继: 《从甲方角度介绍“CIS互联网安全中心”》 (点击这里打开微信公众号链接)、 《如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一》 (点击这里打开微信公众号链接) 之后,接下来是逐一介绍CIS关键安全控制措施集,CIS Critical Security Controls (CIS Controls)的具体内容。本期介绍控制措施01:企业资产的库存和控制、控制措施02:软件资产的库存及控制。
笔者:国际认证信息系统审计师、软考系统分析师
在上一期我们说过,CIS Controls中每一项控制措施的解释都由概述、控制措施的重要性、程序和工具、安全保护描述四项内容组成。鉴于甲方角度当然是采信CIS Controls的内容,那么重要性也就没必要详细说了。所以我只集中于描述每一项控制措施的大致内容。
再重温一下Implementation Group(IG)的概念:每个IG确定了CIS Controls的一个子集,代表了不同类型企业对CIS Controls的适用水平。其中,IG1是最基础的安全防御保障措施,任何企业都应实施这些措施以应对最常见的网络攻击。IG2和IG3是相应的要求提升,并包含了上一个级别的内容。
控制措施01:企业资产的库存和控制
包含有5个细项,IG1前2项,IG2前4项,IG3全5项。
这5项分别是:
1.1 建立和维护准确的、详细的、符合当前情况的企业资产清单。尤其重点对不受控但又需要接入企业网络的资产,我的理解是比如员工自带设备(BYOD)。所有资产都需要记录详细信息比如MAC地址、IP地址、责任人等。原文要求不低于2年1次进行复查和更新,但我认为应紧随1年1次的资产盘点进行,2年的间隔太长。
1.2 定位未经授权接入网络的资产,执行剔除、隔离等必要操作,频率至少每周一次。
1.3 利用主动发现工具,在网络上扫描辨别资产性质,频率每天一次。
1.4 使用动态主机配置协议(DHCP)的日志记录或其它IP地址管理工具来更新企业资产清单,频率至少每周一次。
1.5 使用被动资产发现工具,在网络上辨别资产性质,频率至少每周一次。
该控制措施要求企业应积极管理(包括库存、跟踪和清单校正等行动)所有的企业硬件资产,包括但不限于用户终端设备(包括便携式和移动设备)、网络设备、非计算设备、物联网设备和服务器等所有物理地、虚拟地、远程地以及基于云环境中的会连接到企业基础设施的设备。目的是准确了解企业内需要进行监控和保护的资产的总体情况,实现识别未经授权和未受管理的资产,从网络中剔除出去,或纳入管理。
该控制措施同时需要技术支撑和程序化的行动,而且需要统一、流程化地在企业资产和数据的整个生命周期中实施管理,并通过以上的措施,把业务流程和资产、数据的责任人联系在一起。
企业可以使用大规模的、综合性的企业级的管理系统来维护IT资产库存。小型企业可以直接在内网安装使用安全工具去收集资产数据,比如使用漏洞扫描器对网络进行资产发现扫描;检查反恶意软件或终端安全软件日志;分析网络设备比如交换机的日志。最后,通过电子表格或数据库实现资产数据的管理。
维护符合当前实际而且是准确的企业资产整体视图,是一个持续的、动态的过程。即使管理良好的企业也不一定有唯一确定的数据。因为在现实中,企业资产并不总是由IT部门提供或安装的。需要充分调动企业内部资源去提高数据可信度。比如资产库存数据库、采购订单和本地库存清单均应用于综合确定企业资产整体视图。
企业还要通过技术手段,定期扫描识别已经连接到网络的资产。对于大型企业,还可以从各种内部系统平台收集资产数据,如:活动目录(AD)、单点登录(SSO)、多因素认证(MFA)、虚拟专用网(VPN)、入侵检测系统(IDS)或深度包检查(DPI)、移动设备管理(MDM)以及漏洞扫描工具等。
最后,企业需要通过寻找工具和制定方法,把收集到的数据规范化、格式化,以识别和确定这些数据源中每一台设备的唯一性。
控制措施02:软件资产的库存及控制
包含有7个细项,IG1是前3项,IG2是前6项,IG3全7项。
这7项分别是:
2.1 建立和维护详细的企业软件资产清单,内容应包括软件名称、开发商、安装使用日期和生产用途。合适时可以附加记录比如软件版本、部署方式、授权情况等。原文同样是要求至少2年1次盘点更新清单,我认为还是要按1年1次的资产盘点要求同步进行。
2.2 确保获得许可使用的软件都是有支持的。如果软件已经不受支持,但又确实需要用于企业生产,应记录为例外情况并详细说明降低控制要求和接受风险的程度。未被例外的软件应认为是没有许可的并停用。至少每月1次复查。我对这里的“许可使用”理解是指企业自己内部的许可,而不是从软件发行商获得的授权许可。企业应遵守法律法规去经营,因此盗版软件不在讨论范围。
2.3 定位未经许可使用的软件,如果不列入例外,则应停用并从企业资产清单中移除(如果在清单中)。至少每月1次复查。
2.4 利用自动化的软件库存管理工具,使已安装使用的软件的发现和文档化过程能自动化。
2.5 制定许可使用的软件清单,通过技术手段控制只有被许可的软件才能被用户使用。每两年复查一次。
2.6 制定许可使用的软件库清单,通过技术手段控制诸如.dll,.ocx,.so等非直接运行的库文件。没有被许可的软件库文件不应能被加载运行。每两年复查一次。
2.7 制定许可使用的脚本清单。也是通过技术手段比如数字签名验证、校验和检查等方式,控制只有经过许可的脚本(.py,.ps1等)才能运行。每两年复查一次。
该控制措施要求企业积极管理(包括库存、跟踪和清单校正等行动)网络上的所有软件(包括操作系统和应用程序),使得只有被许可的软件能被安装和使用,对未经许可、未纳入管理的软件要阻止安装或执行。
细项中提及的“允许清单”,也常被称为“白名单”,可以组合使用反恶意软件、操作系统附带的软件清单工具、安全策略、应用程序运行控制工具等方法来实现。商业性的软件库存管理工具已经在许多企业中得到广泛使用。最好的工具能对企业中常用的数百种软件进行库存检查。这些工具设计为提取每个已安装软件的细化到补丁级别的版本信息,以确保它是最新版本,并规格化为统一的应用程序名称,例如通用平台枚举(Common Platform Enumeration,CPE)规范中的名称。一个典型的应用例子是安全内容自动化协议(Security Content Automation Protocol,SCAP)。关于SCAP的更多信息可以看笔者的其它文章:
《关于OpenSCAP/SCAP安全策略的介绍》( 点击这里打开微信公众号链接)
《如何使用OpenSCAP检查工具进行安全策略核查?》( 点击这里打开微信公众号链接)
“允许清单”这个功能,现在已经包含在许多终端安全套件中,甚至直接嵌入在某些操作系统中。而且,商业解决方案正越来越多地将应用程序允许和阻止列表功能和反恶意软件、反间谍软件、个人防火墙、基于主机的入侵检测系统(IDS)或入侵预防系统(IPS)等安全工具捆绑在一起。
大多数终端安全解决方案可以查看指定的可执行文件的名称、文件位置、校验和(HASH)等信息,以确定是否应该允许该应用程序在受保护的机器上运行。最有效的工具会提供基于可执行路径、校验和甚至是正则表达式匹配的自定义允许列表。有些工具甚至允许管理员为特定用户、特定时间定义特定软件的执行规则,适用于非恶意但未经批准的应用程序。
本站微信订阅号:
本页网址二维码: