معايير CIS لتقييم تصلب الأمن
تعد معايير CIS المعيار الذهبي لتقوية تكوين الأمان، والتي يتم الرجوع إليها بواسطة PCI DSS، وFedRAMP، وHIPAA، وكل إطار عمل أمني رئيسي تقريبًا. تقوم KENSAI بأتمتة تقييم CIS Benchmark عبر البنية الأساسية بأكملها - بدءًا من خوادم Windows وحتى مجموعات Kubernetes - وتحديد أولويات ما يجب إصلاحه أولاً.
قم بتشغيل تقييم CIS → راجع لوحة تحكم CISما هي معايير رابطة الدول المستقلة؟
ينشر مركز أمن الإنترنت (CIS) إرشادات تكوين الأمان المستقلة عن البائعين والتي تم تطويرها من خلال الإجماع مع خبراء الأمن السيبراني في جميع أنحاء العالم. تغطي معايير CIS أكثر من 100 تقنية وتحدد توصيات تكوين محددة وقابلة للاختبار تقلل من سطح الهجوم.
يتم تنظيم معايير CIS في مستويين للتنفيذ:
- المستوى 1:تكوينات الأمان الأساسية مع الحد الأدنى من التأثير التشغيلي. هذه هي الإعدادات "التي يجب القيام بها" والتي يجب على كل مؤسسة تنفيذها. ويعني الفشل في اختبارات المستوى 1 أنه لم يتم تطبيق التقسية الأساسية.
- المستوى 2:إعدادات أمان أكثر شمولاً للبيئات عالية الأمان. قد تؤثر بعض توصيات المستوى 2 على الوظائف أو تتطلب تغييرات في سير العمل. يوصى به للأنظمة الحساسة أو المنظمة.
💡 عناصر تحكم CIS مقابل معايير CIS:تعد عناصر تحكم CIS (المعروفة سابقًا باسم عناصر التحكم الأمني الحرجة) من أفضل الممارسات عالية المستوى —ماذاللقيام به. تعتبر معايير CIS بمثابة إرشادات تكوين توجيهية -كيفللقيام بذلك لتقنيات محددة. كلاهما متكاملان. KENSAI يدعم التقييم ضد كليهما.
تغطية معايير رابطة الدول المستقلة الرئيسية
سياسات الحساب، وسياسات التدقيق، وتعيينات حقوق المستخدم، وخيارات الأمان، وجدار حماية Windows، وسياسة التدقيق المتقدمة - أكثر من 300 عملية فحص فردية.
تكوين نظام الملفات، وتحديثات البرامج، وخدمات الأغراض الخاصة، وتكوين الشبكة، والتسجيل، والتحكم في الوصول، وصيانة النظام - أكثر من 250 فحصًا لكل توزيع.
تكوين خادم API، ومدير وحدة التحكم، والمجدول، وما إلى ذلك، والعقد العاملة، وسياسات RBAC، وسياسات الشبكة - أمر بالغ الأهمية للأمان السحابي الأصلي.
تكوين المضيف، وتكوين البرنامج الخفي، وملفات Docker daemon، وصور الحاوية، ووقت تشغيل الحاوية - يؤمن مكدس الحاوية بالكامل.
تكوين IAM، والتسجيل والمراقبة، والشبكات، والتخزين - المعايير الخاصة بالسحابة التي يجب أن تمر بها كل عملية نشر سحابية.
تكوين الخادم، وإعدادات SSL/TLS، ورؤوس HTTP، وعناصر التحكم في الوصول، والتسجيل - يقلل من سطح هجوم خادم الويب بشكل كبير.
المصادقة، وضوابط الوصول، والتدقيق، وتكوين الشبكة، والتشفير - تحمي أصول البيانات الأكثر قيمة لديك.
النتائج المعيارية لرابطة الدول المستقلة: ما هو الشكل الجيد
متوسط درجة الامتثال للمستوى الأول لـ CIS للمؤسسات التي انضمت حديثًا
متوسط الصناعة - مجال كبير للتحسين في التصلب الأساسي
| نطاق نقاط CIS | مستوى النضج | الدولة النموذجية |
|---|---|---|
| 90–100% | ممتاز | برنامج تصلب ناضج، والرصد المستمر |
| 75–89% | جيد | جهد تصلب نشط، بعض الديون الفنية |
| 50–74% | عدل | تصلب مخصص، وإدارة التكوين غير متناسقة |
| <50% | فقير | التكوينات الافتراضية سائدة، وسطح هجوم كبير |
معايير CIS والامتثال التنظيمي
تتم الإشارة إلى معايير CIS أو قبولها في كل إطار عمل امتثال رئيسي تقريبًا:
| نطاق | مرجع معيار CIS |
|---|---|
| بي سي آي دي إس إس v4.0 | المطلب 2.2: تطبيق معايير التقوية المقبولة في الصناعة (CIS مدرجة بشكل واضح) |
| فيدرامب | CM-6: معايير USGCB أو CIS المطلوبة لجميع المكونات |
| HIPAA | الضمانات الفنية — تلبي معايير CIS متطلبات إدارة التكوين |
| شركة نفط الجنوب 2 | CC6.1: ضوابط الوصول المنطقي - تعتبر تقوية CIS دليلاً قوياً |
| آيزو 27001:2022 | الملحق أ 8.9: إدارة التكوين — يتم قبول معايير CIS للتنفيذ |
| نيست CSF | PR.IP-1: التكوين الأساسي — معايير CIS هي المعيار |
فشل المعيار CIS المشترك
- لم يتم فرض سياسات كلمة المرور:تم ترك الحد الأقصى لإعدادات العمر والتعقيد والتأمين على الإعدادات الافتراضية
- تشغيل الخدمات غير الضرورية:تمكين FTP وTelnet وrsh وNFS عندما لا يكون ذلك مطلوبًا
- تم تعطيل تسجيل التدقيق:لا يتم تسجيل أحداث النظام وأحداث تسجيل الدخول واستخدام الامتيازات
- الملفات القابلة للكتابة على مستوى العالم:الملفات ذات الأذونات الزائدة التي تسمح لأي مستخدم بتعديل ملفات النظام الهامة
- الحسابات الافتراضية النشطة:حسابات الضيوف، لم يتم تعطيل مستخدمي قاعدة البيانات الافتراضية
- تكوين TLS قديم:لا يزال TLS 1.0/1.1 ومجموعات التشفير الضعيفة ممكنة
- رؤوس الأمان المفقودة:لم يتم تكوين HSTS وX-Frame-Options وCSP على خوادم الويب
- حاوية تعمل كجذر:يتم تنفيذ حاويات Docker بامتيازات الجذر
- Kubernetes RBAC متساهل للغاية:أذونات حساب الخدمة الافتراضية غير مقيدة
- الوصول العام إلى التخزين السحابي:تفتقد مجموعات S3/GCS إلى إعدادات حظر الوصول العام
كيف تقدم KENSAI تقييمات CIS المعيارية
✓ أكثر من 100 تغطية تقنية
قم بتقييم أنظمة التشغيل Windows وLinux وmacOS وقواعد البيانات الرئيسية وخوادم الويب وKubernetes وDocker وجميع الأنظمة الأساسية السحابية الرئيسية الثلاثة مقابل معايير CIS الحالية.
✓ بدون وكيل وعلى أساس الوكيل
تقييم CIS المستند إلى الشبكة للتغطية السريعة دون نشر الوكيل. يعتمد على الوكيل لإجراء فحوصات أعمق لنظام التشغيل ومستوى التطبيق.
✓ العلاج ذو الأولوية
ليست كل حالات فشل رابطة الدول المستقلة متساوية. تعطي KENSAI الأولوية للنتائج حسب قابلية الاستغلال والتأثير التنظيمي وجهود الإصلاح لتحقيق أقصى قدر من عائد الاستثمار الأمني.
✓ كشف الانجراف الأساسي
تنبيهات عند انحراف الأنظمة عن خط الأساس المتصلب الخاص بها - وهو أمر بالغ الأهمية لاكتشاف تغييرات التكوين غير المصرح بها أو نشر الأنظمة الجديدة دون تقوية.
✓ تتجه نقاط رابطة الدول المستقلة
تتبع درجة امتثال CIS الخاصة بك مع مرور الوقت. أظهر التحسين المستمر للمراجعين وأظهر قيمة برنامج التقوية الخاص بك.
✓ رسم خرائط الامتثال
تحدد كل نتائج CIS أطر عمل الامتثال التي تشير إليها - يقوم تقييم واحد بتقديم الأدلة الخاصة بـ PCI DSS وFedRAMP وSOC 2 والمزيد في وقت واحد.
الشروع في العمل مع تصلب CIS
- تقييم الوضع الحالي:قم بإجراء تقييم CIS الخاص بـ KENSAI لتحديد درجاتك الأساسية وتحديد الفجوات ذات التأثير الأعلى
- تحديد الأولويات حسب المخاطر:ركز على حالات الفشل من المستوى الأول أولاً، خاصة على الأنظمة التي تواجه الإنترنت والتي تحمل البيانات
- العلاج بشكل منهجي:استخدم البنية التحتية كرمز (Ansible، Chef، Puppet، Terraform) لتطبيق التعزيز على نطاق واسع
- التحقق من صحة التغييرات:أعد الفحص بعد المعالجة للتأكد من سريان التكوينات
- تنفيذ كشف الانجراف:مراقبة تغييرات التكوين التي تعمل على إرجاع التصلب
- كرر بانتظام:تتطلب الأنظمة الجديدة والمعايير الجديدة وتغييرات النظام تقييمًا مستمرًا
تعرف على نقاطك المعيارية في CIS عبر البنية التحتية بأكملها
تقوم KENSAI بفحص الخوادم والحاويات والحسابات السحابية وقواعد البيانات الخاصة بك مقابل معايير CIS الحالية - مما يمنحك درجة واحدة ونتائج ذات أولوية وأدلة المعالجة التي تحتاجها برامج الامتثال الخاصة بك.
قم بتشغيل تقييم CIS → تحدث إلى خبير تصلب