Los puntos de referencia de CIS son hojas de ruta de seguridad disponibles públicamente que ofrecen recomendaciones básicas para guiar a las organizaciones en el fortalecimiento de sus sistemas de TI contra las amenazas cibernéticas.
Equipo de expertos de Wiz
6 minutos de lectura
Los puntos de referencia de CIS son hojas de ruta de seguridad disponibles públicamente que ofrecen recomendaciones básicas para guiar a las organizaciones en el fortalecimiento de sus sistemas de TI contra las amenazas cibernéticas. Fueron creados por el Centro para la Seguridad en Internet (CIS), una organización comunitaria sin fines de lucro que se esfuerza por "crear confianza en el mundo conectado".
Hasta la fecha, se han creado más de 140 puntos de referencia de CIS, en ocho categorías principales, a través de un consenso basado en la comunidad de profesionales de TI de todo el mundo. Estos se asignan a la clase Controles de seguridad críticos de CIS y también se puede alinear con otros Marcos estandarizados como NIST, PCI-DSS, HIPAA y otros.
Los puntos de referencia de la CEI han sido concebidos para ser un factor rector central en la Preparación de un programa integral de ciberseguridad. Si bien CIS pone a disposición de los profesionales de la seguridad para uso no comercial sus directrices de referencia en formato PDF como descargas gratuitas en formato PDF, la organización también gana dinero a través de la membresía comercial y los servicios complementarios.
¿De qué manera los puntos de referencia de CIS hacen que su organización sea más segura?
Debido a que los puntos de referencia de CIS se crean por consenso entre profesionales de TI de todo el mundo, son bien conocidos y ampliamente aceptados. Estos profesionales han agregado una amplia gama de lecciones aprendidas y mejores prácticas que pueden dar a cualquier organización una poderosa ventaja contra los adversarios cibernéticos.
Seguir los puntos de referencia de CIS ofrece a su organización numerosos beneficios:
Reducción de la superficie de ataque al minimizar las debilidades explotables
Seguridad de referencia más sólida con una base sólida
Alineación con los estándares de la industria, lo que puede reducir los riesgos de auditoría y simplificar el cumplimiento y la postura de seguridad general
Reducción de errores de configuración gracias a unas directrices de configuración claras
Mejor resiliencia frente a las amenazas conocidas más comunes según lo determinado por el consenso de la industria
Los puntos de referencia de CIS también son independientes del proveedor, proporcionando inteligencia combinada de la comunidad global de TI. Más allá de reforzar la seguridad en una amplia gama de sistemas y dispositivos, seguir las correcciones de referencia de CIS también puede mejorar el rendimiento y la sostenibilidad del sistema.
Para ayudar a las organizaciones a determinar qué puntos de referencia de CIS son más relevantes para su programa de seguridad, se dividen en ocho categorías generales.
Proveedor de la nube: Ofrece las mejores prácticas para configurar los controles de identidad y acceso (IAM), los mecanismos de registro del sistema, la configuración de seguridad de la red y las salvaguardas alineadas con el cumplimiento; incluye Amazon Web Services (AWS, por ejemplo, AWS Compute Services), Alibaba Cloud, Microsoft 365 y otros
Software de escritorio: Proporciona una guía de configuración segura para aplicaciones de escritorio populares, que abarca la seguridad del correo electrónico, la administración de dispositivos móviles, la navegación web y la mitigación de riesgos de software de terceros. Contiene subcategorías que incluyen software de productividad (por ejemplo, Microsoft Office, Zoom) y navegadores web (por ejemplo, Mozilla Firefox, Safari)
Herramientas de DevSecOps: Ayuda a los equipos de seguridad a proteger la canalización de DevSecOps, proporcionando las mejores prácticas para configurar los controles de seguridad dentro de las herramientas de desarrollo e integración; incluye medidas de seguridad de la cadena de suministro de software para GitHub y GitLab
Dispositivos móviles: Ayuda a los equipos a centrarse en optimizar la configuración de los desarrolladores, las configuraciones de privacidad del sistema operativo, la configuración de navegación web segura y los controles granulares de permisos de aplicaciones; incluye subcategorías para Apple iOS y Android
Dispositivos de impresión: Actualmente contiene solo un punto de referencia, el dispositivo multifunción CIS; Se centra en el endurecimiento de los dispositivos vulnerables, incluidas las actualizaciones de firmware, las configuraciones de red, el acceso inalámbrico, la gestión de usuarios y los controles de uso compartido de archivos
Dispositivos de red: Ofrece orientación sobre el fortalecimiento de la seguridad que abarca tanto las mejores prácticas generales como las configuraciones específicas del proveedor, lo que garantiza una seguridad óptima para hardware específico; incluye dispositivos de seguridad de red de Cisco y Palo Alto Networks
Sistemas operativos: Cubre los controles para el acceso local y remoto, la administración de cuentas de usuario, los protocolos de instalación de controladores y la configuración segura del navegador web; las subcategorías incluyen Linux (por ejemplo, Debian, Ubuntu), Microsoft Windows y Unix (por ejemplo, IBM AIX, Apple macOS)
Software del servidor: Proporciona recomendaciones que abarcan controles administrativos, directivas de red virtual, limitaciones de acceso al almacenamiento y configuraciones seguras para Kubernetes, incluidos los certificados PKI y la configuración del servidor de API; Las múltiples subcategorías incluyen servidores web (por ejemplo, Microsoft IIS), servidores de bases de datos (por ejemplo, MongoDB) y servidores virtualizados (por ejemplo, Kubernetes)
Cada índice de referencia de la CEI contiene una lista de recomendaciones para un producto en particular, y el número de recomendaciones depende de la complejidad del producto.
Muchos puntos de referencia contienen cientos de recomendaciones muy detalladas. Para cada recomendación, su estado de evaluación indica si se puede automatizar o requiere configuración manual.
A cada índice de referencia de la CEI se le asigna uno de dos perfiles:
Nivel 1: Directrices básicas de seguridad para lograr un nivel adecuado de seguridad para los dispositivos que no son de misión crítica; Las acciones de nivel 1 rara vez afectarán la funcionalidad del sistema.
Nivel 2: Directrices de seguridad más estrictas para los dispositivos de misión crítica; Estas acciones pueden afectar la funcionalidad del sistema, pero proporcionarán una seguridad mucho más a prueba de balas.
Por último, cada recomendación incluye dos áreas de enfoque:
Auditoría: Le ayuda a investigar qué tan seguro está en un área en particular
Remediación: Pasos de acción con recomendaciones de configuración para fortalecer el sistema en esa área
Esto es lo que verás cuando descompres una recomendación típica de CIS:
Puntos de referencia de las fundaciones de la CEI cubre todos los aspectos de la seguridad del proveedor de servicios en la nube (CSP) para organizaciones como Amazon Web Services (AWS), Google Cloud Computing Platform, Microsoft Azure, Alibaba Cloud y varias otras.
Los dos ejemplos siguientes se han tomado de la Punto de referencia de CIS Foundations para AWS para darte una mejor idea de lo que verás dentro de una recomendación típica de benchmark. Uno es un ejemplo de Nivel 1 (directrices de seguridad básicas) y el otro es un ejemplo de Nivel 2 (directrices de seguridad más estrictas).
Number
1.19
2.12
Title
Ensure that all the expired SSL/TLS certificates stored in AWS IAM are removed
Ensure MFA delete is enabled on S3 buckets
Assessment status
Automated
Manual
Profile
Level 1
Level 2
Description
To enable HTTPS connections to your website or application in AWS, you need an SSL/TLS server certificate. You can use ACM or IAM to store and deploy server certificates. Use IAM as a certificate manager only when you must support HTTPS connections in a region that is not supported by ACM. IAM securely encrypts your private keys and stores the encrypted version in IAM SSL certificate storage. IAM supports deploying server certificates in all regions, but you must obtain your certificate from an external provider for use with AWS. You cannot upload an ACM certificate to IAM. Additionally, you cannot manage your certificates from the IAM Console.
Once MFA Delete is enabled on your sensitive and classified S3 bucket it requires the user to have two forms of authentication.
Rationale statement
Removing expired SSL/TLS certificates eliminates the risk that an invalid certificate will be deployed accidentally to a resource such as AWS Elastic Load Balancing (ELB), which can damage the credibility of the application/website behind the load balancer. As a best practice, it is recommended to delete expired certificates.
Adding MFA delete to an S3 bucket requires additional authentication when you change the version state of your bucket or you delete an object version adding another layer of security in the event your security credentials are compromised or unauthorized access is granted.
Impact statement
Deleting the certificate could have implications for your application if you are using an expired server certificate with ELB, CloudFront, etc. One has to make configurations at the respective services to ensure there is no interruption in application functionality.
Enabling MFA delete on an S3 bucket could require additional administrator oversight. Enabling MFA delete may impact other services that automate the creation and/or deletion of S3 buckets.
Audit procedure
Audit steps provided (console and command line)
Audit steps provided (console and command line)
Remediation procedure
Remediation steps provided (console and command line)
Remediation steps provided (command line only)
Default value
By default, expired certificates won't get deleted.
n/a
References
References provided
References provided
CIS Controls mapping
CIS v8 - 3.1 Establish and Maintain a Data Management Process CIS v7 - 13 Data Protection
CIS v8 - 3.3 Configure Data Access Control Lists 6.5 Require MFA for Administrative Access CIS v7 - 14.6 Protect Information through Access Control Lists
Wiz: Primero en el mercado con certificación de referencia CIS de Kubernetes integrada
Como plataforma integrada de protección de aplicaciones nativas en la nube (CNAPP), Wiz fue el primer proveedor en ser reconocido con la certificación de proveedor CIS SecureSuite para tres importantes puntos de referencia de Kubernetes, lo que simplifica el cumplimiento de los últimos puntos de referencia de EKS, AKS y GKE CIS, al tiempo que te brinda una forma nativa en la nube de proteger tus entornos de Kubernetes.
La adopción de CIS Benchmarks ayuda a sus equipos de seguridad a aprender de las mejores prácticas y a fortalecer toda su organización contra las principales amenazas actuales. Y con Wiz, puedes hacer gran parte de eso desde un solo panel, agregando datos de todas tus herramientas para obtener información procesable y priorizada basada en "Combinaciones tóxicas"—una puntuación de vulnerabilidad única basada en el riesgo real para su organización. Y debido a que no tiene agentes, es fácil de implementar en toda su organización, sin importar su tamaño.
Wiz te permite identificar vulnerabilidades de forma proactiva, con una guía clara de corrección, manteniéndote muy por delante de los atacantes para proteger tus entornos en la nube.
Obtenga una demostración hoy mismo para empezar a simplificar el cumplimiento de Kubernetes y elevar toda tu postura de seguridad con Wiz.
100+ Built-In Compliance Frameworks
See how Wiz eliminates the manual effort and complexity of achieving compliance in dynamic and multi-cloud environments.