抓住基本的网络卫生

我们知道良好的“卫生”有利于健康和清洁。并且,如果您正在阅读此博客,请说您熟悉术语“网络”,因为它与计算机和信息技术(IT)涉及。结合两者,扔进“基本”这个词和瞧!你有基本的网络卫生。但是,这究竟是什么意思?

类似于“常规”卫生 - 一套最低标准,我们向专家(如CDC)推出,我们跟着洗手,盖上你的嘴,磨损面部面膜等,基本的网络卫生是一个专家组(社区组成 CIS. ,互联网安全中心)设定最小的网络安全标准,期望每个人都可以/应遵循。

听起来很简单,对吗?好吧,它不是。

贫穷的网络卫生邀请风险

关于网络防御,基本的网络卫生或缺乏意义意味着对您组织的挫败或成功的网络攻击之间的差异。在后者中,结果可能是灾难性的。

几乎所有成功的网络攻击都利用了可以合理地被描述为“差的网络卫生”的条件 - 而不是修补,配置差,保持良好的解决方案,保持过时的解决方案等。不可避免地,贫穷的网络卫生邀请风险,并可以放大整体弹性一个组织进入危险。

毫不奇怪,今天的安全焦点是风险管理:识别风险和漏洞,消除和缓解这些风险,以确保您的组织被充分保护。这里的挑战是网络安全往往是事后的挑战。为了改善网络安全计划,需要有一个具体的行动计划,即整个网络的用户,供应商和当局(政府,监管机构,法律制度等)可以理解和执行。该计划应强调基本的网络卫生,并通过实施指导,工具和服务以及成功措施来备份。

CIS. 控制做到了!

CIS. 控制:优先路径

CIS. 控制是独立的,可信赖的规定,优先级和简化的网络安全的最佳实践,可以提供清晰的道路,以改善组织的网络防御计划。虽然大多数框架列出了所有的东西组织应该做提高安全性,但CIS控制告诉您对做什么至关重要,更重要的是,如何进行。他们将网络威胁信息转化为行动,为企业提供可执行计划,以防御最常见和最重要的攻击。

但是,这与基本网络卫生有什么关系?实际上很多!这 CIS. 控制 分为三个实施组(IGS),包含提供优先路径的保障措施,以逐步提高组织的网络安全姿势。一个组织可以通过观察他们需要保护的数据的敏感性以及他们可以奉献它和网络安全的资源来确定它们所属的IG。

这是踢球者 - IG1是基本网络卫生的定义!

基本网络卫生的行动计划

IG1是一套基础网络防御保障,即每个企业(特别是资源或专业知识)的每个企业都应适用于防范最常见的攻击,并代表所有企业的新兴信息安全标准。

基本网络卫生的行动计划包括IG1中的保障和随附的活动,具有以下属性:

  • 涵盖组织和个人行为
  • 操作是特定的且易于扩展的
  • 可以说明对预防,检测或响应攻击的影响
  • 没有详细的域名知识或执行复杂的风险管理过程是必须开始的
  • 可以支持保护和测量的工具市场支持保障措施
  • 行动为更全面的安全改进计划提供“On-Ramp”

IG1(基本网络卫生)是对照的斜坡。 IG2规定了组织的更敏感组件的内容,具体取决于他们处理的服务和信息,并在IG1上构建。 IG3是网络卫生水平最高,并且是完全成熟组织采取的步骤,以保护其任务最敏感的部分。

CIS. 控制版本8即将到来的春天2021

在CIS,我们努力通过根据基于的更新来保持CIS控制相关 社区 反馈,不断发展的技术和不断变化的威胁景观。正如我们所看到更多组织走向云服务和遥控工作,我们觉得有时间重新审视CIS控制和支持保障 - 以确保我们的建议仍提供有效的网络防御。结果是 CIS. 控制版本8,将于5月18日释放2021年。

在CIS Controls V8中,您将看到更新的建议:

  • 基于云的计算
  • 移动环境
  • 改变攻击者战术

CIS. Control v8组合并通过活动组合并整合控件,而不是由世卫组织管理设备。物理设备,固定边界和离散群岛的安全实施不太重要;这通过修订的术语和保障分组来反映在V8中。结果是对控制的减少,并保护18个控制(从20)由153个保障(171)组成。

每个保障都要求“一件事”,尽可能清晰,需要最少的解释。此外,每个安全措施都集中在可测量的行动上,并将测量定义为过程的一部分。我们知道企业要跟踪CIS控制实施非常重要。

了解有关CIS控制的更多信息.

分享这个