互聯網安全中心 (Center for Internet Security，簡稱CIS)控制措施是國際計算機安全領域重要的應用實踐標準之一，旨在通過將風險降低到可接受水平，來幫助企業組織應對普遍存在并且后果較嚴重的網絡威脅。在CIS發布的第八版網絡安全關鍵安全控制措施中，通過將新規則與IT和安全行業結合，將企業開展網絡安全建設時的關鍵控制措施建議從20個減少為18個。

[[437593]]

CIS關鍵安全控制的價值

CIS關鍵安全控制不是為未經授權的網絡攻擊或針對某個安全廠商的安全產品而設計，而是為了幫助企業防止任何可疑網絡活動的發生。其主要目標是以更具成本效益的方式降低風險，確保企業數據和系統免受黑客、網絡攻擊和其他在線威脅的侵害。

CIS關鍵安全控制被設計為非侵入性，它們不會阻止任何符合公司政策或標準的行為，其關鍵安全措施通過遵循行業最佳實踐，幫助企業維護網絡或系統上信息資產的機密性、完整性和可用性。

CIS關鍵安全控制對企業用戶具有較高的參考價值，因為它們有助于保護企業數據、資源和基礎設施。CIS關鍵安全控制旨在幫助企業實施有效的網絡防御系統，包括最新的行業實踐，可以輕松地在大多數企業的安全系統中實施到，無需對其基礎架構進行重大更改或投資，也不會影響企業業務的正常開展。

企業可以通過3個步驟輕松實施CIS關鍵安全控制：

第一步： 確認需求

企業首先需要確定哪些業務適用CIS關鍵安全控制。

第二步：設置優先級

企業應該首先選擇適合其需求的部分CIS關鍵安全控制措施進行落地準備。

第三部：實施

實施 CIS關鍵安全控制，企業可以定期或安全系統發生重大變化后持續監控賬戶和維護流程。

CIS關鍵安全控制的18項措施

CIS控制基準第八版，將關鍵安全控制措施從20個減少到18個。

1. 硬件的盤點和控制

企業監控網絡的所有硬件設備至關重要，確保只有經過授權的設備才能訪問，并且可以在不法分子造成損害之前檢測到攻擊并斷開連接。

2. 軟件的盤點和控制

為防止未經授權的軟件在資產上運行，企業需使用軟件清單工具自動記錄所有軟件。

3. 數據保護

企業關鍵系統和數據必須受到保護并定期備份，安全團隊必須擁有經過驗證的方法來實現及時的數據恢復能力，可以通過實施CIS CSC(Critical Security Control)確保所有數據在傳輸或存儲之前得到適當保護。不過，大多數企業通常在發生漏洞后才會考慮其數據和系統安全性。

4. 硬件和軟件的安全配置

企業必須設置、維護和執行網絡基礎設施設備的安全配置。

5. 賬戶管理

所有內部或第三方托管系統都應該進行多因素身份驗證，確保所有用戶都擁有強大、獨特且定期更改的密碼，以防止未知人員對敏感數據進行未經授權的訪問，這一點至關重要。虛擬專用網或遠程身份驗證等訪問控制有助于保護企業網絡。

6. 管理權限的受控訪問

為了防止攻擊者使用管理帳戶，企業安全團隊必須擁有基于訪問權限的受控權限，因為擁有一份服務帳戶清單、管理憑據和足夠的密碼要求至關重要。

7. 持續的漏洞管理

在安全問題成為真正的漏洞之前，檢測它們很重要。掃描企業網絡中的弱點，然后迅速修復，這一點至關重要。如果安全團隊希望獲得有效的測試，請密切關注與CIS CSC相關的所有安全問題，跟上漏洞更新的腳步，包括軟件更新和補丁。漏洞管理是企業避免黑客入侵或數據泄露的最佳方式。

8. 審計日志的維護、監控和分析

企業流程和應用的定期檢查、維護有助于安全團隊分析事件數據、正確解釋信息并迅速采取行動。因此，企業安全團隊需要確保打開本地日志記錄，并將必要的日志安全傳輸到中央日志管理系統，以進行持續分析和警報。

9. 電子郵件和網絡瀏覽器保護

企業電子郵件系統和網絡瀏覽器面臨很多威脅，為最大限度地減少攻擊面，必須確保僅使用完全受支持的Web瀏覽器和電子郵件客戶端。

10. 惡意軟件防御

惡意軟件被用于各種網絡犯罪活動中，如身份盜竊和企業間諜活動等。企業的防病毒軟件和反惡意軟件應集中管理，以持續監控和保護每個工作站和服務器的安全。

11. 數據恢復能力

企業必須確保備份重要系統和數據，同時，還需要有一種行之有效的方法來快速恢復數據。這樣，當企業發生安全事件后安全團隊對數據完整性存在疑問時，備份可確保數據安全并為數據比較提供參考點。

12. 網絡基礎設施管理

對于企業網絡基礎設施設備而言，擁有最新的固件和軟件以及其他安全措施至關重要，這些設施設備(例如路由器、移動設備、防火墻和交換機)的安全配置必須由企業建立、實施和維護。

13. 網絡監控與防御

每個企業都必須制定強大、可靠的網絡安全策略來檢測和防御互聯網危險。監控企業網絡的外部和內部威脅至關重要，好用的監控工具可以識別錯誤配置、未經授權的網絡設備或可疑活動，而不會對端點資源造成重大負載。

14. 安全意識和技能培訓

在當今的數字化時代，企業員工必須接受各種類型的網絡攻擊教育，例如網絡釣魚、電話欺詐和假冒電話等，以應對各種網絡攻擊。

15. 服務商管理

如今，越來越多的企業開始使用第三方服務來實現業務功能，如客戶電話服務或信用卡處理等。在數據隱私和安全控制方面，擁有服務提供商所期望的流程和程序非常重要。

16. 應用軟件安全

隨著第三方應用程序的不斷增長，網絡攻擊的風險也在持續增加，對于企業而言，制定管理軟件部署和使用的策略非常重要。

17. 事件響應管理

對于企業來說，制定事件響應計劃非常有必要。企業必須為所有類型的網絡威脅做好準備，如針對惡意軟件和勒索軟件、數據泄露、系統中斷、冒充企業員工進行社會工程攻擊嘗試等威脅做相關準備和防范。

18. 滲透測試

滲透測試是企業進行持續安全管理的必要部分，有效的滲透測試計劃(如應用程序、數據存儲和網絡設備等滲透測試計劃)，對于企業評估內部漏洞至關重要。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文