所拥有的一切列个清单给我, 管理, 或以其他方式使用, 还有所有直接与你的网络相连的东西, 包括任何第三方端点和集成. 猜猜有多少次他们的回答是,“当然,给你.“零. 实际上从来没有发生过. 好吧,也许有一两次吧. 这是个问题.

问题可以简单地说:你不能保护你不知道存在的东西. 期. 如果你家里某处有一个漏水的管道,而你不知道它在那里, 你最终会发霉或被水损坏. 如果你有一个不安全或下落不明的资产,那就是一个潜在的攻击载体. 那么CT20对这一切有什么要说的呢? 让我们看看《新万博app下载》的基本控制(1-6) 为什么 我们必须先做这些.

控制1和2

这些都是关于硬件和软件的库存. 发现一切. 建立一个数据库. 验证没有未经授权的端点连接到您的计算环境. 识别是否有任何不希望的或未经批准的软件安装、运行或存储(可移植的) .Exe). 确保软件版本被支持并且是最新的.  在任何高风险系统周围设置补偿控制, 例如将它们与其他网段隔离, 或者在它们前面放置一个额外的身份验证机制. 许多组织努力掌握C1和C2,只获得部分实现状态. 现在, 我个人认为偏心总比什么都没有好, 但当涉及到it资产管理的最基本基础时,我们真的想成为什么都不懂的大师吗? 不,当然不是. 现在完全实现基本安全实践的需求比以往任何时候都要大. 一旦你明白你拥有什么,你就会开始保护它.

控件3和5

这些描述了持续的漏洞监视(扫描和报告)和安全配置, 分别. C3将会极大地通知C1和C2, 如果没有C5,你的用户的主要资产就只是在等待 玩弄了, 所以这四种控制建立了活动的基础,这些活动必须在你的组织中永远持续下去,以保持控制. 控制的概念让我们想到了访问和监控.

控制4和6

控件4和6分别讨论了日志的管理访问和监视/分析. 我的天啊, 人们发现可怕的访问管理实践发生的次数是如此之多, 人类的大脑甚至无法处理它. 好吧,也许不是  很大,但说实话,这种事太常见了. C4着重于保护管理访问,因为在理想情况下,如果没有特权的用户无法获得特权权限的未授权访问,那么他们所造成的危害要小得多.

C4促进特定控制, 例如多因素身份验证(MFA), 使用专用账户, 等等. 我们都知道,获得管理员权限就像成为计算机世界的超人(或者对漫画爱好者来说,可能是一项高于一切), 所以我们当然要保护这个特殊通道. 无需详细说明. 但如果有人获得了未经授权的访问,不管是否有特权?

3. 监控情况.

或者至少应该如此. 最近(2018年),安全研究人员发表了几篇文章,声称任何网络都可以被渗透, 他们中的许多人琐细地胜任了, 熟练的团队.  这对业务领导人意味着:您需要非常密切地观察计算环境,以寻找未授权活动的迹象,并对相关数据进行持续分析, 大部分都是日志. 你得一直看,每时每刻都要看. 你不能让任何人在开车时打瞌睡, 出去度假几天, 或者简单地说, “是的,我看得很快, 没有看到太多.” 错误的答案. 在我们周围成功的入侵事件不断发生的世界里,检测是应对的关键. 当然,你必须能够回应,但那是另一个话题了.

好了,就这样了. 在浩瀚的网络安全宇宙中,有各种可能的检测方法, 保护, 和响应, 你应该从CT20 Basic 6开始,因为它们能给你最大的回报. 通过“你的钱”,我是指回资源和投资,你将不得不承诺网络风险管理活动. 就总拥有成本(TCO)而言,这种投资是相当可观的。, 因此,你应该在降低风险的基础上明智地投资. 还好有人帮了你.

CT20增值.

有问题,请联系作者Albie Swartz aswartz@www.4ugod.com.

从亚伦

更多的 它的风险咨询 & 安全

相关案例研究