CIS关于网络安全的18条安全控制措施

前言

       前一段因疫情隔离在家，顺便翻译并学习了CIS安全控制措施的V8版本，该版本较之前的7.1版本有了一些调整，将安全措施从20条调整为了18条，子措施从171条调整到了153条。

CIS是互联网安全中心的缩写，该组织从安全领域专家的视角，针对企业网络不同层面的安全问题，提出了相应的安全保护措施和操作规范，供不同规模的企业参考实施。

原文可在网站下载（https://learn.cisecurity.org/cis-controls-download），全文共87页，有兴趣的小伙伴可以下载原文自己学习，本人英语水平有限，翻译的或许不是太准确。

关于CIS控制措施的介绍

      CIS是一个社区驱动的非营利组织，其推出的CIS安全控制措施（CIS Controls®）和 CIS安全基线（CIS Benchmarks™）是全球公认的保护IT系统和数据的最佳实践。

      CIS愿景：带领全球社会保护我们不断变化的互联世界。

     CIS使命：我们的使命是通过开发、验证和促进及时的最佳实践解决方案，帮助人们、企业和政府保护自己抵御普遍的网络威胁，使互联世界成为一个更安全的地方。

*注：以上内容源来CIS网站：https://www.cisecurity.org/about-us

        早期版本的CIS控制通过一个标准化的攻击列表，来测试控制措施是否有效。从2013年开始，CIS与Verizon数据泄露调查报告（DBIR）团队合作，将其分析结果直接映射到CIS控制措施中，同时通过MITRE组织的ATT&CK模型对近年来最常见5种攻击（包括Web应用攻击、内部人员权限滥用、恶意软件、勒索软件和针对性入侵）的攻击模式进行了定义，并将其防御手段纳入到CIS控制中，通过将常见攻击与防护措施匹配，提高并改善企业防御方案的针对性。

注：

DBIR——Data Breach Investigations Report数据泄露调查报告

ATT&CK模型——Adversarial Tactics, Techniques, and Common Knowledge，MITRE公司推出的安全模型，总结了对抗常用的战术、技术和知识。

        本文主要介绍最新的V8版本。在介绍正式的18条措施之前，我们先来了解一下CIS控制措施的原则和相关定义：

一、设计原则

1、实用性——以攻促防

CIS控制措施是根据具体的攻击行为，选择并采取有效的防守手段。

2、针对性——重点聚焦

帮助防御者确定当前最迫切的事情，以阻止最为重要的攻击，避免试图解决所有安全问题或者锦上添花的去处理“你能做的事”

3、可行性——合理可行

所有的安全建议和控制措施必须可行，能落地。

4、可测量性——精确可测

所的有控制措施都是可以具体衡量，简化或删除模糊的语言以避免岐义。

5、一致性——规范定义

    与其他的合规监管、标准框架保持一致，不产生冲突。例如，美国国家标准和技术研究所®（NIST®）、云安全联盟（CSA）、代码卓越软件保证论坛（SAFECode）、ATT&CK、开放Web应用程序安全项目®（OWASP®）等

二、组织分类

从7.1版开始，CIS将控制内容划分为3个实施组（Implementation Group，IG），来形成优先级分类。每个IG都是一个CIS控制子集，适用于资源规模或安全风险比较相近的一类企业。将IG1定义为“基础网络保障”，另外，IG之间存在包含关系，即IG2包括IG1中的防护措施，IG3包括所有IG1和IG2中的防护措施。

IG1：IG1企业是中小型企业，其IT人员少，网络安全的专业知识有限。这些企业的主要关注点是保持业务运营，避免宕机。他们试图保护的数据的敏感性很低，主要是跟员工和财务信息相关。为IG1选择的保障措施应在有限的网络安全专业知识下实施，并旨在阻止一般的、非有针对性的攻击。这些保护措施通常也将被设计为小型或家庭办公的环境。

IG2（包括IG1）：IG2企业有专门负责管理和保护IT基础设施的员工。这些企业根据工作职能和任务，不同的部门有不同的风险管控要求，也可能有监管合规性的要求。IG2企业经常存储和处理敏感的客户或企业信息，并能够承受短暂的服务中断。其主要关注是，如果发生了数据漏洞，会影响公众对其企业的信心。为IG2选择的保障措施可以帮助安全团队应对日益增加的操作复杂性。一些安全措施将依赖于企业级的技术和不同领域专家的专业知识来正确地安装和配置。

IG3（包括IG1和IG2）：IG3企业有专门从事网络安全的不同领域的安全专家（如风险管理、渗透测试、应用程序安全）。IG3资产和数据包含受合规监管的敏感信息或功能。IG3企业必须解决服务的可用性问题，以及敏感数据的机密性和完整性。一旦遭受攻击会对公共福利造成重大损害。为IG3选择的保护措施必须减少来自专业对手的针对性攻击，并减少零日攻击的影响。

三、资产类型分类

CIS控制中将资产类型分为：数据资产、软件资产（软件）、设备资产（硬件）、网络资产和人员资产五类。

四、安全能力分类

采用NIST（美国国家标准和技术研究所®）的IPDRR（企业安全能力框架Cybersecurity Framework）模型。IPDRR能⼒框架模型包括风险识别（Identify）、安全防御（Protect）、安全检测（Detect）、安全响应（Response）和安全恢复（Recovery）五⼤能⼒，从以防护为核⼼的模型，转向以检测和业务连续性管理的模型，变被动为主动，最终达成⾃适应的安全能⼒。

· 识别（Identify）：风险识别。包括：资产识别、威胁识别、脆弱性识别、确定业务优先级、风险评估、影响评估、资源优先级划分等

·保护（Protect）：保证业务连续性。在受到攻击时，限制其对业务产生的影响。主要包含在人为干预之前的自动化保护措施

· 检测（Detect）：发现攻击。在攻击产生时即时监测，同时监控业务和保护措施是否正常运行

· 响应（Respond）：响应和处理事件。具体程序依据事件的影响程度来进行抉择，主要包括：事件调查、评估损害、收集证据、报告事件和恢复系统

· 恢复（Recover）：恢复系统和修复漏洞。将系统恢复至正常状态，同时找到事件的根本原因，并进行预防和修复。

具体措施内容

1、硬件资产清单与控制

主动梳理登记和跟踪所有企业硬件资产（最终用户设备、包括便携和移动设备、网络设备、非计算/物联网设备、远程和云环境中的服务器），以准确了解企业内需要监控和保护的资产总数。这还将支持识别未经授权和未受管理的资产，以进行删除或修复。

2、软件资产清单与控制

识别并梳理网络上的所有软件（操作系统和应用程序），只允许授权的软件安装并执行，找到未经授权和未管理的软件并阻止安装或执行。

3、数据保护

制定流程和技术措施，以识别、分类、安全地处理、保留和处置数据

4、安全基线配置

建立并维护企业硬件资产（最终用户设备，包括便携式和移动设备、网络设备、非计算/物联网设备和服务器）和软件资产（操作系统和应用程序）的安全配置基线

5、账户管理

建立专门的流程，使用专门的工具对用户的凭据进行管理，尤其是管理员账户和系统账户的凭据。

6、访问控制管理

建立流程和工具对软、硬件资产的账号权限进行管理，包括创建、分配，调整、撤销等

注：MFA——Multi-Factor Authentication多因素身份认证

     RBAC——基于角色的访问控制列表

7、持续的漏洞管理

针对企业基础设施的资产，制定持续的漏洞跟踪、评测计划，修复并最大限度地缩小攻击窗口，监控并收集安全行业或专用资源发布的威胁和脆弱性情报。

8、日志审计管理

对有助于攻击检测、分析和恢复的事件信息进行收集、告警、审查和记录。

注：我国网络安全法规定日志保留时间为180天。

9、WEB和电子邮件管理

提高对来自电子邮件和WEB威胁的防护与检测，这些都是攻击者利用社会工程学进行攻击的常见方式。

注：DMARC——Domain-based Message Authentication, Reporting, and Conformance 基于域的消息身份验证、报告和一致性。一种基于DKIM和SPF协议的新的电子邮件安全协议，主要是识别并拦截钓鱼邮件，从而确保用户的个人信息安全。

10、恶意代码防范

阻止或控制恶意程序、代码或脚本在企业资产上的安装、传播和执行。

11、数据恢复

建立和维护足以将企业资产恢复到事件发生前和可信状态的数据恢复能力。

12、网络基础设施管理

建立、实施和管理（跟踪、报告、纠正）网络设备，以防止攻击者利用易受攻击的网络服务和接入点。

注：AAA系统——指认证（Authentication）、授权（Authorization）和审计（Auditing）系统

13、网络监控与防御

完善操作流程和工具，以建立和维护全面的网络监控和防御对网络基础设施和用户的网络攻击。

14、安全意识和技能培训

建立并维护一个安全意识计划，影响员工的行为，以具有安全意识和适当的技能，以减少对企业的网络安全风险。

15、服务提供商（SP）的管理

开发一个流程来评估持有敏感数据或负责企业关键IT平台或流程的服务提供商，以确保这些提供商能够适当地保护这些平台和数据。

16、应用软件安全

对内部开发、托管或获取的软件的进行安全生命周期的管理，对他们进行检测和修复，以免影响企业资产安全。

17、应急响应管理

建立并维护应急响应计划（例如政策、计划、程序、定义的角色、培训和通信等），以准备、检测和快速应对攻击。

18、渗透测试

通过识别和利用现有控制措施（人员、流程和技术）中的漏洞，并模拟攻击者的目标和行动，来测试企业资产的安全性。

总结

以上内容是关于这18条安全措施的一个简单的总结，关于每一部分更详细的说明，大家可以下载原文进行了解和学习。也欢迎大家进行交流。

写在最后的话：好久没有更新文章了，愧对这么多的关注我的朋友们，趁着疫情在家的这段时间，写点东西。另外，翻译这么长一个文件（87页）再整理出来也挺不容易的，如果您要转发请注明出处，谢谢您。

欢迎扫描二维码关注：大兵说安全