暂时忘掉治理吧, 体系结构, 并根据500页的手册实施一个复杂的安全框架. 如果你想知道你的组织应该从哪里开始保护自己免受网络威胁, 看看互联网安全中心(CIS) 20大控制措施(CT20)就知道了。.

我也是NIST网络安全框架(CSF)的粉丝. 同时使用CSF和CT20很有意义, 但如果你必须选择一个名单，那就选择前20名吧. 这是为什么.

1. CT20在阐述每个主要控制措施应该实施的保障措施方面做得非常出色.

其他出版物更具战略性、高层次和自上而下的重点. 例如COBIT 5, 美国注册会计师协会新网络安全风险管理考试(CRME), NIST脑脊液, FFIEC等等. 还有一些大型指南，比如NIST 800-53和ISO 27001/2. 这些都没有做到CIS所做的，因为它们没有告诉你 具体执行什么，以什么顺序执行 根据优先排序的原则(i.e. 以最少的安全措施(基于真实世界的攻击和破坏)减少最大的风险。, 强调测量的同时, 指标, 持续的缓解, 和自动化. 记住，一个组织不可能一次完成所有的事情，也不应该. 你有宝贵的资源，你必须明智地使用它们.

2. CT20实际上符合一个有安全意识的大脑的思维.

最后, 一本能引起我共鸣的出版物, 这与我的思考过程是一致的，因为我试图帮助组织了解如何考虑网络安全. 对于我们这些安全人员来说，情况往往是一样的, 我们是否咨询, 在内部管理, 甚至作为ODAA的一部分戴上安全帽(其他分配的职责). 我们需要促进一种安全文化，同时在最需要的地方实施保障措施. CT20告诉我们地点和方式. 让我解释一下.

当有人告诉我他们需要安全方面的帮助，不管是具体的资产还是 一切，我问的第一件事是:“你做什么?.e. 你的组织吗??以及“您的所有IT资产是什么??“字面上的, 请给我一张你拥有的所有东西的清单, 管理, 或者其他用途, 加上所有直接连接到你网络的东西, 包括任何第三方端点和集成. 猜猜有多少次回答是:“当然，给你。.“零. 实际上从来没有发生过. 好吧，可能有一两次吧. 这是个问题.

问题可以简单地说:你无法保护你不知道存在的东西. 期. 如果你的房子里有一个漏水的管道，而你不知道它在那里, 你最终会受到霉菌或水的损害. 如果你有一个不安全的或下落不明的资产，它就是一个潜在的攻击媒介. 那么CT20对这一切有什么要说的呢? 让我们来看看CT20的基本控件(1-6)，并确切地看到 为什么 我们得先做这些.

控制项1和2

这些都是关于硬件和软件的库存. 发现一切. 建立数据库. 验证没有未经授权的端点连接到您的计算环境. 辨别是否有任何不需要的或未经批准的软件安装、运行或存储(便携式) .Exe). 确保支持最新的软件版本.  对任何高风险系统进行补偿控制, 例如与其他网段隔离, 或者在它们面前放置额外的身份验证机制. 许多组织努力掌握C1和C2，只能达到部分实现状态. 现在, 我个人认为部分总比什么都没有好, 但是，当涉及到it资产管理的最基本的基础时，我们真的想成为不精通的人吗? 不，当然不是. 现在比以往任何时候都更需要全面实施基本的安全措施. 一旦你明白你拥有什么，你就会开始保护它.

控制项3和5

这些描述了持续的漏洞监控(扫描和报告)和安全配置, 分别. C3对C1和C2有很大的帮助, 如果没有C5，你的用户的主要资产就只是在等待 玩弄了, 因此，这四个控制确实建立了活动的基础，这些活动必须在您的组织中永远进行，以保持控制. 控制的概念给我们带来了访问和监控.

控制项4和6

控件4和6分别讨论了日志的管理访问和监视/分析. 我的天啊, 人们发现可怕的访问管理实践正在发生的次数是如此之多, 人类的大脑甚至无法处理它. 好吧，也许不是 那。 很大，但老实说，这种事发生得太频繁了. C4的重点是保护管理访问，因为在理想情况下，如果非特权用户无法获得对特权权限的未经授权访问，那么他们造成的危害要小得多.

C4促进特定控制, 例如多因素身份验证(MFA), 使用专用帐户, 诸如此类. 我们都知道，获得管理权限就像成为计算机世界的超人(或者是漫画爱好者的超人)。, 所以我们当然要保护这个特殊的通道. 无需详细说明. 但如果有人获得了未经授权的访问权限，不管是否有特权，会发生什么?

3. 监控情况.

或者至少应该如此. 安全研究人员最近(2018年)发表了几篇文章，声称任何网络都可以被渗透, 他们中的许多人都很能干, 熟练的团队.  这对企业领导意味着:您需要密切关注您的计算环境，寻找未经授权活动的迹象，并对相关数据进行持续分析, 大部分都是原木. 你必须全天候全天候地观察. 你不能让人在开车时打瞌睡, 出去度几天假, 或者简单地说, “是的，我很快就看了, 没看到多少.” 错误的答案. 当今世界，成功的网络入侵无处不在，检测是应对的关键. 当然，你必须能够做出回应，但这是另一天的话题.

所以，你得到了它. 在庞大的网络安全世界里，有很多可能的检测方法, 保护, 和响应, 你应该从CT20 Basic 6开始，因为它们会给你带来最大的实惠. 我所说的“你的钱”指的是你必须投入到网络风险管理活动中的资源和投资. 就总拥有成本(TCO)而言，此类投资可能相当可观。, 因此，你应该在降低风险的基础上明智地投资. 还好有人帮你做了繁重的工作.

CT20增值.

有关于这个话题的问题，请联系作者Albie Swartz aswartz@4ugod.com.