Con le violazioni dei dati in aumento, più che mai le organizzazioni devono garantire di avere tutti i controlli di sicurezza necessari per mantenere i propri dati al sicuro. Come risposta alle crescenti minacce alla sicurezza, il SANS Institute, insieme al Center for Internet Security (CIS) e ad altre organizzazioni, ha sviluppato i 20 Critical Security Controls (CSC) per un’efficace difesa informatica., Il CIS CSC fornisce ai professionisti IT una serie di azioni prioritarie e mirate per aiutarli a fermare gli attacchi informatici più pericolosi e garantire la sicurezza dei dati.
Questo post del blog spiega i 20 controlli nel CIS CSC e perché ognuno di essi è fondamentale, e quindi offre 5 passaggi per implementare i controlli in modo pragmatico.
L’elenco completo dei controlli di sicurezza critici CIS, versione 6.1
Il CIS CSC è un insieme di 20 controlli (a volte chiamati SANS Top 20) progettati per aiutare le organizzazioni a salvaguardare i propri sistemi e dati da vettori di attacco noti., Può anche essere una guida efficace per le aziende che non hanno ancora un programma di sicurezza coerente. Sebbene i controlli CIS non sostituiscano alcun sistema di conformità esistente, i controlli si adattano a diversi importanti quadri di conformità (ad esempio, il quadro di sicurezza informatica NIST) e regolamenti (ad esempio, PCI DSS e HIPAA).
I 20 controlli si basano sulle ultime informazioni sugli attacchi comuni e riflettono la conoscenza combinata di esperti forensi commerciali, penetration tester individuali e contributori di agenzie governative statunitensi.
#1., Inventario di dispositivi autorizzati e non autorizzati.
Le organizzazioni devono gestire attivamente tutti i dispositivi hardware della rete, in modo che solo i dispositivi autorizzati possano accedere e i dispositivi non autorizzati possano essere rapidamente identificati e disconnessi prima di causare danni.
Perché questo è critico? Gli aggressori scansionano continuamente lo spazio degli indirizzi delle organizzazioni, in attesa che i sistemi nuovi e non protetti vengano collegati alla rete., Questo controllo è particolarmente critico per le organizzazioni che consentono BYOD, dal momento che gli hacker sono specificamente alla ricerca di dispositivi che vanno e vengono fuori della rete aziendale.
#2. Inventario di software autorizzato e non autorizzato.
Le organizzazioni devono gestire attivamente tutto il software sulla rete, quindi viene installato solo il software autorizzato. Misure di sicurezza come la whitelist delle applicazioni possono consentire alle organizzazioni di trovare rapidamente software non autorizzato prima che sia stato installato.
Perché questo è critico?, Gli aggressori cercano versioni vulnerabili di software che possono essere sfruttate in remoto. Possono distribuire pagine Web ostili, file multimediali e altri contenuti o utilizzare exploit zero-day che sfruttano vulnerabilità sconosciute. Pertanto, un’adeguata conoscenza di quale software è stato distribuito nell’organizzazione è essenziale per la sicurezza e la privacy dei dati.
#3. Configurazioni sicure per hardware e software.
Le aziende devono stabilire, implementare e gestire la configurazione di sicurezza di laptop, server e workstation., Le aziende devono seguire una gestione rigorosa della configurazione e implementare processi di controllo delle modifiche per impedire agli aggressori di sfruttare servizi e impostazioni vulnerabili.
Perché questo è critico? Produttori e rivenditori progettano le configurazioni predefinite dei sistemi operativi e delle applicazioni per facilitare la distribuzione e l’uso, non una sicurezza elevata. I servizi aperti e le porte, così come gli account predefiniti o le password, possono essere sfruttabili nel loro stato predefinito, quindi le aziende devono sviluppare impostazioni di configurazione con buone proprietà di sicurezza.
#4., Valutazione e correzione delle vulnerabilità continue.
Le organizzazioni devono acquisire, valutare e agire continuamente su nuove informazioni (ad esempio,aggiornamenti software, patch, avvisi di sicurezza e bollettini sulle minacce) per identificare e correggere le vulnerabilità che gli aggressori potrebbero altrimenti utilizzare per penetrare nelle loro reti.
Perché questo è critico?, Non appena i ricercatori segnalano nuove vulnerabilità, inizia una gara tra tutte le parti interessate: i colpevoli si sforzano di utilizzare la vulnerabilità per un attacco, i fornitori distribuiscono patch o aggiornamenti e i difensori iniziano a eseguire valutazioni del rischio o test di regressione. Gli aggressori hanno accesso alle stesse informazioni tutti gli altri, e possono sfruttare le lacune tra la comparsa di nuove conoscenze e di bonifica.
#5. Uso controllato dei privilegi amministrativi.,
Questo controllo richiede alle aziende di utilizzare strumenti automatizzati per monitorare il comportamento degli utenti e tenere traccia di come i privilegi amministrativi vengono assegnati e utilizzati al fine di impedire l’accesso non autorizzato ai sistemi critici.
Perché questo è critico? L’uso improprio dei privilegi amministrativi è un metodo primario per gli aggressori di diffondersi all’interno di un’azienda. Per ottenere le credenziali amministrative, possono utilizzare tecniche di phishing, crack o indovinare la password per un utente amministrativo, o elevare i privilegi di un normale account utente in un account amministrativo., Se le organizzazioni non dispongono di risorse per monitorare ciò che accade nei loro ambienti IT, è più facile per gli aggressori ottenere il pieno controllo dei loro sistemi.
#6. Manutenzione, monitoraggio e analisi dei registri di controllo.
Le organizzazioni devono raccogliere, gestire e analizzare i log degli eventi per rilevare attività aberranti e indagare sugli incidenti di sicurezza.
Perché questo è critico? La mancanza di registrazione e analisi della sicurezza consente agli aggressori di nascondere la loro posizione e attività nella rete., Anche se l’organizzazione vittima sa quali sistemi sono stati compromessi, senza record di registrazione completi, sarà difficile per loro capire ciò che un utente malintenzionato ha fatto finora e rispondere in modo efficace per l’incidente di sicurezza.
#7. E-mail e Web Browser Protezioni.
Le organizzazioni devono assicurarsi che nell’organizzazione vengano utilizzati solo browser Web e client di posta elettronica pienamente supportati per ridurre al minimo la loro superficie di attacco.
Perché questo è critico?, I browser Web e i client di posta elettronica sono punti di accesso molto comuni per gli hacker a causa della loro elevata complessità tecnica e flessibilità. Possono creare contenuti e falsificare gli utenti in azioni che possono introdurre codice dannoso e portare alla perdita di dati preziosi.
#8. Difese malware.
Le organizzazioni devono assicurarsi di poter controllare l’installazione e l’esecuzione di codice dannoso in più punti dell’azienda., Questo controllo consiglia di utilizzare strumenti automatizzati per monitorare continuamente workstation, server e dispositivi mobili con funzionalità antivirus, anti-spyware, firewall personali e IPS basate su host.
Perché questo è critico? Il malware moderno può essere in rapido movimento e in rapida evoluzione e può entrare in qualsiasi numero di punti. Pertanto, le difese malware devono essere in grado di operare in questo ambiente dinamico attraverso l’automazione su larga scala, l’aggiornamento e l’integrazione con processi come la risposta agli incidenti.
#9. Limitazione e controllo di porte, protocolli e servizi di rete.,
Le organizzazioni devono monitorare e gestire l’utilizzo di porte, protocolli e servizi sui dispositivi di rete per ridurre al minimo le finestre di vulnerabilità disponibili per gli aggressori.
Perché questo è critico? Gli aggressori cercano servizi di rete accessibili da remoto che sono vulnerabili allo sfruttamento. Esempi comuni includono server Web mal configurati, server di posta e servizi di file e stampa, nonché server DNS (Domain Name System) installati di default su una varietà di dispositivi., Pertanto, è fondamentale assicurarsi che solo porte, protocolli e servizi con un’esigenza aziendale convalidata siano in esecuzione su ciascun sistema.
#10. Capacità di recupero dati.
Le aziende devono garantire che i sistemi e i dati critici siano adeguatamente sottoposti a backup almeno su base settimanale. Hanno anche bisogno di avere una metodologia collaudata per il recupero tempestivo dei dati.
Perché questo è critico? Gli aggressori spesso apportano modifiche significative a dati, configurazioni e software. Senza backup e ripristino affidabili, è difficile per le organizzazioni recuperare da un attacco.
#11., Configurazioni sicure per i dispositivi di rete.
Le organizzazioni devono stabilire, implementare e gestire attivamente la configurazione di sicurezza dei dispositivi dell’infrastruttura di rete, come router, firewall e switch.
Perché questo è critico? Proprio come per i sistemi operativi e le applicazioni (vedere Critical Security Control 3), le configurazioni predefinite per i dispositivi dell’infrastruttura di rete sono orientate alla facilità di implementazione, non alla sicurezza. Inoltre, i dispositivi di rete spesso diventano meno configurati in modo sicuro nel tempo., Gli aggressori sfruttano questi difetti di configurazione per accedere alle reti o utilizzare una macchina compromessa per porsi come un sistema attendibile.
#12. Difesa di confine.
Le organizzazioni devono rilevare e correggere il flusso di informazioni tra reti di diversi livelli di affidabilità, con particolare attenzione ai dati che potrebbero danneggiare la sicurezza. La migliore difesa sono le tecnologie che forniscono visibilità profonda e controllo sul flusso di dati in tutto l’ambiente, come i sistemi di rilevamento delle intrusioni e prevenzione delle intrusioni.
Perché questo è critico?, I colpevoli spesso utilizzano la configurazione e le debolezze architettoniche sui sistemi perimetrali, i dispositivi di rete e le macchine client che accedono a Internet per ottenere l’accesso iniziale alla rete di un’organizzazione.
#13. Protezione dei dati.
Le organizzazioni devono utilizzare processi e strumenti appropriati per mitigare il rischio di esfiltrazione dei dati e garantire l’integrità delle informazioni sensibili. La protezione dei dati si ottiene al meglio attraverso la combinazione di crittografia, protezione dell’integrità e tecniche di prevenzione della perdita di dati.
Perché questo è critico?, Mentre molte fughe di dati sono furti intenzionali, altri casi di perdita o danno di dati sono il risultato di pratiche di sicurezza scadenti o errori umani. Per ridurre al minimo questi rischi, le organizzazioni devono implementare soluzioni in grado di rilevare l’esfiltrazione dei dati e mitigare gli effetti della compromissione dei dati.
#14. Accesso controllato in base alla necessità di conoscere.
Le organizzazioni devono essere in grado di monitorare, controllare e proteggere l’accesso alle proprie risorse critiche e determinare facilmente quali persone, computer o applicazioni hanno il diritto di accedere a tali risorse.
Perché questo è critico?, Alcune organizzazioni non identificano e separano attentamente le risorse più critiche dai dati meno sensibili e gli utenti hanno accesso a dati più sensibili di quelli necessari per svolgere il proprio lavoro. Di conseguenza, è più facile per un insider dannoso — o un utente malintenzionato o un malware che si impossessa del proprio account — rubare informazioni importanti o interrompere le operazioni.
#15. Controllo di accesso wireless.
Le organizzazioni devono disporre di processi e strumenti per monitorare e controllare l’uso di reti locali wireless (LAN), punti di accesso e sistemi client wireless., Devono condurre strumenti di scansione delle vulnerabilità di rete e assicurarsi che tutti i dispositivi wireless collegati alla rete corrispondano a un profilo di configurazione e sicurezza autorizzato.
Perché questo è critico? I dispositivi wireless sono un vettore conveniente per gli aggressori per mantenere l’accesso a lungo termine nell’ambiente IT, poiché non richiedono una connessione fisica diretta. Ad esempio, i client wireless utilizzati dai dipendenti durante il viaggio vengono infettati regolarmente e successivamente utilizzati come back door quando vengono ricollegati alla rete dell’organizzazione.
#16. Monitoraggio e controllo dell’account.,
Per le organizzazioni è fondamentale gestire attivamente il ciclo di vita degli account utente (creazione, utilizzo ed eliminazione) per ridurre al minimo le opportunità per gli aggressori di sfruttarli. Tutti gli account di sistema devono essere regolarmente esaminati e gli account di ex appaltatori e dipendenti devono essere disabilitati non appena la persona lascia l’azienda.
Perché questo è critico? Gli aggressori sfruttano spesso account utente inattivi per ottenere l’accesso legittimo ai sistemi e ai dati di un’organizzazione, il che rende più difficile il rilevamento dell’attacco.
#17., Valutazione delle competenze in materia di sicurezza e formazione adeguata per colmare le lacune.
Le organizzazioni devono identificare le conoscenze e le competenze specifiche di cui hanno bisogno per rafforzare la sicurezza. Ciò richiede lo sviluppo e l’esecuzione di un piano per identificare le lacune e risolverle attraverso programmi di politica, pianificazione e formazione.
Perché questo è critico? Si è tentati di pensare alla difesa informatica come principalmente una sfida tecnica. Tuttavia, le azioni dei dipendenti sono anche fondamentali per il successo di un programma di sicurezza., Gli aggressori spesso utilizzano il fattore umano per pianificare gli sfruttamenti, ad esempio, creando con cura messaggi di phishing che assomigliano a normali e-mail o lavorando entro la finestra temporale di patch o revisione del registro.
#18. Sicurezza del software applicativo.
Le organizzazioni devono gestire il ciclo di vita della sicurezza di tutti i software che utilizzano per rilevare e correggere i punti deboli della sicurezza. In particolare, devono controllare regolarmente che utilizzino solo le versioni più recenti di ciascuna applicazione e che tutte le patch pertinenti siano installate tempestivamente.
Perché questo è critico?, Gli aggressori spesso sfruttano le vulnerabilità nelle applicazioni basate sul Web e altri software. Possono iniettare exploit specifici, tra cui buffer overflow, attacchi SQL injection, cross-site scripting e click-jacking di codice, per ottenere il controllo su macchine vulnerabili.
#19. Risposta e gestione degli incidenti.
Le organizzazioni devono sviluppare e implementare una risposta adeguata agli incidenti, che include piani, ruoli definiti, formazione, supervisione della gestione e altre misure che li aiuteranno a scoprire gli attacchi e contenere i danni in modo più efficace.
Perché questo è critico?, Gli incidenti di sicurezza sono ormai una parte normale della nostra vita quotidiana. Anche le imprese grandi e ben finanziate faticano a tenere il passo con il panorama delle minacce informatiche in continua evoluzione. Purtroppo, nella maggior parte dei casi, la possibilità di un attacco informatico di successo non è “se” ma “quando.”Senza un piano di risposta agli incidenti, un’organizzazione potrebbe non scoprire un attacco fino a quando non infligge gravi danni, o essere in grado di sradicare la presenza dell’attaccante e ripristinare l’integrità della rete e dei sistemi.
#20. Test di penetrazione ed esercizi di squadra rossa.,
Il controllo finale richiede alle organizzazioni di valutare la forza complessiva delle loro difese (la tecnologia, i processi e le persone) conducendo regolari test di penetrazione esterna e interna. Ciò consentirà loro di identificare vulnerabilità e vettori di attacco che possono essere utilizzati per sfruttare i sistemi.
Perché questo è critico? Gli aggressori possono sfruttare il divario tra buone intenzioni difensive e la loro implementazione, come la finestra temporale tra l’annuncio di una vulnerabilità, la disponibilità di una patch del fornitore e l’installazione di patch., In un ambiente complesso in cui la tecnologia è in continua evoluzione, le organizzazioni dovrebbero testare periodicamente le loro difese per identificare le lacune e risolverle prima che si verifichi un attacco.
Implementazione dei controlli: Un approccio pragmatico
Ottenere valore dai controlli di sicurezza critici CIS non significa necessariamente implementare tutti i 20 controlli contemporaneamente. Poche organizzazioni hanno il budget, le risorse umane e il tempo necessari per implementare l’intero set di controlli contemporaneamente., Un approccio più pragmatico all’implementazione dei controlli include i seguenti passaggi:
- Scopri le risorse informative e stimane il valore. Esegui la valutazione del rischio e pensa a potenziali attacchi contro i tuoi sistemi e dati (inclusi punti di ingresso iniziali, diffusione e danni). Dare la priorità ai controlli CIS attorno alle risorse più rischiose.
- Confronta i controlli di sicurezza attuali con i controlli CIS. Prendi nota di ogni area in cui non esistono funzionalità di sicurezza o in cui è necessario un lavoro aggiuntivo.,
- Sviluppare un piano per adottare i più preziosi nuovi controlli di sicurezza e migliorare l’efficacia operativa dei controlli esistenti.
- Ottenere management buy-in per il piano e formare impegni line-of-business per il necessario supporto finanziario e personale.
- Implementare i controlli. Tieni d’occhio le tendenze che potrebbero introdurre nuovi rischi per la tua organizzazione. Misura i progressi e la riduzione del rischio e comunica i tuoi risultati.
Vuoi saperne di più su 20 controlli di sicurezza critici?, Visita il sito ufficiale del Centro CIS per la sicurezza Internet:https://www.cisecurity.org/controls/