cu creșterea breșelor de date, mai mult ca niciodată organizațiile trebuie să se asigure că au toate controalele de securitate necesare pentru a-și păstra datele în siguranță. Ca răspuns la amenințările de securitate din ce în ce mai mari, Institutul SANS, împreună cu Centrul pentru securitate Internet (CSI) și alte organizații, au dezvoltat cele 20 de controale critice de securitate (CSC) pentru o apărare cibernetică eficientă., CIS CSC oferă profesioniștilor IT un set prioritizat și concentrat de acțiuni pentru a-i ajuta să oprească cele mai periculoase atacuri cibernetice și să asigure securitatea datelor.această postare pe blog explică cele 20 de controale din CSC-ul CSI și de ce fiecare dintre ele este critică, iar apoi oferă 5 pași pentru implementarea controalelor într-un mod pragmatic.
lista completă a controalelor critice de securitate CIS, versiunea 6.1
CIS CSC este un set de 20 de controale (uneori numite SANS Top 20) concepute pentru a ajuta organizațiile să-și protejeze sistemele și datele de vectorii de atac cunoscuți., De asemenea, poate fi un ghid eficient pentru companiile care nu au încă un program de securitate coerent. Deși controalele CIS nu înlocuiesc niciun sistem de conformitate existent, controalele includ mai multe cadre majore de conformitate (de exemplu, cadrul de securitate cibernetică NIST) și reglementări (de exemplu, PCI DSS și HIPAA).cele 20 de controale se bazează pe cele mai recente informații despre atacurile comune și reflectă cunoștințele combinate ale experților în criminalistică comercială, ale testerilor individuali de penetrare și ale contribuitorilor de la agențiile guvernamentale din SUA.
#1., Inventarul dispozitivelor autorizate și neautorizate.organizațiile trebuie să gestioneze în mod activ toate dispozitivele hardware din rețea, astfel încât numai dispozitivele autorizate să aibă acces și dispozitivele neautorizate să poată fi identificate și deconectate rapid înainte de a provoca vreun rău.
de ce este acest lucru critic? Atacatorii scanează continuu spațiul de adrese al organizațiilor, așteptând ca sistemele noi și neprotejate să fie atașate la rețea., Acest control este deosebit de important pentru organizațiile care permit BYOD, deoarece hackerii caută în mod special dispozitive care vin și ies din rețeaua întreprinderii.
#2. Inventarul de software autorizat și neautorizat.organizațiile trebuie să gestioneze activ toate software-urile din rețea, astfel încât să fie instalat numai software autorizat. Măsurile de securitate precum lista albă a aplicațiilor pot permite organizațiilor să găsească rapid software neautorizat înainte de a fi instalat.
de ce este acest lucru critic?, Atacatorii caută versiuni vulnerabile de software care pot fi exploatate de la distanță. Aceștia pot distribui pagini web ostile, fișiere media și alt conținut sau pot folosi exploatări zero-day care profită de vulnerabilități necunoscute. Prin urmare, cunoașterea adecvată a software-ului implementat în organizația dvs. este esențială pentru securitatea și confidențialitatea datelor.
#3. Configurații sigure pentru Hardware și Software.
companiile trebuie să stabilească, să implementeze și să gestioneze configurația de securitate a laptopurilor, serverelor și stațiilor de lucru., Companiile trebuie să urmeze o gestionare strictă a configurației și să implementeze procese de control al schimbărilor pentru a împiedica atacatorii să exploateze servicii și setări vulnerabile.
de ce este acest lucru critic? Producătorii și distribuitorii proiectează configurațiile implicite ale sistemelor de operare și aplicațiilor pentru o ușurință de implementare și utilizare, nu pentru o securitate puternică. Serviciile și porturile deschise, precum și conturile sau parolele implicite, pot fi exploatate în starea lor implicită, astfel încât companiile trebuie să dezvolte setări de configurare cu proprietăți bune de securitate.
#4., Evaluarea și remedierea continuă a vulnerabilității.
Organizațiile trebuie să continuu să dobândească, să evalueze și să ia măsuri pe noi informații (de exemplu,software-ul actualizări, patch-uri, recomandări de securitate și amenințare buletine) pentru a identifica și remedia vulnerabilitățile atacatorii le-ar putea folosi pentru a penetra rețelele lor.
de ce este acest lucru critic?, De îndată ce cercetătorii raportează noi vulnerabilități, începe o cursă între toate părțile relevante: vinovații se străduiesc să folosească vulnerabilitatea pentru un atac, vânzătorii implementează patch-uri sau Actualizări, iar apărătorii încep să efectueze evaluări de risc sau teste de regresie. Atacatorii au acces la aceleași informații oricine altcineva, și poate profita de lacune între apariția de noi cunoștințe și de remediere.
#5. Utilizarea controlată a privilegiilor Administrative.,acest control cere companiilor să utilizeze instrumente automate pentru a monitoriza comportamentul utilizatorilor și pentru a urmări modul în care sunt atribuite și utilizate privilegiile administrative pentru a preveni accesul neautorizat la sistemele critice.
de ce este acest lucru critic? Utilizarea abuzivă a privilegiilor administrative este o metodă principală pentru atacatori de a se răspândi în interiorul unei întreprinderi. Pentru a obține acreditări administrative, aceștia pot utiliza tehnici de phishing, pot sparge sau ghici parola pentru un utilizator administrativ sau pot ridica privilegiile unui cont de utilizator normal într-un cont administrativ., Dacă organizațiile nu au resurse pentru a monitoriza ce se întâmplă în mediile lor IT, este mai ușor pentru atacatori să obțină controlul complet asupra sistemelor lor.
#6. Întreținerea, monitorizarea și analiza jurnalelor de Audit.
organizațiile trebuie să colecteze, să gestioneze și să analizeze jurnalele de evenimente pentru a detecta activități aberante și pentru a investiga incidentele de securitate.
de ce este acest lucru critic? Lipsa logării și analizei de securitate permite atacatorilor să-și ascundă locația și activitățile în rețea., Chiar dacă organizația victimelor știe ce sisteme au fost compromise, fără înregistrări complete de înregistrare, le va fi dificil să înțeleagă ce a făcut un atacator până acum și să răspundă eficient la incidentul de securitate.
#7. Protecție e-mail și Browser Web.
organizațiile trebuie să se asigure că numai browserele web și clienții de e-mail sunt utilizați în organizație pentru a minimiza suprafața lor de atac.
de ce este acest lucru critic?, Browserele Web și clienții de e-mail sunt puncte de intrare foarte frecvente pentru hackeri datorită complexității și flexibilității tehnice ridicate. Acestea pot crea conținut și pot provoca utilizatorii să ia măsuri care pot introduce cod rău intenționat și pot duce la pierderea de date valoroase.
#8. Apărare Malware.
organizațiile trebuie să se asigure că pot controla instalarea și executarea codului rău intenționat în mai multe puncte din întreprindere., Acest control recomandă utilizarea instrumentelor automate pentru a monitoriza continuu stațiile de lucru, serverele și dispozitivele mobile cu antivirus, anti-spyware, firewall-uri personale și funcționalitate IPS bazată pe gazdă.
de ce este acest lucru critic? Malware-ul Modern poate fi în mișcare rapidă și în schimbare rapidă și poate intra prin orice număr de puncte. Prin urmare, apărarea malware trebuie să poată funcționa în acest mediu dinamic prin automatizare la scară largă, actualizare și integrare cu procese precum Răspunsul la incidente.
#9. Limitarea și controlul porturilor de rețea, protocoalelor și serviciilor.,
organizațiile trebuie să urmărească și să gestioneze utilizarea porturilor, protocoalelor și serviciilor pe dispozitivele de rețea pentru a minimiza ferestrele de vulnerabilitate disponibile atacatorilor.
de ce este acest lucru critic? Atacatorii Caută servicii de rețea accesibile de la distanță care sunt vulnerabile la exploatare. Exemple comune includ servere web slab configurate, servere de e-mail și servicii de fișiere și imprimare, precum și servere domain name system (DNS) care sunt instalate implicit pe o varietate de dispozitive., Prin urmare, este esențial să vă asigurați că numai porturile, protocoalele și serviciile cu o nevoie de afaceri validată rulează pe fiecare sistem.
#10. Capacitatea De Recuperare A Datelor.
companiile trebuie să se asigure că sistemele și datele critice sunt susținute în mod corespunzător cel puțin săptămânal. De asemenea, trebuie să aibă o metodologie dovedită pentru recuperarea în timp util a datelor.
de ce este acest lucru critic? Atacatorii fac adesea modificări semnificative la date, configurații și software. Fără backup și recuperare fiabile, este dificil pentru organizații să se recupereze de la un atac.
#11., Configurații sigure pentru Dispozitive de rețea.organizațiile trebuie să stabilească, să implementeze și să gestioneze în mod activ configurația de securitate a dispozitivelor de infrastructură de rețea, cum ar fi routere, firewall-uri și switch-uri.
de ce este acest lucru critic? La fel ca în cazul sistemelor de operare și aplicațiilor (a se vedea Critical Security Control 3), configurațiile implicite pentru dispozitivele de infrastructură de rețea sunt orientate pentru ușurința implementării, nu pentru securitate. În plus, dispozitivele de rețea devin adesea mai puțin configurate în timp., Atacatorii exploatează aceste defecte de configurare pentru a avea acces la rețele sau pentru a folosi o mașină compromisă pentru a reprezenta un sistem de încredere.
#12. Apărare La Limită.organizațiile trebuie să detecteze și să corecteze fluxul de informații între rețele de diferite niveluri de încredere, cu accent pe date care ar putea deteriora securitatea. Cea mai bună apărare sunt tehnologiile care oferă vizibilitate profundă și control asupra fluxului de date în mediul înconjurător, cum ar fi sistemele de detectare a intruziunilor și de prevenire a intruziunilor.
de ce este acest lucru critic?, Vinovații folosesc adesea deficiențe de configurare și arhitectură pe sistemele perimetrale, dispozitivele de rețea și mașinile client de acces la internet pentru a avea acces inițial la rețeaua unei organizații.
#13. Protecția Datelor.
organizațiile trebuie să utilizeze procese și instrumente adecvate pentru a reduce riscul de exfiltrare a datelor și pentru a asigura integritatea informațiilor sensibile. Protecția datelor se realizează cel mai bine prin combinarea tehnicilor de criptare, protecție a integrității și prevenire a pierderilor de date.
de ce este acest lucru critic?, În timp ce multe scurgeri de date sunt furt deliberat, alte cazuri de pierdere sau deteriorare a datelor sunt rezultatul unor practici de securitate slabe sau erori umane. Pentru a minimiza aceste riscuri, organizațiile trebuie să implementeze soluții care pot ajuta la detectarea exfiltrării datelor și la atenuarea efectelor compromisului datelor.
#14. Acces controlat bazat pe nevoia de a ști.
organizațiile trebuie să poată urmări, controla și securiza accesul la activele lor critice și să determine cu ușurință ce persoane, computere sau aplicații au dreptul de a accesa aceste active.
de ce este acest lucru critic?, Unele organizații nu își identifică și separă cu atenție activele cele mai critice de datele mai puțin sensibile, iar utilizatorii au acces la date mai sensibile decât au nevoie pentru a-și face treaba. Drept urmare, este mai ușor pentru un insider rău intenționat — sau un atacator sau un malware care preia contul lor — să fure informații importante sau să perturbe operațiunile.
#15. Control Acces Fără Fir.
organizațiile trebuie să dispună de procese și instrumente pentru a urmări și controla utilizarea rețelelor locale wireless (LAN), a punctelor de acces și a sistemelor client wireless., Aceștia trebuie să efectueze instrumente de scanare a vulnerabilității rețelei și să se asigure că toate dispozitivele wireless conectate la rețea corespund unui profil de configurare și securitate autorizat.
de ce este acest lucru critic? Dispozitivele Wireless sunt un vector convenabil pentru atacatori pentru a menține accesul pe termen lung în mediul IT, deoarece nu necesită conexiune fizică directă. De exemplu, clienții wireless utilizați de angajați în timp ce călătoresc sunt infectați în mod regulat și ulterior folosiți ca uși din spate atunci când sunt reconectați la rețeaua organizației.
#16. Monitorizarea și controlul contului.,
este esențial ca organizațiile să gestioneze activ ciclul de viață al conturilor de utilizator (crearea, utilizarea și ștergerea) pentru a minimiza oportunitățile atacatorilor de a le folosi. Toate conturile de sistem trebuie revizuite în mod regulat, iar conturile foștilor contractori și angajați ar trebui să fie dezactivate imediat ce persoana părăsește compania.
de ce este acest lucru critic? Atacatorii exploatează frecvent conturi de utilizator inactive pentru a obține acces legitim la sistemele și datele unei organizații, ceea ce face mai dificilă detectarea atacului.
#17., Evaluarea competențelor în materie de securitate și instruirea corespunzătoare pentru completarea lacunelor.
organizațiile trebuie să identifice cunoștințele și abilitățile specifice de care au nevoie pentru a consolida securitatea. Acest lucru necesită elaborarea și executarea unui plan pentru identificarea lacunelor și remedierea acestora prin programe de politici, planificare și formare.
de ce este acest lucru critic? Este tentant să ne gândim la apărarea cibernetică ca fiind în primul rând o provocare tehnică. Cu toate acestea, acțiunile angajaților sunt, de asemenea, critice pentru succesul unui program de securitate., Atacatorii folosesc adesea factorul uman pentru a planifica exploatări, de exemplu, prin crearea cu atenție a mesajelor de phishing care arată ca e-mailuri normale sau care lucrează în fereastra de timp a corecției sau a revizuirii jurnalului.
#18. Aplicații Software De Securitate.
organizațiile trebuie să gestioneze ciclul de viață al securității tuturor software-urilor pe care le utilizează pentru a detecta și corecta punctele slabe ale securității. În special, trebuie să verifice în mod regulat dacă utilizează numai cele mai actuale versiuni ale fiecărei aplicații și că toate corecțiile relevante sunt instalate prompt.
de ce este acest lucru critic?, Atacatorii profită adesea de vulnerabilitățile din aplicațiile bazate pe web și din alte programe software. Aceștia pot injecta exploatări specifice, inclusiv depășiri tampon, atacuri de injecție SQL, scripturi între site-uri și clicuri de cod, pentru a obține controlul asupra mașinilor vulnerabile.
#19. Răspuns la incidente și Management.
organizațiile trebuie să dezvolte și să implementeze un răspuns adecvat la incidente, care include planuri, roluri definite, instruire, supravegherea managementului și alte măsuri care le vor ajuta să descopere atacurile și să rețină daunele mai eficient.
de ce este acest lucru critic?, Incidentele de securitate sunt acum o parte normală a vieții noastre de zi cu zi. Chiar și întreprinderile mari și bine finanțate se străduiesc să țină pasul cu evoluția peisajului amenințărilor cibernetice. Din păcate, în majoritatea cazurilor, șansa unui atac cibernetic de succes nu este „dacă”, ci „când.”Fără un plan de răspuns la incidente, este posibil ca o organizație să nu descopere un atac până când nu provoacă vătămări grave sau să poată eradica prezența atacatorului și să restabilească integritatea rețelei și a sistemelor.
#20. Teste de penetrare și exerciții de echipa roșie.,
controlul final impune organizațiilor să evalueze puterea generală a apărării lor (tehnologia, procesele și oamenii) prin efectuarea de teste de penetrare externe și interne regulate. Acest lucru le va permite să identifice vulnerabilitățile și vectorii de atac care pot fi utilizați pentru a exploata sistemele.
de ce este acest lucru critic? Atacatorii pot exploata decalajul dintre intențiile defensive bune și implementarea lor, cum ar fi fereastra de timp dintre anunțarea unei vulnerabilități, disponibilitatea unui patch furnizor și instalarea de patch-uri., Într-un mediu complex în care tehnologia evoluează în mod constant, organizațiile ar trebui să își testeze periodic apărarea pentru a identifica lacunele și a le remedia înainte de apariția unui atac.
implementarea controalelor: o abordare pragmatică
obținerea de valoare din controalele critice de securitate ale CSI nu înseamnă neapărat implementarea tuturor celor 20 de controale simultan. Puține organizații au bugetul, resursele umane și timpul necesar pentru implementarea simultană a întregului set de controale., O abordare mai pragmatică a implementării controalelor include următorii pași:
- descoperiți activele dvs. informaționale și estimați valoarea acestora. Efectuați evaluarea riscurilor și gândiți-vă la potențialele atacuri împotriva sistemelor și datelor dvs. (inclusiv punctele de intrare inițiale, răspândirea și deteriorarea). Prioritizați controalele CSI în jurul celor mai riscante active.
- comparați controalele de securitate curente cu controalele CIS. Notați fiecare zonă în care nu există capacități de securitate sau unde sunt necesare lucrări suplimentare.,
- elaborați un plan pentru adoptarea celor mai valoroase noi controale de securitate și îmbunătățirea eficacității operaționale a controalelor existente.
- obțineți buy-in-ul de management pentru planul și forma angajamentelor de linie de afaceri pentru sprijinul financiar și personal necesar.
- implementați comenzile. Urmăriți tendințele care ar putea introduce noi riscuri pentru organizația dvs. Măsurați progresul și reducerea riscurilor și comunicați constatările.
vrei să afli mai multe despre 20 controale critice de securitate?, Vizitați site-ul oficial al CSI Centrul pentru Securitate pe Internet: https://www.cisecurity.org/controls/
