I benchmark CIS sono roadmap di sicurezza disponibili al pubblico che offrono raccomandazioni fondamentali per guidare le organizzazioni nel rafforzamento dei propri sistemi IT contro le minacce informatiche. Sono stati creati dal Centro per la sicurezza di Internet (CIS), un'organizzazione senza scopo di lucro basata sulla comunità che si sforza di "creare fiducia nel mondo connesso".
Ad oggi sono stati creati oltre 140 benchmark CIS, suddivisi in otto categorie principali, grazie al consenso della comunità di professionisti IT di tutto il mondo. Questi sono mappati al Controlli di sicurezza critici CIS e può anche essere allineato con altri Quadri standardizzati come NIST, PCI-DSS, HIPAA e altri.
I benchmark CIS sono stati concepiti per essere un fattore guida centrale Preparazione di un programma completo di sicurezza informatica. Mentre CIS rende disponibili le sue linee guida di benchmark come download PDF gratuiti per i professionisti della sicurezza per uso non commerciale, l'organizzazione guadagna anche attraverso l'iscrizione commerciale e i servizi aggiuntivi.
Free Cloud Security Risk Assessment
Connect with a Wiz expert for a personal walkthrough of the critical risks in each layer of your environment.
Learn more
In che modo i benchmark CIS rendono la tua organizzazione più sicura?
Poiché i benchmark CIS sono creati tramite il consenso dei professionisti IT di tutto il mondo, sono ben noti e ampiamente accettati. Questi professionisti hanno aggregato un'ampia gamma di lezioni apprese e best practice che possono dare a qualsiasi organizzazione un potente vantaggio contro gli avversari informatici.
I seguenti benchmark CIS offrono alla tua organizzazione numerosi vantaggi:
Superficie di attacco ridotta riducendo al minimo i punti deboli sfruttabili
Sicurezza di base più forte con una solida base
Allineamento con gli standard di settore, riducendo potenzialmente i rischi di audit e semplificando al contempo la conformità e la posizione di sicurezza generale
Riduzione degli errori di configurazione grazie a chiare linee guida per la configurazione
Migliore resilienza contro le minacce note più comuni, come determinato dal consenso del settore
I benchmark CIS sono anche indipendenti dal fornitore e forniscono informazioni combinate dalla comunità IT globale. Oltre a rafforzare la sicurezza in un'ampia gamma di sistemi e dispositivi, seguire le correzioni dei benchmark CIS può anche migliorare le prestazioni e la sostenibilità del sistema.
Cloud Security Controls: Framework, Checklist, and Best Practices for Implementation
Leggi di più
8 categorie di benchmark CIS
Per aiutare le organizzazioni a determinare quali benchmark CIS sono più rilevanti per il loro programma di sicurezza, sono suddivisi in otto categorie generali.
Fornitore di servizi cloud: Offre best practice per la configurazione dei controlli di identità e accesso (IAM), meccanismi di registrazione del sistema, impostazioni di sicurezza della rete e misure di sicurezza allineate alla conformità; include Amazon Web Services (AWS, ad esempio, AWS Compute Services), Alibaba Cloud, Microsoft 365 e altri
Software desktop: Fornisce una guida alla configurazione sicura per le applicazioni desktop più diffuse, che comprende la sicurezza della posta elettronica, la gestione dei dispositivi mobili, la navigazione Web e la mitigazione dei rischi del software di terze parti. Contiene sottocategorie che includono software di produttività (ad esempio, Microsoft Office, Zoom) e browser Web (ad esempio, Mozilla Firefox, Safari)
Strumenti DevSecOps: Aiuta i team di sicurezza a proteggere la pipeline DevSecOps, fornendo best practice per la configurazione dei controlli di sicurezza all'interno degli strumenti di sviluppo e integrazione; include misure di sicurezza della catena di approvvigionamento del software per GitHub e GitLab
Dispositivi mobili: Aiuta i team a concentrarsi sull'ottimizzazione delle impostazioni degli sviluppatori, sulle configurazioni della privacy del sistema operativo, sulle impostazioni di navigazione Web sicura e sui controlli granulari delle autorizzazioni delle app; include sottocategorie per Apple iOS e Android
Dispositivi di stampa: Attualmente contiene un solo benchmark, CIS Multi-Function Device; Si concentra sul rafforzamento dei dispositivi vulnerabili, inclusi aggiornamenti del firmware, configurazioni di rete, accesso wireless, gestione degli utenti e controlli di condivisione dei file
Dispositivi di rete: Offre una guida per il rafforzamento della sicurezza che comprende sia le best practice generali che le configurazioni specifiche del fornitore, garantendo una sicurezza ottimale per hardware specifico; include dispositivi di sicurezza di rete di Cisco e Palo Alto Networks
Sistemi operativi: Copre i controlli per l'accesso locale e remoto, la gestione degli account utente, i protocolli di installazione dei driver e le impostazioni sicure del browser Web; le sottocategorie includono Linux (ad esempio, Debian, Ubuntu), Microsoft Windows e Unix (ad esempio, IBM AIX, Apple macOS)
Software del server: Fornisce raccomandazioni che comprendono controlli amministrativi, criteri di rete virtuale, limitazioni di accesso all'archiviazione e configurazioni sicure per Kubernetes, inclusi i certificati PKI e le impostazioni del server API; più sottocategorie includono server Web (ad esempio, Microsoft IIS), server di database (ad esempio, MongoDB) e server virtualizzati (ad esempio, Kubernetes)
Anatomia di un benchmark CIS
Ogni benchmark CIS contiene un elenco di raccomandazioni per un particolare prodotto, con il numero di raccomandazioni che dipende dalla complessità del prodotto.
Molti benchmark contengono centinaia di raccomandazioni molto dettagliate. Per ogni raccomandazione, lo stato di valutazione indica se può essere automatizzata o richiede una configurazione manuale.
A ciascun benchmark CIS viene assegnato uno dei due profili:
Livello 1: Linee guida di base per la sicurezza per raggiungere un livello di sicurezza adeguato per i dispositivi non mission-critical; Le azioni di livello 1 raramente influenzeranno la funzionalità del sistema.
Livello 2: Linee guida di sicurezza più rigorose per i dispositivi mission-critical; Queste azioni possono influire sulla funzionalità del sistema, ma forniranno una sicurezza molto più sicura.
Infine, ogni raccomandazione include due aree di interesse:
Revisione: Ti aiuta a indagare sul tuo livello di sicurezza in una particolare area
Bonifica: Passaggi d'azione con consigli di configurazione per rafforzare il sistema in quell'area
Ecco cosa vedrai quando decomprimi una tipica raccomandazione CIS:
Benchmark delle fondazioni CIS coprire tutti gli aspetti della sicurezza dei fornitori di servizi cloud (CSP) per organizzazioni come Amazon Web Services (AWS), Google Cloud Computing Platform, Microsoft Azure, Alibaba Cloud e molte altre.
I due esempi seguenti sono tratti dal Benchmark CIS Foundations per AWS per darti un'idea migliore di ciò che vedrai all'interno di una tipica raccomandazione di benchmark. Uno è un esempio di livello 1 (linee guida di sicurezza di base) e l'altro è un esempio di livello 2 (linee guida di sicurezza più rigorose).
| Number | 1.19 | 2.12 |
|---|---|---|
| Title | Ensure that all the expired SSL/TLS certificates stored in AWS IAM are removed | Ensure MFA delete is enabled on S3 buckets |
| Assessment status | Automated | Manual |
| Profile | Level 1 | Level 2 |
| Description | To enable HTTPS connections to your website or application in AWS, you need an SSL/TLS server certificate. You can use ACM or IAM to store and deploy server certificates. Use IAM as a certificate manager only when you must support HTTPS connections in a region that is not supported by ACM. IAM securely encrypts your private keys and stores the encrypted version in IAM SSL certificate storage. IAM supports deploying server certificates in all regions, but you must obtain your certificate from an external provider for use with AWS. You cannot upload an ACM certificate to IAM. Additionally, you cannot manage your certificates from the IAM Console. | Once MFA Delete is enabled on your sensitive and classified S3 bucket it requires the user to have two forms of authentication. |
| Rationale statement | Removing expired SSL/TLS certificates eliminates the risk that an invalid certificate will be deployed accidentally to a resource such as AWS Elastic Load Balancing (ELB), which can damage the credibility of the application/website behind the load balancer. As a best practice, it is recommended to delete expired certificates. | Adding MFA delete to an S3 bucket requires additional authentication when you change the version state of your bucket or you delete an object version adding another layer of security in the event your security credentials are compromised or unauthorized access is granted. |
| Impact statement | Deleting the certificate could have implications for your application if you are using an expired server certificate with ELB, CloudFront, etc. One has to make configurations at the respective services to ensure there is no interruption in application functionality. | Enabling MFA delete on an S3 bucket could require additional administrator oversight. Enabling MFA delete may impact other services that automate the creation and/or deletion of S3 buckets. |
| Audit procedure | Audit steps provided (console and command line) | Audit steps provided (console and command line) |
| Remediation procedure | Remediation steps provided (console and command line) | Remediation steps provided (command line only) |
| Default value | By default, expired certificates won't get deleted. | n/a |
| References | References provided | References provided |
| CIS Controls mapping | CIS v8 - 3.1 Establish and Maintain a Data Management Process CIS v7 - 13 Data Protection | CIS v8 - 3.3 Configure Data Access Control Lists 6.5 Require MFA for Administrative Access CIS v7 - 14.6 Protect Information through Access Control Lists |
Wiz: First agentless cloud security vendor to attain CIS SecureSuite Vendor Certification for cloud-managed Kubernetes
Leggi di più
Wiz: primo sul mercato con certificazione di benchmark CIS Kubernetes integrata
Come piattaforma integrata di protezione delle applicazioni native per il cloud (CNAPP), Wiz è stato il primo fornitore ad essere riconosciuto con la certificazione CIS SecureSuite Vendor per tre principali benchmark Kubernetes, semplificando la conformità con i più recenti benchmark CIS EKS, AKS e GKE e offrendoti al contempo un modo nativo per il cloud per proteggere i tuoi ambienti Kubernetes.
L'adozione di CIS Benchmarks aiuta i team di sicurezza a imparare dalle best practice e a rafforzare l'intera organizzazione contro le principali minacce odierne. E con Wiz, puoi fare gran parte di questo da un unico pannello di controllo, aggregando i dati da tutti i tuoi strumenti per ottenere informazioni fruibili e prioritarie basate su "combinazioni tossiche"—un punteggio di vulnerabilità univoco basato sul rischio reale per la tua organizzazione. E poiché è agentless, è facile da implementare in tutta l'organizzazione, indipendentemente dalle sue dimensioni.
Wiz ti consente di identificare in modo proattivo le vulnerabilità, con una chiara guida alla correzione, rimanendo molto avanti rispetto agli aggressori per proteggere i tuoi ambienti cloud.
Richiedi una demo oggi stesso per iniziare a semplificare la conformità di Kubernetes e ad elevare l'intero livello di sicurezza con Wiz.
100+ Built-In Compliance Frameworks
See how Wiz eliminates the manual effort and complexity of achieving compliance in dynamic and multi-cloud environments.
