CIS 20項管控措施 – CISO最佳實踐3

CIS的20項控制措施分為三個部分，分別為1）基本管控（Basic 共6項）；2）基礎性管控（Foundational 共10項）；3）全組織機構範圍的管控（Organizational 共4項）。

繼前兩期分別介紹6項基本管控措施和10項基礎性管控措施後，本期著重介紹最後4項全組織結構範圍的管控中子集IG1。

十七、實施安全意識和培訓計劃（Implement a Security Awareness and Training Program）

對於機構中的所有職能角色（優先考慮那些對業務及其安全至關重要的任務），確定支撐企業防禦所需的特定知識、技能和能力；制定和實施一個綜合性計劃來評估、發現差距，並通過政策、有組織的規劃、培訓和提高意識來進行補救。實施要點：
1、進行技能差距分析，來了解員工所不具備的技能和不遵循的行為，以此資訊來構建培訓的基礎路線圖。
2、培訓員工如何識別社交網路攻擊的不同形式，如網路釣魚、電話詐騙和假冒電話。
IG1具體措施為：
1、實施安全意識培訓計劃。
2、對員工進行安全認證培訓。
3、培訓員工如何識別社交媒體攻擊。
4、培訓員工如何處理敏感資料。
5、培訓員工瞭解不小心暴露資料的各種原因。
6、培訓員工識別和報告事故。

十八、應用軟體安全（Application Software Security）

管理所有內部開發和採購軟體的安全生命週期，以防止、檢測和糾正其存在的安全缺陷。實施要點：
1、建立適合於所使用的程式語言和開發環境的安全程式設計實踐。
2、使用靜態和動態分析工具來驗證內部軟體開發是否遵循安全編碼的實踐。
本項管控對IG1沒有具體要求。

十九、事件響應與管理（Incident Response and Management）

通過開發和實施事件響應基礎設施（如計劃、定義角色、培訓、溝通、管理失誤），保護機構的資訊以及聲譽，以快速發現攻擊，有效止損，將攻擊者清場，恢復網路和系統的完整性。實施要點：
1、確保有書面的事件響應計劃，定義人員的角色以及事件處理/管理的各個階段。
2、收集和維護第三方聯絡資訊用於通報安全事件，如執法部門、相關政府部門、供應商以及資訊共享的合作伙伴。
IG1具體措施為：
1、文件化事件響應程式。
2、指定具體的管理人員來支援事件處理。
3、維護通報安全事件的聯絡資訊。
4、釋出有關報告計算機異常和事件的資訊。

二十、滲透測試和紅隊演練（Penetration Tests and Red Team Exercises）

通過模擬攻擊者的目標和行動來測試機構的整體防禦能力（技術、流程和人員）。實施要點：
1、建立一個滲透測試的計劃，包括全方位的混合攻擊，如無線攻擊、基於客戶端的攻擊和web應用的攻擊。
2、建立一個模擬生產環境的測試臺，用於特定的滲透測試，讓紅隊攻擊那些通常不在生產環境中測試的元素，例如對監控系統、資料採集系統以及其他控制系統的攻擊。
本項管控對IG1沒有具體要求。

THE END

關於全息網禦：全息網禦科技融合NG-DLP、UEBA、NG-SIEM、CASB四項先進技術，結合機器學習（人工智慧），發現並實時重構網路中不可見的”使用者-裝置-資料”互動關係，推出以使用者行為為核心的資訊保安風險感知平臺，為企業的資訊保安管理提供無感知、無死角的智慧追溯系統，高效精準的審計過去、監控現在、防患未來，極大提高IT安全運維和安全人員響應事故、抓取證據鏈、追責去責無責、恢復IT系統的能力和效率。