最佳实践：互联网安全中心(CIS)发布新版“20大安全控制”

这些最佳实践最初由SANS研究所提出，名为“SANS关键控制”，是各类公司企业不可或缺的安全控制措施。通过采纳这些控制方法，公司企业可防止绝大部分的网络攻击。

对上一版“20大安全控制”的研究表明，仅仅采纳前 5 条控制措施，就能阻止 85% 的攻击。 20 条全部采纳，可阻止 97% 的网络攻击。

这一版的主要目的之一，是要与每套控制措施的工作流保持一致。即便在内容上改动不大的现有控制措施，也在需求顺序方面进行了重新洗牌。每套控制措施都有对评估、基线、缓解和自动化的摘要版介绍。

另外，较之前版，在语言上也做了大幅精简，用语高度抽象，可使这些控制措施应用在更广泛的平台和攻击上。

不过，至于怎样实现这些控制措施，就是看公司的策略和所用 工具 了。公司企业自己实现起来可能会比较困难，应与其安全供应商合作，听取他们在各种控制措施的“自由发挥”部分上的建议。

已有控制措施中的大部分都维持了原样，只除了一些冗余要求的整合和用语上的精简。

CIS 20大关键控制快速浏览

因为能挡住绝大部分攻击，前5项基本控制维持不变(顺序上略作调整)。下面我们就来浏览一下这第7版的CIS 控制：

CIS控制1：硬件资产库存与控制

对网络上设备的全面了解，是减小公司攻击界面的第一步。持续使用主动和被动资产发现解决方案以监视自身资产库存，并确保所有硬件都有人负责。

CIS控制2：软件资产库存与控制

首要控制措施中又一个与资产发现有关的，标志着网络盘点是夯实公司系统安全最关键的一步。毕竟，如果不知道自家网络上都有些什么，也就谈不上跟踪这些资产了。

CIS控制2详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-2-inventory-of-authorized-and-unauthorized-software/

CIS控制3：持续的漏洞管理

定期扫描网络查找漏洞，可在数据泄露切实发生前暴露出安全风险。对公司整个环境进行自动化验证扫描非常重要。

CIS控制3详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/cis-top-20-critical-security-controls/

CIS控制4：控制管理员权限的使用

管理员凭证是网络罪犯的主要目标。幸运的是，可以采取多种方法来保护这些权限，比如维护好管理员账户清单和修改默认口令。

CIS控制4详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-4-controlled-privileges/

CIS控制5：保护移动设备、笔记本电脑、工作站和服务器上硬软件的配置

利用文件完整性监视(FIM)跟踪配置文件、主镜像等等。该控制措施满足配置监视系统自动化要求，以便发生偏离已知基线的情况时可以触发安全警报。

CIS控制5详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-5-secure-configurations/

CIS控制6：维护、监视和分析审计日志

系统日志提供了对网络上所有活动的准确重现。这意味着，如果发生网络安全事件，恰当的日志管理操作可以拿出描述事件所需的全部数据，包括：谁干的，干了什么，在哪儿做的，什么时候做的，怎么做的。

CIS控制6详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-6-audit-logs/

CIS控制7：电子邮件和Web浏览器防护

电子邮件和Web浏览器的安全威胁不单单只有网络钓鱼一种。甚至电子邮件图片里的一个像素，都能给网络罪犯带来执行攻击所需的信息。

CIS控制7详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-7-email-web-protections/

CIS控制8：恶意软件防御

确保你的反病毒工具与你其他安全工具链集成良好。完整实现该控制还意味着保持对命令行审计和DNS查询的精确日志。

CIS控制8详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-8-malware-defenses/

CIS控制9：限制并控制网络端口、协议及服务

实现该条控制措施能帮你减小攻击界面，可采取的策略包括自动化端口扫描和应用防火墙。

CIS控制9详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-9-limitation-control-network-ports/

CIS控制10：数据恢复功能

你定期自动化备份吗？确保恰当的数据恢复能力有助于免遭勒索软件之类威胁的侵害。

CIS控制11：安全配置网络设备，比如防火墙、路由器和交换机

有很多方法可以保护网络设备的安全，比如多因子身份验证和加密。

CIS控制11详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-11-secure-configuration-network-devices/

CIS控制12：边界防御

该条控制处理的是你网络边界上通信的管控方式。可采用基于网络的IDS传感器和入侵防御系统实现。

CIS控制12详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-12-boundary-defense/

CIS控制13：数据保护

名称虽然简单，却是更为复杂和难以实践的控制措施之一，因为盘点敏感信息之类持续的过程要实现数据保护涉及的方面太多了。

CIS控制13详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-13-data-protection/

CIS控制14：基于“有必要才知悉”原则进行访问控制

通过加密传输过程中的数据和禁止工作站之间的通信，你可以开始限制数据权限过于宽松时可能出现的安全事件了。

CIS控制14详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-14-controlled-access/

CIS控制15：无线访问控制

实现该控制的第一步，是统计你网络中的无线接入点。基于此，再深入到缓解所有类型的无线访问风险。

CIS控制15详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-15-controlled-access/

CIS控制16：账户监视与控制

为防止有效凭证落入黑客之手，你必须设置一套控制身份验证机制的系统。

CIS控制16详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-16-account-monitoring/

CIS控制17：实现安全意识教育和培训项目

因为不断深化的网络安全技术人才短缺问题，安全培训应成为大多数公司的要务，而且，应是持续的安全培训而不是一次性的走过场。

CIS控制17详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-17-awareness-training/

CIS控制18：应用软件安全

内部开发的代码应经过静态及动态安全分析之类的安全评估过程审查，发现隐藏的漏洞。

CIS控制18详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-18-application-software-security/

CIS控制19：事件响应与管理

该控制有助于规划和测试网络安全事件应对计划，防止当事件真的发生时出现忙乱状况。

CIS控制19详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-19-incident-response/

CIS控制20：渗透测试和红队演练

定期进行渗透测试有助发现漏洞和攻击方法，减小恶意黑客早已利用漏洞渗入而公司浑然不觉的概率。

CIS控制20详情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-20-penetration-tests-red-team-exercises/