信息安全千头万绪,信息安全官如何在有限资源的情况下,最大程度地保护机构的网络和信息?
互联网安全中心(CIS-Center for Internet Security)为此提供了具有实际指导意义的一套实施方法:20项安全管控措施(20 CIS Controls)。
CIS(https://www.cisecurity.org/)是一个全球性非营利社区组织,提供全球公认的保护IT系统和数据的最佳实践方法。
CIS的20项控制措施分为三个部分,分别为1、基本管控(Basic 共6项);2、基础性管控(Foundational 共10项);3、全组织机构范围的管控(Organizational 共4项)。
CIS力图为全球所有的政企提供一套通用的方法。同时考虑到各组织机构的规模和复杂性以及资源的充足程度相差很大,为便于实施,又将20项管控每个部分的具体措施分为三个层级(Implementation Group 1、2、3),以IG1内容为核心管控(core set of Sub-Controls),IG2 和IG3 随资源增加而进一步丰富。鉴于国内绝大多数机构安全运维人员都极其缺乏,我们着重介绍20个管控措施中子集IG1。本期首先介绍6项基本管控措施。
一、硬件资产盘点和管控(Inventory and Control of Hardware Assets)
积极主动管理(盘点、跟踪、和更正)网络上的所有硬件设备,只允许授权的设备有访问权,发现并防止未授权和不受管理的设备获得访问权。实施要点:
1、利用主动发现工具识别连接到网络中的设备并更新硬件资产库存清单。
2、维护所有技术资产(可能存储或处理信息)准确的最新清单。此清单应包括所有硬件资产,无论是否连接到组织的网络。
IG1具体措施为:
1、维护详细的资产清单。
2、处理未授权资产。
二、软件资产盘点和管控(Inventory and Control of Software Assets)
积极主动管理(盘点、跟踪、和更正)网络上的所有软件,只安装和执行授权软件,发现未授权和不受管理的软件并阻止其安装或执行。实施要点:
1、在整个组织中利用软件库存工具来自动记录业务系统上所有软件。
2、在所有资产上使用应用程序白名单技术,以确保只有授权的软件可以执行,并阻止所有未经授权的软件在资产上运行。
IG1具体措施为:
1、维护授权软件的清单。
2、确认软件得到供应商的支持。
3、处理未经授权的软件。
三、持续性漏洞管理(Continuous Vulnerability Management)
不断获取、评估新信息并采取措施,以识别漏洞、补救并最大程度地减少攻击者的机会。实施要点:
1、使用最新的,与SCAP(Security Content Automation Protocol)兼容的漏洞扫描工具,每周或更频繁地自动扫描网络上的所有系统,以识别机构系统上的所有潜在漏洞。
2、部署自动化软件更新工具,以确保操作系统是在运行软件供应商提供的最新安全版本。
IG1具体措施为:
1、部署自动化操作系统补丁管理工具。
2、部署自动化软件补丁管理工具。
四、管理员特权管控(Controlled Use of Administrative Privileges)
依靠流程和工具跟踪/控制/预防/纠正电脑、网络、和应用程序上管理员特权的使用、分配、和配置。实施要点:
1、确保所有具有管理账户访问权限的用户都使用专用帐户或辅助帐户来执行升级的活动。此帐户只能用于管理活动,不能用于网络浏览、电子邮件或类似活动。
2、配置系统以实现当一个账号添加到特权账号组或从中删除时生成日志并警报。
IG1具体措施为:
1、更改默认密码。
2、确保使用专用的管理账户。
五、移动设备、笔记本电脑、工作站和服务器上的硬件和软件安全配置(Secure Configuration for Hardware and Software on Mobile,Devices, Laptops, Workstations and Servers)
采用严格的配置管理和更改控制流程,建立、实施和主动管理(跟踪、报告、更正)移动设备、笔记本电脑和服务器的安全配置,以防止攻击者利用易受攻击的服务和设置。实施要点:
1、维护所有授权操作系统和软件的文档化、标准化的安全配置标准。
2、使用SCAP兼容的配置监控系统来验证所有安全配置元素,登记审批后的例外,并在发生未授权的变更时报警。
IG1具体措施为:
1、建立安全配置。
六、审计日志的维护、监测和分析(Maintenance, Monitoring, and Analysis of Audit Logs)
收集、管理和分析事件的审计日志,这些日志可以帮助检测、理解攻击或从攻击中恢复。实施要点:
1、确保已在所有系统和网络设备上启用本地日志记录。
2、确保恰当相关的日志被聚合到一个中央日志管理系统中进行分析和审查。
IG1具体措施为:
1、激活审计日志。
未完,待续……
关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。