在從事資安工作的人有福了,經常不知道從何下手的複雜資安工作,也不知道如何說服老闆給預算,現在新版的SANS關鍵資安控制項目給你人生的新方向。Top 20 Critical Security Controls是經過許多大型企業、政府、金融單位的CIO所認可的同意的關鍵項目,多數可以透過自動化的過程來達成資安控制,並且減少80%可以衡量的資安風險。
目前Top 20 Controls 的版本已經是 2.3版,包含:
Critical Control 1: Inventory of Authorized and Unauthorized Devices授權與未授權之裝置的盤點
Critical Control 2: Inventory of Authorized and Unauthorized Software授權與未授權之軟體的盤點
Critical Control 3: Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers 筆電、桌機、伺服器之軟硬體安全組態
Critical Control 4: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches網路裝置如防火牆、路由器與交換器之之軟硬體安全組態
Critical Control 5: Boundary Defense 網路邊界防禦
Critical Control 6: Maintenance, Monitoring, and Analysis of Audit Logs 稽核記錄的維護、監控與分析
Critical Control 7: Application Software Security 應用軟體安全
Critical Control 8: Controlled Use of Administrative Privileges 使用管理者/高權限的控管
Critical Control 9: Controlled Access Based on Need to Know 基於僅知原則的存取控制
Critical Control 10: Continuous Vulnerability Assessment and Remediation持續的弱點評估與矯正
Critical Control 11: Account Monitoring and Control帳號使用的監視與控制
Critical Control 12: Malware Defenses防堵惡意程式
Critical Control 13: Limitation and Control of Network Ports, Protocols, and Services限縮控管網路結點、埠、通訊協定與服務
Critical Control 14: Wireless Device Control無線網路裝置控管
Critical Control 15: Data Loss Prevention 防制資料外洩
以下五項亦為重要的控制,但仍無法高度透過自動化、持續監控的方式來達成,包含:
Critical Control 16: Secure Network Engineering 安全網路工程
Critical Control 17: Penetration Tests and Red Team Exercises 滲透測試與演練
Critical Control 18: Incident Response Capability 事件處理應變能力
Critical Control 19: Data Recovery Capability 資料備份與復原能力
Critical Control 20: Security Skills Assessment and Appropriate Training to Fill Gaps 資訊安全技能評量與合適的教育訓練以補不足
此20項安全控制亦為稽核參考指引所建議的稽核項目,因此政府機關多半以此作為落實資安控制的方針,以因應並達成每年兩次的資安稽核工作目標。此控制可以作為發展資安重點控制項目的參考,提供更有說服力的支持。