这些控制如何应用于您的组织
互联网安全中心(CIS)发布了CIS关键安全控制(CSC),通过将关键安全概念提炼成可操作的控制,帮助组织更好地防御已知的攻击,以实现更大的整体网络安全防御.
随着安全挑战的发展,应对这些挑战的最佳实践也在不断发展. CIS在安全行业中备受推崇,因为它提出了当前和具体的建议,帮助企业通过有效网络防御的关键安全控制来改善其安全状况, 以前被称为SANS前20大关键安全控制.
然而,许多旨在提高整体安全性的标准和遵从性法规可能由于特定于行业而聚焦范围狭窄, CIS csc(目前是第7版的第7次迭代)是由众多政府机构和行业领导者的专家创建的,它与行业无关,并且普遍适用.
CIS基准也承认大多数组织面临的现实,即资源通常是有限的,必须确定优先次序. 像这样, CIS将控件分为三类:基本控件, 基础, 和组织, 无论行业类型如何. 标准的优先级是CIS CSC建议与其他安全控制和列表的区别所在, 可能会提到优先次序是必要的,但没有提出具体的建议.
总共有20个CIS控制, 列表中的前六个优先级为“基本”控制,所有组织都应该实施这些控制,以做好网络防御准备. 在迭代7中,这六个最重要的CIS控制是:
1)硬件资产的盘点与控制
2)软件资产的盘点与控制
3)持续漏洞管理
4)控制管理权限的使用
5)移动设备软硬件的安全配置, 笔记本电脑, 工作站和服务器
审核日志的维护、监控和分析
每个控制的范围都很广,但都遵循坚实的原则:确保正确的用户能够访问正确的资产, 所有的系统都是最新的,并尽可能地加固. 遵循CIS对这六大控制的指导将产生巨大的好处, 即使这些是您的组织可以实现的唯一控制.
所有前20个CIS关键安全控制的范围都是全面的,因为它需要强大的网络安全防御:安全绝不仅仅是一个技术问题, 而CIS的建议不仅包含数据, 软件和硬件, 还有人和流程. 例如, 事件响应 红队和红队, 这两者都是任何强有力的主动防御计划的关键组成部分, 分别属于CIS控制项19和20.
CIS关键安全控制还具有交叉兼容性和/或直接映射到许多其他遵从性和安全标准, 其中许多是特定于行业的,包括NIST 800-53, PCI DSS, FISMA, 和hipaa -意味着必须遵循这些法规的组织可以使用CIS控制作为遵从性的辅助. 此外, NIST网络安全框架, 另一个健壮的工具,通常用于更好地简化和加强组织的安全状态, 从CIS CSC中提取,作为他们推荐的一些最佳实践的基线.
对于希望改善其安全状况并加强其防御最可能遇到的攻击向量的组织, CIS关键安全控制是降低暴露风险和减轻大多数攻击类型严重性的一个很好的起点.