本文对CIS安全控制的内容和实施方式进行梳理和介绍,为零信任安全态势评估的相关研究提供参考。
摘要:
CIS安全控制从安全领域专家的视角,针对企业网络不同层面的安全问题,提出了相应的安全保护措施和操作规范,供不同规模的企业参考实施。为了分析企业网络安全的风险来源,构建零信任安全态势的评估指标体系,本文对CIS安全控制的内容和实施方式进行梳理和介绍,为零信任安全态势评估的相关研究提供参考。
关键字:网络安全 CIS安全控制 零信任 态势评估
一、CIS控制的发展背景
CIS安全控制(简称CIS控制)最初的目标是帮助企业识别网络中的安全风险,并针对各种攻击采取有效的防范措施。早期版本的CIS控制通过一个标准化的攻击列表,来测试控制措施是否有效。从2013年开始,CIS与Verizon数据泄露调查报告(DBIR)团队合作,将其分析结果直接映射到CIS控制,以便将常见攻击与防护措施匹配起来,提高并改善企业防御方案的针对性。
在CIS社区防御模型(CDM)的研究中,CIS基于DBIR和MS-ISAC的数据分析成果,通过MITRE组织的ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)模型对2019年最常见5种攻击(包括Web应用攻击、内部人员权限滥用、恶意软件、勒索软件和针对性入侵)的攻击模式进行了定义,并将其防御手段纳入到CIS控制中。
这些研究活动保证了CIS控制不仅是一系列安全基线,同时也是符合行业或政府安全要求的规范性要求。本文主要介绍CIS控制(v8版本)的基本内容,该版本的设计原则包括:
以攻促防
CIS控制建立依据是明确的特定攻击行为,以及对应的有效阻止方法。
聚焦重点
帮助防御者确定当前最迫切的事情,以阻止重要攻击,避免试图解决所有安全问题或者锦上添花。
合理可行
每个建议(防护措施)均针对特定问题,且有效。
精确可测
所有CIS控制(特别是IG1)必须可度量且不存在二义性。
和谐一致
以现有合规监管、标准框架等保持一致,无冲突。
二、CIS控制的实施方法
从7.1版开始,CIS将控制内容划分为3个实施组(Implementation Group,IG),来形成优先级分类。每个IG都是一个CIS控制子集,适用于资源规模或安全风险比较相近的一类企业。另外,IG之间存在包含关系,即IG2包括IG1,IG3包括所有IG1和IG2中的防护措施。
IG1。适用于IT和网络安全专家非常有限的中小型企业,保护措施主要确保企业业务的正常运营,避免宕机。企业数据的敏感性较低,主要与员工和财务信息相关。IG1防护措施不应依赖专业的安全知识,主要针对一般性的非目标攻击,也适用于小型或家庭办公室环境。
IG2(包括IG1)。IG2适用的企业一般都有专人负责管理和保护IT基础设施,企业各部门基于工作职能和任务面临不同的风险,而且存在监管合规的负担。IG2企业通常需要存储和处理敏感客户或企业的信息,能够承受服务的短暂中断,但如果出现违规行为,将会带来公关问题。IG2防护措施有助于安全团队应对不断增加的操作复杂性,但有些措施需要依赖于企业级技术和特定领域专家的专业技能。
IG3(包括IG1和IG2)。IG3适用的企业一般有专门的网络安全专家(包括风险管理、渗透测试、应用程序安全等领域)。这些企业的资产和数据包含受监管的敏感信息或功能,以及合规监督,因此必须解决服务可用性、敏感数据机密性和完整性的保护问题,企业网络一旦遭受攻击可能对公共福利造成重大损害。IG3防护措施必须阻止来自熟练攻击者的针对性攻击,并减少零日攻击的危害和影响。
三、CIS控制内容与措施
1
硬件资产清单和控制
主动管理(包括清点、跟踪和纠正)通过物理、虚拟、远程、云环境等方式连接到企业基础设施的所有资产(包括终端用户设备,如便携式和移动设备;网络设备,如非计算/物联网(IoT)设备;服务器等),以准确地了解需要被监控和保护的资产总量。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 建立设备清单 | 设备 | 识别 | √ | √ | √ |
2 | 处理未经授权的资产 | 设备 | 响应 | √ | √ | √ |
3 | 使用主动工具发现、识别网内资产 | 设备 | 检测 | × | √ | √ |
4 | 使用DHCP记录/更新清单 | 设备 | 识别 | × | √ | √ |
5 | 使用被动工具发现、识别网内资产 | 设备 | 检测 | × | × | √ |
2
软件资产清单和控制
主动管理(清点、跟踪和更正)所有软件(操作系统和应用程序),确保只有经过授权的软件才能安装和执行,发现并防止未经授权和非托管软件的安装或执行。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 建立软件清单 | 软件 | 识别 | √ | √ | √ |
2 | 确保只支持软件清单中的已授权软件 | 软件 | 识别 | √ | √ | √ |
3 | 处理未授权软件 | 软件 | 响应 | √ | √ | √ |
4 | 使用自动化工具发现、识别软件资产 | 软件 | 检测 | × | √ | √ |
5 | 通过准许清单等技术手段,确保只有已授权软件可以运行并被访问 | 软件 | 保护 | × | √ | √ |
6 | 通过技术手段确保只有已授权动态库(如.dll, .ocx, .so)可以加载到进程中 | 软件 | 保护 | × | √ | √ |
7 | 通过技术手段(如数字签名、版本控制)确保只有已授权脚本(如.ps1, .py)可以执行 | 软件 | 保护 | × | × | √ |
3
数据保护
制定流程和技术控制,以识别、分类、安全地处理、保留和处置数据。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 建立数据管理流程 | 数据 | 识别 | √ | √ | √ |
2 | 建立数据清单 | 数据 | 识别 | √ | √ | √ |
3 | 配置数据访问控制列表 | 数据 | 保护 | √ | √ | √ |
4 | 按数据管理流程处理数据持有时限 | 数据 | 保护 | √ | √ | √ |
5 | 确保数据处置与其敏感等级相当 | 数据 | 保护 | √ | √ | √ |
6 | 采用密码技术保护终端数据 | 设备 | 保护 | √ | √ | √ |
7 | 建立数护分类模式 | 数据 | 识别 | × | √ | √ |
8 | 基于数据管理流程,建立数据流记录文档 | 数据 | 识别 | × | √ | √ |
9 | 加密移动介质 | 数据 | 保护 | × | √ | √ |
10 | 对传输的敏感数据加密 | 数据 | 保护 | × | √ | √ |
11 | 对存储的敏感数据加密 | 数据 | 保护 | × | √ | √ |
12 | 基于敏感度分段/级处理和存储数据 | 网络 | 保护 | × | √ | √ |
13 | 部署数据防泄漏解决方案 | 数据 | 保护 | × | × | √ |
14 | 记录敏感数据访问 | 数据 | 检测 | × | × | √ |
4
软/硬件安全配置
建立和维护企业软、硬件资产的安全配置。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 建立软、硬件资产的安全配置流程 | 软件 | 保护 | √ | √ | √ |
2 | 建立网络基础设施的安全配置流程 | 网络 | 保护 | √ | √ | √ |
3 | 配置访问会话超时自动锁定 | 用户 | 保护 | √ | √ | √ |
4 | 通过防火墙保护服务器 | 设备 | 保护 | √ | √ | √ |
5 | 通过防火墙保护终端 | 设备 | 保护 | √ | √ | √ |
6 | 加强企业软、硬件资产管理 | 网络 | 保护 | √ | √ | √ |
7 | 加强软硬件资产的缺省账户管理 | 用户 | 保护 | √ | √ | √ |
8 | 卸载/禁用非必要服务 | 设备 | 保护 | × | √ | √ |
9 | 配置可信DNS服务 | 设备 | 保护 | × | √ | √ |
10 | 配置终端设备认证失败后自动锁定 | 设备 | 响应 | × | √ | √ |
11 | 配置便携设备支持远程数据擦除 | 设备 | 保护 | × | √ | √ |
12 | 在移动设备上隔离工作、私人空间 | 设备 | 保护 | × | × | √ |
5
账号管理
建立流程和工具对软、硬件资产的用户账号进行管理和授权,包括管理员账号、系统服务账号等。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 建立、维护账号清单 | 用户 | 识别 | √ | √ | √ |
2 | 针对不同资产使用唯一性口令 | 用户 | 保护 | √ | √ | √ |
3 | 禁用非活动账号 | 用户 | 响应 | √ | √ | √ |
4 | 限制管理员权限的使用范围 | 用户 | 保护 | √ | √ | √ |
5 | 建立服务账号清单 | 用户 | 识别 | × | √ | √ |
6 | 集中化账号管理 | 用户 | 保护 | × | √ | √ |
6
访问控制管理
建立流程和工具对软、硬件资产的账号权限和凭证进行管理,包括创建、分配,调整、撤销等。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 建立访问授权流程 | 用户 | 保护 | √ | √ | √ |
2 | 建立访问撤销流程 | 用户 | 保护 | √ | √ | √ |
3 | 对外暴露应用需使用MFA | 用户 | 保护 | √ | √ | √ |
4 | 远程访问需使用MFA | 用户 | 保护 | √ | √ | √ |
5 | 管理性访问需使用MFA | 用户 | 保护 | √ | √ | √ |
6 | 建立、维护认证授权系统的台账 | 用户 | 识别 | × | √ | √ |
7 | 集中化访问控制 | 用户 | 保护 | × | √ | √ |
8 | 定义、实施RBAC访问控制 | 数据 | 保护 | × | × | √ |
7
持续漏洞管理
针对企业基础设施的资产,制定持续的漏洞跟踪、评测计划,修复并最大限度地缩小攻击窗口,监控并收集安全行业公共、专用资源发布的威胁和脆弱性情报。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 建立漏洞管理流程 | 软件 | 保护 | √ | √ | √ |
2 | 建立漏洞修复流程 | 软件 | 响应 | √ | √ | √ |
3 | 实施系统补丁自动化管理 | 软件 | 保护 | √ | √ | √ |
4 | 实施应用软件补丁自动化管理 | 软件 | 保护 | √ | √ | √ |
5 | 针对内部资产开展自动化漏洞扫描 | 软件 | 识别 | × | √ | √ |
6 | 针对对外暴露的资产开展自动化漏洞扫描 | 软件 | 识别 | × | √ | √ |
7 | 修复已发现漏洞 | 软件 | 响应 | × | √ | √ |
8
审计日志管理
对有助于攻击检测、分析和恢复的事件信息进行收集、告警、审查和记录。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 建立审计日志管理流程 | 网络 | 保护 | √ | √ | √ |
2 | 收集审计日志 | 网络 | 检测 | √ | √ | √ |
3 | 确保充足的日志存储 | 网络 | 保护 | √ | √ | √ |
4 | 使用同步的标准化时间 | 网络 | 保护 | × | √ | √ |
5 | 收集日志的产生细节 | 网络 | 检测 | × | √ | √ |
6 | 收集DNS查询日志 | 网络 | 检测 | × | √ | √ |
7 | 收集URL请求日志 | 网络 | 检测 | × | √ | √ |
8 | 收集控制台命令的使用日志 | 设备 | 检测 | × | √ | √ |
9 | 集中化审计日志管理 | 网络 | 检测 | × | √ | √ |
10 | 审计日志至少保留90天 | 网络 | 保护 | × | √ | √ |
11 | 对日志进行审查 | 网络 | 检测 | × | √ | √ |
12 | 收集采买服务中的日志 | 数据 | 检测 | × | × | √ |
9
邮件/Web防护
提高对电子邮件和Web的威胁检测和保护,防范攻击者利用浏览器等发起的“拟人化”攻击。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 确保只使用准许的浏览器和邮件客户端 | 软件 | 保护 | √ | √ | √ |
2 | 使用DNS过滤服务 | 网络 | 保护 | √ | √ | √ |
3 | 部署、维护基于网络的URL过滤系统 | 网络 | 保护 | × | √ | √ |
4 | 限制非必要/未授权的客户端软件扩展 | 软件 | 保护 | × | √ | √ |
5 | 实施DMARC防护策略 | 网络 | 保护 | × | √ | √ |
6 | 禁用非必要的邮件附件类型 | 网络 | 保护 | × | √ | √ |
7 | 为邮件服务提供恶意代码保护 | 网络 | 保护 | × | × | √ |
10
恶意代码防范
防止或控制恶意程序、代码或脚本在企业资产上安装、传播和执行。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 部署、维护恶意代码防范软件 | 设备 | 保护 | √ | √ | √ |
2 | 自动更新恶意代码特征库 | 设备 | 保护 | √ | √ | √ |
3 | 禁用移动介质的自动运行/播放功能 | 设备 | 保护 | √ | √ | √ |
4 | 自动对移动介质进行恶意代码扫描 | 设备 | 检测 | × | √ | √ |
5 | 启动“数据执行阻断”等操作系统特性 | 设备 | 保护 | × | √ | √ |
6 | 集中管理恶意代码防范软件 | 设备 | 保护 | × | √ | √ |
7 | 使用基于行为特征的恶意代码防范软件 | 设备 | 检测 | × | √ | √ |
11
数据恢复
建立和维护充分的数据恢复措施,保证企业资产能恢复到攻击事件发生之前或受信任的状态。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 建立数据恢复流程 | 数据 | 恢复 | √ | √ | √ |
2 | 执行数据自动备份 | 数据 | 恢复 | √ | √ | √ |
3 | 对恢复数据进行保护 | 数据 | 保护 | √ | √ | √ |
4 | 为恢复数据维护单独的保护实例 | 数据 | 恢复 | √ | √ | √ |
5 | 对恢复数据进行测试 | 数据 | 恢复 | × | √ | √ |
12
网络基础设施管理
建立并实施对网络设备的主动管理(跟踪、报告、纠正),防止攻击者利用网络服务和访问漏洞发起攻击。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 确保网络基础设施更新/升级 | 网络 | 保护 | √ | √ | √ |
2 | 建立、维护安全的网络架构 | 网络 | 保护 | × | √ | √ |
3 | 强化网络基础设施管理 | 网络 | 保护 | × | √ | √ |
4 | 建立、维护网络架构图等文档 | 网络 | 识别 | × | √ | √ |
5 | 集中化网络认证、授权、审计 | 网络 | 保护 | × | √ | √ |
6 | 使用安全的网管和通信协议 | 网络 | 保护 | × | √ | √ |
7 | 远程设备需使用VPN接入企业AAA系统 | 设备 | 保护 | × | √ | √ |
8 | 限制管理访问可以使用的设备资源 | 设备 | 保护 | × | × | √ |
13
硬件资产清单和控制
健全网络监控和防御操作流程和工具,防范跨网络基础设施和用户群的安全威胁。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 集中化安全事件告警 | 网络 | 检测 | × | √ | √ |
2 | 部署基于主机的IDS | 设备 | 检测 | × | √ | √ |
3 | 部署基于网络的IDS | 网络 | 检测 | × | √ | √ |
4 | 在网段间执行流量过滤 | 网络 | 保护 | × | √ | √ |
5 | 对远程资产实施访问控制 | 设备 | 保护 | × | √ | √ |
6 | 收集网络流量日志 | 网络 | 检测 | × | √ | √ |
7 | 部署基于主机的IPS | 设备 | 保护 | × | × | √ |
8 | 部署基于网络的IPS | 网络 | 保护 | × | × | √ |
9 | 部署端口级的访问控制 | 设备 | 保护 | × | × | √ |
10 | 执行应用层过滤 | 网络 | 保护 | × | × | √ |
11 | 周期性调整事件告警的阈值 | 网络 | 检测 | × | × | √ |
14
安全意识与技能培训
建立并维护安全意识计划,培养员工的安全意识和行为,降低企业的网络安全风险。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 建立安全意识教程 | / | 保护 | √ | √ | √ |
2 | 培训员工辨别“社会工程攻击” | / | 保护 | √ | √ | √ |
3 | 开展“身份认证”应用实践培训 | / | 保护 | √ | √ | √ |
4 | 开展“敏感数据处置”应用实践培训 | / | 保护 | √ | √ | √ |
5 | 开展“无意识数据暴露”应用实践培训 | / | 保护 | √ | √ | √ |
6 | 开展“安全事件识别与报告”培训 | / | 保护 | √ | √ | √ |
7 | 开展“系统安全更新问题”报告方法培训 | / | 保护 | √ | √ | √ |
8 | 开展“接入并使用不安全网络传输数据的危险”培训 | / | 保护 | √ | √ | √ |
9 | 针对不同岗位开展安全意识和技能训练 | / | 保护 | × | √ | √ |
15
服务提供商管理
制定敏感业务或关键IT平台服务提供商(Service Provider)的评估流程,确保他们对相关平台和数据提供了适当的保护。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 建立SP清单 | / | 识别 | √ | √ | √ |
2 | 建立SP管理政策 | / | 识别 | × | √ | √ |
3 | 对SP实施分类管理 | / | 识别 | × | √ | √ |
4 | 确保SP遵守安全要求 | / | 保护 | × | √ | √ |
5 | 按管理政策对SP进行评估 | / | 识别 | × | × | √ |
6 | 对SP实施监管 | 数据 | 检测 | × | × | √ |
7 | 加强SP退出管理 | 数据 | 保护 | × | × | √ |
16
应用软件安全
对内部开发、托管或购置的软件进行安全生命周期管理,对它们进行漏洞检测和修复,防止影响企业资产安全。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 建立安全软件开发流程 | 软件 | 保护 | × | √ | √ |
2 | 建立软件漏洞处理流程 | 软件 | 保护 | × | √ | √ |
3 | 对安全漏洞进行根源分析 | 软件 | 保护 | × | √ | √ |
4 | 建立第三方组件清单 | 软件 | 保护 | × | √ | √ |
5 | 使用最新、可信的第三方组件 | 软件 | 保护 | × | √ | √ |
6 | 建立软件漏洞分级系统和流程 | 软件 | 保护 | × | √ | √ |
7 | 使用标准配置模板加固软件基础设施 | 软件 | 保护 | × | √ | √ |
8 | 为生产、非生产系统提供隔离环境 | 软件 | 保护 | × | √ | √ |
9 | 对开发人员进行安全理念和编程培训 | 软件 | 保护 | × | √ | √ |
10 | 在软件架构中应用安全设计原则 | 软件 | 保护 | × | √ | √ |
11 | 在软件安全组件中使用审查过的模块或服务 | 软件 | 保护 | × | √ | √ |
12 | 开展代码级安全检查 | 软件 | 保护 | × | × | √ |
13 | 开展软件渗透测试 | 软件 | 保护 | × | × | √ |
14 | 开展软件安全威胁分析、建模 | 软件 | 保护 | × | × | √ |
17
事件响应管理
制定事件响应能力(例如政策、计划、程序、角色定义、训练和交流)开发和维护计划,对攻击事件进行准备、检测和快速响应。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 委托专人负责安全事件处理 | / | 响应 | √ | √ | √ |
2 | 建立安全事件报告的联系人名单 | / | 响应 | √ | √ | √ |
3 | 建立安全事件报告流程 | / | 响应 | √ | √ | √ |
4 | 建立安全事件响应流程 | / | 响应 | × | √ | √ |
5 | 对关键责任人进行分工和责任划分 | / | 响应 | × | √ | √ |
6 | 规范事件响应中的交流机制 | / | 响应 | × | √ | √ |
7 | 开展安全事件响应例行演练 | / | 恢复 | × | √ | √ |
8 | 开展安全事件审查 | / | 恢复 | × | √ | √ |
9 | 建立安全事件的等级阈值 | / | 恢复 | × | × | √ |
18
渗透测试
通过识别和利用安全控制(包括人员、流程和技术)中的漏洞缺陷,模拟攻击者的目标和行动,测试企业资产的安全性。
序号 | 措施 | 资产 | 功能 | IG1 | IG2 | IG3 |
1 | 建立渗透测试流程 | / | 识别 | × | √ | √ |
2 | 周期性开展外部渗透测试 | 网络 | 识别 | × | √ | √ |
3 | 修复渗透测试发现的问题 | 网络 | 保护 | × | √ | √ |
4 | 验证安全措施的有效性 | 网络 | 保护 | × | × | √ |
5 | 周期性开展内部渗透测试 | / | 识别 | × | × | √ |
上一篇: 软件定义边界平台的选择技巧?
下一篇: 零信任态势评估:安全指标的构建原则
