论坛

SANS 独联体排名前20位的企业
 
通知事项
全部清除

SANS 独联体前20名安全控制  


太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

独联体关键安全控制是推荐的一组网络防御措施,可提供特定且可行的方式来阻止当今最普遍和危险的攻击。控制措施的主要好处是,它们可以确定优先顺序并集中精力于数量较少的行动,从而获得高回报。这些控制措施之所以有效,是因为它们源于主要威胁报告中突出显示的最常见的攻击模式,并且受到了广泛的政府和行业从业人员的审查。它们是由知道攻击如何发挥作用的人(美国国家安全局红色和蓝色小组,美国能源部核能实验室,执法组织以及美国一些顶级法医和事件响应组织)创建的,旨在回答问题,“做什么?我们需要采取行动制止已知的攻击。”该专家组已达成共识,今天我们拥有最新的控制措施。持续价值的关键在于,将根据Verizon和Symantec等组织识别和分析的新攻击来更新控件,以便控件可以阻止或缓解这些攻击。

http://www.cisecurity.org/critical-controls/

 

独联体 CSC是一组20个控件(有时称为SANS Top 20),旨在帮助组织保护其系统和数据免受已知攻击媒介的侵害。对于尚未制定统一安全计划的公司,它也可能是有效的指南。虽然 独联体控制  不能替代任何现有的合规性方案,控制措施映射到几个主要的合规性框架(例如NIST网络安全框架)和法规(例如PCI DSS和HIPAA)。

这20个控件基于有关常见攻击的最新信息,反映了商业取证专家,渗透测试人员和美国政府机构的贡献者的综合知识。

 

1:授权和未授权设备的清单

2:授权和未经授权的软件清单

3:移动设备,便携式计算机,工作站和服务器上的硬件和软件的安全配置

4:持续漏洞评估和补救

5:恶意软件防御

6:应用程序软件安全性

7:无线访问控制

8:数据恢复能力

9:安全技能评估和适当的培训以填补空白

10:网络设备(如防火墙,路由器和交换机)的安全配置

11:网络端口,协议和服务的限制和控制

12:控制特权的使用

13:边界防御

14:维护,监视和分析审核日志

15:基于需要的受控访问

16:帐户监控

17:数据保护

18:事件响应和管理

19:安全网络工程

20:渗透测试和红色团队练习

 

 

 

#1授权和未授权设备的清单。

组织必须积极管理网络上的所有硬件设备,以便仅授权设备可以访问,并且可以在未造成任何危害之前迅速识别和断开未授权设备。

为什么这很关键? 攻击者不断扫描组织的地址空间,等待新的不受保护的系统连接到网络。对于允许BYOD的组织而言,这种控制尤为关键,因为黑客特别在寻找从企业网络传来的设备。

#2。授权和未经授权的软件清单。

组织必须主动管理网络上的所有软件,因此只能安装授权的软件。应用程序白名单等安全措施可以使组织在安装未经授权的软件之前迅速找到它们。

为什么 这很关键吗? 攻击者正在寻找可以被远程利用的易受攻击的软件版本。他们可以分发敌对的网页,媒体文件和其他内容,或者使用零时漏洞利用各种未知漏洞。因此,正确了解组织中已部署了什么软件对于数据安全性和隐私至关重要。

#3。硬件和软件的安全配置。

公司需要建立,实施和管理笔记本电脑,服务器和工作站的安全配置。公司必须遵循严格的配置管理并实施变更控制流程,以防止攻击者利用易受攻击的服务和设置。

为什么 这很关键吗? 制造商和经销商设计操作系统和应用程序的默认配置是为了易于部署和使用,而不是强大的安全性。开放服务和端口以及默认帐户或密码可以在其默认状态下被利用,因此公司必须开发具有良好安全性的配置设置。

#4。持续的漏洞评估和修复。

组织需要不断获取,评估新信息并对其采取行动,例如,软件更新,补丁,安全公告和威胁公告),以识别和补救攻击者可能用来入侵其网络的漏洞。

为什么这很关键? 一旦研究人员报告新的漏洞,所有相关方面的竞赛就会开始: 罪魁祸首努力使用此漏洞进行攻击,供应商部署补丁或更新,防御者开始执行风险评估或回归测试。攻击者可以访问其他所有人的相同信息,并且可以利用出现的新知识与补救措施之间的空白。

#5。控制特权的使用。

此控件要求公司使用自动化工具来监视用户行为,并跟踪如何分配和使用管理特权,以防止对关键系统的未经授权的访问。

为什么这很关键? 滥用管理特权是攻击者在企业内部传播的主要方法。为了获得管理凭据,他们可以使用网络钓鱼技术,破解或猜测管理用户的密码,或将普通用户帐户的特权提升为管理帐户。如果组织没有资源来监视其IT环境中发生的事情,则攻击者更容易获得对其系统的完全控制。

#6。维护,监视和分析审核日志。

组织需要收集,管理和分析事件日志,以检测异常活动并调查安全事件。

为什么这很关键? 缺乏安全日志记录和分析,使攻击者可以在网络中隐藏其位置和活动。即使受害组织在没有完整的日志记录的情况下知道哪些系统已受到攻击,他们也很难理解攻击者到目前为止所做的事情并有效地响应安全事件。

#7。电子邮件和Web浏览器保护。

组织需要确保在组织中仅使用完全受支持的Web浏览器和电子邮件客户端,以最大程度地减少攻击面。

为什么 这很关键吗? Web浏览器和电子邮件客户端由于其高度的技术复杂性和灵活性而成为黑客的常见入口点。他们可以创建内容并欺骗用户采取可能引入恶意代码并导致宝贵数据丢失的措施。

#8。恶意软件防御。

组织需要确保他们可以控制企业中多个位置的恶意代码的安装和执行。此控件建议使用自动化工具通过防病毒,反间谍软件,个人防火墙连续监视工作站,服务器和移动设备 以及基于主机的IPS功能。

为什么这很关键? 现代恶意软件可以快速移动和快速变化,并且可以通过任意数量的点进入。因此,恶意软件防御必须能够通过大规模自动化,更新以及与事件响应之类的流程集成来在这种动态环境中运行。

#9。网络端口,协议和服务的限制和控制。

组织必须跟踪和管理网络设备上端口,协议和服务的使用,以最大程度地减少攻击者可以利用的漏洞窗口。

 为什么 这很关键吗? 攻击者在搜索容易受到利用的远程访问网络服务。常见的示例包括配置不当的Web服务器,邮件服务器以及文件和打印服务,以及默认情况下在各种设备上安装的域名系统(DNS)服务器。因此,确保在每个系统上仅运行具有经过验证的业务需求的端口,协议和服务至关重要。

#10。数据恢复能力。

公司需要确保至少每周一次正确备份关键系统和数据。他们还需要一种行之有效的方法来及时恢复数据。

为什么 这很关键吗? 攻击者通常会对数据,配置和软件进行重大更改。没有可靠的备份和恢复,组织很难从攻击中恢复。

#11。网络设备的安全配置。

组织必须建立,实施和积极管理网络基础设施设备(如路由器,防火墙和交换机)的安全配置。

为什么这很关键? 与操作系统和应用程序一样(请参阅“关键安全控制3”),网络基础结构设备的默认配置 旨在简化部署,而不是安全。此外,随着时间的流逝,网络设备的安全配置通常会变得不太安全。攻击者利用这些配置缺陷来获取网络访问权,或使用受损的计算机将其伪装成受信任的系统。

#12。边界防御。

组织需要检测和纠正不同信任级别的网络之间的信息流,并重点关注可能破坏安全性的数据。最好的防御措施是提供深入可见性和对整个环境中的数据流进行控制的技术,例如入侵检测和入侵防御系统。

为什么这很关键? 罪魁祸首通常利用外围系统,网络设备和可访问Internet的客户端计算机上的配置和体系结构弱点来获得对组织网络的初始访问权限。

#13。数据保护。

组织必须使用适当的流程和工具来减轻数据泄露的风险并确保敏感信息的完整性。结合加密,完整性保护和数据丢失预防技术,可以最好地实现数据保护。

 为什么这很关键? 尽管许多数据泄漏是故意盗窃的,但其他数据丢失或损坏的情况是不良的安全做法或人为错误的结果。为了将这些风险降到最低,组织需要实施解决方案,以帮助检测数据泄露并减轻数据泄露的影响。

#14。基于需要的受控访问。

组织需要能够跟踪,控制和保护对其关键资产的访问,并轻松确定哪些人,计算机或应用程序有权访问这些资产。

 为什么这很关键? 一些组织没有仔细识别最敏感的数据并将它们与敏感度较低的数据区分开来,并且用户可以访问比其工作所需的敏感度更高的数据。结果,恶意内部人员(或接管其帐户的攻击者或恶意软件)更容易窃取重要信息或破坏操作。

#15。无线访问控制。

组织需要有适当的流程和工具来跟踪和控制无线局域网(LAN),接入点和无线客户端系统的使用。他们需要执行网络漏洞扫描工具,并确保连接到网络的所有无线设备都与授权的配置和安全配置文件匹配。

 为什么这很关键? 由于无线设备不需要直接的物理连接,因此它们是攻击者保持长期访问IT环境的便捷途径。例如,员工旅行时使用的无线客户端会定期受到感染,然后在重新连接到组织的网络时用作后门。

#16。帐户监控。

对于组织而言,积极管理用户帐户的生命周期(创建,使用和删除)至关重要,以最大程度地减少攻击者利用它们的机会。必须定期检查所有系统帐户,并且该人员离开公司后应立即禁用前承包商和雇员的帐户。

 为什么这很关键? 攻击者经常利用不活动的用户帐户来获得对组织系统和数据的合法访问权,这使得检测到攻击更加困难。

#17。安全技能评估和适当的培训以填补空白。

组织必须确定增强安全性所需的特定知识和技能。这就需要制定和执行计划,以找出差距并通过政策,计划和培训计划加以纠正。

为什么这很关键? 人们很容易将网络防御视为主要的技术挑战。但是,员工的行动对于安全计划的成功也至关重要。攻击者经常使用人为因素来计划利用,例如通过精心制作看起来像普通电子邮件的网络钓鱼邮件,或在补丁或日志查看的时间范围内进行操作。

#18。应用软件安全性。

组织必须管理其使用的所有软件的安全生命周期,以检测和纠正安全漏洞。特别是,他们必须定期检查以确保它们仅使用每个应用程序的最新版本,并且所有相关补丁均已及时安装。

为什么 这很关键吗? 攻击者经常利用基于Web的应用程序和其他软件中的漏洞。他们可以注入特定的漏洞,包括缓冲区溢出,SQL注入攻击,跨站点脚本和代码的点击劫持,以控制易受攻击的计算机。

#19。事件响应和管理。

组织需要制定和实施适当的事件响应,包括计划,定义角色,培训,管理监督和其他措施,以帮助他们发现攻击并更有效地控制破坏。

 为什么这很关键? 安全事件现在已经成为我们日常生活的一部分。甚至大型且资金充裕的企业也难以跟上不断发展的网络威胁形势。可悲的是,在大多数情况下,成功进行网络攻击的机会不是“如果”,而是“何时”。没有事件响应计划,组织可能无法发现攻击,除非造成严重伤害,或者无法消除攻击者的存在并恢复网络和系统的完整性。

#20。渗透测试和红色团队练习。

最终控制要求组织通过定期进行外部和内部渗透测试来评估其防御(技术,流程和人员)的总体实力。这将使他们能够识别可用于开发系统的漏洞和攻击媒介。

为什么这很关键? 攻击者可以利用良好防御意图与其实施之间的差距,例如,漏洞发布之间的时间间隔,供应商补丁的可用性和补丁安装之间的时间间隔。在技​​术不断发展的复杂环境中,组织应定期测试其防御措施,以找出漏洞并在发生攻击之前加以修复。

 

 

 

主题标签
分享: