Что такое оценочное тестирование CIS?

Оценочное тестирование CIS от Центра интернет-безопасности (CIS) представляют собой набор всемирно признанных и разработанных на основе консенсуса передовых методов, помогающих специалистам по безопасности внедрять и управлять своими средствами кибербезопасности. Разработанные совместно с мировым сообществом экспертов по безопасности, эти рекомендации помогают организациям заблаговременно защищаться от возникающих рисков. Компании внедряют оценочное тестирование CIS для сокращения уязвимостей в безопасности цифровых активов на основе конфигурации.

Почему оценочное тестирование CIS важно?

Такие инструменты, как оценочное тестирование CIS, важны, поскольку в них изложены передовые методы обеспечения безопасности, разработанные специалистами по безопасности и профильными экспертами, для развертывания более 25 продуктов различных производителей. Эти передовые методы являются хорошей отправной точкой для создания плана развертывания нового продукта или услуги или для проверки безопасности существующих развертываний.

При внедрении оценочного тестирования CIS вы сможете лучше защитить свои устаревшие системы от распространенных и возникающих рисков, выполнив следующие шаги:
• Отключение неиспользуемых портов
• Удаление ненужных разрешений приложений
• Ограничение административных привилегий

ИТ-системы и приложения также работают лучше, когда вы отключаете ненужные сервисы.

Пример оценочного тестирования CIS

Например, администраторы могут следовать пошаговому руководству Основные оценочные показатели AWS CIS, которое поможет им установить надежную политику паролей для Управления идентификацией и доступом AWS (AWS IAM). Применение политики паролей, использование многофакторной аутентификации (MFA), отключение привилегированных пользователей, обеспечение ротации ключей доступа каждые 90 дней и другие тактики – это разные, но связанные между собой рекомендации по идентификации для повышения безопасности аккаунтов AWS.

Внедрив оценочное тестирование CIS, ваша организация может получить ряд преимуществ в области кибербезопасности, например следующие:

Экспертные рекомендации по кибербезопасности

Оценочное тестирование CIS предоставляет организациям систему конфигураций безопасности, проверенную экспертами и доказавшую свою эффективность. Компании могут избежать сценариев проб и ошибок, которые ставят безопасность под угрозу, и воспользоваться опытом сообщества специалистов по ИТ и кибербезопасности.

Признанные во всем мире стандарты безопасности

Оценочное тестирование CIS – это единственные рекомендации, которые признаны во всем мире и приняты как правительствами, так и бизнес-деятелями, исследовательскими и академическими институтами. Благодаря глобальному сообществу, работающему по модели принятия решений на основе консенсуса, оценочное тестирование CIS имеет гораздо более широкую применимость и приемлемость, чем региональные законы и стандарты безопасности.

Экономически эффективное предотвращение угроз

Все желающие скачать и внедрить систему оценочного тестирования CIS могут найти соответствующую информацию в свободном доступе. Ваша компания может бесплатно получить актуальные пошаговые инструкции для всех видов ИТ-систем. Вы можете обеспечить управление ИТ и предотвратить финансовый и репутационный ущерб от предотвратимых киберугроз.

Соответствие нормативным требованиям

Оценочное тестирование CIS соответствует основным стандартам безопасности и конфиденциальности данных, таким как:

•    Основы кибербезопасности Национального института по стандартизации и технологии (NIST)
•    Акт о передаче и защите данных учреждений здравоохранения (HIPAA)
•    Стандарт безопасности данных индустрии платежных карт (PCI DSS)

Внедрение оценочного тестирования CIS – это большой шаг к достижению соответствия требованиям для организаций, которые работают в отраслях с жестким регулированием. Это может предотвратить сбои в соблюдении нормативных требований из-за неправильной конфигурации ИТ-систем.

Какие типы ИТ-систем охватывает оценочное тестирование CIS?

CIS опубликовано более 100 контрольных показателей, которые охватывают более 25 семейств продуктов поставщиков. Когда вы применяете и отслеживаете контрольные показатели оценочного тестирования CIS во всех типах ИТ-систем, вы создаете изначально безопасную ИТ-среду, которую можно дополнительно защитить с помощью решений безопасности. Технологии, которые охватывает оценочное тестирование CIS, можно разделить на следующие семь категорий:

Операционные системы

Оценочное тестирование CIS для операционных систем предоставляет стандартные конфигурации безопасности для популярных операционных систем, включая Amazon Linux. Это оценочное тестирование включает рекомендации для указанных ниже пунктов.
•    Контроль доступа к операционной системе
•    Групповые политики
•    Настройки веб-браузера
•    Управление исправлениями

Облачная инфраструктура и сервисы

Оценочное тестирование CIS для облачной инфраструктуры обеспечивает стандарты безопасности, которые компании могут использовать для безопасной конфигурации облачных сред, например, таких, которые предоставляет AWS. Руководство включает в себя рекомендации по настройке виртуальных сетей, конфигурации AWS Identity and Access Management (IAM), контролю соответствия и безопасности и многое другое.

Серверное программное обеспечение

Оценочное тестирование CIS для серверного ПО обеспечивает базовые параметры конфигурации и рекомендации по настройкам сервера, средствам управления администратором сервера, параметрам хранения данных и серверному программному обеспечению от популярных производителей.

Программное обеспечение для настольных компьютеров

Оценочное тестирование CIS охватывает большинство программ для настольных компьютеров, которые обычно используют организации. Руководство включает передовые методы управления функциями программного обеспечения для настольных компьютеров, например, такие:
•    Программное обеспечение для настольных компьютеров сторонних производителей
•    Настройки браузера
•    Права доступа пользователей
•    Аккаунты пользователей
•    Управление устройствами клиентов

Мобильные устройства

Оценочное тестирование CIS для мобильных устройств охватывает конфигурации безопасности для операционных систем, которые работают на мобильных телефонах, планшетах и других портативных устройствах. Это включает рекомендации по настройкам мобильного браузера, разрешениям приложений, настройкам конфиденциальности и т. д.

Сетевые устройства

Оценочное тестирование CIS также предоставляет конфигурации безопасности для сетевых устройств, таких как брандмауэры, маршрутизаторы, коммутаторы и виртуальные частные сети (VPN). Они содержат как нейтральные, так и специфические для конкретного производителя рекомендации по обеспечению безопасной настройки и управления этими сетевыми устройствами.

Многофункциональные устройства печати

Оценочное тестирование CIS для сетевых периферийных устройств, таких как многофункциональные принтеры, сканеры и копировальные аппараты, охватывают лучшие практики безопасной конфигурации, такие как параметры совместного использования файлов, ограничения доступа и обновления микропрограммного обеспечения.

Что такое уровни оценочного тестирования CIS?

Чтобы помочь организациям достичь их уникальных целей в области безопасности, CIS присваивает уровень профиля каждому руководящему принципу оценочного тестирования CIS. Каждый профиль CIS включает рекомендации, обеспечивающие разный уровень безопасности. Организации могут выбрать профиль, который соответствует их потребностям в безопасности и соответствует нормативным требованиям.

Профиль уровня 1

Рекомендации по конфигурации для профиля уровня 1 – это базовые рекомендации по безопасности при конфигурировании ИТ-систем. Они просты в исполнении и не влияют на функциональность и работоспособность бизнеса. Эти рекомендации уменьшают количество точек проникновения в ваши ИТ-системы, тем самым снижая риски для кибербезопасности.

Профиль уровня 2

Рекомендации по конфигурации профиля уровня 2 лучше всего подходят для конфиденциальных данных, где безопасность является приоритетом. Выполнение этих рекомендаций требует профессиональных знаний и тщательного планирования для достижения комплексной безопасности с минимальными нарушениями. Внедрение рекомендаций по профилю уровня 2 также помогает достичь соответствия нормативным требованиям.

Профиль STIG

Руководство по техническому обеспечению безопасности (STIG) – это набор базовых параметров конфигурации от Агентства по оборонным информационным системам (DISA). Министерство обороны США публикует и поддерживает эти стандарты безопасности. STIG специально написаны в соответствии с требованиями правительства США.

Оценочное тестирование CIS также определяет профиль STIG уровня 3, который призван помочь организациям соответствовать требованиям STIG. Профиль STIG содержит рекомендации профиля уровня 1 и уровня 2, специфичные для STIG, и содержит дополнительные рекомендации, которые другие два профиля не охватывают, но которые требуются для STIG от DISA.

Если вы настроите свои системы в соответствии с эталонами CIS STIG, ваша ИТ-среда будет соответствовать требованиям CIS и STIG.

Как разрабатывается система оценочного тестирования CIS?

Сообщества CIS следуют уникальному процессу, основанному на консенсусе, для разработки, утверждения и поддержания системы оценочного тестирования CIS для различных целевых систем. В целом, процесс разработки системы оценочного тестирования CIS выглядит следующим образом:

1.    Сообщество определяет потребность в конкретном оценочном тестировании.
2.    Определяется сфера применения оценочного тестирования.
3.    Добровольцы создают темы для обсуждения на сайте сообщества CIS WorkBench.
4.    Эксперты из сообщества CIS конкретной ИТ-системы рассматривают и обсуждают рабочий проект.
5.    Эксперты создают, обсуждают и проверяют свои рекомендации, пока не придут к консенсусу.
6.    Они завершают работу над системой оценочного тестирования и публикуют ее на сайте CIS.
7.    Еще больше добровольцев из сообщества присоединяются к обсуждению оценочного тестирования CIS.
8.    Команда по достижению консенсуса учитывает отзывы тех, кто внедряет оценочное тестирование.
9.    Они вносят изменения и дополнения в новые версии системы оценочного тестирования CIS.

Выпуск новых версий системы оценочного тестирования CIS также зависит от изменений или обновлений соответствующих ИТ-систем.

Как внедрить оценочное тестирование CIS?

Каждое оценочное тестирование CIS включает описание рекомендации, причину рекомендации и инструкции, которым могут следовать системные администраторы для правильного выполнения рекомендации. Руководство по оценочному тестированию может состоять из нескольких сотен страниц, поскольку оно охватывает каждую область целевой ИТ-системы. 

Внедрить систему оценочного тестирования CIS и следить за выпусками новых версий становится все сложнее, если делать это вручную. Именно поэтому многие организации используют автоматизированные инструменты для контроля соответствия требованиям CIS. CIS также предлагает бесплатные и премиум инструменты, которые вы можете использовать для сканирования ИТ-систем и создания отчетов о соответствии требованиям CIS. Эти инструменты предупреждают системных администраторов, если существующие конфигурации не соответствуют рекомендациям оценочного тестирования CIS.

Средства контроля CIS

Средства контроля CIS (ранее – основные средства контроля безопасности CIS) – это еще один ресурс, который CIS публикует в качестве всеобъемлющего руководства для обеспечения безопасности систем и сетей. Руководство содержит контрольный список из 20 мер защиты и действий, которые являются приоритетными и доказали свою эффективность в борьбе с наиболее распространенными и разрушительными угрозами кибербезопасности ИТ-систем.
 
Средства контроля CIS соответствуют большинству основных стандартов и нормативных документов, например, таким:
  • Основы кибербезопасности Национального института по стандартизации и технологии (NIST)
  • NIST 800-53
  • Акт о передаче и защите данных учреждений здравоохранения (HIPAA), Стандарт безопасности данных индустрии платежных карт (PCI DSS), Федеральный закон об управлении информационной безопасностью (FISMA) и другие стандарты серии ISO 27000

Средства контроля CIS служат отправной точкой для соблюдения любой из этих систем соответствия:

Оценочное тестирование CIS и средства контроля CIS
 
Средства контроля CIS – это довольно общие рекомендации по защите целых систем и сетей, а оценочное тестирование CIS – это очень конкретные рекомендации по безопасной конфигурации системы. Оценочное тестирование CIS является важным шагом для внедрения средств контроля CIS, поскольку каждая рекомендация оценочного тестирования CIS относится к одному или нескольким средствам контроля CIS.
 
Например, средство контроля CIS 3 предлагает безопасные конфигурации аппаратного и программного обеспечения для компьютерных систем. Оценочное тестирование CIS содержит нейтральные и специфические для конкретного поставщика рекомендации, а также подробные инструкции, которым администраторы могут следовать для внедрения средства контроля CIS 3.

Загруженные образы CIS

Виртуальная машина (VM) – это виртуальная вычислительная среда, которая эмулирует определенное компьютерное оборудование. Образы виртуальных машин – это шаблоны, которые системные администраторы используют для быстрого создания нескольких виртуальных машин с похожей конфигурацией операционной системы. Однако если образ виртуальной машины настроен неправильно, созданные на его основе инстансы виртуальных машин также будут неправильно настроены и уязвимы.
 
CIS предлагает использовать загруженные образы CIS, которые представляют собой образы виртуальных машин, уже настроенные в соответствии со стандартами оценочного тестирования CIS.
 
Преимущества использования загруженных образов CIS

Загруженные образы CIS полезны, поскольку они предоставляют следующие возможности:

  • Предварительная настройка на базовые показатели оценочного тестирования CIS
  • Простота развертывания и управления
  • Обновления и исправления CIS

В зависимости от требований безопасности и соответствия нормативным требованиям, вы можете выбрать загруженные образы CIS, настроенные на профиль уровня 1 или уровня 2.

Как использовать оценочное тестирование CIS на AWS?

CIS – это вендор ПО (ISV) AWS, а AWS является участником программы CIS Security Benchmarks. Оценочное тестирование CIS включает рекомендации по безопасным конфигурациям для подмножества облачных сервисов AWS и параметров на уровне аккаунтов.

Например, CIS описывает оптимальные параметры конфигурации для AWS в оценочном тестировании CIS, например, такие:

•    Основные оценочные показатели CIS AWS
•    Оценочные показатели CIS Amazon Linux 2
•    Оценочные показатели CIS Amazon Elastic Kubernetes Service (EKS)
•    Оценочные показатели AWS End User Compute

Вы также можете получить доступ к защищенным образам CIS эластичном вычислительном облаке Amazon (EC2) на AWS Marketplace, чтобы быть уверенным, что ваши образы Amazon EC2 соответствуют стандартам оценочного тестирования CIS.

Аналогичным образом вы можете автоматизировать проверки, чтобы убедиться, что ваше развертывание AWS соответствует рекомендациям, изложенным в стандарте основных оценочных показателей CIS AWS. AWS Security Hub поддерживает стандарт основных оценочных показателей CIS AWS, который состоит из 43 элементов управления и 32 требований стандартов безопасности данных индустрии платежных карт (PCI DSS) по 14 сервисам AWS. Как только AWS Security Hub включается, он немедленно начинает выполнять непрерывные автоматизированные проверки безопасности каждого элемента управления и каждого соответствующего ресурса, связанного с элементом управления.

Обеспечьте соответствие требованиям CIS для вашей облачной инфраструктуры и начните работу с AWS, создав бесплатный аккаунт AWS уже сегодня.

Оценочное тестирование CIS: следующие шаги

Дополнительные ресурсы по продукту
Подробнее об оценочном тестировании CIS 
Зарегистрировать бесплатный аккаунт

Получите мгновенный доступ к уровню бесплатного пользования AWS. 

Регистрация 
Начать разработку в консоли

Начните разработку с использованием AWS в консоли управления AWS.

Вход