這些最佳實踐最初由SANS研究所提出，名為“SANS關(guān)鍵控制”，是各類公司企業(yè)不可或缺的安全控制措施。通過采納這些控制方法，公司企業(yè)可防止絕大部分的網(wǎng)絡(luò)攻擊。

有效網(wǎng)絡(luò)防御的20條關(guān)鍵安全控制

對上一版“20大安全控制”的研究表明，僅僅采納前5條控制措施，就能阻止85%的攻擊。20條全部采納，可阻止97%的網(wǎng)絡(luò)攻擊。

這一版的主要目的之一，是要與每套控制措施的工作流保持一致。即便在內(nèi)容上改動不大的現(xiàn)有控制措施，也在需求順序方面進(jìn)行了重新洗牌。每套控制措施都有對評估、基線、緩解和自動化的摘要版介紹。

另外，較之前版，在語言上也做了大幅精簡，用語高度抽象，可使這些控制措施應(yīng)用在更廣泛的平臺和攻擊上。

不過，至于怎樣實現(xiàn)這些控制措施，就是看公司的策略和所用工具了。公司企業(yè)自己實現(xiàn)起來可能會比較困難，應(yīng)與其安全供應(yīng)商合作，聽取他們在各種控制措施的“自由發(fā)揮”部分上的建議。

已有控制措施中的大部分都維持了原樣，只除了一些冗余要求的整合和用語上的精簡。

CIS 20大關(guān)鍵控制快速瀏覽

因為能擋住絕大部分攻擊，前5項基本控制維持不變(順序上略作調(diào)整)。下面我們就來瀏覽一下這第7版的CIS 控制：

CIS控制1：硬件資產(chǎn)庫存與控制

對網(wǎng)絡(luò)上設(shè)備的全面了解，是減小公司攻擊界面的第一步。持續(xù)使用主動和被動資產(chǎn)發(fā)現(xiàn)解決方案以監(jiān)視自身資產(chǎn)庫存，并確保所有硬件都有人負(fù)責(zé)。

CIS控制1詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-1-inventory-of-authorized-and-unauthorized-devices/

CIS控制2：軟件資產(chǎn)庫存與控制

首要控制措施中又一個與資產(chǎn)發(fā)現(xiàn)有關(guān)的，標(biāo)志著網(wǎng)絡(luò)盤點是夯實公司系統(tǒng)安全最關(guān)鍵的一步。畢竟，如果不知道自家網(wǎng)絡(luò)上都有些什么，也就談不上跟蹤這些資產(chǎn)了。

CIS控制2詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-2-inventory-of-authorized-and-unauthorized-software/

CIS控制3：持續(xù)的漏洞管理

定期掃描網(wǎng)絡(luò)查找漏洞，可在數(shù)據(jù)泄露切實發(fā)生前暴露出安全風(fēng)險。對公司整個環(huán)境進(jìn)行自動化驗證掃描非常重要。

CIS控制3詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/cis-top-20-critical-security-controls/

CIS控制4：控制管理員權(quán)限的使用

管理員憑證是網(wǎng)絡(luò)罪犯的主要目標(biāo)。幸運的是，可以采取多種方法來保護(hù)這些權(quán)限，比如維護(hù)好管理員賬戶清單和修改默認(rèn)口令。

CIS控制4詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-4-controlled-privileges/

CIS控制5：保護(hù)移動設(shè)備、筆記本電腦、工作站和服務(wù)器上硬軟件的配置

利用文件完整性監(jiān)視(FIM)跟蹤配置文件、主鏡像等等。該控制措施滿足配置監(jiān)視系統(tǒng)自動化要求，以便發(fā)生偏離已知基線的情況時可以觸發(fā)安全警報。

CIS控制5詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-5-secure-configurations/

CIS控制6：維護(hù)、監(jiān)視和分析審計日志

系統(tǒng)日志提供了對網(wǎng)絡(luò)上所有活動的準(zhǔn)確重現(xiàn)。這意味著，如果發(fā)生網(wǎng)絡(luò)安全事件，恰當(dāng)?shù)娜罩竟芾聿僮骺梢阅贸雒枋鍪录璧娜繑?shù)據(jù)，包括：誰干的，干了什么，在哪兒做的，什么時候做的，怎么做的。

CIS控制6詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-6-audit-logs/

CIS控制7：電子郵件和Web瀏覽器防護(hù)

電子郵件和Web瀏覽器的安全威脅不單單只有網(wǎng)絡(luò)釣魚一種。甚至電子郵件圖片里的一個像素，都能給網(wǎng)絡(luò)罪犯帶來執(zhí)行攻擊所需的信息。

CIS控制7詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-7-email-web-protections/

CIS控制8：惡意軟件防御

確保你的反病毒工具與你其他安全工具鏈集成良好。完整實現(xiàn)該控制還意味著保持對命令行審計和DNS查詢的精確日志。

CIS控制8詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-8-malware-defenses/

CIS控制9：限制并控制網(wǎng)絡(luò)端口、協(xié)議及服務(wù)

實現(xiàn)該條控制措施能幫你減小攻擊界面，可采取的策略包括自動化端口掃描和應(yīng)用防火墻。

CIS控制9詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-9-limitation-control-network-ports/

CIS控制10：數(shù)據(jù)恢復(fù)功能

你定期自動化備份嗎?確保恰當(dāng)?shù)臄?shù)據(jù)恢復(fù)能力有助于免遭勒索軟件之類威脅的侵害。

CIS控制10詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-10-data-recovery/

CIS控制11：安全配置網(wǎng)絡(luò)設(shè)備，比如防火墻、路由器和交換機

有很多方法可以保護(hù)網(wǎng)絡(luò)設(shè)備的安全，比如多因子身份驗證和加密。

CIS控制11詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-11-secure-configuration-network-devices/

CIS控制12：邊界防御

該條控制處理的是你網(wǎng)絡(luò)邊界上通信的管控方式?？刹捎没诰W(wǎng)絡(luò)的IDS傳感器和入侵防御系統(tǒng)實現(xiàn)。

CIS控制12詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-12-boundary-defense/

CIS控制13：數(shù)據(jù)保護(hù)

名稱雖然簡單，卻是更為復(fù)雜和難以實踐的控制措施之一，因為盤點敏感信息之類持續(xù)的過程要實現(xiàn)數(shù)據(jù)保護(hù)涉及的方面太多了。

CIS控制13詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-13-data-protection/

CIS控制14：基于“有必要才知悉”原則進(jìn)行訪問控制

通過加密傳輸過程中的數(shù)據(jù)和禁止工作站之間的通信，你可以開始限制數(shù)據(jù)權(quán)限過于寬松時可能出現(xiàn)的安全事件了。

CIS控制14詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-14-controlled-access/

CIS控制15：無線訪問控制

實現(xiàn)該控制的第一步，是統(tǒng)計你網(wǎng)絡(luò)中的無線接入點?；诖耍偕钊氲骄徑馑蓄愋偷臒o線訪問風(fēng)險。

CIS控制15詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-15-controlled-access/

CIS控制16：賬戶監(jiān)視與控制

為防止有效憑證落入黑客之手，你必須設(shè)置一套控制身份驗證機制的系統(tǒng)。

CIS控制16詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-16-account-monitoring/

CIS控制17：實現(xiàn)安全意識教育和培訓(xùn)項目

因為不斷深化的網(wǎng)絡(luò)安全技術(shù)人才短缺問題，安全培訓(xùn)應(yīng)成為大多數(shù)公司的要務(wù)，而且，應(yīng)是持續(xù)的安全培訓(xùn)而不是一次性的走過場。

CIS控制17詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-17-awareness-training/

CIS控制18：應(yīng)用軟件安全

內(nèi)部開發(fā)的代碼應(yīng)經(jīng)過靜態(tài)及動態(tài)安全分析之類的安全評估過程審查，發(fā)現(xiàn)隱藏的漏洞。

CIS控制18詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-18-application-software-security/

CIS控制19：事件響應(yīng)與管理

該控制有助于規(guī)劃和測試網(wǎng)絡(luò)安全事件應(yīng)對計劃，防止當(dāng)事件真的發(fā)生時出現(xiàn)忙亂狀況。

CIS控制19詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-19-incident-response/

CIS控制20：滲透測試和紅隊演練

定期進(jìn)行滲透測試有助發(fā)現(xiàn)漏洞和攻擊方法，減小惡意黑客早已利用漏洞滲入而公司渾然不覺的概率。

CIS控制20詳情地址：

https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-20-penetration-tests-red-team-exercises/

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文