信息来源:企业网D1Net
CIS关键安全控制清单(之前称为SANS的20大关键控制)一直是安全防御建议的黄金标准。这些是你应该首先完成的任务。
大多数公司都没有正确评估计算机的安全风险,最终导致了安全控制与其最大风险的不一致。这里有我的以数据驱动计算机安全防御为主题的书籍。许多安全专家都知道这一点,这就是为什么在我多次谈论风险管理之后,我仍然会被问及要从SANS的前20大关键控制清单中实施哪些控制。
据我所知,最严肃的计算机安全专业人士都期待着SANS Top 20的每一次更新以及随之而来的推送。它包含了非常好的计算机安全防御建议,但是和任何行动清单一样,你不可能一次性完美地完成几件事情。下面是关于首先要执行哪些控制的建议,但首先让我先来提供一些SANS清单的历史。
现在是CIS控制
SANS几年前将Top 20清单交给了互联网安全中心(CIS),现在它被称为了CIS关键安全控制。CIS是另一个备受尊敬的非营利计算机安全组织,已有几十年的历史。他们最出名的可能是其发布的操作系统最佳实践安全建议和基准。如果你想要一个独立的、非政府的实体对微软Windows系统的安全性提出建议,那么CIS就是您的选择。
SANS清单始于Tony Sager
如果你知道它的历史,那么CIS获得SANS的Top 20清单就不会令人惊讶了。该清单是从CIS高级副总裁兼首席福音传道者Tony Sager开始的。Tony最有名的可能就是他的迷雾重重系列讲座,他认为信息过载是阻碍更好的计算机安全的主要问题之一。
Tony是一个聪明、有思想的人,他在国家安全局工作了34年,一直致力于提高计算机安全。大多数人只认为国家安全局就是间谍的代名词,但他们也有责任通过帮助我们建立和实施更好的防御来保护我们的国家。为了最后一个目标,Tony就是主要人物之一。他领导了国家安全局首批的“蓝队”之一,并最终成为了国家安全局漏洞分析和操作项目的首席领导。
“我可能是少数几个可以说自己的整个职业生涯都是在国安局的国防部门度过的人之一,”Tony告诉我。“我比任何人都更了解系统是如何失败的。我能够从一个国家入侵另一个国家所做的事情中,了解他们是如何做到的,以及为什么没有能够阻止他们,从这两个角度可以看到什么在保护计算机方面起了作用,什么没有起作用。”
Tony说,最初的清单来自他和其他的几个人,有一天他们被困在一个房间里,试图一起找出一个小清单。“我们不想要一份能解决世界上所有问题的清单。”他们想挑选一些他们都同意的项目,作为他们对任何想要保护自己电脑和网络的人的最佳建议。一天结束时,他们拿出了一份简短的清单,最终发展成了十个控制。他们对其进行了同行评审,Tony最终将他的清单发送给了五角大楼,用他的话说是,“作为一种友好的姿态”。
他惊讶地看到他的清单最终脱颖而出了,并赢得了信任。由于SANS与政府的密切合作关系,Tony认识SANS的Allen Paller,他打电话问SANS能否接受这份清单,教授它,并推广它。Tony很激动。天哪,SANS拿到了它,带着它走了。这些年来,Top 10变成了Top 20。它成为了严肃的计算机安全专业人员用来保护他们环境的清单。
最终,SANS和Tony认为,对于这份已经成为事实上的全球性安全指南的标准来说,正确的做法是将其转交给非营利组织。所以,它从国家安全局到了五角大楼,又从国家安全局来到了CIS。所以,几十年后,Tony的清单有了一个组织,Tony也参与其中以确保安全。
这是Top 20控制的简要历史,现在让我们回到您应该首先实现的控制上来。
CIS Top 20控制中的前五项
CIS的Top 20安全控制都应该被实现。没有一个是不应该尽快考虑和实施的。它们确实是每个计算机安全程序都应该拥有的最低限度。话虽如此,你也必须从某个最初的地方开始。
以下是我的Top 5清单:
•实施安全意识和培训计划
•持续的漏洞管理
•控制管理权限的使用
•审核日志的维护、监控和分析
•事件响应和管理
实施安全意识和培训计划
根据Verizon的2019年数据泄露调查报告,高达90%的恶意数据泄露是由网络钓鱼和社会学工程造成的。仅此一点就使得第一条控制变得形同虚设了。与许多攻击类型一样,您可以使用技术控制(例如,防火墙、反恶意软件、反垃圾邮件、反网络钓鱼、内容过滤)和培训相结合的方式来进行防御。
无论您使用什么样的技术控制,一些网络钓鱼最终都会传递给最终用户。这就是为什么你要教所有的用户如何识别恶意,以及当他们看到恶意时应该怎么做的原因。如何进行安全意识培训由您自己决定,但教育应该一年进行多次,每季度都必须有一次以上。低频率的培训无助于降低风险。
持续的漏洞管理
未打补丁的软件在所有成功的数据泄露事件中占到了20%到40%,这使它成为了组织成功被入侵的第二大常见原因。漏洞管理绝对应该是你的第二个优先事项。这不仅意味着需要扫描环境中的漏洞和缺失补丁,还要尽可能地自动化修补程序。
需要修补什么?在去年公布的16555个单独的漏洞中,只有不到2%的漏洞被用于危害某个组织。几乎所有这些人都利用了无人管理的代码,这是软件漏洞是否会被用来攻击组织的最佳预测。如果公共领域中没有列出一个漏洞,就可以降低其重要性。
其次,我们都知道受攻击最严重的客户端漏洞是浏览器和浏览器加载项,其次是操作系统漏洞。在服务器端,漏洞主要与网络服务器软件、数据库和服务器管理有关。是的,其他类型的软件也可能会受到攻击,但以上这些类别是迄今为止最容易受到攻击的类型。从积极修补这些类型的软件程序开始,您的计算机安全风险将大幅下降。
控制管理权限的使用
最大限度地减少管理帐户的数量并使用高安全性来保护管理帐户是明智之举。大多数试图闯入你的环境的不良行为会在最初的利用后把提升账户权限作为第一要务,这样他们就可以造成最大的损害。对于攻击者来说,你没有和不经常使用的每个管理帐户都是一个目标。
•减少任何高权限组的成员数量
•要求所有升级的账户使用多因素身份验证登录
•要求检查提高权限的凭证
•提权时间的限制
•大量记录此类使用和登录
想阻止对您的计算机和网络的最严重的恶意滥用吗?请阻止坏人获得管理员权限。
审计日志的维护、监控和分析
Verizon的数据泄露调查报告得出结论,大多数安全日志中都存在恶意入侵的证据,如果组织能够分析他们的日志,由此造成的损害就可能会最小化。我明白,收集和分析日志并不容易。它需要收集数以亿计的事件,其中的大多数并没有表现出恶意,这是在大海捞针。
这就是为什么您需要一个顶级的事件记录系统来为您聚合和分析日志。一个好的安全信息事件管理(SIEM)系统应该可以为你做好所有的艰苦工作。您所需要做的就是响应指示的可疑事件,并修改和训练系统,以最大限度地减少误报和漏报。
事件响应和管理
无论你做什么,都会有人通过你的防御。从来没有完美的防守,所以要尽你所能做好失败的计划。这意味着需要开发有效的事件响应人员、工具和流程。事件响应的调查和补救越好、越快,对环境造成的损害就会越小。
对于您应该实现的Top 5安全控制(如电子邮件和浏览器控件),还有许多其他强有力的竞争者,但这些才是我会放在任何人的安全控制清单最前面的。一些控制并不像许多人所想的那么有帮助,比如网络访问控制和密码策略。人们花在这两个控制上的每一分钟都不如花在更大问题上的时间。
最后一点:最常见的root漏洞利用(社会工程和未修补软件)是自计算机发明以来最常见的攻击类型。我们需要做的用来对抗他们的事情也没有太大的改变。我们只需要把注意力集中在少数玩家身上,并减少他们的影响。