Что такое оценочное тестирование CIS?

Такие инструменты, как оценочное тестирование CIS, важны, поскольку в них изложены передовые методы обеспечения безопасности, разработанные специалистами по безопасности и профильными экспертами, для развертывания более 25 продуктов различных производителей. Эти передовые методы являются хорошей отправной точкой для создания плана развертывания нового продукта или услуги или для проверки безопасности существующих развертываний.

При внедрении оценочного тестирования CIS вы сможете лучше защитить свои устаревшие системы от распространенных и возникающих рисков, выполнив следующие шаги: 

• Отключение неиспользуемых портов
• Удаление ненужных разрешений приложений
• Ограничение административных привилегий

ИТ-системы и приложения также работают лучше, когда вы отключаете ненужные сервисы. 

Пример оценочного тестирования CIS

Например, администраторы могут следовать пошаговому руководству Основные оценочные показатели AWS CIS, которое поможет им установить надежную политику паролей для Управления идентификацией и доступом AWS (AWS IAM). Применение политики паролей, использование многофакторной аутентификации (MFA), отключение привилегированных пользователей, обеспечение ротации ключей доступа каждые 90 дней и другие тактики – это разные, но связанные между собой рекомендации по идентификации для повышения безопасности аккаунтов AWS.

Внедрив оценочное тестирование CIS, ваша организация может получить ряд преимуществ в области кибербезопасности, например следующие:

Экспертные рекомендации по кибербезопасности

Оценочное тестирование CIS предоставляет организациям систему конфигураций безопасности, проверенную экспертами и доказавшую свою эффективность. Компании могут избежать сценариев проб и ошибок, которые ставят безопасность под угрозу, и воспользоваться опытом сообщества специалистов по ИТ и кибербезопасности.

Признанные во всем мире стандарты безопасности

Оценочное тестирование CIS – это единственные рекомендации, которые признаны во всем мире и приняты как правительствами, так и бизнес-деятелями, исследовательскими и академическими институтами. Благодаря глобальному сообществу, работающему по модели принятия решений на основе консенсуса, оценочное тестирование CIS имеет гораздо более широкую применимость и приемлемость, чем региональные законы и стандарты безопасности. 

Экономически эффективное предотвращение угроз

Все желающие скачать и внедрить систему оценочного тестирования CIS могут найти соответствующую информацию в свободном доступе. Ваша компания может бесплатно получить актуальные пошаговые инструкции для всех видов ИТ-систем. Вы можете обеспечить управление ИТ и предотвратить финансовый и репутационный ущерб от предотвратимых киберугроз.

Соответствие нормативным требованиям

Оценочное тестирование CIS соответствует основным стандартам безопасности и конфиденциальности данных, таким как:

• Основы кибербезопасности Национального института по стандартизации и технологии (NIST) 
• Акт о передаче и защите данных учреждений здравоохранения (HIPAA)
• Стандарт безопасности данных индустрии платежных карт (PCI DSS)

Внедрение оценочного тестирования CIS – это большой шаг к достижению соответствия требованиям для организаций, которые работают в отраслях с жестким регулированием. Это может предотвратить сбои в соблюдении нормативных требований из-за неправильной конфигурации ИТ-систем.

Чтобы помочь организациям достичь их уникальных целей в области безопасности, CIS присваивает уровень профиля каждому руководящему принципу оценочного тестирования CIS. Каждый профиль CIS включает рекомендации, обеспечивающие разный уровень безопасности. Организации могут выбрать профиль, который соответствует их потребностям в безопасности и соответствует нормативным требованиям. 

Профиль уровня 1

Рекомендации по конфигурации для профиля уровня 1 – это базовые рекомендации по безопасности при конфигурировании ИТ-систем. Они просты в исполнении и не влияют на функциональность и работоспособность бизнеса. Эти рекомендации уменьшают количество точек проникновения в ваши ИТ-системы, тем самым снижая риски для кибербезопасности.

Профиль уровня 2

Рекомендации по конфигурации профиля уровня 2 лучше всего подходят для конфиденциальных данных, где безопасность является приоритетом. Выполнение этих рекомендаций требует профессиональных знаний и тщательного планирования для достижения комплексной безопасности с минимальными нарушениями. Внедрение рекомендаций по профилю уровня 2 также помогает достичь соответствия нормативным требованиям. 

Профиль STIG

Руководство по техническому обеспечению безопасности (STIG) – это набор базовых параметров конфигурации от Агентства по оборонным информационным системам (DISA). Министерство обороны США публикует и поддерживает эти стандарты безопасности. STIG специально написаны в соответствии с требованиями правительства США. 

Оценочное тестирование CIS также определяет профиль STIG уровня 3, который призван помочь организациям соответствовать требованиям STIG. Профиль STIG содержит рекомендации профиля уровня 1 и уровня 2, специфичные для STIG, и содержит дополнительные рекомендации, которые другие два профиля не охватывают, но которые требуются для STIG от DISA. 

Если вы настроите свои системы в соответствии с эталонами CIS STIG, ваша ИТ-среда будет соответствовать требованиям CIS и STIG.

Каждое оценочное тестирование CIS включает описание рекомендации, причину рекомендации и инструкции, которым могут следовать системные администраторы для правильного выполнения рекомендации. Руководство по оценочному тестированию может состоять из нескольких сотен страниц, поскольку оно охватывает каждую область целевой ИТ-системы.  

Внедрить систему оценочного тестирования CIS и следить за выпусками новых версий становится все сложнее, если делать это вручную. Именно поэтому многие организации используют автоматизированные инструменты для контроля соответствия требованиям CIS. CIS также предлагает бесплатные и премиум инструменты, которые вы можете использовать для сканирования ИТ-систем и создания отчетов о соответствии требованиям CIS. Эти инструменты предупреждают системных администраторов, если существующие конфигурации не соответствуют рекомендациям оценочного тестирования CIS.

CIS – это вендор ПО (ISV) AWS, а AWS является участником программы CIS Security Benchmarks. Оценочное тестирование CIS включает рекомендации по безопасным конфигурациям для подмножества облачных сервисов AWS и параметров на уровне аккаунтов. 

Например, CIS описывает оптимальные параметры конфигурации для AWS в оценочном тестировании CIS, например, следующие:

• основные оценочные показатели CIS AWS;
• оценочные показатели CIS Amazon Linux 2;
• оценочные показатели CIS Amazon Elastic Kubernetes Service (EKS); 
• оценочные показатели AWS End User Compute.

Вы также можете получить доступ к защищенным образам CIS эластичном вычислительном облаке Amazon (EC2) на Торговой площадке AWS, чтобы быть уверенным, что ваши образы Amazon EC2 соответствуют стандартам оценочного тестирования CIS.

Аналогичным образом вы можете автоматизировать проверки, чтобы убедиться, что ваше развертывание AWS соответствует рекомендациям, изложенным в стандарте основных оценочных показателей CIS AWS. Центр безопасности AWS поддерживает стандарт основных оценочных показателей CIS AWS, который состоит из 43 элементов управления и 32 требований стандартов безопасности данных индустрии платежных карт (PCI DSS) по 14 сервисам AWS. Как только AWS Security Hub включается, он немедленно начинает выполнять непрерывные автоматизированные проверки безопасности каждого элемента управления и каждого соответствующего ресурса, связанного с элементом управления.

Обеспечьте соответствие требованиям CIS для вашей облачной инфраструктуры и начните работу с AWS, создав бесплатный аккаунт AWS уже сегодня.