您首先应该实现的5个CIS安全控制

独联体关键安全控制列表(以前称为SANS的前20大关键控制)一直是安全防御建议的黄金标准。这些是你应该首先完成的任务。

大多数公司没有正确评估计算机的安全风险，导致安全控制与其最大风险不一致。这是我关于数据驱动的计算机安全防御的书。许多安全专家都知道这一点，这就是为什么在我多次谈论风险管理之后，我仍然被问及要从SANS的前20个关键控制列表中实施什么控制。

据我所知，最严肃的计算机安全专业人士期待SANS Top 20的每一次更新和随后的推动。它包含了非常好的计算机安全防御建议，但是像任何行动清单一样，你不能同时完美地完成一些事情。以下是应该首先实现哪些控件的建议，但首先让我提供一些SANS列表的历史记录。

现在是CIS控制

SANS几年前给互联网安全中心(CIS)排名前20名，现在被称为CIS关键安全控制。独联体是另一个备受尊敬的非营利计算机安全组织，有几十年的历史。他们可能最出名的是他们的操作系统最佳实践安全建议和基准。如果您想让一个独立的非政府实体就微软视窗系统的安全性提供建议，CIS是您的选择。

SANS清单始于Tony Sager

如果你知道它的历史，那么CIS将不会惊讶地获得SANS的前20名。名单从独联体高级副总裁兼首席福音传道者托尼·萨格尔(Tony Sager)开始。托尼可能最出名的是他在浓雾中的一系列演讲。他认为信息过载是阻碍提高计算机安全性的主要问题之一。

托尼是个聪明体贴的人。他在国家安全局工作了34年，致力于提高计算机安全。大多数人只认为国家安全局是间谍的同义词，但他们也有责任通过帮助我们建立和实施更好的防御来保护我们的国家。最后一个目标，托尼是主角之一。他领导了国家安全局首批“蓝队”之一，并最终成为国家安全局漏洞分析和行动计划的首席领导人。托尼告诉我:“我可能是少数几个可以说他们整个职业生涯都在国家安全局的国防部度过的人之一。”。“我比任何人都清楚这个系统是如何失败的。我可以从一个国家入侵另一个国家的所作所为中学到他们是如何做到的，以及他们为什么没有被阻止。从这两个角度，我可以看出什么在保护计算机方面发挥了作用，什么没有。”

托尼说最初的名单来自他和其他几个人。一天，他们被困在一个房间里，试图一起找到一个小名单。“我们不想要能解决世界上所有问题的清单。”他们想选择一些他们都同意的项目，作为对任何想保护他们的计算机和网络的人的最好建议。一天结束时，他们提出了一个简短的清单，并最终发展成十个控制。他们对其进行了同行评审，托尼最终把他的名单发给了五角大楼，用他的话说，“作为友好的姿态”。

他惊讶地看到他的名单终于脱颖而出，赢得了信任。由于SANS与政府的密切合作，托尼认识SANS的艾伦·帕勒(Allen Paller)。他打电话问SANS他是否能接受这个列表，教它并推广它。托尼非常兴奋。上帝啊，SANS得到了它并把它拿走了。多年来，前10名已经成为前20名。它已经成为严肃的计算机安全专家用来保护他们环境的一个列表。

最后，SANS和托尼认为，对于这个已经成为事实上的全球安全指南的标准，正确的做法是将其转移到非营利组织。所以从国家安全局到五角大楼，从国家安全局到独联体。因此，几十年后，托尼的名单上有一个组织，托尼也参与其中，以确保安全。

这是前20名控件的简史。现在让我们回到您应该首先实现的控件。应实施

CIS Top 20控制中的前五项

1. 实施安全意识和培训计划

这是我的五大清单:

审核日志维护、监控和分析、事件响应和管理@

2. 持续的漏洞管理

根据威瑞森2019年数据泄露调查报告，高达90%的恶意数据泄露是由网络钓鱼和社会学工程造成的。光是这一点，第一个控制就没用了。像许多类型的攻击一样，您可以结合使用技术控制(例如防火墙、反恶意软件、反垃圾邮件、反网络钓鱼、内容过滤)和培训来防御它们。

无论您使用哪种技术控制，一些网络钓鱼最终都会传递给最终用户。这就是为什么你必须教所有用户如何识别恶意，以及当他们看到恶意时该怎么做。如何开展安全意识培训由你决定，但教育应每年进行多次，每季度不止一次。低频训练无助于降低风险。

3. 控制管理权限的使用

未修补软件占所有成功数据泄露的20%至40%,这是成功组织入侵的第二大常见原因。漏洞管理绝对应该是你的第二要务。这意味着不仅要扫描环境中的漏洞和缺失的修补程序，还要尽可能自动化修补程序。

什么需要修补？在去年公布的16，555个个人漏洞中，不到2%被用来伤害组织。几乎所有这些人都使用了非托管代码，这是软件漏洞是否会被用来攻击组织的最佳预测。如果公共领域没有列出漏洞，其重要性可以降低。

其次，我们都知道最严重的客户端漏洞是浏览器和浏览器加载项，其次是操作系统漏洞。在服务器端，该漏洞主要与网络服务器软件、数据库和服务器管理有关。是的，其他类型的软件也可能受到攻击，但这些类别是迄今为止最脆弱的类型。从积极修补这些类型的软件程序开始，您的计算机安全风险将大大降低。

4. 审计日志的维护、监控和分析

最大限度地减少管理帐户的数量并使用高安全性来保护它们是明智的。大多数试图闯入您环境的不良行为会在初次使用后优先提升帐户权限，因此它们可能会造成最大的损害。对于攻击者来说，您没有并且不常使用的每个管理帐户都是目标。

您想防止最严重的恶意滥用您计算机和网络吗？请防止坏人获得管理员权限。

5. 事件响应和管理

Verizon数据披露调查报告的结论是，大多数安全日志都包含恶意入侵的证据，如果组织能够分析它们的日志，所造成的损害可能会最小化。我知道收集和分析日志并不容易。它需要收集数亿起事件，其中大多数都没有恶意。这是大海捞针。

这就是为什么您需要一个顶级事件日志系统来为您聚合和分析日志。一个好的SIEM系统应该能够为你做所有的艰苦工作。您所需要做的就是对指示的可疑事件做出响应，并修改和训练系统，以最大限度地减少误报和漏报。

无论你做什么，都会有人通过你的辩护。没有完美的防御，所以尽力为失败做好准备。这意味着开发有效的事件响应者、工具和流程。事件响应的调查和补救越好越快，对环境造成的损害就越小。

对于您应该实施的前五大安全控制(例如，电子邮件和浏览控制)，还有许多其他强大的竞争对手，但这些是我将放在任何人的安全控制列表上的第一批。有些控制没有许多人想的那么有帮助，例如网络访问控制和密码策略。人们花在这两项控制上的每一分钟都不像花在更大的问题上那么长。

最后一点:最常见的根漏洞(社会工程和未修补软件)是自计算机发明以来最常见的攻击类型。我们需要做什么来对抗他们也没有太大改变。我们只需要关注一些球员，减少他们的影响。