CIS的20项控制措施分为三个部分,分别为1)基本管控(Basic 共6项);2)基础性管控(Foundational 共10项);3)全组织机构范围的管控(Organizational 共4项)。
继上期介绍6项基本管控措施,本期着重介绍10项基础性管控措施中子集IG1。
七、电子邮件和Web浏览器防护(Email and Web Browser Protections)
尽量减少***面以及***者通过与web浏览器和电子邮件系统的交互来操纵使用者行为的机会。实施要点:
1、确保只有完全支持的web浏览器和电子邮件客户端才允许在机构内运行,理想情况下只使用供应商提供的最新版本的浏览器和电子邮件客户端。
2、为了降低来自有效域的欺骗或修改电子邮件的机会,请实施基于域的邮件身份验证、报告和一致性(DMARC)策略和验证,可以先实现发件人策略框架(SPF)和域密钥标识邮件(DKIM)标准。
IG1具体措施为:
1、确保只使用完全支持的浏览器和电子邮件客户端。
2、使用DNS筛选服务。
八、恶意软件防御(Malware Defenses)
多层面控制恶意代码的安装、传播和执行,优化自动化工具的使用,以实现防御、数据收集和纠正措施的快速更新。实施要点:
1、利用集中管理的反恶意软件持续监控和保护机构的每个主机和服务器。
2、启用操作系统中可用的反***功能,如数据执行保护(DEP)或地址空间布局随机化(ASLR),或部署可配置的适当工具包来保护更广泛的应用程序和可执行文件。
IG1具体措施为:
1、确保反恶意软件和病毒特征库已更新。
2、对可移动媒体配置反恶意软件扫描。
3、将设备配置为不自动运行其内容。
九、限制和控制网络端口、协议及服务(Limitation and Control of Network Ports, Protocols, and Services)
管控(跟踪/控制/纠正)联网设备的端口、协议和服务的使用,缩小***者可利用的漏洞窗口。实施要点:
1、确保每个系统上只运行侦听确有业务需求的网络端口、协议和服务。
2、定期对所有系统进行自动端口扫描,并在检测到未经授权的端口时发出警报。
IG1具体措施为:
1、采用基于主机的防火墙或端口过滤。
十、数据恢复能力(Data Recovery Capabilities)
有合适的流程和工具备份关键信息以及行之有效的方法及时恢复这些信息。实施要点:
1、确保定期自动备份所有系统数据。
2、确保机构的每个关键系统都作为一个完整的系统进行备份,通过创建镜像等过程,以实现整个系统的快速恢复。
IG1具体措施为:
1、确保定期自动化备份。
2、进行完整的系统备份。
3、保护备份。
4、确保所有备份至少有一个脱机备份的地方。
十一、安全配置网络设备,比如防火墙路由器和交换机(Secure Configuration for Network Devices, such as Firewalls, Routers, and Switches)
使用严格的配置管理和变更控制流程,建立、实施和主动管理(跟踪、报告、纠正)网络基础设施设备的安全配置,以防止***者利用易受***的服务和配置。实施要点:
1、为每个在用网络设备定义需要批准的安全配置,将所有网络设备配置与此进行比较,并在发现任何偏差时警报。
2、使用多因素身份验证和加密会话来管理所有网络设备。
IG1具体措施为:
1、在所有网络设备上对于安全相关的更新安装最新稳定版本。
十二、边界防御(Boundary Defense)
检测/预防/纠正信息流跨越不同信任级别的网络,重点关注对安全带来损害的数据。实施要点:
1、拒绝与已知恶意或陌生的Internet IP地址进行通信,在机构的每个网络边界将网络访问限制在可信和必需的IP地址范围内。
2、部署基于网络的***检测系统(IDS)探针,以查找异常的***机制,并在机构的每个网络边界检测这些系统是否被攻陷。
IG1具体措施为:
1、维护一个网络边界清单。
2、拒绝用未经授权的端口通信。
十三、数据保护(Data Protection)
使用相应的流程和工具防止数据外泄,减少渗漏数据带来的影响,并确保敏感信息的隐私性和完整性。实施要点:
1、在网络边界部署自动化工具,监视并阻止敏感信息未经授权的传输,同时提醒信息安全专业人员。
2、如果需要USB存储设备,应使用企业级软件来配置系统以允许使用某些具体设备,并维护此类设备的清单。
IG1具体措施为:
1、维护一个敏感信息清单。
2、删除不经常访问的敏感数据或系统。
3、加密移动设备的数据。
十四、基于“需要知悉”原则的控制访问(Controlled Access Based on the Need to Know)
使用适当的流程和工具,根据批准的分类,正式确定哪些人、计算机和应用程序需要并有权访问关键资产(如信息、资源、系统),来跟踪/控制/防止/纠正对关键资产的安全访问。实施要点:
1、根据存储在服务器上的信息的标签或分类级别对网络进行分段,在分离的虚拟局域网(VLAN)上定位所有敏感信息。
2、加密传输中的所有敏感信息。
IG1具体措施为:
1、通过访问控制列表(ACL)保护信息。
十五、无线网络访问控制(Wireless Access Control)
使用适当的流程和工具跟踪/控制/防止/纠正无线局域网(WLAN)、接入点和无线客户端系统的安全。实施要点:
1、利用高级加密标准(AES)加密传输中的无线数据。
2、为个人或不受信任的设备创建独立的无线网络。来自该网络的企业访问应视为不可信,并进行相应的过滤和审核。
IG1具体措施为:
1、利用高级加密标准(AES)加密无线数据。
2、为个人和不受信任的设备创建单独的无线网络。
十六、账户监视与控制(Account Monitoring and Control)
积极管理系统和应用程序帐户的生命周期-它们的创建、使用、休眠、删除,以尽量减少***者利用它们的机会。实施要点:
1、要求对所有系统上的所有用户帐户进行多因素身份验证,无论是在现场还是由第三方提供商管理。
2、禁用任何与业务流程或业务所有者无关的帐户。
IG1具体措施为:
1、禁用任何未关联的账户。
2、禁用休眠账户。
3、没有活动后锁定主机。
未完,待续……
关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。