如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之四:企业资产和软件的安全配置
笔者:国际认证信息系统审计师、软考系统分析师
CIS系列文章已经发布了4篇,分别是:
《从甲方角度介绍“CIS互联网安全中心”》
《如何应用CIS关键安全控制措施集之一》
《如何应用CIS关键安全控制措施集之二》
《如何应用CIS关键安全控制措施集之三》
以上四篇文章的微信公众号链接见下:
继续介绍CIS关键安全控制措施集,CIS Critical Security Controls (CIS Controls)的具体内容。本期介绍控制措施04:企业资产和软件的安全配置。
控制措施04:企业资产和软件的安全配置
包含有12个细项,IG1前7项,IG2前11项,IG3全12项。
这12项分别是:
4.1 建立和维护一套安全配置流程,适用于全部的企业资产(包括便携式和移动式的终端设备、非计算设备、物联网设备和服务器等)和软件(操作系统和应用程序等)。每年或在企业发生可能影响此安全措施的重大变化时,复查和更新文档。
4.2 建立和维护一套网络基础设施的安全配置流程。每年或在企业发生可能影响此安全措施的重大变化时,复查和更新文档。
4.3 对企业资产配置自动会话锁定。企业资产在用户操作闲置时间超过定义的不活动时长后,应能自动锁定登录会话。对于通用操作系统,该时长不得超过15分钟。对于移动终端用户设备,该时长不得超过2分钟。
4.4 在可行的服务器上启用和管理防火墙。可实施的示例包括虚拟防火墙、操作系统自带防火墙或第三方的防火墙。
4.5 在最终用户设备上启用和管理基于主机的防火墙或端口过滤工具。默认规则应为“拒绝”,即丢弃在明确允许的服务和端口之外的所有流量。
4.6 安全地管理企业资产和软件。可实施的示例包括:通过版本控制软件,把基础设施的配置视为代码来管理;通过安全网络协议比如SSH方式访问设备的管理接口等。除非完全必要,不能使用任何不安全的网络协议去执行管理操作,比如Telnet和HTTP等。
4.7 管理企业资产和软件上的默认账户,比如Linux的root账户、Windows的Administrator账户,以及其他供应商预先配置的账户。对这些账户可以进行改名、禁用或使其不可用(比如不能登录,登录即登出等)。
4.8 卸载或禁用企业资产和软件上的不必要的服务,比如文件共享服务、web应用程序模块或其它一些服务功能。我认为这一条应结合CIS Benchmarks的要求去设置。
4.9 在企业资产上配置可信的DNS服务器。可信的DNS服务器可以是企业自主控制的DNS服务器,或者足够可信的外部DNS服务器,比如由电信运营商提供的DNS服务器。
4.10 在便携式最终用户设备上强制执行自动设备锁定。对于支持这种功能的便携式、移动终端用户设备,在本地身份验证尝试失败超过预定的阈值后,强制执行自动设备锁定。
对于笔记本电脑,不允许超过20次失败的身份验证尝试;对于平板电脑和智能手机,身份验证失败的尝试不超过10次。
可以通过附加的控制软件去控制,比如微软公司的InTune,也可以通过操作系统本身的配置文件去设置,比如苹果公司的Configuration Profile中的maxFailedAttempts。
4.11 在便携式终端设备上强制执行远程擦除功能。在出现以下情况时,通过远程擦除功能从企业资产上擦除所有企业数据:设备被盗、设备丢失、人员离职等。
4.12 在移动终端用户设备上设置独立的企业工作区,使得企业应用和数据能和个人数据相分离。对于支持此功能的设备应确保启用,例如苹果公司的Configuration Profile或者Android系统的Work Profile等。
控制措施04要求企业能建立并维护企业资产和软件的安全配置。企业资产包括最终用户设备、便携式设备、移动设备、网络设备、非计算设备、物联网设备和服务器等,软件包括操作系统和应用程序等。
由制造商和经销商提供的企业资产和软件,其默认配置通常面向易于部署和易用性(所谓开箱即用),而不是安全性。基本的控制功能和设置、预先开启的服务和端口、默认的账户或密码、预配置的DNS设置、旧的(易受攻击的)协议以及预安装各种不必要的软件。如果上述这些都保持默认状态而不加以调整,则全都可以被利用作为攻击敞口。
此外,这些安全配置的更新,需要在企业资产和软件的整个生命周期中进行管理和维护。企业需要通过配置管理工作流程来跟踪和批准配置更新,以维持变更记录,从而实现对法规遵从性的审查、应急事件响应、外部审计等情况的支持。因此,本CIS控制措施对本地设备、远程设备、网络设备和云环境都非常重要。
服务提供商在现代基础设施中发挥着关键作用,特别是对小型企业。它们通常不会对产品默认设置为最安全的配置,以便为客户应用自己的安全策略留出空间和灵活性。
因此在默认配置中,存在默认账户或密码、不受限的访问以及不必要的服务功能是常见的情况。由此而引入的弱点(攻击敞口)是由使用该软件的企业而不是服务提供商负责的。
该情况也要扩展到企业自主执行的资产管理和更新工作。因为大多数PAAS(平台即服务)的服务提供商只把服务内容覆盖到操作系统一级,被托管的应用程序本身的补丁和更新是由企业自己负责的。
即使企业在开发和应用了可靠的初始配置到企业资产之后,企业也必须持续执行管理工作,以避免在软件更新、修补、调整配置或者出现新的安全漏洞时导致安全降级,并支持安装新软件或支持新的操作要求。
每个系统都有多种可用的安全基线。企业应该从这些公开开发、审查和支持的安全基准测试、安全指南或检查清单开始进行配置。
一些资源包括:
The CIS Benchmarks™ Program
http://www.cisecurity.org/cis-benchmarks/
关于CIS Benchmarks,我会在其它文章中介绍。
The National Institute of Standards and Technology (NIST®) National Checklist Program Repository
https://nvd.nist.gov/ncp/repository
企业应自主研究如何增加或调整这些基线,以满足企业本身的安全策略,以及行业和政府的监管要求。企业应记录自主执行的基线内容与标准配置和原理的偏差,以方便未来的评审或审计。
对于大型、复杂的企业,需要基于安全需求或企业资产上的数据分类去实施多种安全基线配置。
下面是构建一套符合安全基线配置的操作系统影像的步骤示例:
01 确定在企业资产上所处理、存储的数据的风险分类(例如,高、中、低风险)。
02 创建安全配置脚本,设置系统安全设置,以满足保护企业资产上使用的数据的要求。使用基准测试,比如CIS Benchmarks,进行评估。
03 安装基本的操作系统软件。
04 应用适当的操作系统和安全补丁。
05 安装适当的应用程序软件包、工具和实用程序。
06 对步骤4中安装的软件应用适当的更新。
07 向此映像安装本地自定义脚本。
08 运行在步骤2中创建的安全脚本,以设置适当的安全级别。
09 运行某种SCAP合规工具,记录系统设置并对系统设置评分。
10 执行安全质量保证测试。
11 将此基线操作系统影像保存到安全的位置。
商业的或免费的配置管理工具,比如CIS配置评估工具(CIS-CAT®):
https://learn.cisecurity.org/cis-cat-lite
可以部署用来测量操作系统的设置和托管机器的应用程序,以寻找与标准映像配置的偏差。
商业配置管理工具会在每个被管理的操作系统上安装代理程序,或者通过使用管理员凭据远程登录到每台企业资产,对操作系统进行无代理程序的检查。
有些商业软件还使用一种混合方法,即先使用管理员凭据对目标系统启动远程会话,然后在目标系统上部署临时或动态的代理程序,执行扫描,完成扫描后自动删除该代理程序。
本页网址二维码: