今天,我们将继续探讨地区可以用来提高其NIST合规性的一系列实际步骤. 查看完整的NIST控件集可能是一种令人生畏的体验. 我们发现使这些网络安全改进更容易实现的最佳方法之一是遵循CIS控制前20名列表, 能很好地映射到NIST吗. CIS还将控件列表划分为三个实现组, 属于“从这里开始”的第一组, 一个更“先进”的组2, 当这一切完成后,就可以获得完整的“忍者身份”,“移到第三组. 本系列将重点介绍“从这里开始”的第1组项目.
今天的主题来自控制组,通过控制对网络特定资源的访问来限制风险. 这些控制最终将要求您的组织实施“用于跟踪/控制/防止/纠正对关键资产的安全访问的过程和工具”.g., 信息, 资源, 系统)按哪个人的正式确定, 电脑, 应用程序根据批准的分类有访问这些关键资产的需要和权利.”
要实现完整的控制集远非一个微不足道的主题, 但是执行组1 (IG1)对这个控制组的要求同样只有一个行动项目:
行动项目#1 -通过访问控制列表保护信息-保护存储在文件系统上的所有信息, 网络共享, 索赔, 应用程序, 或特定于数据库的访问控制列表. 这些控制将强制执行这样的原则,即只有经过授权的个人才能根据访问信息的需要(作为其职责的一部分)访问信息.
熟悉网络基础设施的很多人都知道访问控制列表(ACL)的概念. 最终, 当你的安全姿势成熟, 我们将讨论如何在安全实现中添加内部网络acl. 我们将在更一般的意义上使用访问控制“列表”的概念进行讨论.
该控制涉及文件共享安全权限,甚至各种系统的基本登录权限, 应用程序, 和数据库. 它要求您不断地、慎重地检查存储在系统中的信息,并且允许访问这些信息的人需要访问这些信息.
我们大多数人可能在访问或登录凭据方面做得很好, 至少在前端是这样. 我们不会把身份证发给不需要的人. 但是,当不再需要访问权限时,我们的删除过程如何呢? 这个过程同样好吗?
那么我们的文件共享权限结构呢? 从安全角度来看,它们是否过于宽泛或过于开放? 是否所有教师都需要访问所有学生的数据? 可用的通道越多,风险就越大. 当然,像所有安全控制一样,它是功能与风险之间的平衡.
这种控制的成功实现需要一个深思熟虑的过程来识别系统中的数据, 对谁需要访问权限做出正式判断, 记录这些判决, 然后通过APP客户端程序来执行这些决定.
如果您需要协助制定评估获取和制定有效控制所需的工具和战略的程序, APP客户端的团队. 我们很乐意帮助您开始.
鲍勃·克纳普 |
最近的评论