CIS-CAT 配置评估工具介绍及操作实践

作者:Sender  来源:WaveCN.com  发布日期:2022-05-11  最后修改日期:2022-05-11

什么是CIS-CAT?

  CIS配置评估工具(Configuration Assessment Tool,CAT)是一种配置评估工具,能将目标系统的配置与推荐的安全配置以机器可读内容的格式进行比较。CIS-CAT工具支持符合安全内容自动化协议(Security Content Automation Protocol,SCAP)格式定义的安全配置内容。

  CIS-CAT设计为针对CIS基准(CIS Benchmark)建议配置的主要评估手段。在完成评估后,该工具提供评分范围从0到100的一致性结果报告。详细的输出报告能对每项CIS基准的建议提供如何补救的指导作用。

CIS-CAT 包括有:

  • CIS-CAT Lite:免费版本。只生成HTML格式报告,只支持CIS基准评估的一套子集。

  • CIS-CAT Pro Assessor v4:付费版本,需要加入付费会员(CIS SecureSuite Membership)。支持在远程或本地/共享的内部网络上执行评估。

  鉴于CIS-CAT 专业版需要收费,本文主要是关于CIS-CAT Lite版本的介绍。

CIS-CAT Pro v4 是否已经过NIST SCAP验证?

  否。CIS-CAT Pro Assessor v4 是按照NIST SCAP规范构建的,但尚未得到正式验证。CIS计划在2022年进行验证。

  CIS-CAT Pro Assessor v3 是通过了SCAP 1.2验证的,由于将要淘汰,因此仅在2022年内有限提供。

CIS-CAT Pro 和 CIS-CAT Lite 有什么区别?

  CIS-CAT Pro 提供多种评估报告输出格式,比如TXT、CSV、HTML、XML等,能为超过80个CIS基准提供一致性评分。Lite 版本只提供HTML和非常有限的CIS基准评分,即Windows10、Google Chrome浏览器和Ubuntu。

  要获得CIS-CAT Pro,需要以企业组织身份注册成为CIS SecureSuite Member会员,并获得许可证去解锁完整的功能和CIS基准内容。

为了使用CIS-CAT,是否需要购买Java许可证?

  不需要。CIS-CAT支持基于OpenJDK运行。OpenJDK是完全免费的,且具备可靠的支持和安全更新。

  如果工具给出的CIS-CAT报告显示不是100%符合要求,该怎么办?

  什么才是“及格”的分数,实际取决于企业组织的要求和政策。如果企业组织能够实现所有的安全设置,而不会对业务应用或最终用户产生负面影响,那么就应该实现所有这些安全设置。但对于某些企业组织来说,要成功地实现每一个安全设置可能并不现实。这一点,可以参见CIS-RAM风险评估方法的相关内容:

CIS RAM 风险评估方法核心内容5篇目录归集及常见问题

  在CIS-CAT报告生成后,以及企业组织也根据自身的需求实施了所有适用的安全建议后,建议企业组织还需要生成一份例外报告,以记录为什么某些建议没有被应用的理由。

什么是CIS CAM 控制措施评估模块(Controls Assessment Module)?

  CIS控制措施评估模块是一种半自动化的方法,可以衡量企业组织在Windows 10和 Windows 服务器环境中对CIS控制实现组IG1的应用情况。它通过综合脚本运行检查和问卷调查来评估这些IG1的子控制措施。CIS CAM运行在CIS-CAT Pro Assessor v4内部,以便利用CIS-CAT Pro的本地和远程评估的能力。

CIS CAM的自动检查是如何工作的?

  自动检查使用PowerShell脚本。在CIS CAM控制措施评估模块v1.0.2中,有13个自动的子控制措施检查。其中一些检查的值可以在评估器属性文件中进行自定义。

  使用人不需要修改操作系统的PowerShell设置就能轻松进行检查。CIS-CAT实际会通过临时绕过执行限制策略的方法去调用PowerShell脚本,但并不会影响系统的PowerShell执行限制策略。基本上不说这些也没啥关系。

CIS CAM的自动检查失败了怎么办?

  自动检查是在比对检查配置上的差别。当碰到这些差别的时候,可以查阅检查项目的“补救”部分,以获得关于检查的详细信息以及如何通过检查。

CIS CAM那些问卷调查有什么意义?

  不是所有的子控制措施都能通过自动化的脚本去检查,因此只能通过询问方式去评估。这些问题或者是输入具体数值,或者只是简单回答是或否(y/n)。

  CIS CAM 的用户指南(CIS Controls Assessment Module User Guide)可以参见:

https://ccpa-docs.readthedocs.io/en/latest/

  接下来,是简单的一个CIS-CAT Lite的运行过程示例,首先需要下载CIS-CAT Lite:

https://learn.cisecurity.org/cis-cat-lite

  这个页面也包括了关于CIS-CAT Lite和CIS-CAT Pro的功能简单比较。

  下载到CIS-CAT Lite 180MB的压缩包后,解压,然后运行其中的 Assessor-GUI.exe:

  一番初始化后,出现如下的界面:

  选择Basic,然后选择具体哪个检查基准:

  选择IG1 Windows 10 完全评估,点击Add按钮,出现交互问答的问题输入:

  在回答完十几条问题后(部分问题太长,对话框会伸展到屏幕之外),选择的内容进入待实施列表:

  点击下一步,选择输出格式:

  确认启动评估:

  正在执行评估:

  评估完成,可以点击查阅报告:

  报告的内容局部,总览:

  具体项目情况:

  项目细节,包括补救说明等:

小结:总体来说,和OpenSCAP检查工具大致是相似的。

本栏目相关
  •  2024-03-05 点评软件供应链安全框架 in-toto 的审计结果
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-08-28 网络攻防中的色彩象征
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-28 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一:总览
  •  2023-01-06 MSSQL数据库自动备份和自动复制转移备份
  • 微信订阅号二维码

    本页网址二维码: