框架只是帮助你搭建一套逻辑,但用在哪儿,怎么用,还要结合各公司实际情况。 无论你是网络安全从业的新兵,还是久经沙场的老将,在进入新领域的时候,心里总是会问自己几个问题: 1、其他兄弟单位怎么做的? 2、其他行业怎么做的? 3、先进国家怎么做的? 兄弟单位的做法,可以通过自己的人脉,或者领导协调,找到对接人员进行了解。 其他行业的做法,可能要通过各种微信群(这里要给君哥的“金融业企业安全建设实践群”打call,干货无数)、技术大会才能窥其一二。 先进国家的做法呢?是不是要参加BlackHat、加入跨国公司获取呢?虽然肉身翻墙是条解决之路,但还有更简单的方法。这就是今天要说的这些组织了。 标题中这几个组织你可能都不知道,但这几个名词至少听过一个:
- ATT&CK
- NVD
- CVE
- 网络安全框架
- CIS控制项……这个名单还可以很长
第一篇、NIST
Part1、组织介绍
秦始皇统一了文字、货币、度量衡,从而促进了不同地区商贸的往来,文化的交流。可见有一个统一的标准或度量能够使经济活动更加便捷,沟通交流更加顺畅。正是基于这种理念,1901年3月3日美国国会建立了国家标准与技术研究所(“NIST”),通过对各行各业标准的制定,消除了企业间交流的障碍,以此促进行业的不断创新,增强美国企业在国际舞台中的竞争力。[1]
NIST 是 National Institute of Standards and Technology 首字母缩写,国内一般叫做“美国国家标准与技术研究院”。成立于1901年,原名美国国家标准局(NBS),1988年8月,经美国总统批准改为美国国家标准与技术研究院,直属于美国商务部。NIST 是美国最古老的物理科学研究所之一。美国国会成立该机构旨在提升其工业竞争力,当时美国的测量基础设施处于二流水平,远远落后于英国、德国和其他经济竞争对手。经过一百多年的发展,NIST 早已成为顶级研究机构,在国际上享有很高的声誉。NIST 的测量范围无所不包,从智能电网、电子健康记录,到原子钟、先进纳米材料和计算机芯片,无数的产品和服务中都有NIST所提供的技术、测量和标准的身影。
NIST 下设 6 大研究所,从事物理、生物和工程等方面的基础和应用研究,以及测量技术和测试方法方面的研究,对外提供标准、标准参考数据及有关服务。
和咱们 IT 相关的工作都在 ITL,也就是图中蓝色的部分。
ITL 的组织架构如图所示(2020/5/15 更新),可以看到 计算机安全 是一级部门,由 Matt Scholl 负责。
信息技术研究所 ITL 的研究领域一共有五个,可以理解为五大实验室:
1、 网络安全
2、 人工智能
3、 物联网
4、 前沿计算技术及应用(尚无介绍链接)
5、 可信计算(尚无介绍链接)
咱们都是搞网络安全的,就只关注第1个 — “网络安全实验室”。
网络安全实验室下设多个团队,分别负责七个方向:
1、 Computer Security Resource Center,计算机安全资源中心,简称CSRC
CSRC(和中国证监会一个简称) 对外发布的材料主要是四大类:联邦标准、特别出版物、内部报告、公告。黄色高亮的SP就是我们平常接触最多的。
此外,CSRC 还有一些工作是以项目的形式对外公布。后面会提到。
2、 National cybersecurity center of Excellence,国家网络安全卓越中心,简称 NCCoE
由 NIST 与马里兰州合作,于2012年成立。该部门与企业基于CRADAs(合作研发协议联盟)展开合作,利用各个公司的产品整出一个“最佳实践”,来为各个行业提供网络安全解决方案。然后把这些解决方案记录在 NIST SP 的 1800 系列中(上图的 SP1800),该系列将功能映射到NIST的网络安全框架(下面的第4点)。
简单说就是一个政企合作的组织,带有一定的商业性质(各有利弊吧),直接在所谓“最佳实践”中给出具体厂商、产品。来张图感受下,这是SP1800-5 IT资产管理的数据信息采集流程图,出现了诸如Splunk、Bro、WSUS等商业产品,也有诸如Snort、OpenVAS等开源产品。
3、 Privacy Framework,隐私框架
4、 Cybersecurity Framework,网络安全框架,简称CSF
5、 Risk Management Framework,风险管理框架,简称 RMF
以上三个框架在代表成果中进行介绍。
6、Measurements for information security,网络安全度量
“如何给老板说清楚某一项安全投入的价值?”,这是所有安全人员都绕不开的问题。对于企业而言,安全投入也是投入,是投入就要讲究 ROI(投资回报比),投入的安全资源,到底减少了多少风险,是否满足预期?以前都是靠感觉来回答,那是否有办法“量化”呢?
网络安全度量就是为了解决这个问题,旨在让组织能更有效的管理网络安全风险。
但是关于网络安全度量,并没有很成熟的标准,甚至对“网络安全度量”这个词的定义都还没有。谁要是能制定“度量”的明确标准、给出靠谱的方法,那就是对经济社会的重大贡献。这里面涉及到的内容非常多,既要考虑网络安全系统各个组件的价值,还要考虑整个系统对企业的价值。其最终目标是通过度量“识别、保护、监测、响应和恢复”的整体能力,从而度量出企业整体的网络安全性,为高层决策提供依据。
以前君哥在信息安全框架中提出“信息安全度量”,和这个就不谋而合。
NIST 也没有标准答案,于是发起了一个倡议,在进行探索。
2008年的时候,NIST 发布了一份 SP 800-55 v1《信息安全度量指南》,目前正在征集v2修订意见。举个例子,下图是 v1 中一份关于漏洞管理的度量表,度量高危漏洞在有效时间内的修复比例、修复效率,给出了度量方法、计算公式等,对于做安全运营工作,具有一定的借鉴意义。里面还有关于访问控制、员工培训、审计、配置管理等方面的测量表。
7、 National Initiative for Cybersecurity Education(NICE),国家网络安全教育计划,简称 NICE
主攻教育培训。于2020年11月16日发布了 《网络安全人才队伍框架》修订版,编号 sp 800-181。
《NICE 网络安全人才队伍框架》中核心内容如上图,其中涉及 7 大类别的 32 个专业领域,38 种工作角色的 1007 类任务所需的 1180 种知识、技能和能力(KSA)。有兴趣的读者可以阅读文献[4]了解详情。
Part2、代表成果
弄清楚了组织架构、研究内容之后,再来看NIST(确切说是ITL)的主要成果就比较清晰了。
1、NIST 《零信任架构》白皮书 (SP 800-207)
于 2020年8月发布,从编号可以看出,属于SP800,最佳实践系列。白皮书包含零信任架 构(ZTA)的抽象定义,并给出了零信任可以改进企业总体信息技术安全状况的通用部署模型和使用案例。零信任的概念最近很火,笔者就不添油加醋了。
( 关于零信任,还有Gartner与奇安信联合发布的《Gartner零信任架构及解决方案》、CSA 《SDP标准规范1.0》,云安全联盟 CSA-GCR 已对该指南进行了翻译,关注公众号回复 NIST 可以获取所有文件。)
2、《隐私框架:通过企业风险管理来改善隐私的工具》
隐私保护是这个时代迫切需要解决的问题。但值得注意的是,“隐私”的概念是宽泛的,隐私保护的方式是多样的,侵犯个人隐私所造成的影响也是多层次的。因此NIST认为,“我们如今缺少一套通用的语言和工具,这套语言和工具要非常灵活,来应对各种各样的隐私保护需求”。在这样的背景下,美国NIST隐私框架V1.0(“隐私框架”)应运而生。
对于这套隐私框架的定位和作用,NIST的野心可不小:“隐私框架可帮助任何规模和任何身份的机构管理隐私风险,并且对于任何一种技术、任何一个行业、任何一部法律、任何一块法域都是中立和适用的。”
隐私框架的核心部分由5大功能板块构成:
1、识别板块(ID-P) —识别机构内外部环境和现状;
2、治理板块(GV-P) —建立公司内部治理体系;
3、控制版块(CT-P) —精细化管理数据;
4、交流版块(CM-P) —开展活动帮助机构和个人交流隐私风险相关问题;
5、保护版块(PR-P) —实施保护措施以防止网络安全事件。
5大版块又分成18个类别版块(例如ID.RA-P风险评估板块),而每个类别版块又再细分成若干个子类别版块(例如ID.RA-P5风险回应板块)。这些板块的具体内容都是机构可以去追求的隐私保护相关目标和活动
本质上,可以将这些大大小小的版块比做是一块块形状各异的积木,NIST将这些积木提供给大家,由机构根据自身需求(例如合规,处理客户投诉等)以及手中资源自由选择积木的数量和种类,个性化地搭建企业内部隐私保护体系的“大厦”。
有兴趣的读者可以进一步阅读参考文章 [1]
(《隐私框架》中文版有数据法盟翻译,关注公众号回复 NIST 可以获取所有文件)。
3、《网络安全框架v1.1》(2018年发布)
英文名是《Framework for Improving Critical Infrastructure Cybersecurity》(以下简称CSF),所以也翻译为《提升关键基础设施网络安全框架》。现在国内提 “关键信息基础设施”(Critical Information Infrastructure,简称CII)显然不是空穴来风,毕竟美国人早就这么干了。
CSF 的核心就是这张表:
将五大功能(识别、防护、检测、响应、恢复)细分出多个类别,都给出ID,方便后面进行索引,如下图所示:
然后每个子类别该如何执行,就需要自行查找参考文献。大家不要小看了参考文献的这些编号,假设,我们单位内部要写一份规范,对里面每一个规则都要写出参考文献,比如对应等保2.0的第几章、第几节、第几小点,你会觉得很烦。现在难度加大,不仅是等保2.0,还要对应ISO27001、GB/T xxx等等文件,你是不是要疯掉?所以CSF的框架核心就是一本字典,可以串起各类规范,这里的NIST SP详细大家通过前面的介绍已经知道是什么了。而 CIS 将在后续文章进行介绍。
考虑到不同企业,网络安全成熟度不同,因此将执行的水平(Tier)分为四级:
1级:局部
2级:具有风险意识
3级:可复用
4级:自适应
围绕不同成熟度的企业,如何实现以上控制措施,也给出了建议。
4、 SCAP v1.3(安全内容自动化协议,2018年发布)
这是个好东西,想想看,现在国外有各种漏洞披露平台,比如CVE、CVSS、CPE等,国内有CNVD、CNNVD,同时,各个厂家也有一套自己的漏洞披露编号:
对于一个 心脏滴血 漏洞,如果你把这些披露平台数据梳理起来,会发现乱七八糟。如果拿个爬虫去爬,都不确定他们描述的是不是同一个漏洞:
既然你们互相不待见,“那我给所有漏洞做一个统一索引吧”,这大概就是 SCAP 的野心。
当然了,SCAP 的目标并不止于此,这里只是做个简单的、粗暴的理解,有兴趣的读者可以从文献[2] 做进一步了解。
可惜的是,野心很大,但做不起来。笔者觉得一来这事儿太复杂,二来属于看不见回报的苦活,很难得到其他组织和厂家的响应,最后估计是不了了之的命运。
Part3、如何使用
既然 NIST 有这么多可以参考的资料,那能否整个清单,让读者能快速索引呢?
其实NIST官网已经这么做了,对外发布了一份动态更新的材料清单:https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/NIST-Cybersecurity-Publications.xlsx
但是自己搜索之前,还是来对 NIST 的材料分类做个进一步了解,这里主要参考[3]的介绍。
NIST在信息技术与网络安全方面主要有九大重点研究领域,图有点看不清楚,笔者把这些领域及主要内容列出来。
1、网络安全和隐私保护
- 主导和参与制定国家及国际标准
- 加强在物联网标准化工作方面的参与度
2、风险管理
- 下一代风险管理框架 (RMF),第二章已经介绍
- 隐私工程和风险管理
- NIST 网络安全框架,第二章已经介绍
- 受控非机密信息
- 系统安全工程
- 网络供应链风险管理(C-SCRM)
3、密码算法及密码验证
- 后量子密码
- 轻量级密码
- 密码模块测试
4、前沿网络安全研究及应用开发安全
- 使用虚拟机管理程序的漏洞数据进行取证分析
- 智能电网网络安全
- 电子投票系统的安全性
- 区块链技术和算法安全
5、网络安全意识、培训、教育和劳动力发展
- 国家网络安全教育倡议 (NICE)
- 网络安全资源共享
- 网络安全可用性
6、身份和访问管理
- 数字身份管理
- 个人身份验证
7、通信基础设施保护
- 蜂窝和移动技术安全
- 5G安全
- 国家公共安全宽带网(NPSBN)
- 零信任架构
- 改善安全卫生
- 安全域间路由(SIDR)
- 传输层安全(TLS)
8、新兴技术
- 物联网(IoT)网络安全
- 人工智能(AI)
9、先进的安全测试和测量工具
- 自动化组合测试
- 国家漏洞数据库(NVD)
- 开放式安全控制评估语言(OSCAL)
- 网络风险分析
- 计算机取证工具测试(CFTT)
- 国家软件参考库(NSRL)
读者可以根据自己关心的领域,去 NIST 官网拿编号、关键词搜索相关内容:
关于NIST的介绍到此为止,后续将陆续介绍 CIS、MITRE、SANS,以及Part4 相互关系,敬请关注。
参考
[1]新出炉的“美国NIST隐私框架”,到底在讲啥?,网络法实务圈,https://www.shangyexinzhi.com/article/531819.html
[2]通用漏洞管理与SCAP,Fooying,https://www.fooying.com/common_vulnerability_management_and_scap/
[3]NIST,这些年都在研究些啥,Freebuf,https://www.freebuf.com/articles/others-articles/254872.html
[4]美国 NICE 计划和《NICE 网络安全人才队伍框架》,sbilly,https://sbilly.github.io/post/nist-nice-and-nice-cybersecurity-workforce-framework/
第二篇、CIS
看过 《NIST、CIS、MITRE、SANS 傻傻分不清楚》的读者想必对 NIST已经非常清楚了,那今天就接着聊 CIS。本文将对 CIS 做一些信息梳理,希望能和大家一起建立初步了解。按照惯例,本文将分为三个部分:
1、组织介绍 2、代表成果 3、内容索引
Part1、组织介绍
CIS 是 Center for Internet Security 的英文首字母缩写,国内译做“互联网安全中心”。CIS 成立于2000年,是一个社区驱动的、非营利性组织[1]。截至目前,共有250+员工,分布在全美19个州。
CIS 最出名的就是 CIS controlsR(CIS控制项)和 CIS BenchmarksTM(CIS 基准),这两个项目是全球公认的针对IT系统和数据安全的最佳实践。为了保持这些 项目 内容的实时更新,CIS 通过社群组织了一大群专家在做持续维护,同时,还提供了相应的产品和服务。此外,针对云环境,CIS 推出了 CIS Hardened Images® (加固镜像)。
关于R和TM的含义、区别 。
>用圆圈R,是“注册商标”的标记,意思是该商标已在国家商标局进行注册申请并已经商标局审查通过,成为注册商标。圆圈里的R是英文register注册的开头字母。
>用TM则是商标符号的意思,即标注TM的文字、图形或符号是商标,但不一定已经注册(未经注册的不受法律保护)。TM是英文trademark的缩写。
此外,CIS 还负责了两个政府性质项目
- MS-ISAC®(Multi-State Information Sharing and Analysis Center® ):美国多州信息共享和分析中心,为各级政府提供网络威胁预防,保护,响应和恢复。
- EI-ISAC®(Elections Infrastructure Information Sharing and Analysis Center®):选举基础设施信息共享和分析中心,为美国选举办公室提供网络安全支持。
另外,从该组织的人事架构、董事会信息来看,也完全是公司性质:
所以,相对 NIST,CIS 的职能更聚焦,从官网的介绍,以及栏目菜单可以梳理出其主要内容就是三大块:
1、项目
- CIS 控制项:Part2 详细介绍
- CIS 基准:Part2 详细介绍
- MS-ISAC/IE-ISAC:前面已经讲过了,主要是为美国各级政府服务,和咱们关系不大,不做展开。
- CIS 安全套装:主要是会员服务,将控制项和基准进行工具化落地,帮助企业做合规工作。会员可以使用 CIS-CAT Pro版本,可以获取CIS各种文件格式版本(免费的只有pdf版本,会员可以获取xlsx、xml等格式),可以拿到一些基线脚本,以及获得技术支持。
2、产品
- CIS-CAT :配置评估工具,全称是 CIS-Configuration Assessment Tool 。分为精简版、专业版。详见Part2。
- CIS WorkBench:Benchmark 的工作台,在这里可以下载到所有的 Benchmarks。详见Part2。
- CIS RAM:一套风险评估方法,全称是 Risk Assessment Method。详见Part2。
- CIS CSAT:针对 CIS 控制项的自查工具,全称是 Controls Self-Assessment Tool 。详见Part2。
3、服务
- CIS Hardened Images ,云上镜像加固。AWS,Microsoft, Google和Oracle都已加入。
- Consulting,咨询服务。
- Network Monitoring - Albert。Albert 网络监控服务,基于网络流量打造的IDS产品,数据汇总到 SOC中心,通过7*24小时监控,来为接入用户提供预警分析服务。看了下规模,从2011年成立至今,服务器规模750台,感觉发展情况一般。
- CIS CyberMarket,集中采购(团购)。通过集采降低采购成本,这种职责在国内一般由行业主管部门,或者中央采购来承担。
讲到这里,不禁有一个疑问:作为一个非政府职能部门,而且号称“非盈利”的组织。要维护一只250+人的团队,钱从哪儿来呢?
答案就在下面这张图里。
注意看右边的色块,蓝色的区域为免费提供,其他区域只对会员,或者政府组织提供。
针对 Membership 收费(目前已有2000+会员,但政府部门、学术机构等免费[2]),收费标准如下图,会根据会员的年营收而变化。
所以,服务这一块全是付费和政府专用,就不做进一步介绍了。本文接下来的内容将聚焦在蓝色部分。
对CIS项目、产品、服务发展历程有兴趣的读者,可以继续阅读 CIS 官方博客的 20周年庆 文章。
Part2、代表成果
CIS Controls 和 Benchmarks 是 CIS 成名的基础,所以代表成果首先是:
1、CIS Controls 控制项
2、CIS Benchmarks 基准
针对 控制项,CIS 提供了两个工具:
3、 CIS-CAT
4、CIS-CSAT
针对 基准, CIS 也提供了工具:
5、 CIS WorkBench
此外,还有一套风险评估方法论:
6、 CIS RAM
接下来逐个进行介绍。
1、CIS Controls 控制项
CIS 控制项的历史可以追溯到2008年,最初是NSA(美国国家安全局)为了帮助美国国防部(DoD)确定其网络安全支出的优先级,拟定了一系列的安全控制项。这本来是一个保密的军方项目,但是NSA和CIS、SANS等社会组织有一系列长期合作,且NSA认为国家安全不能仅仅依靠军方,关键信息基础设施,例如通讯、电力、金融,也需要了解这些信息,才能从整体保护国家安全,于是开始有更多的团体参与到该项目中。2008年秋天,CSIS(美国战略与国际研究中心)成立了国家网络安全委员会,对相关控制项进行了审议,树立了其权威地位。
考虑到不同组织的网络安全成熟度不一样,为了获得投入和产出的平衡,不同的组织可可以根据实际情况选择一部分控制项进行实施。为此,CIS控制项将实施组织(Implementation Group,简称IG)分成了三级,如图所示,各个组织可以评估自身情况,对应到IG1、IG2或IG3,数字越大,需要实现的控制项越多。
- IG1:中小型组织,IT和网络安全能力有限。此类组织的首要任务是保障业务的可用性,避免业务发生中断。该组织的数据敏感度很低,主要是内部员工和财务信息。当然,有些组织虽然人少,但是维护的数据敏感度很高,则应该提升级别。
- IG2:中型组织,此类组织有专职的IT基础设施管理人员,存储和处理敏感的客户或公司信息,可以承受短暂的业务中断,更担心违规行为对其公信力造成的负面影响。
- IG3:大型组织,有专职的网络安全专家(例如风险管理、渗透测试、应用程序安全)。存储了受法律和合规性监管的敏感信息。此类组织必须保证业务的可用性,以及敏感数据的机密性、完整性。一旦遭受攻击,将对公众安全造成严重影响。
目前 CIS 控制项的最新版是v7.1,于2019年4月发布。CIS控制项一共有20项,控制子项171个,分为基本管控、基础性管控和组织级管控三大类,如下图所示。
以CIS Control 1资产管理为例 :
对硬件资产管理给出了8个子控制项:
- 具有主动发现工具:能识别接入到组织网络中的硬件资产,并更新资产库。
- 具有被动资产发现工具:能识别接入到组织网络中的硬件资产,并自动更新资产库。
- 利用DHCP日志来更新资产库:通过DHCP服务器或者IP地址管理工具的日志来更新组织的硬件资产库。
- 维护详细的资产库:对但凡有可能存储或处理信息的技术资产,维护一份准确的、实时的资产库。库里面要包含所有的资产,无论其是否接入到组织网络之中。
- 维护资产库信息:确保硬件资产库记录了网络地址、硬件地址、机器名、数据属主、部门信息,以及资产是否已连接企业网络。
- 定位未授权资产:确保所有未授权的资产要么从从网络中移除、隔离,要么及时将该资产更新到资产库中。
- 实施端口级的访问控制:利用 802.1x 标准实现端口级访问控制,从而对设备准入进行授权。认证系统应该从硬件资产库中读取数据,确保只有授权的设备可以准入。
- 对硬件资产进行证书认证:使用客户端证书来对接入组织的硬件资产认证。
对应的,给出了硬件资产管理框架:
2、CIS Benchmarks 基准
CIS 基准是安全配置系统的配置基线和最佳实践。每则指导建议都参考了一个或多个 CIS 控制措施,可帮助组织改进其网络防御能力。CIS 控制措施与许多已建立的标准和规章框架对应,包括 NIST 网络安全框架 (CSF)和 NIST SP 800-53、ISO 27000 系列标准、PCI DSS、HIPAA 等等。[3]
国内更习惯于叫做安全基线,针对网络、系统、应用等等,在上线前,进行配置修改,实现基础的安全加固。
感觉这块并没有太多可以介绍的内容,都是实操,“干”就对了。
这里以《CIS_Apache_Tomcat_9_Benchmark_v1.1》为例进行介绍,Tomcat9 基线一共分为10章:
1、删除不必要的资源:例如说明文档、禁掉不用的Connector。
2、防止信息泄露:如禁用HTTP 头的 X-Powered-By 字段,关闭对TRACE的响应。
3、保护shutdown端口:防止未授权用户发送shutdown命令,导致服务关闭。
4、保护Tomcat 配置文件:如禁止访问 $CATALINA_HOME/BASE/日志 等目录、以及server.xml/tomcat-users.xml 等文件。
5、配置告警:如设置安全告警,用户锁定告警。
6、Connector 安全:如必须启用SSL才能使用敏感的Connector。
7、设置日志功能:如在logging.properties文件中设置文件句柄,确认context.xml中的className有正确设置。
8、配置Catalina 策略:限制对敏感包的运行时访问。
9、应用部署:如禁用应用自动部署功能、启用安全管理功能。
10、其他:如禁止访问管理页面、对manager应用重命名、配置maxHttpHeadSize、禁止符号链接、启用内存泄漏监听器等等。
每一章都会有大量详细的配置项,具体到操作命令该如何执行,例如针对shutdown端口的保护,可以先在server.xml搜索 SHUTDOWN 关键字:
$ cd $CATALINA_HOME/conf $ grep ‘shutdown[[:space:]]=[[:space:]]“SHUTDOWN”‘ server.xml
然后将该字符串改为不常用字符串:
针对每一条配置项,都给出了适用的组织级别、配置项说明、验证方法、修复步骤、参考文章,以及对应的 CIS 控制项和子项。
3、CIS-CAT 工具
对服务器按照合规要求进行自动化检测,生成检测报告,并给出修复建议。如下图所示,工具安装完成后,可以点击“start assessment”,系统自动开始进行基线检测。
目前国内很多主机安全产品(青藤、安全狗、G01、深信服EDR等)都具备类似功能,只是检测对象是等级保护的测评项,而非CIS基线。
主机类的检测手段在覆盖范围上存在其局限性,无法解决网络、哑终端等设备的基线。因此,要想提高基线检测的自动化水平,需要进行多平台整合。例如Tenable(Nessus的商业公司),可以综合多种方式进行基线检测:
1、利用登录式扫描或者agent,实现主机基线检测。
2、利用 nessus 主动扫描,以及 PVS 流量分析,实现网络设备基线检测。
总的来说,配置自动检测并不是什么新鲜事儿。在2C领域,十几年前3Q大战时的各种电脑管家类产品,早已能对用户的注册表、补丁、启动项等等进行安全评估,并给出PC安全状态总体评分,同时还提供一键修复功能,形成管理闭环,体验非常好。
4、 CIS CSAT 工具
如果用户想根据 CIS控制项 进行自我评估,对照官方的PDF来做显然比较麻烦。那是否有系统能做到:
1、根据组织级别(IG1-3)自动生成 CIS控制项。
2、可以对各个控制项填写当前状态。一共有四种:
3、根据填写的数据给出评估分值,告知当前水平在行业所处的位置。
没错,这就是 CIS-CSAT 需要做的事情。
先根据用户的组织等级,生成CIS控制项列表,再让用户根据是否具有内部规范、控制项是否实现、是否完成自动化、是否生成报告来进行人工勾选。
当用户填写完以上内容之后,给出评分,并与业界平均水平进行对比:
5、 CIS WorkBench 工具
本质上就是使用基线的工作台。
先注册个账号登录:
可以查看社区在进行的工作,以及各个基线所处的状态(一共四种:草案、接收、发布、拒绝)。
所有的基线都可以从这里下载。
6、 CIS RAM 风险评估方法论
最初由 HALOCK 安全实验室开发,后来捐给了 CIS。目前的 RAM 基于CIS 控制项 v7 版本制定。大概看了下,和国内咨询机构做ISO27001的风险评估方式类似,但是RAM将组织分成了T1-T4(和NIST中的T1-T4保持一致),分别采用不同的评估方法:T1(基于控制项)、T2(基于资产)、T3和T4(基于威胁)。
虽然针对不同组织,但工作流程大体一致:
1)制定计划;
2)明确评估范围;
3)确定风险值计算模型;
4)风险项登记:一张硕大的表格,按照资产、脆弱性、可能性、影响程度等维度进行填写,在按照上面的模型计算出风险值,最后根据防御措施(safeguard)给出目标风险值,实现安全改进。
(CIS RAM 提供了1份完整版和1份简版介绍材料,以及一份风险评估Excel表格,关注公众号回复 CIS 获取本文所有材料)
7、其他内容
最近CIS以社区防御模型的形式发布了免费的最佳实践指南[4],该模型将CIS 控制项映射到MITER ATT&CK模型。
此外,CIS 还给出了1)针对云服务提供商的CIS Foundations Benchmarks;2)针对云安全的共享责任模型指南;3)CIS密码策略指南;4)CIS视频会议安全指南等。(在Workbench的downloads页面可以进行搜索下载,本文附件已包括3和4)
有兴趣的读者可以自行了解。
Part3、内容索引
和实操层面关系最大还是 CIS 基线,官方提供了一份索引文件,一共有418项。(关注公众号之后,回复 CIS 获取 )
大体可以分为以下几类。
桌面和浏览器:
- Apple Desktop OSX
- Apple Safari Browser
- Google Chrome
- Microsoft Internet Explorer
- Microsoft Windows Desktop XP/NT
- Mozilla Firefox Browser
- Opera Browser
移动设备
- Apple Mobile Platform iOS
- Google Mobile Platform
网络设备
- Agnostic Print Devices
- Checkpoint Firewall
- Cisco Firewall Devices
- Cisco Routers/Switches IOS
- Cisco Wireless LAN Controller
- Juniper Routers/Switches JunOS
服务器-操作系统
- Amazon Linux
- CentOS
- Debian Linux Server
- IBM AIX Server
- Microsoft Windows Server
- Novell Netware
- Oracle Linux
- Oracle Solaris Server
- Red Hat Linux Server
- Slackware Linux Server
- SUSE Linux Enterprise Server
- Ubuntu LTS Server
服务器-其他
- Apache HTTP Server
- Apache Tomcat Server
- BIND DNS Server
- FreeRADIUS
- Microsoft IIS Server
- IBM DB2 Server
- Microsoft Exchange
- Microsoft SharePoint Server
- Microsoft SQL Server
- MIT Kerberos
- MySQL Database Server
- Novell eDirectory
- OpenLDAP Server
- Oracle Database Server
- Sybase Database Server
云和虚拟化平台
- Agnostic VM Server
- AWS Foundations
- AWS Three-Tier Web Architecture
- Docker
- Kubernetes
- VMware Server
- Xen Server
其他
- Microsoft Access
- Microsoft Excel
- Microsoft Office
- Microsoft Outlook
- Microsoft PowerPoint
- Microsoft Word
因为内容太多,笔者只下载了部分常用的基线文档,包括Centos、SQL Server、Docker 、阿里云基线等(关注公众号之后,回复 CIS 获取)。有需要的读者可以注册一个 Workbench 账号,自行搜索。
PartN:最后
本来以为这一篇可以把CIS、SANS、MITRE “一网打尽”的,没想到写着写着内容又这么长了,那就还是拆开,单独介绍吧。
往期回顾:
《NIST、CIS、MITRE、SANS 傻傻分不清楚》
参考文章
[1] About Us, CIS官网,https://www.cisecurity.org/about-us/
[2] Product Vender, CIS 官网,https://www.cisecurity.org/cis-securesuite/pricing-and-categories/product-vendor/
[3] Internet 安全中心 (CIS) 基准,robmazz,https://docs.microsoft.com/zh-cn/compliance/regulatory/offering-cis-benchmark
[4] CIS CDM, 官网,https://www.cisecurity.org/press-release/center-for-internet-security-cis-releases-new-community-defense-model-for-cybersecurity/