CIS Benchmarks 之类的工具非常重要,因为它们概述了安全专业人员和主题专家为部署超过 25 种不同供应商产品而开发的安全最佳实践。这些最佳实践是创建新产品或服务部署计划或验证现有部署是否安全的良好起点。
一、什么是 CIS Benchmarks?
互联网安全中心(CIS)的 CIS Benchmarks 是一套全球公认的共识驱动型最佳实践,旨在帮助安全从业者实施和管理他们的网络安全防御。该指南由全球安全专家社区共同制定,可帮助组织主动防范新出现的风险。公司实施 CIS Benchmarks 指南来限制其数字资产中基于配置的安全漏洞。
二、为什么 CIS Benchmarks 非常重要?
CIS Benchmarks 之类的工具非常重要,因为它们概述了安全专业人员和主题专家为部署超过 25 种不同供应商产品而开发的安全最佳实践。这些最佳实践是创建新产品或服务部署计划或验证现有部署是否安全的良好起点。
当您实施 CIS Benchmarks 时,可以通过执行以下步骤来更好地保护您的遗留系统免受常见和新出现的风险影响:
- 禁用未使用的端口
- 移除不必要的应用程序权限
- 限制管理权限
当您禁用不必要的服务时,IT 系统和应用程序也会运行得更好。
1、CIS Benchmarks 示例
例如,管理员可以遵循 CIS AWS Foundations Benchmark 分步指南,帮助他们为 AWS Identity and Access Management(IAM)设置强密码策略。密码策略实施、多重身份验证(MFA)使用、禁用根访问、确保访问密钥每 90 天轮换一次,以及其他策略都是不同但相关的身份指南,以提高 AWS 账户的安全性。
通过采用 CIS Benchmarks,您的组织可以获得多项网络安全优势,例如:
2、专家网络安全指南
CIS Benchmarks 为组织提供了一个经过专家审查和验证的安全配置框架。公司可以避免将安全置于风险之中的试错场景,并从多样化的 IT 和网络安全社区的专业知识中受益。
3、全球公认的安全标准
CIS Benchmarks 是唯一得到全球政府、企业、研究和学术机构认可和接受的最佳实践指南。由于全球和多元化的社区致力于基于共识的决策模式,CIS Benchmarks 的适用性和可接受性远远超过区域法律和安全标准。
4、经济高效的威胁防御
任何人都可以免费下载 CIS Benchmarks 文档并进行实施。您的公司可以免费获得各种 IT 系统的最新分步说明。您可以实现 IT 治理,避免可预防的网络威胁造成的财务和声誉损失。
5、法规合规性
CIS Benchmarks 与主要的安全和数据隐私框架保持一致,例如:
- 美国国家标准与技术研究院(NIST)网络安全框架
- 健康保险流通与责任法案(HIPAA)
- 支付卡行业数据安全标准(PCI DSS)
对于在严格监管的行业中运营的组织来说,实施 CIS Benchmarks 是实现合规性的重要一步。他们可以防止因 IT 系统配置不当而导致的合规性失败。
