CIS 基准 & 合规
您的 IT 是否具有高度动态性?是否以不断添加新资产为特征?新引入的系统和软件通常保留默认配置,虽然使用方便但并非最安全。IT 团队也不断更改系统配置,导致不可避免的安全漏洞。不少案例表明,配置不当的系统不仅为黑客打开方便之门,还会招致监管机构的高额罚款。
幸运的是,由互联网安全中心(CIS)开发的 CIS 基准为建立资产的安全基线配置提供了规范化指导。CIS 基准是唯一由全球网络安全专业人士和各界专家基于共识开发的配置最佳实践指南,且被政府、企业、行业和学术界广泛认可。
反过来,手动评估所有终端是否符合这些基准——每个基准约有 800 页内容,包含 300 多条建议——可能是一项漫长的工作,更别说监控系统的进一步配置漂移了。
这时 Endpoint Central 派上用场。其 CIS 合规功能通过定期监控终端所有适用的 CIS 基准,实时检测违规情况,并提供详细的纠正操作建议,帮助实现并维持对超过 75 个 CIS 基准的合规。
使用 Endpoint Central 实现 CIS 合规
Endpoint Central 的 CIS 合规功能定期根据 CIS 基准的建议评估系统中每项配置,实时检测违规,并提供逐步指导以帮助实现合规。为实现 CIS 合规,Endpoint Central 使用现成的合规策略——CIS 基准的直接衍生物——审计系统配置。每个 CIS 基准针对特定产品、服务或系统,包含所有配置的建议。遵循 CIS 基准中的建议可确保产品或系统配置达到最佳安全标准。
三步轻松实现 CIS 合规
立即分组策略根据您想要审核的目标,对 Endpoint Central 的合规策略进行分组。
映射目标并安排审计将任意数量的策略组映射到所需的系统目标组,并按您选择的频率和时间安排审计。
审计并提升合规性全面了解终端合规状态,深入查看审计结果,识别违规,并利用纠正见解及详细原理提升合规性。
立即分组策略
减少重复扫描。分组策略,可一次扫描目标机器是否符合多个 CIS 基准策略。或者,您也可以利用根据操作系统及基准配置级别整合的现成策略组模板。
映射目标并安排审计
创建包含所需系统组的目标组。将任意数量的策略组映射到目标系统组,并按您选择的频率和时间安排审计扫描。根据您的计划,将评估目标系统的安全配置是否符合 CIS 策略的建议。您也可以选择在审计状态发生变化时接收通知。
审计并提升合规性
想查看每个目标组的整体 CIS 合规情况?可能您更喜欢根据映射的每个 CIS 策略或更详细地根据每条策略建议对每个系统进行深入检查?或者查看每条违规的纠正措施?您可以通过单一界面轻松获取所有所需信息。
单个目标组视图
提供目标组的整体合规百分比、非安全计算机数量、基于合规性的计算机分类、每台计算机的合规百分比等洞察。
单台计算机视图
提供计算机的合规百分比、违规建议(规则)数量、基于合规状态的建议分类、每个策略下计算机的合规百分比及每个策略下的违规规则等洞察。
单个 CIS 策略视图
提供每个策略下计算机的合规百分比、来自策略的违规建议(规则)数量、基于合规状态的建议分类、每条建议的计算机合规状态以及每条建议违规的详细摘要、原理和纠正步骤。
使用 Endpoint Central 实现 CIS 合规的优势
现成的 CIS 策略
节省大量研究和识别主要操作系统及软件的最佳安全配置所需的时间。我们已为您做好准备。利用基于最新 CIS 基准定期更新的现成 CIS 策略,涵盖所有主要 Windows 操作系统、Microsoft Office 套件和其他关键业务软件的推荐配置。
多系统自动化审计
数千台系统拥有成千上万的安全配置要评估,合规变得繁重。让 Endpoint Central 根据计划对多系统进行多基准审计,并即时通知您每次违规。
针对策略违规的详细纠正措施
CIS 策略违规若不进行适当纠正则毫无意义。获得详细的逐步指导,了解如何纠正每项违规并提升 CIS 基准策略的合规性。
持续合规
虽然 CIS 基准免费,但手动评估繁琐且仅保证某一时点的合规。通过按月、周甚至每日安排审计,您可以定期监控违规,确保持续合规。
持续更新的策略
已废弃的 CIS 基准通常由最新版本取代,反映其适用产品最新版本的变更。同样,Endpoint Central 也会更新所有 CIS 基准策略的最新版本。
为审计做好准备
PCI DSS、HIPPA、FISMA 以及其他监管框架详细的配置建议均与 CIS 基准保持一致并将其作为权威标准。这使其成为提升安全和满足审计目标的绝佳途径。
提升系统性能
通过实施 CIS 基准规定的最佳配置,您将清除不必要的文件、关闭未使用的端口、禁用消耗性能的服务,从而使系统更高效运行。
反映专家的集体智慧
CIS 基准由各类角色(威胁响应与分析人员、技术专家、IT 运营与防御人员、漏洞发现者、工具制造者、解决方案提供者、用户、政策制定者、审计员等)以及各个行业(政府、电力、国防、金融、交通、学术、咨询、安全、IT 等)的专家共同制定,体现了集体智慧。
CIS 合规常见问题
什么是 CIS 基准?
互联网安全中心通过独特的基于共识的流程,联合全球网络安全专业人士和主题专家社区,为各种应用、操作系统、服务器和数据库开发基准。CIS 基准包含系统安全设置配置的标准和最佳实践。
谁将受益于 CIS 合规?
由于 CIS 基准全球认可并由政府、企业、行业和学术界的专家共同开发,来自所有行业和地区的组织均可受益于 CIS 合规。
CIS 基准是如何制定的?
CIS 基准的核心在于其社区驱动的方法。CIS 基准中的每条建议均由来自全球各角色(威胁响应与分析人员、技术专家、IT 运营与防御人员、漏洞发现者、工具制造者、解决方案提供者、用户、政策制定者、审计员等)及行业(政府、电力、国防、金融、交通、学术、咨询、安全、IT 等)的专家群体达成共识后产生。
什么是 CIS 基准配置文件?
CIS 基准中的每条建议都分配有一个配置文件。该配置文件指示建议配置的安全级别。
- 配置文件 Level 1 表示最低配置建议,通常被视为适用于大多数系统且不会对性能产生较大影响的安全配置。带有 Level 1 配置文件标签的策略仅包含 Level 1 配置建议或规则。
- 配置文件 Level 2 被视为深度防御,包括适用于高度安全环境的配置建议,需要更多协调与计划以确保在最小业务中断下实施。带有 Level 2 配置文件标签的策略包含 Level 1 和 Level 2 配置建议或规则。
