安全圈 | 专注于最新网络信息安全讯息新闻

 首页

實施cis關鍵安全控制措施

作者 galluppi 时间 2020-02-27
all

(一)介紹

 CIS Critical Security Controls已多次更新,以滿足不斷變化的威脅和脆弱性環境的需求。當前的版本《CIS關鍵安全控制措施》版本6.1,已成為政府機構和公共部門的事實標準。

問題是:如何實施CIS控制,如何擴展它們以滿足今天和明天的需求?很少有案例研究審查了實施情況。2010年美國國務院案例研究描述了大多數聯邦和私營部門組織實施的不盡如意。

隨著時間的推移,CIS控制系統的指導已經發展,新增了衡量有效性的名額的詳細資訊,實施,自動化和控制測試程式,以及“快速贏”建議。通過這一指導,組織可以開始實施控制,以明確脆弱性領域,最終提高風險評級,同時使他們的網絡更加能抵禦攻擊。

本文介紹了組織在各個階段如何實施控制措施,並給了兩個實施CIS控制的例子。案例研究基於對有關工作人員的訪談,包括實施前的安全環境、採用控制措施時遇到的挑戰以及帶來的好處。

(二)什麼是CIS關鍵安全控制措施

 在深入探討“如何”之前,讓我們從簡要介紹開始。關於CIS關鍵安全控制(最初稱為Consensus Audit Guidelines)最初是公佈一系列安全控制,這些控制由政府和私營部門的專家評定為防止網絡攻擊的最關鍵的控制措施。這些控制最初由戰畧和國際研究中心發佈,由SANS維護,現在由互聯網安全中心發佈.(www.cisecurity.org/critical-controls.cfm)。

這些控制措施涵蓋網絡和終端設備、應用程序和漏洞,還涵蓋惡意軟件防禦,存取控制和恢復以及數據保護。

授權和未授權設備的清單

授權和未授權軟件清單

移動設備,筆記型電腦,工作站和服務器上的硬體和軟件配寘

持續性脆弱性評估和補救

Administrative的控制使用

稽核日誌的維護、監控和分析

電子郵件和Web的保護

惡意軟件防護

網絡埠、協定和服務的限制和控制

資料恢復能力

網路設備如防火牆,路由器和交換機的安全配寘

邊界防護

數據保護

基於Need to Know的防護控制

無線存取控制

帳號監控和控制

安全技能評估和培訓填補差距

應用軟體安全

事件響應和管理

滲透測試和紅隊演習

下圖是一個示例

這些控制的核心原則是通過將許多組織已經實施的控制措施自動化和集成,同時採取一些新技術和實踐,可以使網絡更具抵抗力和彈性。

(三)實施CIS關鍵安全控制措施

本文後面討論的兩個案例表明,對於有很多IT投資的大型企業,從CIS控制中獲得價值不一定意味著立即實施所有20個控制。很少有組織有充足的預算、人力資源和、頻寬,同時批量實施所有CIS控制措施。實施控制的更務實的方法包括以下步驟:

發現您的資訊資產並估計其價值,考慮對資產的潜在攻擊(包括初始入侵點、傳播、系統損壞或數據外泄等)以及潜在影響。首先對高風險的資產進行優先順序控制。

與CIS控制相比,評估組織當前的資訊安全控制狀態。記錄每個需要工作的控制區域,包括:沒有安全能力、已經的工作和正在做的工作、控制域的成熟度級別以及與其他相關控制的集成路徑。此外,給出成熟安全控制實現的整體圖,並在整個架構中重用成功的組件。

給出組織的狀態和個體控制之間的差距。知道脆弱性在哪兒是彌合差距的關鍵第一步。脆弱性評估工具可創建漏洞清單,但成功的關鍵是將前一步驟中的評估練習的輸出與第一步中的值和損失風險分析相結合。這種評估水准應使組織對當前存在的風險具有可見性,囙此決策者可以適當地優先考慮支持控制措施。

重點差距優先補救,並著重於短期內可以實現的補救措施。多重因素包括優先順序排序,包括感知高風險在哪兒,風險級別如何,最低成本的改進措施在哪兒。這將對每個組織有所不同,並且將取決於組織的文化以及現有的程式和自動化的狀態。一些選擇可能是由高風險驅動的,另一些則是通過擴展有限的資源和利用現有的或低成本的工具來取得進展。

獲得管理層的支持,並提供必要的財務和人員。

實施控制,利用現有的安全工具,集成和自動化盡可能多的任務,留意新風險的趨勢。

量測進展情况、風險降低和名額。

製定長期計畫,新增其他控制措施的覆蓋面。

製定深思熟慮的計畫,用於評估當前的安全缺陷,採用關鍵的新安全控制,提高現有安全控制的操作有效性,並與高級管理層溝通。CIS控制框架可以為組織提供一組獨立開發的最佳實踐,應該隨著時間的推移進行綜合,但不要太多時間,因為攻擊者會持續性新增攻擊者的工具來繞過我們當前的,碎片化的安全措施。

(四)兩個示例

每個組織都會採用安全控制框架,但許多組織將面臨共同的挑戰,例如預算限制和需要管理層買單。下麵的案例研究闡述了採用CIS控制的務實方法,創造最少爭議的同時提供最好的結果。

一、波特蘭市(俄勒岡州),監管合規是採用控制階段的關鍵驅動因素

Logan Kleier負責俄勒岡州波特蘭市的IT安全,向CTO報告,並領導技術服務局的一個團隊。該局為20多個都市的“業務線”提供中央資訊技術服務,包括消防局、住房、執法、公園和娛樂等部門。Kleier領導一個由四名分析師/工程師組成的團隊,提供防火牆、VPN、防病毒、配置管理和其他操作安全服務。在所有分支機搆中,該市擁有6000多名員工,6000多個終端和350臺服務器。

(1)實施CIS控制前的環境

波特蘭的IT安全一直是偶然和被動的,採取臨時的方法。缺少系統地思考:規劃什麼安全項目,以及為什麼,並沒有長期計畫。該市的各部門有不同的業務合規性要求,例如支付卡行業資料安全標準(PCI DSS)和HIPAA等。

(2)挑戰

Kleier團隊面臨的IT安全挑戰眾多。其中包括:

•讓整個都市的許多部門的其他工作人員參與,給他們培訓,以識別和處理安全風險

•找到適合中央IT安全的人員

•獲得安全項目的預算

Kleier明確表示採用安全框架或控制集,並不意味著一步完成。除了在新的安全控制的資本支出方面受到限制,該都市也受到人力/管理資源的限制。

為了滿足法規要求,該都市的IT團隊第一步獲得了在漏洞管理、定期滲透測試和無線安全方面的工作預算。這些第一輪項目及其帶來的資金、工具和流程有助於提高安全性,並開啟了關鍵控制。

2011 CIS控制8:惡意軟件防禦

2012 CIS控制1:授權和未授權設備清單

        CIS控制3:移動設備,筆記型電腦,工作站和服務器上硬體和軟件的安全配寘(專注於Windows系統)

        CIS控制5:受控使用特權許可權(案頭用戶遷移到標準用戶許可權而不是本地管理員許可權)

2013 CIS控制3:移動設備,筆記型電腦,工作站和服務器上的硬體和軟件的安全配寘(集中在AIX系統上)

(3)為什麼使用CIS關鍵控制措施

該都市開始地考慮在其整個IT系統中使用PCI DSS控制,但很快意識到這不是一個好方法。PCI DSS控制用於保護持卡人數據,在超出信用卡數據的範圍不適用於或者太昂貴以至於不能廣泛應用。

在瞭解CIS控制系統後,Kleier感覺這種方法是有意義的,並且可以利用關鍵控制框架來改善組織的安全狀態。他的評估是,CIS控制結構將允許著重最需要補救的領域,利用“快速勝利”,以最小的努力實現重大的安全改進。

Kleier將CIS向首席執行官彙報,並提到支持。CIS為Kleier提供了一個收益框架,他利用CIS來說明收益是抵消成本和新增價值。Kleier和他的團隊確定,資本和人力資源方面的投入可以資助每年實施兩項新的控制措施。

在决定首先實施哪些控制時,小組考慮了一些因素,包括每個控制的成本/效益比。團隊專注於所謂的“low-hanging fruit.”。這些控制具有低成本,在人力資源方面具有“低阻力”,同時提供真正的風險降低。這些“快速勝利”的一些示例包括:

•使Windows用戶能够在其PC上以普通用戶許可權運行,並在適當時撤銷本地管理員許可權(CIS Control 5)。

•從gold master images部署標準配置(CIS控制3)。由於已部署並正在使用Microsoft Security Compliance Manager,Kleier的團隊利用Active Directory的群組原則對象(GPO)功能來實現此功能。

•對所有覈心應用程序實施定期的修補,並對包括Adobe Flash,Adobe Reader和Oracle Java進行打補丁(CIS Control 3)。

•針對所有終端計算設備的集中式防毒軟體(CIS Control 8)。

(4)使用CIS關鍵控制措施的收益

自採用關鍵控制框架以來,該市的IT安全狀態已經顯著改善。到目前為止的優點:1.安全團隊看到被感染的終端的命中或事件减少,這是一個可見的訓示,表明都市的安全正在改善。Kleier將這一點歸因於整個都市政府在限制特權許可權方面取得的進展,並在打補丁提高頻率和覆蓋率。

2.改進的另一個名額是配寘問題的故障單的减少。都市現在為案頭和服務器使用標準映射,並通過目錄服務確保策略一致性。雖然這個結果可能不是對安全的直接好處,但它有助於IT組織關注更高價值的任務,例如改進安全狀態,並向用戶社區展示安全性和穩定性。

3.Kleier在採用CIS控制系統時發現的最大好處是資訊安全計畫的結構,以及用於規劃項目和衡量進展的框架。

4、採用CIS控制的一個更微妙的好處是在整個IT組織中接受一個共同的詞彙,如在Active Directory GPO的採用中再次看到的。在Kleier團隊開始工作之前,群組原則並不常用於都市的IT環境,但是通過使用它來實施CIS控制,員工現在可以掌握該功能的優勢。

5.由於接受安全詞彙,運營和業務組更容易進行安全改進。員工可以瞭解每個CIS控制的目標,以及在採用這些控制時安全性將如何改善。還值得注意的是,對於一些新的控制,採用它們的障礙更多是管理資源問題,而不是新工具的資本支出。例如,由於IT安全團隊考慮實施應用程序白名單,關鍵問題是由誰决定策略,誰會注意哪些應用程序將被授權以及如何管理例外。很明顯,實施應用程序白名單會導致新的人員配寘需求。對於由於人員關注和資源問題而放弃的網絡存取控制(NAC)項目也是如此。

二、Bankia:金融集團如何使用CIS控制支持合併

Bankia是一家西班牙金融集團,總部設在馬德里。安全顧問Vicente Aceituno是負責在Bankia實施資訊安全管理系統(ISMS)的專案負責人,該組織成立於2011年,由七家西班牙銀行合併組成,包括西班牙最古老的銀行CajaMadrid。在合併之前,CajaMadrid開始實施O-ISM3(ISMS標準)作為資訊安全管理系統。早在2009年,Aceituno開始與CajaMadrid當時的CIO Miguel Ange Navarrete合作,為銀行的資訊安全管理帶來了新的方法。初始安全控制項目涉及脆弱性管理(由CIS Control 4和O-ISM3過程OSP-19,內部科技稽核)。

(1)實施CIS控制前的環境

Aceituno和Navarrete選擇了從自下而上的方法,從脆弱性管理開始,而不是嘗試自上而下的方法,並為Bankia構建一個全新的ISMS。O-ISM3提供了衡量銀行Web應用程序的脆弱性和補救漏洞的初始框架,並讓Web應用程序開發經理持續改進。

(2)挑戰

在O-ISM3實施之前,Bankia的漏洞管理努力試圖在將新應用投入生產之前對其進行測試,然後依賴於不規則隔段時間的後續掃描以檢測缺陷。沒有為漏洞評估或補救定義成功標準或名額。銀行無法持續性改進其脆弱性管理計畫。

該團隊從網絡應用程序開始,銀行認為這些應用程序對客戶業務至關重要,因為Web應用程序已成為主要攻擊對象。對於這些應用程序,脆弱性管理代表了“low-hanging fruit”,通過改進這個,銀行將獲得最大的投資回報,改善安全狀態。

最後,該銀行還需要一個統一的安全計畫術語,特別是在脆弱性管理領域。O-ISM3為Bankia提供了以下框架:

•確定目標和目的

•衡量活動

•定義成功標準

•管理漏洞掃描和補救,提供持續改進

(3)為什麼選擇CIS關鍵安全控制?

隨著Bankia管理漏洞的方法日趨成熟,其IT小組側重於CIS控制,特別是CIS Control 4,持續脆弱性評估和補救。更詳細地探索CIS控制4,Aceituno和Navarrete意識到其提供的指導將為銀行的脆弱性管理計畫的知識管理方面添加有價值的實踐者詳細資訊。CIS Control 4中的指導包括“快速獲勝”以及可以立即顯示結果的配寘和細節。除了提供方向,CIS Control 4的成功名額提供了銀行的ISMS量測和持續改進功能所需的所有細節。作為更大的獎勵,CIS控制4的控制測試指導對於銀行在隨時間的驗證控制有效性是有用的。

(4)實施CIS關鍵安全控制的好處

Bankia能够從CIS Control 4向現有的基於O-ISM3的漏洞管理程式添加額外的指導和名額,結果令人印象深刻:

•發現和修復的漏洞顯著增多

•Web應用程序檢查更頻繁

•手動掃描應用程序的工作時間大大减少

•處理發現的漏洞的成本更低•簡化了漏洞修復

•管理Web應用程序所需的成本和開銷更少•更多應用程序得到修復,大大减少了攻擊面

大型IT組織必須響應許多需求和業務需求。安全是一個關鍵要求,但它遠不是IT組織必須處理的唯一重要問題,甚至是最重要的問題。在大多數CIO運營的現實世界中,預算有限,並且當無法消除障礙時,必須對其進行管理。

(五)結論

 在這兩個案例研究中,組織的用於處理新的安全項目的預算有限,能够利用現有的安全和IT系統管理工具。他們能够改進覆蓋面,操作指導,名額和量測,以充分實現每個控制的安全優勢。

各組織在獲得高層支持方面也面臨共同的挑戰,提供操作新安全項目所需的資源。

兩位採用者也在尋求幫助實施資訊安全計畫的組織原則和結構。這些案例研究表明,一些組織已經超出了僅僅確定實施特定控制的階段,它們正在實施系統的、程式化的方法來開發安全程式。這項工作的一個重要部分是接受標準術語,這可以通過採用CIS關鍵安全控制措施獲得。

隨著兩個組織實施CIS控制,他們採用了一種務實的方法,它介於基於風險的方法和最佳實踐意識形態之間。雖然安全行業的辯論將這些方法視為相互排斥,但這些案例研究描述了這兩種的融合,其中風險由其直接威脅來評估和評估。在現實世界中,控制選擇和實施的“做什麼工作”導致快速獲勝,並且允許在總體安全狀態中實現可量測的改進。

© 2023