|
|
这些最佳实践最初由 SANS 研究所提出,名为 "SANS 关键控制 ",是各类公司企业不可或缺的安全控制措施。通过采纳这些控制方法,公司企业可防止绝大部分的网络攻击。
有效网络防御的 20 条关键安全控制
对上一版 "20 大安全控制 " 的研究表明,仅仅采纳前 5 条控制措施,就能阻止 85% 的攻击。20 条全部采纳,可阻止 97% 的网络攻击。
这一版的主要目的之一,是要与每套控制措施的工作流保持一致。即便在内容上改动不大的现有控制措施,也在需求顺序方面进行了重新洗牌。每套控制措施都有对评估、基线、缓解和自动化的摘要版介绍。
另外,较之前版,在语言上也做了大幅精简,用语高度抽象,可使这些控制措施应用在更广泛的平台和攻击上。
不过,至于怎样实现这些控制措施,就是看公司的策略和所用工具了。公司企业自己实现起来可能会比较困难,应与其安全供应商合作,听取他们在各种控制措施的 " 自由发挥 " 部分上的建议。
已有控制措施中的大部分都维持了原样,只除了一些冗余要求的整合和用语上的精简。
CIS 20 大关键控制快速浏览
因为能挡住绝大部分攻击,前 5 项基本控制维持不变 ( 顺序上略作调整 ) 。下面我们就来浏览一下这第 7 版的 CIS 控制:
CIS 控制 1:硬件资产库存与控制
对网络上设备的全面了解,是减小公司攻击界面的第一步。持续使用主动和被动资产发现解决方案以监视自身资产库存,并确保所有硬件都有人负责。
CIS 控制 1 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-1-inventory-of-authorized-and-unauthorized-devices/
CIS 控制 2:软件资产库存与控制
首要控制措施中又一个与资产发现有关的,标志着网络盘点是夯实公司系统安全最关键的一步。毕竟,如果不知道自家网络上都有些什么,也就谈不上跟踪这些资产了。
CIS 控制 2 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-2-inventory-of-authorized-and-unauthorized-software/
CIS 控制 3:持续的漏洞管理
定期扫描网络查找漏洞,可在数据泄露切实发生前暴露出安全风险。对公司整个环境进行自动化验证扫描非常重要。
CIS 控制 3 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/security-controls/cis-top-20-critical-security-controls/
CIS 控制 4:控制管理员权限的使用
管理员凭证是网络罪犯的主要目标。幸运的是,可以采取多种方法来保护这些权限,比如维护好管理员账户清单和修改默认口令。
CIS 控制 4 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-4-controlled-privileges/
CIS 控制 5:保护移动设备、笔记本电脑、工作站和服务器上硬软件的配置
利用文件完整性监视 ( FIM ) 跟踪配置文件、主镜像等等。该控制措施满足配置监视系统自动化要求,以便发生偏离已知基线的情况时可以触发安全警报。
CIS 控制 5 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-5-secure-configurations/
CIS 控制 6:维护、监视和分析审计日志
系统日志提供了对网络上所有活动的准确重现。这意味着,如果发生网络安全事件,恰当的日志管理操作可以拿出描述事件所需的全部数据,包括:谁干的,干了什么,在哪儿做的,什么时候做的,怎么做的。
CIS 控制 6 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-6-audit-logs/
CIS 控制 7:电子邮件和 Web 浏览器防护
电子邮件和 Web 浏览器的安全威胁不单单只有网络钓鱼一种。甚至电子邮件图片里的一个像素,都能给网络罪犯带来执行攻击所需的信息。
CIS 控制 7 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-7-email-web-protections/
CIS 控制 8:恶意软件防御
确保你的反病毒工具与你其他安全工具链集成良好。完整实现该控制还意味着保持对命令行审计和 DNS 查询的精确日志。
CIS 控制 8 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-8-malware-defenses/
CIS 控制 9:限制并控制网络端口、协议及服务
实现该条控制措施能帮你减小攻击界面,可采取的策略包括自动化端口扫描和应用防火墙。
CIS 控制 9 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-9-limitation-control-network-ports/
CIS 控制 10:数据恢复功能
你定期自动化备份吗 ? 确保恰当的数据恢复能力有助于免遭勒索软件之类威胁的侵害。
CIS 控制 10 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-10-data-recovery/
CIS 控制 11:安全配置网络设备,比如防火墙、路由器和交换机
有很多方法可以保护网络设备的安全,比如多因子身份验证和加密。
CIS 控制 11 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-11-secure-configuration-network-devices/
CIS 控制 12:边界防御
该条控制处理的是你网络边界上通信的管控方式。可采用基于网络的 IDS 传感器和入侵防御系统实现。
CIS 控制 12 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-12-boundary-defense/
CIS 控制 13:数据保护
名称虽然简单,却是更为复杂和难以实践的控制措施之一,因为盘点敏感信息之类持续的过程要实现数据保护涉及的方面太多了。
CIS 控制 13 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-13-data-protection/
CIS 控制 14:基于 " 有必要才知悉 " 原则进行访问控制
通过加密传输过程中的数据和禁止工作站之间的通信,你可以开始限制数据权限过于宽松时可能出现的安全事件了。
CIS 控制 14 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-14-controlled-access/
CIS 控制 15:无线访问控制
实现该控制的第一步,是统计你网络中的无线接入点。基于此,再深入到缓解所有类型的无线访问风险。
CIS 控制 15 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-15-controlled-access/
CIS 控制 16:账户监视与控制
为防止有效凭证落入黑客之手,你必须设置一套控制身份验证机制的系统。
CIS 控制 16 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-16-account-monitoring/
CIS 控制 17:实现安全意识教育和培训项目
因为不断深化的网络安全技术人才短缺问题,安全培训应成为大多数公司的要务,而且,应是持续的安全培训而不是一次性的走过场。
CIS 控制 17 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-17-awareness-training/
CIS 控制 18:应用软件安全
内部开发的代码应经过静态及动态安全分析之类的安全评估过程审查,发现隐藏的漏洞。
CIS 控制 18 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-18-application-software-security/
CIS 控制 19:事件响应与管理
该控制有助于规划和测试网络安全事件应对计划,防止当事件真的发生时出现忙乱状况。
CIS 控制 19 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-19-incident-response/
CIS 控制 20:渗透测试和红队演练
定期进行渗透测试有助发现漏洞和攻击方法,减小恶意黑客早已利用漏洞渗入而公司浑然不觉的概率。
CIS 控制 20 详情地址:
https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-20-penetration-tests-red-team-exercises/
【本文是 51CTO 专栏作者 "" 李少鹏 "" 的原创文章,转载请通过安全牛(微信公众号 id:gooann-sectv)获取授权】
戳这里,看该作者更多好文
【编辑推荐】
网络攻击新载体:API
5G 网络,如何防止 LTE 网络攻击?
第三次网络攻击浪潮正在袭来,你的信息安全吗?
工业互联网安全受到威胁主要有三点原因
CISO 迈向成功的两大关键因素:领导力和沟通技巧
【责任编辑:赵宁宁 TEL:(010)68476606】
点赞 0
|
|
发表于 2018-9-1 09:29:37
收藏
