網際網路安全中心(CIS)釋出新版20大安全控制

這些最佳實踐最初由SANS研究所提出，名為“SANS關鍵控制”，是各類公司企業不可或缺的安全控制措施。通過采納這些控制方法，公司企業可防止絕大部分的網絡攻擊。

有效網絡防禦的20條關鍵安全控制

對上一版“20大安全控制”的研究表明，僅僅采納前5條控制措施，就能阻止85%的攻擊。20條全部采納，可阻止97%的網絡攻擊。這一版的主要目的之一，是要與每套控制措施的工作流保持一緻。即便在内容上改動不大的現有控制措施，也在需求順序方面進行了重新洗牌。每套控制措施都有對評估、基線、緩解和自動化的摘要版介紹。另外，較之前版，在語言上也做了大幅精簡，用語高度抽象，可使這些控制措施應用在更廣泛的平台和攻擊上。不過，至于怎樣實作這些控制措施，就是看公司的政策和所用工具了。公司企業自己實作起來可能會比較困難，應與其安全供應商合作，聽取他們在各種控制措施的“自由發揮”部分上的建議。已有控制措施中的大部分都維持了原樣，隻除了一些備援要求的整合和用語上的精簡。

CIS 20大關鍵控制快速浏覽

因為能擋住絕大部分攻擊，前5項基本控制維持不變(順序上略作調整)。下面我們就來浏覽一下這第7版的CIS 控制：

CIS控制1：硬體資産庫存與控制

對網絡上裝置的全面了解，是減小公司攻擊界面的第一步。持續使用主動和被動資産發現解決方案以監視自身資産庫存，并確定所有硬體都有人負責。

CIS控制1詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-1-inventory-of-authorized-and-unauthorized-devices/

CIS控制2：軟體資産庫存與控制

首要控制措施中又一個與資産發現有關的，标志着網絡盤點是夯實公司系統安全最關鍵的一步。畢竟，如果不知道自家網絡上都有些什麼，也就談不上跟蹤這些資産了。

CIS控制2詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-2-inventory-of-authorized-and-unauthorized-software/

CIS控制3：持續的漏洞管理

定期掃描網絡查找漏洞，可在資料洩露切實發生前暴露出安全風險。對公司整個環境進行自動化驗證掃描非常重要。

CIS控制3詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/cis-top-20-critical-security-controls/

CIS控制4：控制管理者權限的使用

管理者憑證是網絡罪犯的主要目标。幸運的是，可以采取多種方法來保護這些權限，比如維護好管理者賬戶清單和修改預設密碼。

CIS控制4詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-4-controlled-privileges/

CIS控制5：保護移動裝置、筆記本電腦、工作站和伺服器上硬軟體的配置

利用檔案完整性監視(FIM)跟蹤配置檔案、主鏡像等等。該控制措施滿足配置監視系統自動化要求，以便發生偏離已知基線的情況時可以觸發安全警報。

CIS控制5詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-5-secure-configurations/

CIS控制6：維護、監視和分析審計日志

系統日志提供了對網絡上所有活動的準确重制。這意味着，如果發生網絡安全事件，恰當的日志管理操作可以拿出描述事件所需的全部資料，包括：誰幹的，幹了什麼，在哪兒做的，什麼時候做的，怎麼做的。

CIS控制6詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-6-audit-logs/

CIS控制7：電子郵件和Web浏覽器防護

電子郵件和Web浏覽器的安全威脅不單單隻有網絡釣魚一種。甚至電子郵件圖檔裡的一個像素，都能給網絡罪犯帶來執行攻擊所需的資訊。

CIS控制7詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-7-email-web-protections/

CIS控制8：惡意軟體防禦

確定你的反病毒工具與你其他安全工具鍊內建良好。完整實作該控制還意味着保持對指令行審計和DNS查詢的精确日志。

CIS控制8詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-8-malware-defenses/

CIS控制9：限制并控制網絡端口、協定及服務

實作該條控制措施能幫你減小攻擊界面，可采取的政策包括自動化端口掃描和應用防火牆。

CIS控制9詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-9-limitation-control-network-ports/

CIS控制10：資料恢複功能

你定期自動化備份嗎？確定恰當的資料恢複能力有助于免遭勒索軟體之類威脅的侵害。

CIS控制10詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-10-data-recovery/

CIS控制11：安全配置網絡裝置，比如防火牆、路由器和交換機

有很多方法可以保護網絡裝置的安全，比如多因子身份驗證和加密。

CIS控制11詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-11-secure-configuration-network-devices/

CIS控制12：邊界防禦

該條控制處理的是你網絡邊界上通信的管控方式。可采用基于網絡的IDS傳感器和入侵防禦系統實作。

CIS控制12詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-12-boundary-defense/

CIS控制13：資料保護

名稱雖然簡單，卻是更為複雜和難以實踐的控制措施之一，因為盤點敏感資訊之類持續的過程要實作資料保護涉及的方面太多了。

CIS控制13詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-13-data-protection/

CIS控制14：基于“有必要才知悉”原則進行通路控制

通過加密傳輸過程中的資料和禁止工作站之間的通信，你可以開始限制資料權限過于寬松時可能出現的安全事件了。

CIS控制14詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-14-controlled-access/

CIS控制15：無線通路控制

實作該控制的第一步，是統計你網絡中的無線接入點。基于此，再深入到緩解所有類型的無線通路風險。

CIS控制15詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-15-controlled-access/

CIS控制16：賬戶監視與控制

為防止有效憑證落入黑客之手，你必須設定一套控制身份驗證機制的系統。

CIS控制16詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-16-account-monitoring/

CIS控制17：實作安全意識教育和教育訓練項目

因為不斷深化的網絡安全技術人才短缺問題，安全教育訓練應成為大多數公司的要務，而且，應是持續的安全教育訓練而不是一次性的走過場。

CIS控制17詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-17-awareness-training/

CIS控制18：應用軟體安全

内部開發的代碼應經過靜态及動态安全分析之類的安全評估過程審查，發現隐藏的漏洞。

CIS控制18詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-18-application-software-security/

CIS控制19：事件響應與管理

該控制有助于規劃和測試網絡安全事件應對計劃，防止當事件真的發生時出現忙亂狀況。

 CIS控制19詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-19-incident-response/

CIS控制20：滲透測試和紅隊演練

定期進行滲透測試有助發現漏洞和攻擊方法，減小惡意黑客早已利用漏洞滲入而公司渾然不覺的機率。

CIS控制20詳情位址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-20-penetration-tests-red-team-exercises

 原文位址：http://www.djbh.net/webdev/web/HomeWebAction.do?p=getXxgg&id=8a81825664ceff130165f9b895ba0069