网络安全行业非常重视防火墙和EDR等保护解决方案。虽然这些技术对于强大的安全程序来说很重要,但过度关注这些解决方案可能会导致一些人认为安全是您的团队对网络环境所做的事情。

事实上,如果网络环境本身不安全,那么世界上就没有足够的安全解决方案来保护它免受网络攻击。相反,您需要专注于系统强化流程来确保网络安全。

为了实现内在安全,网络环境必须经过适当的设计和配置。这就是互联网安全中心(CIS)基准的作用所在。

什么是CIS基准?安全性和合规性所需的7件事

什么是CIS基准?

新安装的操作系统或应用程序带有默认设置。通常,所有端口都打开,所有应用服务都已启用。换句话说,新安装的资产非常不安全。

CIS基准是一套配置标准和最佳实践,旨在帮助组织“强化”其数字资产的安全性。目前,已有100多个基准可供14个技术集团的资产使用,包括Microsoft、Cisco、AWS和IBM。

CIS基准与其他安全标准有以下三个区别:


它们具体涉及现有资产的配置。它们不涵盖防火墙和EDR等安全防御措施。

它们是由包括中小企业、安全供应商、CIS基准测试团队,甚至全球安全社区在内的专家通过CISWorkbench达成共识而开发的。

虽然不是监管要求,但大多数突出的合规框架都将CIS基准作为行业标准,使其成为实现安全性和合规性目标的绝佳手段。

CIS基准测试是如何制定的

CIS基准测试的开发是通过一个旨在设计、批准和维护基准测试的过程进行的,这将有助于组织在多个系统间维护安全的最佳实践。

要创建新的基准,社区首先要确定是否需要添加新基准。接下来,他们要确定新基准的必要范围和参数。来自CIS社区各个部分的专家会审查并迭代基准,直到达成一致意见。

新的基准随后会在CIS网站上发布,并征求反馈意见。如果需要修改,参与该流程早期阶段的专家将进行修改并重新发布。

这一过程的协作性质确保了所制定的基准在各个行业和用例中都是有用且可实现的。

CIS基准水平是什么?

CIS维护两个不同级别的基准以及STIG配置文件。您的级别取决于组织的安全性和合规性需求。让我们仔细看看这些级别,以帮助您确定您的组织属于哪个级别。

级别1:


此级别提供基本的安全建议。这些基准旨在快速最小化组织的攻击面,而不会妨碍可用性或业务功能。这些标准可视为所有组织都应达到或超过的最低安全性和合规性级别。

级别2:


此级别提供了一套更为严格的标准,旨在通过“纵深防御”最大限度地提高组织的安全态势。这些标准适用于安全性至关重要且实施成本更高、劳动强度更大的环境。

STIG(以前的3级):


此配置文件包含1级和2级配置文件中的建议,以及一组针对《安全技术实施指南》(STIG)量身定制的合规性建议。这些标准旨在帮助保护组织的资产免受网络安全威胁。

所有CIS基准均可从CIS网站免费下载PDF版本。这些指导文件非常详尽,有些甚至长达800多页。每项建议都至少对应一项CIS控制,这是一组更广泛的安全要求,超越了资产配置。

谁使用CIS基准?

所有行业和地区的组织都使用CISB基准来帮助他们实现安全性和合规性目标。

CISB基准是唯一由政府、企业、行业和学术机构制定和接受的最佳实践安全配置指南。它们还获得了全球认可,因此比HIPAA或FedRAMP等特定国家/地区的标准更为广泛。

尽管如此,基准对于监管严格的行业和受监管框架约束的行业来说尤其重要。医疗保健、金融服务和政府部门的组织可能会使用它们。

为什么CIS基准如此广泛使用?除了它们提供的安全性和合规性价值之外,基准文档还免费提供给所有行业和组织。要开始使用,组织必须从CIS网站下载相关的PDF。

CIS基准的重要性

网络安全是一个广泛而复杂的领域。更糟糕的是,操作系统和应用程序通常具有高度可定制性,需要配置数千个端口、服务和设置。如果组织被迫决定每项资产的理想配置,那么构建安全的业务环境将需要数年时间。

CIS基准测试为配置常见数字资产(从操作系统到云基础设施)提供了一套明确的标准。这让每个组织无需“重新发明轮子”,并为他们提供了一条清晰的途径来最大限度地减少攻击面。

安全视角


从安全角度来看,基准可帮助组织:

● 建立并维护符合行业最佳实践的安全概况。
● 消除已知不安全的配置设置。
● 保护组织免受已知威胁。
● 将攻击面缩小到仅必要的范围,以减轻不必要的网络风险。

合规视角


从合规性角度来看,CIS基准直接映射到许多主要标准和监管框架,包括NISTCSF、ISO27000、PCIDSS、HIPAA等。

对于受安全框架监管的组织而言,保持配置符合CIS基准是迈向合规性的一大步。这也有助于保护组织免受财务困境,因为不合规可能导致高额罚款——尤其是在发生违规时。

其他安全资源和CIS基准

除了CIS基准之外,互联网安全中心还提供另外两种资源。

首先,他们提供CIS控制。此资源包含一份清单,其中列出了您的组织应优先考虑的20种不同的保护措施,以应对紧迫的网络安全威胁。CIS基准是具体建议,而CIS控制则更多地被设计为NIST、HIPAA等合规框架的通用起点。

CIS还提供CIS强化映像。这些虚拟机映像是预先配置的操作系统配置,已满足CIS基准测试基线。CIS会定期更新和修补这些映像,并在两个CIS基准测试级别的配置文件中提供。

如何在组织中实施基准测试

在实施CIS基准时,有两种选择:

下载基准测试文档并手动实施建议


这种方法的优点是可以免费启动。但是,它通常需要大量劳动力,并且很难确保持续合规性—尤其是在更新配置和添加新资产时。

使用自动化解决方案来识别和解决不合规领域


虽然理论上可以手动实施CIS基准,但大多数组织使用自动化CIS基准工具。自动化解决方案可以更快、更轻松地实施和维护对CIS基准的合规性。

解决方案通常包括扫描功能,以快速识别不合规区域。通过定期运行扫描,组织可以防止错误配置的出现。

 CIBIS峰会 

由千家网主办的2024年第25届CIBIS建筑智能化峰会即将开启, 本届峰会主题为:“汇智提质:开启未来新篇章”。届时,我们将携手全球知名智能化品牌及业内专家,共同探讨物联网、AI、云计算、大数据、智慧建筑、智能家居、智慧安防等热点话题与最新技术应用,分享如何利用更智慧、更高效、更安全、更低碳的智慧技术,共同开启未来美好智慧生活。

欢迎建筑智能化行业小伙伴报名参会,共同分享交流!

报名方式

长沙站(10月24日):https://hdxu.cn/MrRqa

成都站(11月05日):https://hdxu.cn/7FoIq

西安站(11月07日):https://hdxu.cn/ToURP

北京站(11月19日):https://hdxu.cn/aeV0J

上海站(11月21日):https://hdxu.cn/xCWWb

广州站(12月05日):https://hdxu.cn/QaqDj

更多2024年峰会信息,详见峰会官网:http://summit.qianjia.com