CIS 介紹（下)-CIS Benchmark&CIS 社區防御模型2.0

CIS Benchmark

 通過CIS 全球網絡安全專家社區，我們開發了CIS Benchmark：包括25+廠商產品系列的100多個配置指南，以保護系統免受不斷發展的網絡攻擊威脅。

桌面&Web 瀏覽器（Desktops & Web Browsers）

• Apple Desktop OSX 
• Apple Safari Browser 
• Google Chrome 
• Microsoft Internet Explorer 
• Microsoft Windows Desktop XP/NT
• Mozilla Firefox Browser 
• Opera Browser

移動設備（Mobile Devices）

• Apple Mobile Platform iOS
• Google Mobile Platform

網絡設備（Network Devices）

• Agnostic Print Devices
• Checkpoint Firewall
• Cisco Firewall Devices
• Cisco Routers/Switches IOS
• Cisco Wireless LAN Controller
• Juniper Routers/Switches JunOS

安全指標（Security Metrics）

• Quick Start Guide
• Security Metrics

服務器–操作系統（Servers – Operating Systems）

• Amazon Linux 
• CentOS 
• Debian Linux Server
• IBM AIX Server 
• Microsoft Windows Server 
• Novell Netware
• Oracle Linux 
• Oracle Solaris Server 
• Red Hat Linux Server 
• Slackware Linux Server 
• SUSE Linux Enterprise Server
• Ubuntu LTS Server

服務器–其他（Servers – Other）

• Apache HTTP Server 
• Apache Tomcat Server
• BIND DNS Server 
• FreeRADIUS 
• Microsoft IIS Server 
• IBM DB2 Server 
• Microsoft Exchange 
• Microsoft SharePoint Server 
• Microsoft SQL Server 
• MIT Kerberos 
• MySQL Database Server 
• Novell eDirectory 
• OpenLDAP Server 
• Oracle Database Server 
• Sybase Database Server

虛擬化平臺&云（Virtualization Platforms & Cloud）

• Agnostic VM Server
• AWS Foundations
• AWS Three-Tier Web Architecture
• Docker
• Kubernetes
• VMware Server 
• Xen Server 

其他（Other）

• Microsoft Access
• Microsoft Excel
• Microsoft Office 
• Microsoft Outlook 
• Microsoft PowerPoint
• Microsoft Word

加固模板示例

 CIS_Microsoft_Windows_10_Enterprise_Release_21H1_Benchmark_v1.11.0 。針對Windows 10的加固模板，有1000多頁，非常詳細。掌握CIS Benchmark本身都變成一項技能了。

CIS 社區防御模型 2.0（CDM)

總綱

    本指南是互聯網安全中心（Center for Internet Security，CIS）社區防御模型（Community Defense Model，CDM）的第二版。作者是幫助生成CIS 關鍵安全控制（CIS Controls?）的同一批安全專家，他們和CIS一起將CDM應用到當前的威脅數據中。

    采用CIS Controls 的企業，總是反復地讓我們確認“我首先該做什么？”作為回應，CIS Controls社區（Controls Community）根據難度和實施成本，把CIS控制中的安全措施分成三個實施組（Implementation Groups，IGs）。

    實施組1（IG1），實施成本和難度最低的組，我們稱之為必備的網絡健康（以前的基本網絡健康），是我們確信每個企業應該部署的保護措施。對于面臨更復雜攻擊或必須保護更多關鍵數據或系統的企業，這些措施還為其他實施組（IG2和 IG3）提供了基礎。

    企業當然想知道“CIS Controls對最流行的攻擊類型多有效？”CIS社區防御模型就是參考當前行業報告中威脅數據，回答這個及其他關于CIS Controls價值的問題。

    我們的方法很簡單。

    MITRE ATT&CK（對抗戰術、技術和常識）框架允許我們把任何攻擊類型表示為一組攻擊技術，稱為攻擊模式。對五種最常見攻擊類型，如勒索軟件，通過分析行業威脅數據來收集對應的攻擊模式。然后跟蹤哪種安全措施能抵御在攻擊模式中發現的每個技術，這種方法允許我們衡量哪個安全措施最有效。

    今年的結果提高了我們的信心，從第一版CIS社區防御模型得到的結論是正確的。根據其他的行業威脅數據源，使用更新后的CIS Controls 8.0和MITRE ATT&CK 框架8.2，我們驗證出CIS Controls有效地防御86% ATT&CK（子）技術，更重要的是，CIS Controls對行業威脅數據中前五位攻擊類型特別有效。尤其要說明的是，CIS Controls，特別IG1，是你網絡安全程序的堅實基礎。

    我們的結果也證實，建立和維護一個安全配置流程（CIS Safeguard 4.1）是防御五種攻擊類型的關鍵措施，如同在CIS Benchmarks發現的那樣，證實了配置的重要性。

結果總結

    整體看來，本年度CIS 社區防御模型的發現，用客觀的數據，再次證明和加強了我們已經認為是正確的結論-針對前五位攻擊，IG1提供了可行的防御方法。

    對CIS 社區防御模型2.0而言，前五位攻擊類型是惡意軟件、勒索軟件、Web 應用攻擊、內部特權和誤用、針對性入侵。我們的分析發現，總體而言，實施IG1安全措施防御了前五位攻擊類型中，所使用的77% ATT&CK（子）技術，如果部署所有CIS安全措施，百分比能上升到91%。這些結果強烈證實了少量精心選擇的基本防御步驟（IG1）的價值，也支持了實施CIS Controls，IG1作為更受認可的途徑。我們也發現，CIS 安全措施4.1“建立和維護安全的配置流程”在防御前五位攻擊上最有效。如同在CIS Benchmarks發現的那樣，證實了配置的重要性。

    此外，不管任何特定攻擊類型，實施IG1安全措施，抵御74% ATT&CK（子）技術，實施所有CIS安全措施，抵御86%的 ATT&CK（子）技術。由于很多ATT&CK（子）技術用于多種攻擊類型中，我們推斷CIS Controls能防御本指南中提到的前五位攻擊之外的更多攻擊。

    我們也單獨分析了每種攻擊類型，例如我們的分析發現，實施IG1安全措施防御78%勒索軟件ATT&CK（子）技術，實施所有CIS安全措施防御92%。這個及其他攻擊模式的效果，可從下面圖1中看到。需要注意，100%覆蓋所有攻擊類型中的技術是很難的，因為某些技術無法防御。此外，某些IG1安全措施是基礎和面向流程的，如企業和軟件資產管理，雖然這些基本的安全措施也許沒有作為防御手段包括在ATT&CK模型里面，但為了成功實施其他與ATT&CK映射的安全措施，他們非常必要。

    圖1. CIS 社區防御模型攻擊模式分析

概述  

    作為CIS社區防御模型流程的一部分，我們使用MITRE Enterprise ATT&CK框架v8.2，這是業界認可的描述單個網絡攻擊技術細節的方法。給諸如此類問題提供答案：“攻擊者使用哪種ATT&CK戰術（攻擊者目標）？”；“在這個戰術中使用什么ATT&CK（子）技術？”；“抵御攻擊，常用的ATT&CK緩解方法是什么？”在CIS社區防御模型流程中，同樣重要的是使用最常見和最相關的行業威脅數據（數據源）。作為CIS社區防御模型的一部分，我們研究權威性的、業界認可的國內或國際數據源，讓我們可以確定前五名攻擊類型，生成全面攻擊模式。我們和CIS Controls及ATT&CK框架合作，結合權威數據源來支持我們的分析，所有這些是CIS社區防御模型的核心和基礎。

    使用下列流程打造CIS社區防御模型：

• 我們把CIS 安全措施映射到ATT&CK框架。
• 我們確定獨立于任何特定攻擊的安全功能，CIS安全措施抵御一種或多種攻擊技術（例如ATT&CK（子）技術）的能力。
• 使用權威數據源，我們確定前五名企業最應該抵御的攻擊類型。對CIS社區防御模型v2.0，前五位攻擊類型是：惡意軟件，勒索軟件，web應用攻擊，內部特權和誤用，針對性入侵。
• 每種攻擊類型，我們使用權威數據源，決定攻擊模式-每種攻擊類型中，攻擊者使用技術集（ATT&CK（子）技術）。
• 我們確定安全價值-實施一個CIS安全措施，抵御單個或一組攻擊的好處。

    有好幾種方式，可以使用CIS社區防御模型來設計、優先級排序、實施、提高企業的安全程序。我們的分析確定，企業應該從實施IG1開始（合適的話，繼續IG2，IG3），至少能夠抵御前五名攻擊。如果需要，CIS社區防御模型2.0映射給企業提供了更細的粒度。例如，如果一個企業實施CIS 安全措施“4.1 建立和維護安全配置流程”，我們的映射能提供安全措施抵御的ATT&CK（子）技術列表。CIS WorkBench具有每種工具類型或者所有攻擊類型整合到一起的攻擊卡，提供抵御特定ATT&CK（子）技術最有效的安全措施名單。

    CIS致力于“社區優先”方法，請加入我們在CIS WorkBench 上的CIS 社區防御模型社區，使用這些和其他優質資源，參與明年的CIS 社區防御模型（v3.0）。

CIS 社區防御模型2.0 新內容

    首先，我們總結一下1.0版本的工作。1.0版本發布于2020年，使用兩個公開可用、權威的行業資源：MITRE ATT&CK框架和Verizon數據泄露調查報告（Data Breach Investigation Report，DBIR）。為了建立基礎模型，首先生成一個主映射，從CIS Controls v7.1中171個CIS安全措施開始，接下來，CIS安全措施對應到企業ATT&CK v6.3中41個ATT&CK緩解措施中，MITRE已經將緩解措施對應到266 個ATT&CK技術。這就給我們提供了在CIS 安全措施和ATT&CK技術之間的安全功能關系，確定了實施CIS安全措施能夠抵御的ATT&CK技術。

    我們然后選取了五個最常見的攻擊類型（惡意軟件，勒索軟件等），以及在這些攻擊類型中使用的ATT&CK技術，形成了我們所說的攻擊模式，使用CIS安全措施和ATT&CK之間的主映射，我們把攻擊模式中的每個ATT&CK技術映射回相關的CIS 安全措施。這允許我們分析針對這五種攻擊類型的CIS 安全措施的安全價值。

    為了構建1.0版本中的基本原則，我們在2.0中做了一些如下更新：

• 更新CIS Controls 版本。我們使用CIS Controls v8 作為我們映射和分析的基礎。
• 更新ATT&CK 框架版本。我們使用Enterprise ATT&CK 框架 v8.2，由178個ATT&CK技術，352個ATT&CK子技術（總共530個ATT&CK（子）技術），42個ATT&CK緩解措施組成。注意，除非特別說明，在整個文檔中，使用的ATT&CK（子）技術這個說法指整體的ATT&CK技術和子技術。
• 增加其它數據源。我們使用其他國家和國際數據源，如2020 Verizon DBIR，歐洲網絡安全局（ENISA）威脅全景本年度報告，及其他的數據源來決定前五名攻擊。在CIS社區防御模型 v2.0中使用其他數據源，生成更全面的攻擊模式。識別攻擊類型和生成攻擊模式的數據源完整列表，請見本文的后續部分。
• 更新主映射。為了讓我們的分析更細粒度和更清晰，我們在ATT&CK（子）技術水平進行映射。使用ATT&CK緩解措施作為指導，對應到ATT&CK（子）技術，允許我們實施一個或多個CIS安全措施防御具體的ATT&CK（子）技術。

方法論

實施組和CIS社區防御模型

    在CIS Controls v7.1，我們引入了新的優先級方案，稱之為實施組（Implementation Groups，IGs）。有三個實施組，IG1，IG2，IG3。為了開發實施組，CIS確定了一套核心的CIS 安全措施，資源和專業知識有限、風險暴露的企業，應該首先關注的方面，就是IG1，或基本網絡健康。IG1包括防御性行為，適用規模最小和經費最少的企業。每個IG都基于前一個IG來打造，IG2為具有更多的資源和專業能力，也面臨更多的風險暴露的企業，確定了進一步CIS 安全措施。IG3，適合最高水平的風險暴露，包括所有153個CIS 安全措施。

    CIS社區防御模型告訴我們，IG1能夠抵御前五名攻擊，特別是，CIS 社區防御模型能告訴企業，哪些技術性IG1 安全措施在防御特定攻擊的時候最有效。我們在CIS感覺到，對企業的風險戰略管理，這是一個非常有效的方法。而且，一些IG1 安全措施是基礎和面向過程的，如企業和軟件資產管理。這些基本的安全措施也許沒有包含在ATT&CK模型里， 作為防御性措施。然而，他們必須在更加技術性的映射到ATT&CK的安全措施正確實施之前就部署好。

安全功能 vs 安全價值

    在整個CIS 社區防御模型2.0中，我們關注兩個概念：CIS 安全措施的安全功能和安全價值。安全功能可以定義為CIS 措施抵御一種或多種ATT&CK（子）技術的能力，和任何特定的攻擊類型無關。安全功能不是一定要回答諸如“我們為什么實施特定的CIS 安全措施，它的好處是什么”等問題，相反，安全功能給我們分析安全價值提供基礎，安全價值指CIS安全措施在抵御一種或多種攻擊類型時所提供的好處。

整個流程

    CIS 社區防御模型由七個步驟組成，帶領我們得到最終結果：

1. 生成主映射。我們生成了CIS Controls v8和Enterprise ATT&CK v8.2的主映射關系，把CIS 安全措施和ATT&CK（子）技術對應起來。ATT&CK 緩解措施用作映射ATT&CK（子）技術水平的指南。
2. 分析安全功能。我們使用第一步中的主映射，分析CIS安全措施針對ATT&CK（子）技術的安全功能。
3. 確定前5種攻擊類型。使用多個數據源，我們確定在2020-2021年度，企業遇到的5中最常見的攻擊類型：惡意軟件、勒索軟件、Web應用攻擊、內部特權和誤用、針對性入侵。
4. 構建攻擊模式。對每種攻擊類型，我們使用多個數據源，生成整體攻擊模式-在攻擊類型中使用的一套攻擊技術（例如，ATT&CK（子）技術）。
5. 執行反向映射。我們使用第一步中生成的主對照，把每個ATT&CK（子）技術再映射回CIS安全措施。
6. 分析安全價值。反向映射允許我們針對一種或多種攻擊類型，分析實施CIS安全措施安全價值。也就是，CIS Controls防御前五名攻擊類型的效果如何。
7. 生成可視化。MITRE ATT&CK Navigator允許用戶生成ATT&CK交互“層”。這個工具允許我們把每種攻擊模式可視化，把所有攻擊類型結合起來。可以在CIS WorkBench中找到這些層。

ATT&CK 結構

    為了充分理解CIS 社區防御模型方法，清楚ATT&CK框架是如何組織和相互聯系的非常重要。在ATT&CK中，最高層次叫戰術（tactic），如前所述，這些是攻擊者的目標，例如偵察、憑證訪問和悄悄撤出。在ATT&CK v8.2中，有14種戰術，在每個唯一標識符前面，以“TA”來表示。每個ATT&CK戰術包括多個ATT&CK技術和子技術，ATT&CK（子）技術是攻擊者實現戰術使用的具體行動，用“T”來標識，子技術在主技術后用后綴“.0XX”。整個v8.2中，有530個ATT&CK（子）技術。

    ATT&CK還有緩解措施，每個措施包含幾個ATT&CK（子）技術。ATT&CK緩解措施提供行動列表，可用來防御特定ATT&CK（子）技術，用“M”打頭，（例如 M1047）。在v8.2中，有42個ATT&CK緩解措施，需要注意，ATT&CK技術和其子技術不是總能映射到相同的ATT&CK緩解措施。例如，M1036-賬戶使用策略，緩解了“T1110-暴力攻擊”，但它有四個ATT&CK子技術。然而，從ATT&CK網站上可知，M1036僅僅對四分之三的子技術是有效的（T1110.001，T1110.003，T1110.004）。這警告了我們，對比ATT&CK（子）技術級別和CIS 社區防御模型主映射時，要特別精確。

    在v8.2，530個ATT&CK（子）技術中，84個沒有指定 ATT&CK緩解措施，從ATT&CK網站上提供的信息來看，意味著不管使用什么安全框架，這些ATT&CK（子）技術很難被緩解。這種ATT&CK（子）技術的例子是“T1546-事件觸發執行”，它是“基于系統功能的濫用，很難使用防御性控制減輕”。我們根據這些ATT&CK（子）技術評估發現，在“living off the land（LotL）”地內生存攻擊中，攻擊者使用目標系統內部或網絡上現有工具來執行攻擊，而不是利用特定系統或控制弱點；因此這些攻擊很難防御。除非特別注明，在本指南中所有計算不考慮這些ATT&CK（子）技術。在ATT&CK 網站（https://attack.mitre.org/versions/v8/）上可以找到其他信息。

映射關系

    CIS 社區防御模型第一步，CIS 安全措施映射到ATT&CK緩解措施，再映射到ATT&CK（子）技術。最后，這個高層次的映射作為關聯guaCIS安全措施到ATT&CK（子）技術的指南，因此非常值得對這兩者進行分析：CIS 安全措施映射到ATT&CK緩解措施，再到 ATT&CK（子）技術的效果如何。CIS 安全措施映射到ATT&CK，可以從CIS WorkBench中得到，圖5描述了這種映射關系。需要注意的是，在CIS 安全措施和ATT&CK（子）技術之間的映射，生成了一種多對多對應關系，意味著實施單一CIS 安全措施防御多個ATT&CK（子）技術，單一ATT&CK（子）技術可以通過實施一個或多個CIS 安全措施來實現。

    需要特別注意，ATT&CK緩解措施代表著和CIS 安全措施不同抽象水平的防御性網絡安全行動。CIS 安全措施和ATT&CK緩解措施相比，包含更多的防御性網絡安全概念。這種區分在粒度上，可通過各自不同的防御行為的數量來說明：CIS Controls v8包括153個CIS 安全措施，而ATT&CK v8.2 包括42個ATT&CK緩解。

如何使用本文檔

    對尋求更多理解CIS 社區防御模型的人，本指南是一個完美的開始，可以為讀者提供：

• CIS 社區防御模型如何工作的概述
• 解釋為什么CIS 社區防御模型有助于打造企業網絡安全程序
• 本年度CIS 社區防御模型結論高水平概述
• 深度分析可通過實施CIS 安全措施防御的ATT&CK（子）技術，總體和每種攻擊類型分析說明
• 其他鏈接和資源

    對希望深入了解CIS 社區防御模型的人，我們也提供了如下資料：

• CIS 社區防御模型主映射：一個Excel 表，包括：
•   CIS Controls v8 到ATT&CK映射：高水平（和ATT&CK緩解措施映射）
•   CIS Controls v8 到ATT&CK對照：低水平（和ATT&CK（子）技術映射）
• ATT&CK 可視化：針對每種攻擊類型的JavaScript object notation（json）文件，以及針對所有攻擊類型的組合
• 如何可視化這些JSON文件的指南
• CIS 社區防御模型攻擊卡：對每種攻擊類型和所有攻擊類型結合，實施IG1安全措施 。（根據有效性）
• CIS 社區防御模型反向映射：一種反向映射，通過實施一個或多個CIS安全措施能防御哪些ATT&CK（子）技術，以及能防御哪種攻擊類型

    請加入我們在CIS WorkBench上的CIS 社區防御模型社區，更好的使用這些和其他偉大的資源。

安全功能分析

ATT&CK 緩解措施

     把CIS 安全措施和ATT&CK緩解措施進行映射，注意單個CIS 安全措施能映射到多個ATT&CK緩解措施，反之亦然。詳細列舉他們之間的關系。

表2. IG1 CIS 安全措施映射到前十名ATT&CK緩解的數量

     （對比細節從略）

ATT&CK（子）技術

    把CIS安全措施和ATT&CK（子)技術進行映射。

    （對比細節從略）

結論

    CIS 社區防御模型2.0 證實了要優先考慮實施CIS 關鍵安全控制和實施組。特別是CIS 社區防御模型的數據支持了這樣的前提，所有企業應該從最基本的網絡健康開始，也就是IG1，作為抵御前五名攻擊的一種方式。

    總結起來，我們的分析提供了三個關鍵發現：

• IG1對前五名攻擊類型，提供了可行的防御。

    企業實現了高水平的保護，通過實施基本的網絡健康，即IG1，能夠防御前五名攻擊類型。這些結果證實少量精心選擇基本防御步驟（IG1）的價值。既然這樣，企業應該從IG1開始，以獲得最高價值為目標，根據條件，逐漸提高到IG2，IG3。

• 不管任何特定的攻擊類型，CIS Controls能夠有效的防御非常廣泛的攻擊形式。

    具體而言，CIS Controls 能有效抵御86%的ATT&CK(子)技術。更重要的是，對行業威脅數據中前五名攻擊類型非常有效。尤其是IG1，是網絡安全程序的堅實基礎。

• 建立和維護安全配置流程（CIS 安全措施4.1），是防御五種攻擊類型的關鍵保障。

    CIS 安全措施4.1是防御前五名攻擊類型最有效的手段，證實了安全配置的重要性，例如包含在CIS Benchmark中的配置。

    CIS 致力于采取“社區優先”的方法。更多的資源可在CIS WorkBench上發現。請加入CIS 社區防御模型社區，利用這些偉大的資源，參與明年的CIS 社區防模型（v3.0）。

（完）