這些最佳實踐最初由SANS研究所提出，名為“SANS關鍵控制”，是各類公司企業不可或缺的安全控制措施。通過採納這些控制方法，公司企業可防止絕大部分的網路攻擊。 有效網路防禦的20條關鍵安全控制 對上一版“20大安全控制”的研究表明，僅僅採納前5條控制措施，就能阻止85%的攻擊。20條全部採納，可阻止97%的網路攻擊。這一版的主要目的之一，是要與每套控制措施的工作流保持一致。即便在內容上改動不大的現有控制措施，也在需求順序方面進行了重新洗牌。每套控制措施都有對評估、基線、緩解和自動化的摘要版介紹。另外，較之前版，在語言上也做了大幅精簡，用語高度抽象，可使這些控制措施應用在更廣泛的平臺和攻擊上。不過，至於怎樣實現這些控制措施，就是看公司的策略和所用工具了。公司企業自己實現起來可能會比較困難，應與其安全供應商合作，聽取他們在各種控制措施的“自由發揮”部分上的建議。已有控制措施中的大部分都維持了原樣，只除了一些冗餘要求的整合和用語上的精簡。 CIS 20 大關鍵控制快速瀏覽 因為能擋住絕大部分攻擊，前5項基本控制維持不變(順序上略作調整)。下面我們就來瀏覽一下這第7版的CIS 控制： CIS 控制1：硬體資產庫存與控制 對網路上裝置的全面瞭解，是減小公司攻擊介面的第一步。持續使用主動和被動資產發現解決方案以監視自身資產庫存，並確保所有硬體都有人負責。 CIS控制1詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-1-inventory-of-authorized-and-unauthorized-devices/ CIS 控制2：軟體資產庫存與控制 首要控制措施中又一個與資產發現有關的，標誌著網路盤點是夯實公司系統安全最關鍵的一步。畢竟，如果不知道自家網路上都有些什麼，也就談不上跟蹤這些資產了。 CIS控制2詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-2-inventory-of-authorized-and-unauthorized-software/ CIS 控制3：持續的漏洞管理 定期掃描網路查詢漏洞，可在資料洩露切實發生前暴露出安全風險。對公司整個環境進行自動化驗證掃描非常重要。 CIS控制3詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/security-controls/cis-top-20-critical-security-controls/ CIS 控制4：控制管理員許可權的使用 管理員憑證是網路罪犯的主要目標。幸運的是，可以採取多種方法來保護這些許可權，比如維護好管理員賬戶清單和修改預設口令。 CIS控制4詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-4-controlled-privileges/ CIS 控制5：保護移動裝置、膝上型電腦、工作站和伺服器上硬軟體的配置 利用檔案完整性監視(FIM)跟蹤配置檔案、主映象等等。該控制措施滿足配置監視系統自動化要求，以便發生偏離已知基線的情況時可以觸發安全警報。 CIS控制5詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-5-secure-configurations/ CIS 控制6：維護、監視和分析審計日誌 系統日誌提供了對網路上所有活動的準確重現。這意味著，如果發生網路安全事件，恰當的日誌管理操作可以拿出描述事件所需的全部資料，包括：誰幹的，幹了什麼，在哪兒做的，什麼時候做的，怎麼做的。 CIS控制6詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-6-audit-logs/ CIS 控制7：電子郵件和Web瀏覽器防護 電子郵件和Web瀏覽器的安全威脅不單單隻有網路釣魚一種。甚至電子郵件圖片裡的一個畫素，都能給網路罪犯帶來執行攻擊所需的資訊。 CIS控制7詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-7-email-web-protections/ CIS 控制8：惡意軟體防禦 確保你的反病毒工具與你其他安全工具鏈整合良好。完整實現該控制還意味著保持對命令列審計和DNS查詢的精確日誌。 CIS控制8詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-8-malware-defenses/ CIS 控制9：限制並控制網路埠、協議及服務 實現該條控制措施能幫你減小攻擊介面，可採取的策略包括自動化埠掃描和應用防火牆。 CIS控制9詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-9-limitation-control-network-ports/ CIS 控制10：資料恢復功能 你定期自動化備份嗎？確保恰當的資料恢復能力有助於免遭勒索軟體之類威脅的侵害。 CIS控制10詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-10-data-recovery/ CIS 控制11：安全配置網路裝置，比如防火牆、路由器和交換機 有很多方法可以保護網路裝置的安全，比如多因子身份驗證和加密。 CIS控制11詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-11-secure-configuration-network-devices/ CIS 控制12：邊界防禦 該條控制處理的是你網路邊界上通訊的管控方式。可採用基於網路的IDS感測器和入侵防禦系統實現。 CIS控制12詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-12-boundary-defense/ CIS 控制13：資料保護 名稱雖然簡單，卻是更為複雜和難以實踐的控制措施之一，因為盤點敏感資訊之類持續的過程要實現資料保護涉及的方面太多了。 CIS控制13詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-13-data-protection/ CIS 控制14：基於“有必要才知悉”原則進行訪問控制 通過加密傳輸過程中的資料和禁止工作站之間的通訊，你可以開始限制資料許可權過於寬鬆時可能出現的安全事件了。 CIS控制14詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-14-controlled-access/ CIS 控制15：無線訪問控制 實現該控制的第一步，是統計你網路中的無線接入點。基於此，再深入到緩解所有型別的無線訪問風險。 CIS控制15詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-15-controlled-access/ CIS 控制16：賬戶監視與控制 為防止有效憑證落入黑客之手，你必須設定一套控制身份驗證機制的系統。 CIS控制16詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-16-account-monitoring/ CIS 控制17：實現安全意識教育和培訓專案 因為不斷深化的網路安全技術人才短缺問題，安全培訓應成為大多數公司的要務，而且，應是持續的安全培訓而不是一次性的走過場。 CIS控制17詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/20-critical-security-controls-control-17-awareness-training/ CIS 控制18：應用軟體安全 內部開發的程式碼應經過靜態及動態安全分析之類的安全評估過程審查，發現隱藏的漏洞。 CIS控制18詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-18-application-software-security/ CIS 控制19：事件響應與管理 該控制有助於規劃和測試網路安全事件應對計劃，防止當事件真的發生時出現忙亂狀況。  CIS控制19詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-19-incident-response/ CIS 控制20：滲透測試和紅隊演練 定期進行滲透測試有助發現漏洞和攻擊方法，減小惡意黑客早已利用漏洞滲入而公司渾然不覺的概率。 CIS控制20詳情地址： https://www.tripwire.com/state-of-security/security-data-protection/security-controls/20-critical-security-controls-control-20-penetration-tests-red-team-exercises

 原文地址：http://www.djbh.net/webdev/web/HomeWebAction.do?p=getXxgg&id=8a81825664ceff130165f9b895ba0069