如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之十：防御恶意软件

　　CIS关键安全控制措施集（CIS Critical Security Controls，CIS Controls）系列介绍文章，本期介绍控制措施10：防御恶意软件

笔者：国际认证信息系统审计师、软考系统分析师

　　控制措施10：防御恶意软件

　　包含有7个细项，IG1前3项，IG2全7项，IG3全7项。

　　这7项分别是：

　　10.1 在所有企业资产上部署和维护反恶意软件的软件。笔者认为这个说法觉得有点啰嗦，下面都改称安全软件，也比较符合国内叫法。

　　10.2 对所有企业资产上的安全软件配置特征库的自动更新。

　　10.3 通过安全软件禁用可移动媒体的自动运行和自动播放等自动执行功能。

　　10.4 配置安全软件能自动扫描检查可移动媒体。

　　10.5 启用企业软件资产中带有的反漏洞利用功能。包括有Microsoft Windows 操作系统的数据执行预防(DEP)、Windows Defender的漏洞保护(WDEG)或苹果系统的系统完整性保护(SIP)、Gatekeeper等。

　　10.6 集中管理安全软件。笔者认为单机版的不是不能用，但无法高效管理和形成联动，不适宜在企业内部广泛使用。

　　10.7 使用在技术上基于软件实际行为去检测恶意软件的安全软件。笔者注：通常安全软件的检测方法有静态检测和动态检测两种，静态就是检查文件的校验和，动态的包括API钩子拦截以及沙盒技术等。现在主流安全软件都是两种技术的结合，以求同时达到最大效率和最高检出。

　　控制措施10的目的是防止或控制恶意的应用程序、代码和脚本在企业资产上的安装、传播和执行。

　　有效的恶意软件保护包括传统的端点恶意软件预防和检测套件。为了确保恶意软件的IOC（Indicators of Compromise，直译妥协指标，一般人可以简单理解为恶意软件的攻击能力）是最新的，企业可以从供应商那里接收自动更新，强化对漏洞信息、威胁数据的了解。

　　此类安全软件工具最好进行集中管理，以实现整个基础设施的一致性。

　　企业能够阻止或识别恶意软件，只是CIS控制措施10的一部分。作为控制措施的整体要求，企业还需要关注如何集中收集安全软件的实时日志，使能进行警报、识别和事件响应等一系列安全工作。

　　需要注意的是，恶意行为者持续不断地发展其入侵方法，他们开始采取一种被称为“离地生活方式”(LotL)的方法，以最小化被发现的可能性。此方法是指攻击者的行为是借助、利用目标环境中已经存在的工具或软件功能，从而实现隐藏自己的真实攻击行为。

　　因此，根据CIS控制措施08中的保障措施，启用安全软件的日志记录，可以使企业更容易跟踪事件，充分了解发生了什么事情，以及发生的原因。

本站微信订阅号：

本页网址二维码：