نسخه جدیدی از 20 کنترل امنیتی بحرانی منتشر شده توسط CIS

نویسنده : دپارتمان فنی شرکت ارتباط امن - جمعه 27 مهر 1397 در ساعت 00:20:50

مرکز امنیت اینترنت (CIS) آخرین نسخه 20 کنترل امنیتی مهم خود را منتشر کرد. یک مجموعه از بهترین دستورالعمل ها برای به دست آوردن امنیت سیستم های اطلاعاتی و داده ها در سطح جهانی، کنترل ها بیش از 85 درصد از شایع ترین حملات سایبری را کنترل کرده اند.

کنترل های امنیتی بحرانی برای اولین بار در سال 2008 توسط موسسه SANS توسعه یافته و بعد از آن در سال 2015 به CIS منتقل شدند. این دستورالعمل ها به طور مداوم توسط یک جامعه جهانی داوطلب از متخصصان فناوری اطلاعات بررسی و به روز رسانی می شوند.

شش کنترل اصلی

اکثر حوادث امنیتی عمده هنگامی رخ می دهند که حتی کنترل های پایه نبوده و یا ضعیف هستند. با استفاده از نتایج مطالعه Verizon در سال 2017، ثابت شده است که با اتخاذ شش کنترل اصلی امنیت اطلاعات کنترل 85 درصد از حملات سایبری امکان پذیر هستند. اعمال هر بیست کنترل می تواند تا 97٪ حملات را جلوگیری کند.

بنابراین، شش کنترل ابتدائی به عنوان اصلی ترین الزامات مورد نیاز سازمان ها برای حفظ حداقل امنیت در نظر گرفته شده اند:

1- موجودی و کنترل دارایی های سخت افزاری

2- موجودی و کنترل دارایی های نرم افزاری

3- مدیریت آسیب پذیری به صورت مداوم

4- کنترل استفاده از امتیازات اداری

5- تنظیمات امن سخت افزار و نرم افزار در دستگاه های موبایل، لپ تاپ ها، ایستگاه های کاری و سرور ها

6- تعمیر و نگهداری، نظارت و تجزیه و تحلیل لاگ ها

دو نکته اول به ویژه امروزه بسیار به هم مربوط می باشند، زمانی که فناوری سایه یا استفاده از دستگاه های غیر مجاز و نرم افزار در شبکه های شرکت ها، نگرانی گسترده ای برای بخش های فناوری اطلاعات به همراه آورده است. CIS ساختار برای هر دو موجودی دستگاه ها و نرم افزار ها را ارائه می دهد، اما اطلاعات مربوط به آنها باید به عنوان اطلاعات شخصی محافظت شوند. آنها همچنین بر نیاز به سیاست های حفظ حریم خصوصی تاکید می کنند که کارمندان را از خطرات حفظ حریم خصوصی مربوط به استفاده از دستگاه های غیر مجاز و نرم افزار مطلع می کند.

کنترل شماره سه ارزیابی دائمی و اقدام بر روی اطلاعات جدید را برای شناسایی آسیب پذیری، بهبود و ایجاد حداقل فرصت برای مهاجمان، به همراه دارد در حالی که کنترل شماره شش اشاره به مدیریت و تجزیه و تحلیل گزارش های حسابرسی از حوادث است که ممکن است در تشخیص، درک و بازیابی از حمله مفید باشد.

از سوی دیگر کنترل چهار و پنج، نیاز به اجرای ابزار برای ردیابی / کنترل / جلوگیری / اصلاح استفاده، تخصیص و پیکربندی امتیازات اداری در رایانه ها، شبکه ها و برنامه های کاربردی و همچنین مدیریت دقیق پیکربندی امنیتی دستگاه های تلفن همراه، لپ تاپ ها، سرور ها و ایستگاه های کاری را دارد.

کنترل حفاظت از داده

حفاظت از داده ها در میان کنترل های امنیتی بحرانی پایه قرار دارد:

7- ایمیل و محافظت از مرورگر وب

8- دفاع از بدافزارها

9- محدودیت و کنترل پورت های شبکه، پروتکل ها و خدمات

10- توانایی بازیابی اطلاعات

11- پیکربندی امن برای دستگاه های شبکه مانند فایروال ها، روترها و سوئیچ ها

12- دفاع مرزی

13- حفاظت از داده ها

14- دسترسی کنترل شده بر اساس نیاز به دانستن

15- کنترل دسترسی بی سیم

16- نظارت و کنترل حساب

CIS نیاز به حفاظت در مقابل از دست دادن داده ها و کاهش تلفات بالقوه داده ها را به رسمیت می شناسد، زیرا شرکت ها به طور فزاینده ای به سوی ابر و دسترسی به تلفن همراه حرکت می کنند. دستورالعمل ها بیان می کنند که حفاظت از داده ها به بهترین شکل ممکن از طریق استفاده از ترکیبی از رمزنگاری، حفاظت از یکپارچگی و تکنیک های پیشگیری از دست دادن داده ها به دست می آید.

محصولاتی مانند Endpoint Protector می توانند به طور خودکار در سراسر سیستم اعمال شده و بر انتقال غیرقانونی اطلاعات حساس نظارت نماید، مانع این انتقال شده و به مدیران در مورد آنها هشدار دهند. می تواند اطلاعات حساس در نقاط پایانی را شناسایی کند و اقدامات حیاتی مانند حذف یا رمزگذاری را زمانی که اطلاعات بر روی رایانه های غیر مجاز یافت می شود، انجام دهد. سیستم ها نیز می توانند پیکربندی شوند تا اجازه استفاده از دستگاه های خاص مورد اعتماد را داشته باشند.

کنترل های سازمانی

چهار کنترل اخیر مسائل امنیتی در سطح سازمانی را شامل می شوند:

17- اجرا برنامه آگاهی و آموزش امنیت

18- نرم افزار امنیت برنامه های کاربردی

19- پاسخگویی و مدیریت حوادث

20- تست نفوذ و تمرینات تیم سرخ

این موارد شکاف میان مهارت های بالقوه در نیروی کار را نشان می دهد و به شناسایی رفتارهایی که سیستم را آسیب پذیر می کنند، کمک می کند. همین اصل برای برنامه های کاربردی اعمال می شود و اطمینان از اینکه شیوه های برنامه نویسی امن دنبال می شوند. دو کنترل اخیر، نیاز به یک طرح واکنش حادثه و آزمایش کلی قدرت دفاع شرکت را با سازماندهی حملات شبیه سازی شده مشخص می کند.

کنترل های امنیتی بحرانی CIS پایه محکمی برای استراتژی امنیت سایبری شرکت به وجود می آورند که با تمرکز بر نگرانی های امنیتی و حفظ حریم خصوصی است، اما می تواند به عنوان یک مرحله برای تطابق با مقررات مانند HIPAA، GDPR، GLBA و غیره استفاده شود. در واقع، مؤسسه ملی استاندارد و فناوری (NIST) این کنترل ها را به عنوان رویکرد توصیه شده برای چرخه امنیت سایبری معرفی می کند. بنابراین، شرکت ها مطمئن نیستند که در جایی که نمی دانند چگونه فرآیند امنیت شبکه های خود در برابر حملات سایبری را آغاز کنند، با اطمینان می توانند به کنترل های امنیتی بحرانی CIS رجوع نمایند.

منبع: https://www.endpointprotector.com/blog

افزودن دیدگاه جدید

دیدگاههای شما

لطفا برای ما پیام بگذارید

در حال حاظر کارشناس افلاین میباشد برای ما ایمیل ارسال نمایید

سوالی دارید ؟ ما دوست داریم به شما کمک کنیم .

برای ورود به گفتگو کلیک نمایید