如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一:总览
笔者:国际认证信息系统审计师、软考系统分析师
继 《从甲方角度介绍“CIS互联网安全中心”》 (点击这里打开微信公众号链接)、 之后,接下来要仔细看看CIS关键安全控制措施集,也就是CIS Critical Security Controls (CIS Controls) 所提供的18个控制措施究竟是什么内容。
CIS关键安全控制措施集是为了减轻对系统和网络的最常见的网络攻击而设计的一套优先安全措施。这些安全措施被对照映射、引用到多种法律、合规监管和政策框架中。当前发展到的第8版,已经专门针对现代的软硬件系统进行了增强。
鉴于现代计算环境的复杂性,牵涉到云计算、虚拟化、移动计算、服务外包、居家工作等等因素,CIS关键安全控制措施集以这些因素为目标进行了内容迁移,以支持企业在计算环境迁移发展的过程,包括全面上云或运行混合环境的安全性要求。
CISv8下载注册地址:
简单注册一下,然后就可以在电子邮箱中收到下载邮件并通过邮件给出的链接下载到CISv8的PDF文件,封面如图:
全书共87页,全英文没有中文版......作为甲方人员,除非是网络安全偏执狂否则不会有什么动力去看。当然笔者就是网络安全偏执狂。
首先跳过前面的目录、术语、缩写定义等等,第12页开始是概述。比较有意思的是,一开始就介绍了CIS Controls的草根性质,只是当年的一群志愿者为了帮助其他人提高网络安全警惕,免受网络攻击,而把自己应对最常见、最重要、最现实的网络攻击的知识和经验转化为具体行动,然后分享到互联网。直到CIS成立并由国际性的志愿者和机构组织引领后,CIS Controls才逐渐成熟,并设定了以下实现目标:
- 分享对攻击和攻击者的见解,识别根本原因,并将其转化为防御行动的类别;
- 创建和分享包括网络安全工具、工作辅助工具,企业采用CIS Controls并解决问题的故事等;
- 将CIS Controls内容映射到监管和合规相关框架,以确保CIS Controls与相关框架一致,并赋予其集体优先级和重点;
- 识别常见的问题和障碍(如初始评估和实施路线图),并通过社区讨论去解决问题。
另一个有意思的地方是,CIS Controls的制定过程是基于自由表达和民主集中的。通过社区,网络安全专家聚集在一起,分享见识和辩论,直到就某个特点知识点达成集体共识。这个过程主要取决于参与人员的经验。而最终产出的结论文档则为所有人共享。整个过程都是基于数据支持、严肃讨论和公开透明,因此制定的结果能因应不同的场景要求而进行伸缩裁剪,并匹配到各类监管合规框架。
概述里面还介绍了CIS Controls现在是和Verizon的数据泄露调查报告(DBIR)团队合作,利用他们的大数据分析结果,映射到CIS Controls的内容,使得他们汇总的攻击情况能匹配转换为改进防御的标准程序。也就是使得CIS Controls的内容更有实战意义。
接下来还提到包括:
1、CIS提出了“社区防御模型”,Community Defense Model,简称CDM。这也是一种(攻击)数据驱动的防御措施有效性分析方法。
2、第8版的设计原则有基于进攻知识的防御、聚焦重点、现实可行、可量化、合规对齐。
3、CIS Controls 并不仅仅是清单列表而是一套生态系统等。
以上这些就不做详细介绍了。
继续看看如何开始应用。CIS Controls为了能适配不同规模的企业,内容按实施的优先级以实施小组,Implementation Groups (IGs)的方式去区分组织。
每个IG确定了CIS Controls的一个子集,代表了不同类型企业对CIS Controls的适用水平。其中,IG1是最基础的安全防御保障措施,任何企业都应实施这些措施以应对最常见的网络攻击。IG2和IG3是相应的要求提升,并包含了上一个级别的内容。
这里插一句,如果读者对国内网络安全等级保护相关标准是熟悉的,上面这段话就很容易和等保标准的内容对上号了。
IG1是面向IT人员和网络安全措施都有限的中小型企业如何保护其IT资产和人员。设计原则是保持企业业务持续运行,对停机的容忍度有限制,对泄露数据的敏感性较低,主要保护人员信息和财务信息。对应地,防御措施也只需要有限的IT知识,面对的是一般的、非针对性的攻击。防御措施也考虑了是否适用于此类企业所拥有的普通的计算机软硬件设施。
IG2是面向有雇佣人员去管理和保护IT基础设施的企业。企业通常有多个部门,每部门有不同的风险控制要求。企业还可能需要应对合规要求。企业所存储的信息相对比较敏感,包括客户信息和企业本身的信息。企业能承受短时服务中断。但如果企业被攻破,会直接影响企业公众形象。具体的防御措施的复杂度因以上情况而增加,需要由专家进行实施。
IG3是面向雇佣了网络安全专家级人员的企业,而且会细分不同的风险面和工作内容比如风险管理、渗透测试、应用安全等。IG3企业的资产和数据的敏感性非常高,需要强合规监管。IG3企业必须满足服务持续可用,敏感数据不能外泄。如果被成功攻击,影响是社会性的。具体的防御措施聚焦在防御来自高级攻击者和零日漏洞的攻击威胁。
回到文档包含的18个控制措施上来。对于每个控制措施,内容都由4个部分组成:
- 概述:对控制措施作为防御行动的介绍。
- 控制措施的重要性:介绍此控制措施在阻止、减轻或识别攻击方面的重要性,以及解释攻击者如何主动利用企业缺失此控制措施时的情况进行攻击。
- 程序和工具:技术性的描述,如何支持该控制措施的实现和自动化过程。
- 安全保护描述:企业在实施控制措施时应采取的具体行动清单。
我在随后依次介绍这18个控制措施。
本页网址二维码: