如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之十三：网络监控与防御

　　CIS关键安全控制措施集（CIS Critical Security Controls，CIS Controls）系列介绍文章，本期介绍控制措施13：网络监控与防御。

笔者：国际认证信息系统审计师、软考系统分析师

　　控制措施13：网络监控与防御

　　包含有11个细项，IG1前0项，IG2前6项，IG3全11项。

　　注：之所以IG1是0项，是因为本控制措施的条款都是严重依赖于人的技术能力，因此对于普通企业来说一般缺乏此类成本投入。

　　这11项分别是：

　　13.1 集中化跨企业资产的安全事件警报，以进行日志关联和分析。最佳实践是使用安全信息与事件管理系统（SIEM），系统需要包括供应商定义的事件相关警报。配置了安全相关警报的日志分析平台也满足这一保障要求。

　　13.2 适当时，在企业资产上部署基于主机的入侵检测解决方案。

　　13.3 在适当的企业资产上部署网络入侵检测解决方案。比如使用网络入侵检测系统（NIDS）或等效的云服务提供商（CSP）服务。

　　13.4 在内网网段之间进行流量过滤。

　　13.5 管理和控制通过远程连接方式访问企业资产中的资源。基于以下条件确定访问企业资源行为的量度：是否已安装最新安全软件，资产的配置是否符合企业的安全配置过程，确保操作系统和应用程序已正确更新。

　　13.6 收集网络流量日志以致网络流量，以便从网络设备进行审查和警报。

　　13.7 在适当时，在企业资产上部署基于主机的入侵预防解决方案。例如使用端点检测和响应（EDR）客户端软件，或基于主机的入侵预防系统的代理程序。

　　13.8 在适当时，部署网络入侵预防解决方案。例如使用网络入侵预防系统（NIPS）或等效的云服务提供商（CSP）服务。

　　13.9 部署端口级访问控制。端口级访问控制可使用802.1x协议，或类似的网络访问控制协议，以及证书，并可能同时实现用户以至设备的身份验证。

　　13.10 执行应用程序层的过滤。例如使用代理过滤、应用程序层防火墙（WAF）或网关。

　　13.11 每月或更频繁地调整安全事件警报阈值。

　　控制措施13要求企业建立操作流程和配置工具，以建立和维护全面的网络监控和防御能力，从而应对影响整个企业的网络基础设施和用户基础的安全威胁。

　　大多数企业不需要通过建立安全操作中心（SOC）才能获得安全态势感知。实际工作中，首先要了解关键的业务功能、网络和服务器架构、数据和数据流、供应商服务和业务合作伙伴的连接，以及终端用户的设备和账户。然后通过这些信息去开发实现安全体系结构、技术控制、日志记录、监控和响应过程。

　　这个过程的核心是一个训练有素和有组织的团队，负责实施事故检测、分析和缓解的过程。这些能力应能在企业内部实现或通过顾问、托管服务提供商等进行。

　　企业应考虑网络、企业资产、用户凭据和数据访问活动。技术，在收集和分析所有数据，以及在企业内部和外部监控网络和企业资产方面发挥至关重要的作用。企业应该具备对可能与本地安全技术不一致的云平台的观察预见能力，使能正确评估云平台的安全性。

　　将所有重要的日志转发到分析程序，比如安全信息和事件管理(SIEM)系统，可以从中挖掘分析提取有价值的信息，但这些信息并不能还原出完整的场景。因此，每周进行的日志审查是必要的工作，以便能适时调整阈值和识别异常事件。

　　相关性工具可以使审计日志对后续的人工检查更加有用。但这些工具并不能替代熟练的信息安全人员和系统管理员。即使使用了自动日志分析工具，也经常需要人类的专业知识和直觉来识别和理解攻击。

　　随着这个过程的成熟，企业将能创建、维护和发展起一个知识库，并有助于理解和评估业务风险，开发出内部威胁情报处理能力。

　　威胁情报是指从安全事件和对手那里收集到的TTP，即战术Tactics、技术Techniques和过程Procedures。是用于描述高级持续威胁组织（APT，即国家级黑客）及其攻击的重要指标。

　　为了实现这一点，需要通过态势感知程序定义和评估哪些信息源与检测、报告和处理攻击相关。

　　大多数成熟的企业都可以发展到威胁搜索阶段，即训练有素的员工可以手动检查系统和用户日志、数据流和流量模式，以发现异常情况。

本页网址二维码：