Kritické bezpečnostní kontroly SNS pro účinnou kybernetickou obranu - The CIS Critical Security Controls for Effective Cyber Defense

The Centrum kritických bezpečnostních kontrol internetu pro efektivní kybernetickou obranu je publikace nejlepší praxe pokyny pro zabezpečení počítače. Projekt byl zahájen počátkem roku 2008 v reakci na extrémní ztráty dat, k nimž došlo v organizacích na americké obranné průmyslové základně.^[1] Publikace byla původně vyvinuta Institut SANS. Vlastnictví bylo poté v roce 2013 převedeno na Radu pro kybernetickou bezpečnost (CCS) a poté na Centrum pro internetovou bezpečnost (CIS) v roce 2015. Původně byla známá jako Pokyny pro audit konsensu a je známá také jako CIS CSC, CIS 20, CCS CSC, SANS Top 20 nebo CAG 20.

Cíle

Pokyny se skládají z 20 klíčových akcí, které se nazývají kritické bezpečnostní kontroly (CSC), které by organizace měly implementovat, aby blokovaly nebo zmírňovaly známé útoky. Ovládací prvky jsou navrženy tak, aby k jejich implementaci, vynucování a monitorování mohly být použity primárně automatizované prostředky.^[2] Bezpečnostní kontroly poskytují nesmyslná a praktická doporučení pro kybernetickou bezpečnost, napsaná v jazyce, kterému snadno rozumí TO personál.^[3] Cíle pokynů pro audit konsensu zahrnují

Využití kybernetického útoku k informování kybernetické obrany se zaměřením na oblasti s vysokými výnosy
Zajištění toho, aby investice do zabezpečení byly zaměřeny na nejvyšší hrozby
Maximalizace využití automatizace k vynucení bezpečnostních kontrol, čímž se eliminují lidské chyby
Využívání procesu konsensu ke shromažďování nejlepších nápadů^[4]

Řízení

Verze 3.0 byla vydána 13. dubna 2011. Verze 5.0 byla vydána 2. února 2014 Radou pro kybernetickou bezpečnost (CCS).^[5]Verze 6.0 byla vydána 15. října 2015 a skládá se z níže uvedených ovládacích prvků zabezpečení. Verze 6.1 byla vydána 31. srpna 2016 a má stejnou prioritu jako verze 6. Verze 7 byla vydána 19. března 2018.^[6]Verze 7.1 byla vydána 4. dubna 2019.^[7]

CSC 1: Inventář autorizovaných a neautorizovaných zařízeníCSC 2: Inventář autorizovaného a neautorizovaného softwaruCSC 3: Průběžné hodnocení zranitelnosti a nápravaCSC 4: Řízené používání oprávnění správceCSC 5: Zabezpečené konfigurace hardwaru a softwaru na mobilních zařízeních, laptopech, pracovních stanicích a serverechCSC 6: Údržba, monitorování a analýza protokolů audituCSC 7: Ochrana e-mailem a webovým prohlížečemCSC 8: Obrana proti malwaruCSC 9: Omezení a kontrola síťových portů, protokolů a služebCSC 10: Schopnost obnovy datCSC 11: Zabezpečené konfigurace pro síťová zařízení, jako jsou brány firewall, směrovače a přepínačeCSC 12: Hranice obranyCSC 13: Ochrana datCSC 14: Řízený přístup na základě potřeby vědětCSC 15: Bezdrátové řízení přístupuCSC 16: Monitorování a kontrola účtuCSC 17: Posouzení bezpečnostních dovedností a vhodné školení k vyplnění mezerCSC 18: Zabezpečení aplikačního softwaruCSC 19: Reakce na incidenty a jejich řízeníCSC 20: Penetrační testy a cvičení červených týmů

Ve srovnání s verzí 5 došlo u verze 6 / 6.1 k opětovnému stanovení priorit ovládacích prvků a změnění těchto dvou ovládacích prvků:

„Zabezpečené síťové inženýrství“ bylo CSC 19 ve verzi 5, ale ve verzi 6 / 6.1 bylo odstraněno.
Ve verzi 6 / 6.1 byl přidán „CSC 7: Ochrana e-mailů a webových prohlížečů“.

Ve verzi 7^[8], kontroly 3, 4 a 5 byly přeskupeny. Kontroly 1–6 jsou považovány za „základní“, 7–16 jsou „základní“ a 17–20 jsou „organizační“. Rovněž vydala CIS RAM^[9], metoda hodnocení rizika informační bezpečnosti, která má pomoci implementovat CIS Controls.

Přispěvatelé

Pokyny pro audit konsensu (CAG) byly sestaveny konsorciem s více než 100 přispěvateli^[10] od vládních agentur USA, komerčních forenzních expertů a testery pera.^[11] Mezi autory původního návrhu patří členové:

Červený a americký tým americké národní bezpečnostní agentury
Americké ministerstvo pro vnitřní bezpečnost, US-CERT
USA DoD Computer Network Defense Architecture Group
US DoD Joint Task Force - Global Network Operations (JTF-GNO)
US DoD Defence Cyber Crime Center (DC3)
Národní ministerstvo energetiky USA Alamos a tři další národní laboratoře.
Americké ministerstvo zahraničí, úřad CISO
Americké letectvo
US Army Research Laboratory
Americké ministerstvo dopravy, kancelář CIO
Americké ministerstvo zdravotnictví a sociálních služeb, úřad CISO
US Government Accountability Office (GAO)
MITER Corporation
The Institut SANS^[1]

Pozoruhodné výsledky

Počínaje rokem 2009 začalo americké ministerstvo zahraničí doplňovat svůj program hodnocení rizik částečně pomocí pokynů pro audit konsensu. Podle měření ministerstva snížilo oddělení v prvním roce bodování pomocí tohoto přístupu celkové riziko na své klíčové neklasifikované síti o téměř 90 procent v zámořských lokalitách a o 89 procent v domácích lokalitách.^[12]

externí odkazy

Web „Dvacet kritických bezpečnostních kontrol pro efektivní kybernetickou obranu“ (Centrum pro zabezpečení internetu)
Přímý odkaz na CIS CSC verze 6 pdf (Centrum pro zabezpečení internetu)
Přímý odkaz na CIS CSC verze 6.1 pdf (Centrum pro zabezpečení internetu)
„Řešení pokynů pro audit konsensu (CAG) pomocí sady Symantec ™ Risk Automation Suite“ Whitepaper (dokument společnosti Symantec Corporation)
Článek „Dodržování pokynů k auditu zrychleného postupu ke konsensu č. 8 (CAG 8)“ (článek publikovaný na blogu sponzorovaném Lieberman Software Corporation)
„Úvod do ovládacích prvků CIS - SANS zpět k základům“ Whitepaper (bílá kniha z Tripwire, Inc. )
„Proč agentury kritizují 20 kritických kontrol“
„20 ovládacích prvků, které nejsou“
Odkaz na stažení CIS RAM (autor: Centrum pro internetovou bezpečnost a Bezpečnostní laboratoře HALOCK^[13])

Reference

^ ^A ^b „Gilligan Group Inc., CAG Background and Účastníci“
^ „Porozumění technologickým zúčastněným stranám: jejich pokrok a výzvy“ John M. Gilligan, Software Assurance Forum, 4. listopadu 2009
^ „Consensus Audit Guidelines: Overview“ od Lieberman Software Corporation
^ „Pokyny k auditu konsensu: čas„ zastavit krvácení ““, John M. Gilligan, 10. pololetní fórum Software Assurance, 12. března 2009
^ „Archivovaná kopie“. Archivovány od originál dne 22. března 2014. Citováno 21. března, 2014.CS1 maint: archivovaná kopie jako titul (odkaz)
^ Verze 7 na cisecurity.org
^ Verze 7.1 na cisecurity.org
^ „Ovládací prvky CIS verze 7 - Co je staré, co je nové“. CIS® (Center for Internet Security, Inc.).
^ "CIS RAM FAQ". CIS® (Center for Internet Security, Inc.).
^ James Tarala a Jennifer Adams, „Pokyny k auditu konsensu: drasticky zlepšují bezpečnost systémů HIT“^{[trvalý mrtvý odkaz ]}
^ Web SANS, „20 kritických bezpečnostních kontrol“
^ „Slyšení před podvýborem pro vládní řízení, organizaci a veřejné zakázky Výboru pro dohled a reformu vlády, Sněmovna reprezentantů, sto jedenáctý kongres, druhé zasedání, 24. března 2010,„ Federální informační bezpečnost: aktuální výzvy a budoucí politické úvahy „“
^ „Bezpečnostní laboratoře HALOCK: CIS RAM“. CIS RAM.

[CAGbackground-1] A ^b „Gilligan Group Inc., CAG Background and Účastníci“

[CAGactions-2] „Porozumění technologickým zúčastněným stranám: jejich pokrok a výzvy“ John M. Gilligan, Software Assurance Forum, 4. listopadu 2009

[CAGactionable-3] „Consensus Audit Guidelines: Overview“ od Lieberman Software Corporation

[CAGgoals-4] „Pokyny k auditu konsensu: čas„ zastavit krvácení ““, John M. Gilligan, 10. pololetní fórum Software Assurance, 12. března 2009

[5] „Archivovaná kopie“. Archivovány od originál dne 22. března 2014. Citováno 21. března, 2014.CS1 maint: archivovaná kopie jako titul (odkaz)

[6] Verze 7 na cisecurity.org

[7] Verze 7.1 na cisecurity.org

[8] „Ovládací prvky CIS verze 7 - Co je staré, co je nové“. CIS® (Center for Internet Security, Inc.).

[9] "CIS RAM FAQ". CIS® (Center for Internet Security, Inc.).

[CAGcontributors-10] James Tarala a Jennifer Adams, „Pokyny k auditu konsensu: drasticky zlepšují bezpečnost systémů HIT“^{[trvalý mrtvý odkaz ]}

[CAGlist-11] Web SANS, „20 kritických bezpečnostních kontrol“

[CAGstate-12] „Slyšení před podvýborem pro vládní řízení, organizaci a veřejné zakázky Výboru pro dohled a reformu vlády, Sněmovna reprezentantů, sto jedenáctý kongres, druhé zasedání, 24. března 2010,„ Federální informační bezpečnost: aktuální výzvy a budoucí politické úvahy „“

[13] „Bezpečnostní laboratoře HALOCK: CIS RAM“. CIS RAM.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]