معیارهای CIS چیست؟
سرویس‌های ابری

معیارهای CIS چیست؟

توسط . ارسال شده در

معیارهای CIS چیست؟

معیارهای CIS از مرکز امنیت اینترنت (CIS) مجموعه‌ای از بهترین روش‌های شناخته شده و مورد توافق جهانی است که به متخصصان امنیت کمک می‌کند تا دفاع‌های امنیت سایبری خود را پیاده‌سازی و مدیریت کنند. این دستورالعمل‌ها که با جامعه جهانی از متخصصان امنیت توسعه یافته‌اند، به سازمان‌ها کمک می‌کنند تا به طور فعالانه در برابر خطرات نوظهور محافظت کنند. شرکت‌ها دستورالعمل‌های معیار CIS را برای محدود کردن آسیب‌پذیری‌های امنیتی مبتنی بر پیکربندی در دارایی‌های دیجیتال خود پیاده‌سازی می‌کنند.

چرا معیارهای CIS مهم هستند؟

ابزارهایی مانند معیارهای CIS مهم هستند زیرا بهترین شیوه‌های امنیتی را که توسط متخصصان امنیتی و متخصصان موضوعی برای استقرار بیش از ۲۵ محصول فروشنده مختلف توسعه یافته‌اند، مشخص می‌کنند. این بهترین روش‌ها نقطه شروع خوبی برای ایجاد یک طرح استقرار محصول یا سرویس جدید یا برای تأیید اینکه استقرارهای موجود ایمن هستند، می‌باشند.

هنگامی که معیارهای CIS را پیاده‌سازی می‌کنید، می‌توانید با انجام مراحلی مانند موارد زیر، سیستم‌های قدیمی خود را در برابر خطرات رایج و نوظهور ایمن‌تر کنید:

  • غیرفعال کردن پورت‌های استفاده نشده
  • حذف مجوزهای برنامه غیرضروری
  • محدود کردن امتیازات مدیریتی

سیستم‌ها و برنامه‌های IT نیز هنگام غیرفعال کردن سرویس‌های غیرضروری، عملکرد بهتری دارند.

مثال معیار CIS

به عنوان مثال، مدیران می‌توانند دستورالعمل‌های گام به گام معیار CIS AWS Foundations را دنبال کنند تا به آنها در تنظیم یک خط‌مشی رمز عبور قوی برای مدیریت هویت و دسترسی AWS (IAM) کمک کند. اجرای خط‌مشی رمز عبور، استفاده از احراز هویت چند عاملی (MFA)، غیرفعال کردن root، اطمینان از چرخش کلیدهای دسترسی هر ۹۰ روز و تاکتیک‌های دیگر، دستورالعمل‌های هویتی مجزا، اما مرتبط، برای بهبود امنیت یک حساب AWS هستند.

با پذیرش معیارهای CIS، سازمان شما می‌تواند مزایای امنیت سایبری متعددی مانند موارد زیر را به دست آورد:

  • دستورالعمل‌های تخصصی امنیت سایبری: معیارهای CIS چارچوبی از پیکربندی‌های امنیتی را برای سازمان‌ها فراهم می‌کنند که توسط متخصصان بررسی و اثبات شده‌اند. شرکت‌ها می‌توانند از سناریوهای آزمون و خطا که امنیت را در معرض خطر قرار می‌دهند، اجتناب کنند و از تخصص یک جامعه متنوع IT و امنیت سایبری بهره‌مند شوند.
  • استانداردهای امنیتی شناخته شده جهانی: معیارهای CIS تنها راهنماهای بهترین روش هستند که در سطح جهانی توسط دولت‌ها، کسب‌وکارها، مؤسسات تحقیقاتی و دانشگاهی به طور یکسان شناخته شده و پذیرفته می‌شوند. به لطف جامعه جهانی و متنوعی که بر اساس یک مدل تصمیم‌گیری مبتنی بر اجماع کار می‌کند، معیارهای CIS کاربرد و پذیرش بسیار بیشتری نسبت به قوانین و استانداردهای امنیتی منطقه‌ای دارند.
  • پیشگیری از تهدید مقرون‌به‌صرفه: مستندات معیار CIS برای دانلود و پیاده‌سازی توسط هر کسی آزادانه در دسترس است. شرکت شما می‌تواند دستورالعمل‌های به‌روز و گام به گام را برای انواع سیستم‌های IT بدون هیچ هزینه‌ای دریافت کند. شما می‌توانید به حاکمیت IT دست یابید و از آسیب مالی و اعتباری ناشی از تهدیدات سایبری قابل پیشگیری جلوگیری کنید.
  • انطباق با مقررات: معیارهای CIS با چارچوب‌های اصلی امنیتی و حریم خصوصی داده‌ها مانند موارد زیر همسو هستند:
    • چارچوب امنیت سایبری مؤسسه ملی استانداردها و فناوری (NIST)
    • قانون قابلیت حمل و پاسخگویی بیمه سلامت (HIPAA)
    • استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS)

پیاده‌سازی معیارهای CIS گام بزرگی در جهت دستیابی به انطباق برای سازمان‌هایی است که در صنایع به شدت تحت نظارت فعالیت می‌کنند. آنها می‌توانند از شکست‌های انطباق به دلیل پیکربندی نادرست سیستم‌های IT جلوگیری کنند.

چه نوع سیستم‌های IT توسط معیارهای CIS پوشش داده می‌شوند؟

CIS بیش از ۱۰۰ معیار را منتشر کرده است که بیش از ۲۵ خانواده محصول فروشنده را پوشش می‌دهند. هنگامی که معیار CIS را در انواع سیستم‌های IT اعمال و نظارت می‌کنید، یک محیط IT ذاتاً ایمن می‌سازید که می‌توانید آن را با راه‌حل‌های امنیتی بیشتر از آن دفاع کنید. فناوری‌هایی که معیارهای CIS پوشش می‌دهند را می‌توان به طور کلی به هفت دسته زیر تقسیم کرد:

  • سیستم‌های عامل: معیارهای CIS برای سیستم‌های عامل، پیکربندی‌های امنیتی استاندارد را برای سیستم‌های عامل محبوب، از جمله آمازون لینوکس، ارائه می‌دهند. این معیارها شامل بهترین روش‌ها برای ویژگی‌هایی مانند موارد زیر هستند:
    • کنترل دسترسی سیستم عامل
    • خط‌مشی‌های گروهی
    • تنظیمات مرورگر وب
    • مدیریت پچ
  • زیرساخت‌ها و خدمات ابری: معیارهای CIS برای زیرساخت ابری، استانداردهای امنیتی را ارائه می‌دهند که شرکت‌ها می‌توانند از آنها برای پیکربندی ایمن محیط‌های ابری، مانند موارد ارائه شده توسط AWS، استفاده کنند. این دستورالعمل‌ها شامل بهترین روش‌ها برای تنظیمات شبکه مجازی، پیکربندی مدیریت هویت و دسترسی AWS (IAM)، کنترل‌های انطباق و امنیت و موارد دیگر است.
  • نرم‌افزار سرور: معیارهای CIS برای نرم‌افزار سرور، خطوط پایه پیکربندی و توصیه‌هایی را برای تنظیمات سرور، کنترل‌های مدیریت سرور، تنظیمات ذخیره‌سازی و نرم‌افزار سرور از فروشندگان محبوب ارائه می‌دهند.
  • نرم‌افزار دسکتاپ: معیارهای CIS بیشتر نرم‌افزارهای دسکتاپی را که سازمان‌ها معمولاً استفاده می‌کنند، پوشش می‌دهند. این دستورالعمل‌ها شامل بهترین روش‌ها برای مدیریت ویژگی‌های نرم‌افزار دسکتاپ، مانند موارد زیر است:
    • نرم‌افزار دسکتاپ شخص ثالث
    • تنظیمات مرورگر
    • امتیازات دسترسی
    • حساب‌های کاربری
  • مدیریت دستگاه مشتری:
  • دستگاه‌های تلفن همراه: معیارهای CIS برای دستگاه‌های تلفن همراه، پیکربندی‌های امنیتی را برای سیستم‌های عاملی که روی تلفن‌های همراه، تبلت‌ها و سایر دستگاه‌های دستی اجرا می‌شوند، پوشش می‌دهند. آنها توصیه‌هایی را برای تنظیمات مرورگر تلفن همراه، مجوزهای برنامه، تنظیمات حریم خصوصی و موارد دیگر ارائه می‌دهند.
  • دستگاه‌های شبکه: معیارهای CIS همچنین پیکربندی‌های امنیتی را برای دستگاه‌های شبکه مانند فایروال‌ها، روترها، سوئیچ‌ها و شبکه‌های خصوصی مجازی (VPN) ارائه می‌دهند. آنها شامل توصیه‌های فروشنده خنثی و خاص فروشنده برای اطمینان از تنظیم و مدیریت ایمن این دستگاه‌های شبکه هستند.
  • دستگاه‌های چاپ چند منظوره: معیارهای CIS برای لوازم جانبی شبکه مانند چاپگرهای چند منظوره، اسکنرها و دستگاه‌های فتوکپی، بهترین روش‌های پیکربندی ایمن مانند تنظیمات اشتراک فایل، محدودیت‌های دسترسی و به‌روزرسانی‌های سیستم عامل را پوشش می‌دهند.

سطوح معیار CIS چیست؟

برای کمک به سازمان‌ها در دستیابی به اهداف امنیتی منحصر به فرد خود، CIS یک سطح نمایه را به هر دستورالعمل معیار CIS اختصاص می‌دهد. هر نمایه CIS شامل توصیه‌هایی است که سطح متفاوتی از امنیت را ارائه می‌دهند. سازمان‌ها می‌توانند بر اساس نیازهای امنیتی و انطباق خود، یک نمایه را انتخاب کنند.

  • نمایه سطح ۱: توصیه‌های پیکربندی برای نمایه سطح ۱، توصیه‌های امنیتی اولیه برای پیکربندی سیستم‌های IT هستند. آنها به راحتی قابل پیگیری هستند و بر عملکرد یا زمان آپتایم کسب‌وکار تأثیر نمی‌گذارند. این توصیه‌ها تعداد نقاط ورود به سیستم‌های IT شما را کاهش می‌دهند و در نتیجه خطرات امنیت سایبری شما را کاهش می‌دهند.
  • نمایه سطح ۲: توصیه‌های پیکربندی نمایه سطح ۲ برای داده‌های بسیار حساس که امنیت در آنها اولویت دارد، بهترین عملکرد را دارند. پیاده‌سازی این توصیه‌ها نیازمند تخصص حرفه‌ای و برنامه‌ریزی دقیق برای دستیابی به امنیت جامع با حداقل اختلالات است. پیاده‌سازی توصیه‌های نمایه سطح ۲ نیز به دستیابی به انطباق با مقررات کمک می‌کند.
  • نمایه STIG: راهنمای اجرای فنی امنیتی (STIG) مجموعه‌ای از خطوط پایه پیکربندی از آژانس سیستم‌های اطلاعات دفاعی (DISA) است. وزارت دفاع ایالات متحده این استانداردهای امنیتی را منتشر و نگهداری می‌کند. STIGها به طور خاص برای مطابقت با الزامات دولت ایالات متحده نوشته شده‌اند.

معیارهای CIS همچنین یک نمایه STIG سطح ۳ را مشخص می‌کنند که برای کمک به سازمان‌ها در انطباق با STIG طراحی شده است. نمایه STIG شامل توصیه‌های نمایه سطح ۱ و سطح ۲ است که مختص STIG هستند و توصیه‌های بیشتری را ارائه می‌دهد که دو نمایه دیگر پوشش نمی‌دهند اما توسط STIGهای DISA مورد نیاز هستند.

هنگامی که سیستم‌های خود را مطابق با معیارهای CIS STIG پیکربندی می‌کنید، محیط IT شما هم با CIS و هم با STIG سازگار خواهد بود.

چگونه معیارهای CIS توسعه می‌یابند؟

جوامع CIS یک فرآیند مبتنی بر اجماع منحصر به فرد را برای توسعه، تأیید و نگهداری معیارهای CIS برای سیستم‌های هدف مختلف دنبال می‌کنند. به طور کلی، فرآیند توسعه معیار CIS به صورت زیر است:

  1. جامعه نیاز به یک معیار خاص را شناسایی می‌کند.
  2. دامنه معیار را مشخص می‌کنند.
  3. داوطلبان موضوعات بحث را در وب‌سایت انجمن CIS WorkBench ایجاد می‌کنند.
  4. متخصصان سیستم IT خاص، زمان خود را صرف بررسی و بحث در مورد پیش‌نویس می‌کنند.
  5. متخصصان توصیه‌های خود را ایجاد، بحث و آزمایش می‌کنند تا زمانی که به اجماع برسند.
  6. آنها معیار را نهایی و در وب‌سایت CIS منتشر می‌کنند.
  7. داوطلبان بیشتر از جامعه به بحث معیار CIS می‌پیوندند.
  8. تیم اجماع بازخورد کسانی را که معیار را پیاده‌سازی می‌کنند، در نظر می‌گیرد.
  9. آنها در نسخه‌های جدید معیار CIS تجدید نظر و به‌روزرسانی می‌کنند.

انتشار نسخه‌های جدید معیارهای CIS نیز به تغییرات یا ارتقاء سیستم‌های IT مربوطه بستگی دارد.

چگونه می‌توانید معیارهای CIS را پیاده‌سازی کنید؟

هر معیار CIS شامل شرح توصیه، دلیل توصیه و دستورالعمل‌هایی است که مدیران سیستم می‌توانند برای اجرای صحیح توصیه دنبال کنند. هر معیار می‌تواند شامل چندین صد صفحه باشد زیرا هر حوزه از سیستم IT هدف را پوشش می‌دهد.

پیاده‌سازی معیارهای CIS و همراهی با همه نسخه‌های منتشر شده، در صورت انجام دستی، پیچیده می‌شود. به همین دلیل است که بسیاری از سازمان‌ها از ابزارهای خودکار برای نظارت بر انطباق CIS استفاده می‌کنند. CIS همچنین ابزارهای رایگان و ممتاز ارائه می‌دهد که می‌توانید از آنها برای اسکن سیستم‌های IT و تولید گزارش‌های انطباق CIS استفاده کنید. این ابزارها در صورت عدم تطابق پیکربندی‌های موجود با توصیه‌های معیار CIS، به مدیران سیستم هشدار می‌دهند.

چه منابع امنیتی دیگری با معیارهای CIS گنجانده شده است؟

CIS منابع دیگری را نیز برای بهبود امنیت اینترنت یک سازمان منتشر می‌کند، از جمله دو منبع اصلی زیر.

  • کنترل‌های CIS: کنترل‌های CIS (که قبلاً کنترل‌های امنیتی بحرانی CIS نامیده می‌شد) منبع دیگری است که CIS به عنوان یک راهنمای جامع بهترین روش برای امنیت سیستم و شبکه منتشر می‌کند. این راهنما شامل یک چک لیست از ۲۰ محافظ و اقدام است که اولویت بالایی دارند و در برابر فراگیرترین و مخرب‌ترین تهدیدات امنیت سایبری در سیستم‌های IT مؤثر بوده‌اند.

کنترل‌های CIS با اکثر استانداردها و چارچوب‌های نظارتی اصلی، مانند موارد زیر، مطابقت دارند:

  • چارچوب امنیت سایبری مؤسسه ملی استانداردها و فناوری (NIST)
  • NIST 800-53
  • قانون قابلیت حمل و پاسخگویی بیمه سلامت (HIPAA)، استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS)، قانون مدیریت امنیت اطلاعات فدرال (FISMA) و سایر موارد در سری استانداردهای ISO 27000

کنترل‌های CIS نقطه شروعی را برای پیروی از هر یک از این چارچوب‌های انطباق به شما می‌دهند.

  • معیارهای CIS در مقابل کنترل‌های CIS: کنترل‌های CIS دستورالعمل‌های نسبتاً کلی برای ایمن‌سازی کل سیستم‌ها و شبکه‌ها هستند، اما معیارهای CIS توصیه‌های بسیار خاصی برای پیکربندی‌های ایمن سیستم هستند. معیارهای CIS یک گام مهم برای پیاده‌سازی کنترل‌های CIS هستند زیرا هر توصیه معیار CIS به یک یا چند کنترل CIS اشاره دارد.

به عنوان مثال، کنترل CIS 3 پیکربندی‌های ایمن سخت‌افزار و نرم‌افزار را برای سیستم‌های کامپیوتری پیشنهاد می‌کند. معیارهای CIS راهنمایی‌های فروشنده خنثی و خاص فروشنده را به همراه دستورالعمل‌های دقیق ارائه می‌دهند که مدیران می‌توانند برای پیاده‌سازی کنترل CIS 3 دنبال کنند.

  • تصاویر سخت‌شده CIS: یک ماشین مجازی (VM) یک محیط محاسباتی مجازی است که سخت‌افزار کامپیوتر اختصاصی را شبیه‌سازی می‌کند. تصاویر VM الگوهایی هستند که مدیران سیستم از آنها برای ایجاد سریع چندین VM با پیکربندی‌های سیستم عامل مشابه استفاده می‌کنند. با این حال، اگر تصویر VM به درستی پیکربندی نشده باشد، نمونه‌های VM ایجاد شده از آن نیز به درستی پیکربندی نشده و آسیب‌پذیر خواهند بود.

CIS تصاویر سخت‌شده CIS را ارائه می‌دهد که تصاویری از VM هستند که از قبل با استانداردهای معیار CIS پیکربندی شده‌اند.

مزایای استفاده از تصاویر سخت‌شده CIS:

تصاویر سخت‌شده CIS مفید هستند زیرا ویژگی‌های زیر را ارائه می‌دهند:

  • از قبل با خطوط پایه معیار CIS پیکربندی شده‌اند
  • استقرار و مدیریت آسان
  • توسط CIS به‌روزرسانی و اصلاح می‌شوند

بسته به نیازهای امنیتی و انطباق خود، می‌توانید تصاویر سخت‌شده CIS را انتخاب کنید که برای نمایه سطح ۱ یا سطح ۲ پیکربندی شده‌اند.

قبلیسرور اختصاصی (Dedicated Server) چیست؟
بعدیکانتینر سازی (Containerization) چیست؟

دیدگاهتان را بنویسید

سبد خرید
علاقه‌مندی‌ها
مشاهدات اخیر
دسته بندی ها