CSC verze 6.0 - CSC Version 6.0
The Centrum pro internetovou bezpečnost Kritické bezpečnostní kontroly Verze 6.0 byla vydána 15. října 2015.[1] Skládá se z:
- CSC 1: Inventář autorizovaných a neautorizovaných zařízení[2]
- CSC 2: Inventář autorizovaného a neautorizovaného softwaru
- CSC 3: Zabezpečené konfigurace hardwaru a softwaru na mobilních zařízeních, laptopech, pracovních stanicích a serverech
- CSC 4: Průběžné hodnocení zranitelnosti a náprava
- CSC 5: Řízené používání oprávnění správce
- CSC 6: Údržba, monitorování a analýza protokolů auditu
- CSC 7: Ochrana e-mailem a webovým prohlížečem
- CSC 8: Obrana proti malwaru
- CSC 9: Omezení a kontrola síťových portů, protokolů a služeb
- CSC 10: Schopnost obnovy dat
- CSC 11: Zabezpečené konfigurace pro síťová zařízení, jako jsou brány firewall, směrovače a přepínače
- CSC 12: Hranice obrany
- CSC 13: Ochrana dat
- CSC 14: Řízený přístup na základě potřeby vědět
- CSC 15: Bezdrátové řízení přístupu
- CSC 16: Monitorování a kontrola účtu
- CSC 17: Posouzení bezpečnostních dovedností a vhodné školení k vyplnění mezer
- CSC 18: Zabezpečení aplikačního softwaru
- CSC 19: Reakce na incidenty a jejich řízení
- CSC 20: Penetrační testy a cvičení červených týmů
| Rodina | Řízení | Popis ovládání |
|---|---|---|
| Critical Security Control # 1: Inventory of Authorized and Neautorized Devices | ||
| Systém | 1.1 | Nasadte automatizovaný nástroj pro zjišťování inventáře aktiv a použijte jej k vytvoření předběžného inventáře systémů připojených k veřejné a soukromé síti organizace. Měly by být použity jak aktivní nástroje, které skenují přes rozsahy síťových adres IPv4 nebo IPv6, tak pasivní nástroje, které identifikují hostitele na základě analýzy jejich provozu. |
| Systém | 1.2 | Pokud organizace dynamicky přiřazuje adresy pomocí protokolu DHCP, nasaďte protokolování serveru s dynamickým protokolem konfigurace hostitele (DHCP) a pomocí těchto informací vylepšete inventář aktiv a pomozte detekovat neznámé systémy. |
| Systém | 1.3 | Zajistěte, aby všechna pořízení zařízení automaticky aktualizovala inventární systém, protože jsou k síti připojena nová schválená zařízení. |
| Systém | 1.4 | Udržujte inventář všech systémů připojených k síti a samotná síťová zařízení, zaznamenávejte alespoň síťové adresy, názvy počítačů, účel každého systému, vlastníka aktiv odpovědného za každé zařízení a oddělení přidružené ke každému zařízení . Inventář by měl zahrnovat každý systém, který má v síti adresu internetového protokolu (IP), mimo jiné včetně stolních počítačů, notebooků, serverů, síťových zařízení (směrovače, přepínače, brány firewall atd.), Tiskáren, sítí úložišť, hlasu Telefony přes IP, adresy s více adresami, virtuální adresy atd. Vytvořený inventář majetku musí také obsahovat údaje o tom, zda je zařízení přenosným nebo osobním zařízením. Je třeba identifikovat zařízení, jako jsou mobilní telefony, tablety, notebooky a další přenosná elektronická zařízení, která ukládají nebo zpracovávají data, bez ohledu na to, zda jsou připojena k síti organizace. |
| Systém | 1.5 | Nasazení ověřování na úrovni sítě prostřednictvím protokolu 802.1x omezuje a řídí, která zařízení lze k síti připojit. Aby bylo možné určit autorizované a neautorizované systémy, musí být protokol 802.1x svázán s daty inventáře. |
| Systém | 1.6 | Před připojením k privátní síti použijte klientské certifikáty k ověření a ověření systémů. |
| Critical Security Control # 2: Inventory of Authorized and Neautorized Software | ||
| Systém | 2.1 | Vytvořte seznam autorizovaného softwaru a verze, která je v podniku požadována pro každý typ systému, včetně serverů, pracovních stanic a notebooků různého druhu a použití. Tento seznam by měl být sledován nástroji pro kontrolu integrity souborů, aby bylo možné ověřit, že autorizovaný software nebyl změněn. |
| Systém | 2.2 | Nasadit technologii whitelisting aplikací, která umožňuje systémům spouštět software pouze v případě, že je uveden na whitelistu, a brání spuštění veškerého dalšího softwaru v systému. Seznam povolených může být velmi rozsáhlý (jak je k dispozici u komerčních prodejců povolených seznamů), takže uživatelé při používání běžného softwaru nebudou mít potíže. Nebo pro některé speciální systémy (které k dosažení potřebné obchodní funkce vyžadují jen malý počet programů) může být seznam povolených položek docela úzký. |
| Systém | 2.3 | Nasazujte softwarové inventarizační nástroje v celé organizaci pokrývající všechny používané typy operačních systémů, včetně serverů, pracovních stanic a notebooků. Systém inventáře softwaru by měl sledovat verzi základního operačního systému i aplikace v něm nainstalované. Systémy inventáře softwaru musí být svázány s inventářem hardwarových aktiv, takže všechna zařízení a související software jsou sledovány z jednoho místa. |
| Systém | 2.4 | Virtuální stroje nebo systémy se vzduchovou mezerou by se měly používat k izolaci a spouštění aplikací, které jsou vyžadovány pro obchodní operace, ale na základě vyššího rizika by se neměly instalovat v síťovém prostředí. |
| Critical Security Control # 3: Secure Configurations for Hardware and Software | ||
| Systém | 3.1 | Vytvořte standardní zabezpečené konfigurace svých operačních systémů a softwarových aplikací. Standardizované obrázky by měly představovat zpevněné verze základního operačního systému a aplikací nainstalovaných v systému. Tyto obrázky by měly být pravidelně ověřovány a obnovovány, aby se aktualizovala jejich konfigurace zabezpečení s ohledem na nedávné chyby zabezpečení a vektory útoku. |
| Systém | 3.2 | Postupujte podle přísné správy konfigurace a vytvářejte zabezpečenou bitovou kopii, která se používá k vytváření všech nových systémů nasazených v podniku. Jakýkoli existující systém, který bude ohrožen, by měl být znovu zobrazen pomocí zabezpečeného sestavení. Pravidelné aktualizace nebo výjimky z tohoto obrazu by měly být integrovány do procesů správy změn organizace. Měly by být vytvářeny obrázky pro pracovní stanice, servery a další typy systémů používané organizací. |
| Systém | 3.3 | Ukládejte hlavní obrazy na bezpečně nakonfigurovaných serverech, ověřené nástroji pro kontrolu integrity schopnými nepřetržité kontroly a správou změn, abyste zajistili, že jsou možné pouze autorizované změny obrázků. Alternativně mohou být tyto hlavní obrazy uloženy v offline strojích, vzduchových mezerách z produkční sítě, s obrázky zkopírovanými přes zabezpečené médium pro jejich přesun mezi servery pro ukládání obrazů a produkční sítí. |
| Systém | 3.4 | Provádějte veškerou vzdálenou správu serverů, pracovních stanic, síťových zařízení a podobných zařízení přes zabezpečené kanály. Protokoly jako telnet, VNC, RDP nebo jiné, které aktivně nepodporují silné šifrování, by měly být použity pouze v případě, že jsou prováděny přes sekundární šifrovací kanál, jako je SSL, TLS nebo IPSEC. |
| Systém | 3.5 | Pomocí nástrojů pro kontrolu integrity souborů zajistěte, aby nebyly změněny kritické systémové soubory (včetně spustitelných souborů systému a aplikací, knihoven a konfigurací). Systém podávání zpráv by měl: mít schopnost zohledňovat běžné a očekávané změny; zvýrazněte a upozorněte na neobvyklé nebo neočekávané změny; zobrazit historii změn konfigurace v průběhu času a určit, kdo provedl změnu (včetně původního přihlášeného účtu v případě přepnutí ID uživatele, například příkazem su nebo sudo). Tyto kontroly integrity by měly identifikovat podezřelé změny systému, jako jsou: změny vlastníka a oprávnění k souborům nebo adresářům; použití alternativních datových toků, které by mohly být použity ke skrytí škodlivých aktivit; a zavedení dalších souborů do klíčových oblastí systému (což by mohlo naznačovat škodlivé užitečné zatížení zanechané útočníky nebo další soubory nevhodně přidané během procesů dávkové distribuce). |
| Systém | 3.6 | Implementujte a otestujte automatizovaný systém monitorování konfigurace, který ověří všechny vzdáleně testovatelné zabezpečené konfigurační prvky, a upozorní, když dojde k neoprávněným změnám. To zahrnuje zjišťování nových naslouchajících portů, nových administrátorských uživatelů, změny skupinových a místních objektů zásad (pokud existují) a nové služby spuštěné v systému. Kdykoli je to možné, použijte nástroje kompatibilní s protokolem SCAP (Security Content Automation Protocol) za účelem zefektivnění vytváření sestav a integrace. |
| Systém | 3.7 | Nasadit nástroje pro správu konfigurace systému, například Objekty zásad skupiny služby Active Directory pro systémy Microsoft Windows nebo Puppet pro systémy UNIX, které budou automaticky vynucovat a znovu nasazovat nastavení konfigurace do systémů v pravidelně naplánovaných intervalech. Měly by být schopné spouštět opětovné nasazení nastavení konfigurace na plánovaném, manuálním nebo událostním základě. |
| Critical Security Control # 4: Continuous Vulnerability Assessment and Remediation | ||
| Systém | 4.1 | Spouštějte automatizované nástroje pro skenování zranitelností na všech systémech v síti každý týden nebo častěji a doručujte prioritní seznamy nejdůležitějších zranitelností každému odpovědnému správci systému spolu se skóre rizik, která porovnávají účinnost správců systémů a oddělení při snižování rizik. Použijte skener zranitelností ověřený SCAP, který hledá chyby zabezpečení založené na kódu (například ty, které jsou popsány v položkách Common Vulnerabilities and Exposures) a chyby zabezpečení založené na konfiguraci (jak jsou vyčísleny v projektu Common Configuration Enumeration Project). |
| Systém | 4.2 | Korelaci protokolů událostí s informacemi ze skenů zranitelností splňte dva cíle. Nejprve by si pracovníci měli ověřit, že je aktivita samotných pravidelných nástrojů pro kontrolu zranitelnosti protokolována. Za druhé, pracovníci by měli být schopni korelovat události detekce útoků s předchozími výsledky skenování zranitelnosti, aby zjistili, zda byl daný exploit použit proti cíli, o kterém je známo, že je zranitelný. |
| Systém | 4.3 | Proveďte skenování zranitelností v ověřeném režimu buď s agenty spuštěnými místně v každém koncovém systému, abyste mohli analyzovat konfiguraci zabezpečení, nebo pomocí vzdálených skenerů, kterým byla v testovaném systému udělena práva správce. Pro ověřené kontroly zranitelnosti použijte vyhrazený účet, který by neměl být používán pro žádné jiné administrativní činnosti a měl by být vázán na konkrétní počítače na konkrétních adresách IP. Zajistěte, aby k uživatelskému rozhraní pro správu zranitelnosti měli přístup pouze oprávnění zaměstnanci a aby byly každému uživateli přiřazeny role. |
| Systém | 4.4 | Přihlaste se k odběru zpravodajských služeb o zranitelnosti, abyste zůstali informováni o nově vznikajících expozicích, a použijte informace získané z tohoto předplatného k aktualizaci aktivit skenování zranitelnosti organizace alespoň jednou měsíčně. Alternativně zajistěte, aby nástroje pro skenování zranitelností, které používáte, byly pravidelně aktualizovány o všechny relevantní důležité chyby zabezpečení. |
| Systém | 4.5 | Nasadit nástroje pro automatickou správu oprav a nástroje pro aktualizaci softwaru pro operační systém a software / aplikace ve všech systémech, pro které jsou tyto nástroje k dispozici a bezpečné. Záplaty by měly být aplikovány na všechny systémy, dokonce i na systémy, které mají správnou vzduchovou mezeru. |
| Systém | 4.6 | Monitorujte protokoly spojené s jakoukoli aktivitou skenování a přidružené účty správce a zajistěte, aby byla tato aktivita omezena na časové rámce legitimních skenů. |
| Systém | 4.7 | Porovnejte výsledky skenování zranitelností typu back-to-back a ověřte, zda byly chyby zabezpečení vyřešeny buď opravou, implementací kompenzačního řízení nebo zdokumentováním a přijetím přiměřeného obchodního rizika. Takové přijetí obchodních rizik pro existující zranitelnosti by mělo být pravidelně přezkoumáváno, aby se zjistilo, zda novější kompenzační kontroly nebo následné opravy mohou řešit zranitelnosti, které byly dříve přijaty, nebo zda se podmínky změnily, což zvyšuje riziko. |
| Systém | 4.8 | Vytvořte proces pro hodnocení rizik zranitelnosti na základě využitelnosti a potenciálního dopadu zranitelnosti a segmentovaný podle příslušných skupin aktiv (například servery DMZ, servery interní sítě, stolní počítače, notebooky). Nejprve použijte opravy nejrizikovějších chyb zabezpečení. Postupné zavádění lze použít k minimalizaci dopadu na organizaci. Stanovte očekávané časové osy oprav na základě úrovně hodnocení rizika. |
| Critical Security Control # 5: Controlled Use of Administrative Privileges | ||
| Systém | 5.1 | Minimalizujte oprávnění správce a účty správce používejte pouze v případě, že jsou požadována. Implementujte cílené auditování používání privilegovaných funkcí pro správu a sledujte neobvyklé chování. |
| Systém | 5.2 | Pomocí automatizovaných nástrojů můžete inventarizovat všechny účty pro správu a ověřit, že každá osoba s oprávněními správce na počítačích, noteboocích a serverech je autorizována vedoucím pracovníkem. |
| Systém | 5.3 | Před nasazením nových zařízení v síťovém prostředí změňte všechna výchozí hesla pro aplikace, operační systémy, směrovače, brány firewall, bezdrátové přístupové body a další systémy, aby byly hodnoty konzistentní s účty na úrovni správy. |
| Systém | 5.4 | Nakonfigurujte systémy tak, aby vydávaly záznam protokolu a upozorňovaly na přidání nebo odebrání účtu ze skupiny správců domény nebo na přidání nového účtu místního správce v systému. |
| Systém | 5.5 | Nakonfigurujte systémy tak, aby vydávaly položky protokolu a upozorňovaly na jakékoli neúspěšné přihlášení k účtu správce. |
| Systém | 5.6 | Vícefaktorové ověřování použijte pro veškerý přístup pro správce, včetně přístupu pro správu domény. Vícefaktorové ověřování může zahrnovat celou řadu technik zahrnujících použití čipových karet, certifikátů, tokenů jednorázového hesla (OTP), biometrických údajů nebo jiných podobných metod ověřování. |
| Systém | 5.7 | Pokud vícefaktorové ověřování není podporováno, je od uživatelských účtů vyžadováno, aby v systému používala dlouhá hesla (delší než 14 znaků). |
| Systém | 5.8 | Od správců by měl být vyžadován přístup do systému pomocí plně přihlášeného a neadministrativního účtu. Poté, co se přihlásíte k počítači bez oprávnění správce, měl by správce přejít na oprávnění správce pomocí nástrojů, jako je Sudo v systému Linux / UNIX, RunAs v systému Windows a další podobná zařízení pro jiné typy systémů. |
| Systém | 5.9 | Správci používají vyhrazený stroj pro všechny administrativní úkoly nebo úkoly vyžadující zvýšený přístup. Tento stroj musí být izolován od primární sítě organizace a nesmí mu být povolen přístup k internetu. Tento stroj nesmí být používán ke čtení e-mailů, psaní dokumentů nebo procházení Internetu. |
| Critical Security Control # 6: Maintenance, Monitoring, and Analysis of Audit Logs | ||
| Systém | 6.1 | Zahrňte alespoň dva synchronizované časové zdroje, ze kterých všechny servery a síťová zařízení pravidelně načítají časové informace, aby byla časová razítka v protokolech konzistentní. |
| Systém | 6.2 | Ověřte nastavení protokolu auditu pro každé hardwarové zařízení a software v něm nainstalovaný a zajistěte, aby protokoly obsahovaly datum, časové razítko, zdrojové adresy, cílové adresy a různé další užitečné prvky každého paketu nebo transakce. Systémy by měly zaznamenávat protokoly ve standardizovaném formátu, jako jsou položky syslog nebo ty, které jsou popsány v iniciativě Common Event Expression. Pokud systémy nemohou generovat protokoly ve standardizovaném formátu, lze nasadit nástroje pro normalizaci protokolů a převést protokoly do takového formátu. |
| Systém | 6.3 | Zajistěte, aby všechny systémy, které ukládají protokoly, měly dostatečný úložný prostor pro protokoly generované pravidelně, aby se soubory protokolu mezi intervaly střídání protokolů nezaplňovaly. Protokoly musí být pravidelně archivovány a digitálně podepsány. |
| Systém | 6.4 | Nechte bezpečnostní pracovníky a / nebo správce systému spouštět čtrnáctidenní zprávy, které identifikují anomálie v protokolech. Poté by měli anomálie aktivně zkontrolovat a zdokumentovat svá zjištění. |
| Systém | 6.5 | Nakonfigurujte zařízení na hranici sítě, včetně bran firewall, síťového IPS a příchozích a odchozích serverů proxy, abyste mohli podrobně protokolovat veškerý provoz (povolený i blokovaný) přicházející na zařízení. |
| Systém | 6.6 | Nasadit SIEM (Security Information and Event Management) nebo protokolovat analytické nástroje pro agregaci a konsolidaci protokolů z více počítačů a pro korelaci a analýzu protokolů. Pomocí nástroje SIEM by měli správci systému a bezpečnostní pracovníci vymýšlet profily běžných událostí z daných systémů, aby mohli vyladit detekci tak, aby se zaměřila na neobvyklou aktivitu, vyhnula se falešným poplachům, rychleji identifikovala anomálie a zabránila ohromujícím analytikům s nevýznamnými výstrahami. |
| Critical Security Control # 7: Email and Web Browser Protection | ||
| Systém | 7.1 | Zajistěte, aby se v organizaci mohly spouštět pouze plně podporované webové prohlížeče a e-mailoví klienti, v ideálním případě pouze pomocí nejnovější verze prohlížečů poskytovaných prodejcem, abyste mohli využívat nejnovější funkce zabezpečení a opravy. |
| Systém | 7.2 | Odinstalujte nebo deaktivujte všechny zbytečné nebo neautorizované doplňky prohlížeče nebo e-mailového klienta nebo doplňkové aplikace. Každý plugin musí využívat seznam povolených aplikací / URL a povolit použití aplikace pouze pro předem schválené domény. |
| Systém | 7.3 | Omezte používání zbytečných skriptovacích jazyků ve všech webových prohlížečích a e-mailových klientech. To zahrnuje použití jazyků, jako je ActiveX a JavaScript, v systémech, kde není nutné tyto funkce podporovat. |
| Systém | 7.4 | Zaznamenejte všechny požadavky na URL z každého ze systémů organizace, ať už na místě nebo z mobilního zařízení, abyste identifikovali potenciálně škodlivou aktivitu a pomohli zpracovatelům incidentů s identifikací potenciálně ohrožených systémů. |
| Systém | 7.5 | Nasadit do každého systému dvě samostatné konfigurace prohlížeče. Jedna konfigurace by měla zakázat použití všech modulů plug-in, zbytečných skriptovacích jazyků a obecně by měla být konfigurována s omezenými funkcemi a měla by se používat pro běžné procházení webu. Druhá konfigurace umožňuje více funkcí prohlížeče, ale měla by být použita pouze pro přístup ke konkrétním webům, které vyžadují použití těchto funkcí. |
| Systém | 7.6 | Organizace musí udržovat a prosazovat síťové filtry adres URL, které omezují schopnost systému připojit se k webům, které organizace neschválila. Organizace se musí přihlásit k odběru služeb kategorizace adres URL, aby zajistila jejich aktuálnost s nejnovějšími dostupnými definicemi kategorií webových stránek. Nekategorizované weby budou ve výchozím nastavení blokovány. Toto filtrování musí být vynuceno pro každý ze systémů organizace, ať už jsou fyzicky v zařízeních organizace nebo ne. |
| Systém | 7.7 | Chcete-li snížit pravděpodobnost podvržených e-mailových zpráv, implementujte Sender Policy Framework (SPF) nasazením záznamů SPF v DNS a povolením ověření na straně příjemce na poštovních serverech. |
| Systém | 7.8 | Naskenujte a zablokujte všechny e-mailové přílohy vstupující do e-mailové brány organizace, pokud obsahují škodlivý kód nebo typy souborů, které jsou pro podnikání organizace nepotřebné. Toto skenování by mělo být provedeno před umístěním e-mailu do doručené pošty uživatele. To zahrnuje filtrování e-mailového obsahu a filtrování webového obsahu. |
| Kritická kontrola zabezpečení č. 8: Obrana proti malwaru | ||
| Systém | 8.1 | Využívejte automatizované nástroje k nepřetržitému monitorování pracovních stanic, serverů a mobilních zařízení s antivirovým, antispywarovým, osobním firewallem a funkcemi IPS založenými na hostiteli. Všechny události detekce malwaru by měly být odeslány podnikovým nástrojům pro správu antimalwaru a serverům protokolu událostí. |
| Systém | 8.2 | Zaměstnejte software proti malwaru, který nabízí centralizovanou infrastrukturu, která shromažďuje informace o reputaci souborů, nebo nechte administrátory ručně zasílat aktualizace všem strojům. Po použití aktualizace by automatizované systémy měly ověřit, že každý systém obdržel aktualizaci podpisu. |
| Systém | 8.3 | Omezte používání externích zařízení na zařízení se schválenou a zdokumentovanou obchodní potřebou. Monitorujte použití a pokus o použití externích zařízení. Nakonfigurujte notebooky, pracovní stanice a servery tak, aby automaticky nespouštěly obsah z vyměnitelných médií, jako jsou USB tokeny (tj. „Flash disky“), USB pevné disky, CD / DVD, zařízení FireWire, externí připojovací zařízení pro pokročilé technologie, a připojené síťové sdílené složky. Nakonfigurujte systémy tak, aby po vložení automaticky prováděly antivirovou kontrolu vyměnitelných médií. |
| Systém | 8.4 | Povolte funkce proti vykořisťování, jako je Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR), virtualizace / kontejnerizace atd. Chcete-li zvýšit ochranu, nasaďte funkce, jako je například Enhanced Mitigation Experience Toolkit (EMET), které lze nakonfigurovat tak, aby je používaly ochrany k širší sadě aplikací a spustitelných souborů. |
| Systém | 8.5 | Pomocí síťových nástrojů proti malwaru můžete identifikovat spustitelné soubory ve veškerém síťovém provozu a použít jiné techniky než detekci založenou na podpisu k identifikaci a odfiltrování škodlivého obsahu před tím, než dorazí ke koncovému bodu. |
| Systém | 8.6 | Povolte protokolování dotazů systému názvů domén (DNS), abyste zjistili vyhledávání názvů hostitelů u známých škodlivých domén C2. |
| Kritická kontrola zabezpečení č. 9: Omezení a kontrola síťových portů, protokolů a služeb | ||
| Systém | 9.1 | Zajistěte, aby v každém systému byly spuštěny pouze porty, protokoly a služby s ověřenými obchodními potřebami. |
| Systém | 9.2 | Aplikujte brány firewall založené na hostiteli nebo nástroje pro filtrování portů v koncových systémech s pravidlem výchozího odepření, které zruší veškerý provoz kromě těch služeb a portů, které jsou výslovně povoleny. |
| Systém | 9.3 | Pravidelně provádějte automatická skenování portů proti všem klíčovým serverům a ve srovnání se známou efektivní základní úrovní. Pokud je zjištěna změna, která není uvedena na schváleném základním plánu organizace, mělo by být vygenerováno a zkontrolováno upozornění. |
| Systém | 9.4 | Ověřte jakýkoli server, který je viditelný z Internetu nebo z nedůvěryhodné sítě, a pokud to není nutné pro obchodní účely, přesuňte jej do interní sítě VLAN a přidělte mu soukromou adresu. |
| Systém | 9.5 | Provozujte kritické služby na samostatných fyzických nebo logických hostitelských počítačích, jako jsou DNS, souborové, poštovní, webové a databázové servery. |
| Systém | 9.6 | Umístěte brány firewall aplikace před všechny důležité servery, abyste ověřili a ověřili provoz směřující na server. Jakékoli neautorizované služby nebo přenosy by měly být blokovány a vygenerována výstraha. |
| Critical Security Control # 10: Data Recovery Capability | ||
| Systém | 10.1 | Zajistěte, aby byl každý systém automaticky zálohován alespoň jednou týdně a častěji pro systémy, které uchovávají citlivé informace. Aby byla zajištěna schopnost rychle obnovit systém ze zálohy, měl by být do celého postupu zálohování zahrnut každý operační systém, aplikační software a data v počítači. Tyto tři součásti systému nemusí být zahrnuty do stejného záložního souboru nebo používat stejný zálohovací software. Mělo by existovat více záloh v průběhu času, aby v případě infekce malwarem mohla být obnova z verze, o které se předpokládá, že předcházela původní infekci. Všechny zásady zálohování by měly být v souladu s jakýmikoli regulačními nebo oficiálními požadavky. |
| Systém | 10.2 | Pravidelně testujte data na zálohovacím médiu provedením procesu obnovy dat, abyste se ujistili, že zálohování funguje správně. |
| Systém | 10.3 | Zajistěte, aby byly zálohy správně chráněny fyzickým zabezpečením nebo šifrováním, když jsou uloženy, i když jsou přesunuty po síti. To zahrnuje vzdálené zálohy a cloudové služby. |
| Systém | 10.4 | Zajistěte, aby klíčové systémy měly alespoň jeden cíl zálohování, který není nepřetržitě adresovatelný prostřednictvím volání operačního systému. To zmírní riziko útoků, jako je CryptoLocker, které se snaží zašifrovat nebo poškodit data ve všech adresovatelných sdílených datech, včetně cílů zálohování. |
| Critical Security Control # 11: Secure Configurations for Network Devices | ||
| Síť | 11.1 | Porovnejte konfiguraci brány firewall, směrovače a přepínače se standardními zabezpečenými konfiguracemi definovanými pro každý typ síťového zařízení používaného v organizaci. Konfigurace zabezpečení těchto zařízení by měla být zdokumentována, zkontrolována a schválena řídícím orgánem změny. Jakékoli odchylky od standardní konfigurace nebo aktualizací standardní konfigurace by měly být zdokumentovány a schváleny v systému řízení změn. |
| Síť | 11.2 | Všechna nová konfigurační pravidla, která přesahují základně vyztuženou konfiguraci a která umožňují tok provozu síťovými bezpečnostními zařízeními, jako jsou brány firewall a síťový IPS, by měla být dokumentována a zaznamenána v systému správy konfigurace s konkrétním obchodním důvodem pro každou změnu, a jméno konkrétního jednotlivce odpovědného za tuto obchodní potřebu a očekávané trvání této potřeby. |
| Síť | 11.3 | Pomocí automatizovaných nástrojů ověřte standardní konfigurace zařízení a detekujte změny. Všechny změny těchto souborů by měly být protokolovány a automaticky hlášeny pracovníkům bezpečnosti. |
| Síť | 11.4 | Spravujte síťová zařízení pomocí dvoufaktorového ověřování a šifrovaných relací. |
| Síť | 11.5 | Nainstalujte nejnovější stabilní verzi všech aktualizací souvisejících se zabezpečením na všechna síťová zařízení. |
| Síť | 11.6 | Síťoví inženýři používají vyhrazený stroj pro všechny administrativní úkoly nebo úkoly vyžadující zvýšený přístup. Tento stroj musí být izolován od primární sítě organizace a nesmí mu být povolen přístup k internetu. Tento stroj se nesmí používat ke čtení e-mailů, psaní dokumentů nebo procházení Internetu. |
| Síť | 11.7 | Spravujte síťovou infrastrukturu napříč síťovými připojeními, která jsou oddělena od obchodního využití této sítě, a to u samostatných sítí VLAN nebo nejlépe u zcela odlišného fyzického připojení pro relace správy pro síťová zařízení. |
| Critical Security Control # 12: Boundary Defense | ||
| Síť | 12.1 | Odepřít komunikaci se (nebo omezit tok dat na) známé škodlivé adresy IP (černé listiny) nebo omezit přístup pouze na důvěryhodné weby (bílé listiny). Testy lze pravidelně provádět zasíláním paketů z IP adres zdrojových IP adres (nemetrovatelné nebo jinak nepoužívané IP adresy) do sítě, aby se ověřilo, že nejsou přenášeny přes síťové obvody. Seznamy bogonových adres jsou veřejně dostupné na internetu z různých zdrojů a označují řadu IP adres, které by se neměly používat pro legitimní provoz procházející internetem. |
| Síť | 12.2 | V sítích DMZ nakonfigurujte monitorovací systémy (které mohou být zabudovány do senzorů IDS nebo nasazeny jako samostatná technologie) tak, aby zaznamenávaly alespoň informace o záhlaví paketu a nejlépe celou záhlaví paketu a užitečné zatížení provozu určeného pro nebo procházejícího hranicí sítě. Tento provoz by měl být odeslán do správně nakonfigurovaného systému Security Information Event Management (SIEM) nebo do analytického systému protokolu, aby bylo možné události korelovat ze všech zařízení v síti. |
| Síť | 12.3 | Nasadit síťové senzory IDS na internetu a extranetových systémech a sítích DMZ, které hledají neobvyklé útočné mechanismy a detekují kompromisy těchto systémů. Tyto síťové senzory IDS mohou detekovat útoky pomocí podpisů, analýzy chování v síti nebo jiných mechanismů k analýze provozu. |
| Síť | 12.4 | Síťová zařízení IPS by měla být nasazena jako doplněk IDS blokováním známých špatných podpisů nebo chováním potenciálních útoků. Jak se útoky stávají automatizovanými, metody jako IDS obvykle zpožďují dobu, kterou potřebuje někdo na útok. Správně nakonfigurovaný síťový IPS může poskytnout automatizaci k blokování špatného provozu. Při hodnocení síťových produktů IPS je třeba vzít v úvahu ty, které používají jiné techniky než detekci založenou na podpisu (například přístupy založené na virtuálním počítači nebo karanténě). |
| Síť | 12.5 | Navrhněte a implementujte síťové obvody tak, aby veškerý odchozí síťový provoz do Internetu musel procházet alespoň jedním proxy serverem filtrujícím aplikační vrstvu. Server proxy by měl podporovat dešifrování síťového provozu, protokolování jednotlivých relací TCP, blokování konkrétních adres URL, názvů domén a adres IP za účelem implementace černé listiny a použití seznamů povolených webů, ke kterým lze přistupovat prostřednictvím serveru proxy, přičemž blokuje všechny ostatní weby. Organizace by měly vynutit odchozí provoz do Internetu prostřednictvím ověřeného serveru proxy na podnikovém obvodu. |
| Síť | 12.6 | Vyžadovat veškerý vzdálený přístup k přihlášení (včetně VPN, telefonického připojení a dalších forem přístupu, které umožňují přihlášení do interních systémů), aby bylo možné používat dvoufaktorové ověřování. |
| Síť | 12.7 | Všechna podniková zařízení, která se vzdáleně přihlašují do interní sítě, by měla být spravována podnikem s dálkovým ovládáním jejich konfigurace, nainstalovaného softwaru a úrovní oprav. U zařízení třetích stran (např. Subdodavatelé / prodejci) zveřejněte minimální bezpečnostní standardy pro přístup k podnikové síti a před povolením přístupu proveďte kontrolu zabezpečení. |
| Síť | 12.8 | Pravidelně vyhledávejte připojení zadního kanálu k internetu, která obcházejí DMZ, včetně neautorizovaných připojení VPN a hostitelů s dvojím připojením k podnikové síti a dalším sítím prostřednictvím bezdrátových, vytáčených modemů nebo jiných mechanismů. |
| Síť | 12.9 | Nasadit sběr a analýzu NetFlow do síťových toků DMZ k detekci anomální aktivity. |
| Síť | 12.10 | Chcete-li pomoci identifikovat skryté kanály exfiltrující data prostřednictvím brány firewall, nakonfigurujte integrované mechanismy sledování relací brány firewall obsažené v mnoha komerčních branách firewall, abyste identifikovali relace TCP, které trvají neobvykle dlouhou dobu pro danou organizaci a zařízení brány firewall, a upozorní personál na zdroj a cíl adresy spojené s těmito dlouhými relacemi. |
| Critical Security Control # 13: Data Protection | ||
| Síť | 13.1 | Proveďte vyhodnocení dat k identifikaci citlivých informací, které vyžadují použití šifrování a kontroly integrity |
| Síť | 13.2 | Nasadit schválený šifrovací software pevného disku do mobilních zařízení a systémů, které obsahují citlivá data. |
| Síť | 13.3 | Nasadit automatizovaný nástroj na síťové obvody, které monitorují citlivé informace (např. Osobně identifikovatelné informace), klíčová slova a další charakteristiky dokumentů, aby zjistily neoprávněné pokusy o exfiltraci dat přes hranice sítě a blokaci těchto přenosů při upozornění personálu zabezpečení informací. |
| Síť | 13.4 | Provádějte pravidelné skenování serverových strojů pomocí automatizovaných nástrojů, abyste zjistili, zda jsou v systému obsažena citlivá data (např. Údaje umožňující zjištění totožnosti, zdraví, kreditní karta nebo utajované informace) v čistém textu. Tyto nástroje, které hledají vzory, které naznačují přítomnost citlivých informací, mohou pomoci identifikovat, zda obchodní nebo technický proces opouští nebo jinak únik citlivých informací. |
| Síť | 13.5 | Pokud taková zařízení není třeba podporovat, nakonfigurujte systémy tak, aby nezapisovaly data na USB tokeny nebo USB pevné disky. Pokud jsou taková zařízení požadována, měl by se použít podnikový software, který dokáže konfigurovat systémy tak, aby umožňovaly přístup pouze k určitým zařízením USB (na základě sériového čísla nebo jiné jedinečné vlastnosti) a který může automaticky šifrovat všechna data umístěná na těchto zařízeních. Musí být udržován soupis všech autorizovaných zařízení. |
| Síť | 13.6 | Pomocí řešení DLP založených na síti můžete sledovat a řídit tok dat v síti. Měly by být zaznamenány jakékoli anomálie, které překračují běžné vzorce provozu, a měla by být přijata vhodná opatření k jejich řešení. |
| Síť | 13.7 | Monitorujte veškerý provoz opouštějící organizaci a detekujte jakékoli neoprávněné použití šifrování. Útočníci často používají šifrovaný kanál k obejití síťových bezpečnostních zařízení. Proto je nezbytné, aby organizace dokázaly detekovat nepoctivá připojení, ukončit připojení a napravit infikovaný systém. |
| Síť | 13.8 | Blokujte přístup ke známým webovým serverům pro přenos souborů a e-mail. |
| Síť | 13.9 | K vynucení seznamů ACL, i když jsou data kopírována ze serveru, použijte prevenci ztráty dat na základě hostitele (DLP). Ve většině organizací je přístup k datům řízen ACL, které jsou implementovány na serveru. Jakmile jsou data zkopírována do systému pro stolní počítače, seznamy ACL již nejsou vynuceny a uživatelé mohou data odesílat komukoli. |
| Critical Security Control # 14: Controlled Access Based on the Need to Know | ||
| aplikace | 14.1 | Segmentujte síť na základě štítku nebo úrovně klasifikace informací uložených na serverech. Vyhledejte všechny citlivé informace na oddělených sítích VLANS s filtrováním brány firewall, abyste zajistili, že pouze oprávnění jedinci budou moci komunikovat pouze se systémy nezbytnými k plnění jejich konkrétních povinností. |
| aplikace | 14.2 | Veškerá komunikace citlivých informací přes méně důvěryhodné sítě by měla být šifrována. Kdykoli informace proudí přes síť s nižší úrovní důvěryhodnosti, měly by být informace šifrovány. |
| aplikace | 14.3 | Všechny síťové přepínače umožní privátním virtuálním lokálním sítím (VLAN) segmentovaným sítím pracovních stanic omezit schopnost zařízení v síti přímo komunikovat s ostatními zařízeními v podsíti a omezit schopnost útočníků bočně se pohybovat ke kompromitaci sousedních systémů. |
| aplikace | 14.4 | Veškeré informace uložené v systémech musí být chráněny souborovým systémem, sdílením v síti, deklaracemi, aplikacemi nebo seznamy řízení přístupu specifickými pro databázi. Tyto kontroly vynucují principál, že pouze oprávněné osoby by měly mít přístup k informacím na základě jejich potřeby přístupu k informacím v rámci jejich odpovědnosti. |
| aplikace | 14.5 | Citlivé informace uložené v systémech musí být v klidu šifrovány a pro přístup k informacím vyžadují mechanismus sekundárního ověřování, který není integrován do operačního systému. |
| aplikace | 14.6 | Vynutit podrobné protokolování auditu pro přístup k neveřejným datům a speciální ověřování citlivých dat. |
| aplikace | 14.7 | Archived data sets or systems not regularly accessed by the organization shall be removed from the organization's network. These systems shall only be used as stand alone systems (disconnected from the network) by the business unit needing to occasionally use the system or completely virtualized and powered off until needed. |
| Critical Security Control #15: Wireless Access Control | ||
| Síť | 15.1 | Ensure that each wireless device connected to the network matches an authorized configuration and security profile, with a documented owner of the connection and a defined business need. Organizations should deny access to those wireless devices that do not have such a configuration and profile. |
| Síť | 15.2 | Configure network vulnerability scanning tools to detect wireless access points connected to the wired network. Identified devices should be reconciled against a list of authorized wireless access points. Unauthorized (i.e., rogue) access points should be deactivated. |
| Síť | 15.3 | Use wireless intrusion detection systems (WIDS) to identify rogue wireless devices and detect attack attempts and successful compromises. In addition to WIDS, all wireless traffic should be monitored by WIDS as traffic passes into the wired network. |
| Síť | 15.4 | Where a specific business need for wireless access has been identified, configure wireless access on client machines to allow access only to authorized wireless networks. For devices that do not have an essential wireless business purpose, disable wireless access in the hardware configuration (basic input/output system or extensible firmware interface). |
| Síť | 15.5 | Ensure that all wireless traffic leverages at least Advanced Encryption Standard (AES) encryption used with at least Wi-Fi Protected Access 2 (WPA2) protection. |
| Síť | 15.6 | Ensure that wireless networks use authentication protocols such as Extensible Authentication Protocol-Transport Layer Security (EAP/TLS), which provide credential protection and mutual authentication. |
| Síť | 15.7 | Disable peer-to-peer wireless network capabilities on wireless clients. |
| Síť | 15.8 | Disable wireless peripheral access of devices (such as Bluetooth), unless such access is required for a documented business need. |
| Síť | 15.9 | Create separate virtual local area networks (VLANs) for BYOD systems or other untrusted devices. Internet access from this VLAN should go through at least the same border as corporate traffic. Enterprise access from this VLAN should be treated as untrusted and filtered and audited accordingly. |
| Critical Security Control #16: Account Monitoring and Control | ||
| aplikace | 16.1 | Review all system accounts and disable any account that cannot be associated with a business process and owner. |
| aplikace | 16.2 | Ensure that all accounts have an expiration date that is monitored and enforced. |
| aplikace | 16.3 | Establish and follow a process for revoking system access by disabling accounts immediately upon termination of an employee or contractor. Disabling instead of deleting accounts allows preservation of audit trails. |
| aplikace | 16.4 | Regularly monitor the use of all accounts, automatically logging off users after a standard period of inactivity. |
| aplikace | 16.5 | Configure screen locks on systems to limit access to unattended workstations. |
| aplikace | 16.6 | Monitor account usage to determine dormant accounts, notifying the user or user's manager. Disable such accounts if not needed, or document and monitor exceptions (e.g., vendor maintenance accounts needed for system recovery or continuity operations). Require that managers match active employees and contractors with each account belonging to their managed staff. Security or system administrators should then disable accounts that are not assigned to valid workforce members. |
| aplikace | 16.7 | Use and configure account lockouts such that after a set number of failed login attempts the account is locked for a standard period of time. |
| aplikace | 16.8 | Monitor attempts to access deactivated accounts through audit logging. |
| aplikace | 16.9 | Configure access for all accounts through a centralized point of authentication, for example Active Directory or LDAP. Configure network and security devices for centralized authentication as well. |
| aplikace | 16.10 | Profile each user's typical account usage by determining normal time-of-day access and access duration. Reports should be generated that indicate users who have logged in during unusual hours or have exceeded their normal login duration. This includes flagging the use of the user's credentials from a computer other than computers on which the user generally works. |
| aplikace | 16.11 | Require multi-factor authentication for all user accounts that have access to sensitive data or systems. Multi-factor authentication can be achieved using smart cards, certificates, One Time Password (OTP) tokens, or biometrics. |
| aplikace | 16.12 | Where multi-factor authentication is not supported, user accounts shall be required to use long passwords on the system (longer than 14 characters). |
| aplikace | 16.13 | Ensure that all account usernames and authentication credentials are transmitted across networks using encrypted channels. |
| aplikace | 16.14 | Verify that all authentication files are encrypted or hashed and that these files cannot be accessed without root or administrator privileges. Audit all access to password files in the system. |
| Critical Security Control #17: Security Skills Assessment and Appropriate Training to Fill Gaps | ||
| aplikace | 17.1 | Perform gap analysis to see which skills employees need and which behaviors employees are not adhering to, using this information to build a baseline training and awareness roadmap for all employees. |
| aplikace | 17.2 | Deliver training to fill the skills gap. If possible, use more senior staff to deliver the training. A second option is to have outside teachers provide training onsite so the examples used will be directly relevant. If you have small numbers of people to train, use training conferences or online training to fill the gaps. |
| aplikace | 17.3 | Implement a security awareness program that (1) focuses only on the methods commonly used in intrusions that can be blocked through individual action, (2) is delivered in short online modules convenient for employees (3) is updated frequently (at least annually) to represent the latest attack techniques, (4) is mandated for completion by all employees at least annually, and (5) is reliably monitored for employee completion. |
| aplikace | 17.4 | Validate and improve awareness levels through periodic tests to see whether employees will click on a link from suspicious e-mail or provide sensitive information on the telephone without following appropriate procedures for authenticating a caller; targeted training should be provided to those who fall victim to the exercise. |
| aplikace | 17.5 | Use security skills assessments for each of the mission-critical roles to identify skills gaps. Use hands-on, real-world examples to measure mastery. If you do not have such assessments, use one of the available online competitions that simulate real-world scenarios for each of the identified jobs in order to measure skills mastery. |
| Critical Security Control #18: Application Software Security | ||
| aplikace | 18.1 | For all acquired application software, check that the version you are using is still supported by the vendor. If not, update to the most current version and install all relevant patches and vendor security recommendations. |
| aplikace | 18.2 | Protect web applications by deploying web application firewalls (WAFs) that inspect all traffic flowing to the web application for common web application attacks, including but not limited to cross-site scripting, SQL injection, command injection, and directory traversal attacks. For applications that are not web-based, specific application firewalls should be deployed if such tools are available for the given application type. If the traffic is encrypted, the device should either sit behind the encryption or be capable of decrypting the traffic prior to analysis. If neither option is appropriate, a host-based web application firewall should be deployed. |
| aplikace | 18.3 | For in-house developed software, ensure that explicit error checking is performed and documented for all input, including for size, data type, and acceptable ranges or formats. |
| aplikace | 18.4 | Test in-house-developed and third-party-procured web applications for common security weaknesses using automated remote web application scanners prior to deployment, whenever updates are made to the application, and on a regular recurring basis. In particular, input validation and output encoding routines of application software should be reviewed and tested. |
| aplikace | 18.5 | Do not display system error messages to end-users (output sanitization). |
| aplikace | 18.6 | Maintain separate environments for production and nonproduction systems. Developers should not typically have unmonitored access to production environments. |
| aplikace | 18.7 | For applications that rely on a database, use standard hardening configuration templates. All systems that are part of critical business processes should also be tested. |
| aplikace | 18.8 | Ensure that all software development personnel receive training in writing secure code for their specific development environment. |
| aplikace | 18.9 | For in-house developed applications, ensure that development artifacts (sample data and scripts; unused libraries, components, debug code; or tools) are not included in the deployed software, or accessible in the production environment. |
| Critical Security Control #19: Incident Response and Management | ||
| aplikace | 19.1 | Ensure that there are written incident response procedures that include a definition of personnel roles for handling incidents. The procedures should define the phases of incident handling. |
| aplikace | 19.2 | Assign job titles and duties for handling computer and network incidents to specific individuals. |
| aplikace | 19.3 | Define management personnel who will support the incident handling process by acting in key decision-making roles. |
| aplikace | 19.4 | Devise organization-wide standards for the time required for system administrators and other personnel to report anomalous events to the incident handling team, the mechanisms for such reporting, and the kind of information that should be included in the incident notification. This reporting should also include notifying the appropriate Community Emergency Response Team in accordance with all legal or regulatory requirements for involving that organization in computer incidents. |
| aplikace | 19.5 | Assemble and maintain information on third-party contact information to be used to report a security incident (e.g., maintain an e-mail address of [email protected] or have a web page http://organization.com/security[trvalý mrtvý odkaz ]). |
| aplikace | 19.6 | Publish information for all personnel, including employees and contractors, regarding reporting computer anomalies and incidents to the incident handling team. Such information should be included in routine employee awareness activities. |
| aplikace | 19.7 | Conduct periodic incident scenario sessions for personnel associated with the incident handling team to ensure that they understand current threats and risks, as well as their responsibilities in supporting the incident handling team. |
| Critical Security Control #20: Penetration Tests and Red Team Exercises | ||
| aplikace | 20.1 | Conduct regular external and internal penetration tests to identify vulnerabilities and attack vectors that can be used to exploit enterprise systems successfully. Penetration testing should occur from outside the network perimeter (i.e., the Internet or wireless frequencies around an organization) as well as from within its boundaries (i.e., on the internal network) to simulate both outsider and insider attacks. |
| aplikace | 20.2 | Any user or system accounts used to perform penetration testing should be controlled and monitored to make sure they are only being used for legitimate purposes, and are removed or restored to normal function after testing is over. |
| aplikace | 20.3 | Perform periodic Red Team exercises to test organizational readiness to identify and stop attacks or to respond quickly and effectively. |
| aplikace | 20.4 | Include tests for the presence of unprotected system information and artifacts that would be useful to attackers, including network diagrams, configuration files, older penetration test reports, e-mails or documents containing passwords or other information critical to system operation. |
| aplikace | 20.5 | Plan clear goals of the penetration test itself with blended attacks in mind, identifying the goal machine or target asset. Many APT-style attacks deploy multiple vectors—often social engineering combined with web or network exploitation. Red Team manual or automated testing that captures pivoted and multi-vector attacks offers a more realistic assessment of security posture and risk to critical assets. |
| aplikace | 20.6 | Use vulnerability scanning and penetration testing tools in concert. The results of vulnerability scanning assessments should be used as a starting point to guide and focus penetration testing efforts. |
| aplikace | 20.7 | Wherever possible, ensure that Red Teams results are documented using open, machine-readable standards (e.g., SCAP). Devise a scoring method for determining the results of Red Team exercises so that results can be compared over time. |
| aplikace | 20.8 | Create a test bed that mimics a production environment for specific penetration tests and Red Team attacks against elements that are not typically tested in production, such as attacks against supervisory control and data acquisition and other control systems. |
Reference
- ^ Press release v6.0 on cisecurity.org
- ^ Ruan, Keyun (2019-05-29). Digital Asset Valuation and Cyber Risk Measurement: Principles of Cybernomics. Akademický tisk. ISBN 978-0-12-812328-7.
externí odkazy
- Web „Dvacet kritických bezpečnostních kontrol pro efektivní kybernetickou obranu“ (Centrum pro zabezpečení internetu)
- Přímý odkaz na CIS CSC verze 6 pdf (Center for Internet Security on archive.org)
- Přímý odkaz na CIS CSC verze 6.1 pdf (Center for Internet Security on archive.org)