互联网安全中心(CIS)发布新版20大安全控制

时间 2019-12-09

原文原文链接

这些最佳实践最初由SANS研究所提出，名为“SANS关键控制”，是各种公司企业不可或缺的安全控制措施。经过采纳这些控制方法，公司企业可防止绝大部分的网络攻击。

有效网络防护的20条关键安全控制

对上一版“20大安全控制”的研究代表，仅仅采纳前5条控制措施，就能阻止85%的攻击。20条所有采纳，可阻止97%的网络攻击。这一版的主要目的之一，是要与每套控制措施的工做流保持一致。即使在内容上改动不大的现有控制措施，也在需求顺序方面进行了从新洗牌。每套控制措施都有对评估、基线、缓解和自动化的摘要版介绍。另外，较以前版，在语言上也作了大幅精简，用语高度抽象，可以使这些控制措施应用在更普遍的平台和攻击上。不过，至于怎样实现这些控制措施，就是看公司的策略和所用工具了。公司企业本身实现起来可能会比较困难，应与其安全供应商合做，听取他们在各类控制措施的“自由发挥”部分上的建议。已有控制措施中的大部分都维持了原样，只除了一些冗余要求的整合和用语上的精简。

CIS 20 大关键控制快速浏览

由于能挡住绝大部分攻击，前5项基本控制维持不变(顺序上略做调整)。下面咱们就来浏览一下这第7版的CIS 控制：

CIS 控制1：硬件资产库存与控制

对网络上设备的全面了解，是减少公司攻击界面的第一步。持续使用主动和被动资产发现解决方案以监视自身资产库存，并确保全部硬件都有人负责。

CIS控制1详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-1-inventory-of-authorized-and-unauthorized-devices/

CIS 控制2：软件资产库存与控制

首要控制措施中又一个与资产发现有关的，标志着网络盘点是夯实公司系统安全最关键的一步。毕竟，若是不知道自家网络上都有些什么，也就谈不上跟踪这些资产了。

CIS控制2详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-2-inventory-of-authorized-and-unauthorized-software/

CIS 控制3：持续的漏洞管理

按期扫描网络查找漏洞，可在数据泄露切实发生前暴露出安全风险。对公司整个环境进行自动化验证扫描很是重要。

CIS控制3详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/cis-top-20-critical-security-controls/

CIS 控制4：控制管理员权限的使用

管理员凭证是网络罪犯的主要目标。幸运的是，能够采起多种方法来保护这些权限，好比维护好管理员帐户清单和修改默认口令。

CIS控制4详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-4-controlled-privileges/

CIS 控制5：保护移动设备、笔记本电脑、工做站和服务器上硬软件的配置

利用文件完整性监视(FIM)跟踪配置文件、主镜像等等。该控制措施知足配置监视系统自动化要求，以便发生偏离已知基线的状况时能够触发安全警报。

CIS控制5详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-5-secure-configurations/

CIS 控制6：维护、监视和分析审计日志

系统日志提供了对网络上全部活动的准确重现。这意味着，若是发生网络安全事件，恰当的日志管理操做能够拿出描述事件所需的所有数据，包括：谁干的，干了什么，在哪儿作的，何时作的，怎么作的。

CIS控制6详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-6-audit-logs/

CIS 控制7：电子邮件和Web浏览器防御

电子邮件和Web浏览器的安全威胁不仅仅只有网络钓鱼一种。甚至电子邮件图片里的一个像素，都能给网络罪犯带来执行攻击所需的信息。

CIS控制7详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-7-email-web-protections/

CIS 控制8：恶意软件防护

确保你的反病毒工具与你其余安全工具链集成良好。完整实现该控制还意味着保持对命令行审计和DNS查询的精确日志。

CIS控制8详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-8-malware-defenses/

CIS 控制9：限制并控制网络端口、协议及服务

实现该条控制措施能帮你减少攻击界面，可采起的策略包括自动化端口扫描和应用防火墙。

CIS控制9详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-9-limitation-control-network-ports/

CIS 控制10：数据恢复功能

你按期自动化备份吗？确保恰当的数据恢复能力有助于免遭勒索软件之类威胁的侵害。

CIS控制10详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-10-data-recovery/

CIS 控制11：安全配置网络设备，好比防火墙、路由器和交换机

有不少方法能够保护网络设备的安全，好比多因子身份验证和加密。

CIS控制11详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-11-secure-configuration-network-devices/

CIS 控制12：边界防护

该条控制处理的是你网络边界上通讯的管控方式。可采用基于网络的IDS传感器和入侵防护系统实现。

CIS控制12详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-12-boundary-defense/

CIS 控制13：数据保护

名称虽然简单，倒是更为复杂和难以实践的控制措施之一，由于盘点敏感信息之类持续的过程要实现数据保护涉及的方面太多了。

CIS控制13详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-13-data-protection/

CIS 控制14：基于“有必要才知悉”原则进行访问控制

经过加密传输过程当中的数据和禁止工做站之间的通讯，你能够开始限制数据权限过于宽松时可能出现的安全事件了。

CIS控制14详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-14-controlled-access/

CIS 控制15：无线访问控制

实现该控制的第一步，是统计你网络中的无线接入点。基于此，再深刻到缓解全部类型的无线访问风险。

CIS控制15详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-15-controlled-access/

CIS 控制16：帐户监视与控制

为防止有效凭证落入黑客之手，你必须设置一套控制身份验证机制的系统。

CIS控制16详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-16-account-monitoring/

CIS 控制17：实现安全意识教育和培训项目

由于不断深化的网络安全技术人才短缺问题，安全培训应成为大多数公司的要务，并且，应是持续的安全培训而不是一次性的走过场。

CIS控制17详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-17-awareness-training/

CIS 控制18：应用软件安全

内部开发的代码应通过静态及动态安全分析之类的安全评估过程审查，发现隐藏的漏洞。

CIS控制18详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-18-application-software-security/

CIS 控制19：事件响应与管理

该控制有助于规划和测试网络安全事件应对计划，防止当事件真的发生时出现忙乱情况。

CIS控制19详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-19-incident-response/

CIS 控制20：渗透测试和红队演练

按期进行渗透测试有助发现漏洞和攻击方法，减少恶意黑客早已利用漏洞渗入而公司浑然不觉的几率。

CIS控制20详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-20-penetration-tests-red-team-exercises

原文地址：http://www.djbh.net/webdev/web/HomeWebAction.do?p=getXxgg&id=8a81825664ceff130165f9b895ba0069web