如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之十:防御恶意软件

作者:Sender Su  来源:原创内容  发布日期:2022-04-11  最后修改日期:2022-04-13

  CIS关键安全控制措施集(CIS Critical Security Controls,CIS Controls)系列介绍文章,本期介绍控制措施10:防御恶意软件

article banner

笔者:国际认证信息系统审计师、软考系统分析师

  控制措施10:防御恶意软件

  包含有7个细项,IG1前3项,IG2全7项,IG3全7项。

  这7项分别是:

  10.1 在所有企业资产上部署和维护反恶意软件的软件。笔者认为这个说法觉得有点啰嗦,下面都改称安全软件,也比较符合国内叫法。

  10.2 对所有企业资产上的安全软件配置特征库的自动更新。

  10.3 通过安全软件禁用可移动媒体的自动运行和自动播放等自动执行功能。

  10.4 配置安全软件能自动扫描检查可移动媒体。

  10.5 启用企业软件资产中带有的反漏洞利用功能。包括有Microsoft Windows 操作系统的数据执行预防(DEP)、Windows Defender的漏洞保护(WDEG)或苹果系统的系统完整性保护(SIP)、Gatekeeper等。

  10.6 集中管理安全软件。笔者认为单机版的不是不能用,但无法高效管理和形成联动,不适宜在企业内部广泛使用。

  10.7 使用在技术上基于软件实际行为去检测恶意软件的安全软件。笔者注:通常安全软件的检测方法有静态检测和动态检测两种,静态就是检查文件的校验和,动态的包括API钩子拦截以及沙盒技术等。现在主流安全软件都是两种技术的结合,以求同时达到最大效率和最高检出。

  控制措施10的目的是防止或控制恶意的应用程序、代码和脚本在企业资产上的安装、传播和执行。

  有效的恶意软件保护包括传统的端点恶意软件预防和检测套件。为了确保恶意软件的IOC(Indicators of Compromise,直译妥协指标,一般人可以简单理解为恶意软件的攻击能力)是最新的,企业可以从供应商那里接收自动更新,强化对漏洞信息、威胁数据的了解。

  此类安全软件工具最好进行集中管理,以实现整个基础设施的一致性。

  企业能够阻止或识别恶意软件,只是CIS控制措施10的一部分。作为控制措施的整体要求,企业还需要关注如何集中收集安全软件的实时日志,使能进行警报、识别和事件响应等一系列安全工作。

  需要注意的是,恶意行为者持续不断地发展其入侵方法,他们开始采取一种被称为“离地生活方式”(LotL)的方法,以最小化被发现的可能性。此方法是指攻击者的行为是借助、利用目标环境中已经存在的工具或软件功能,从而实现隐藏自己的真实攻击行为。

  因此,根据CIS控制措施08中的保障措施,启用安全软件的日志记录,可以使企业更容易跟踪事件,充分了解发生了什么事情,以及发生的原因。

本栏目相关
  •  2026-01-16 实例评 Insecure Design 及安全人才跨域
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2023-05-08 如何把Windows的事件日志收集到Syslog日志服务器?
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-08-28 网络攻防中的色彩象征
  •  2023-02-27 注意:TightVNC 2.8.75 释出,修补 zlib 漏洞 CVE-2022-37434
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  • 本站微信订阅号:

    微信订阅号二维码

    本页网址二维码:

    本栏目热门内容
  • CIS-CAT 配置评估工具介绍及操作实践
  • 如何把Windows的事件日志收集到Syslog日志服务器?...
  • Windows 系统安全基线及软件工具介绍
  • 网络攻防中的色彩象征
  • 注意:TightVNC 2.8.75 释出,修补 zlib 漏洞 CVE-2022-37434...
  • 安装RHEL/CentOS时如何选择配置安全策略?...
  • 修改audispd.conf解决审计事件丢失的问题。...
  • 从甲方角度介绍“CIS互联网安全中心”...
  • 详细了解微软安全合规工具包(SCT)...
  • 新鲜钓鱼邮件实例详细分析
  • 网络安全加固基准:CIS Benchmarks 2023年5月的更新...
  • CIS关键安全控制措施#1总览
  • Windows LAPS:本地管理员密码解决方案...
  • 从甲方角度浅析网络安全紫队
  • 微软安全合规工具包(SCT)操作实战...
  • 2022年甲方个人网络安全运维基础工具...
  • Linux服务器恶意代码防范
  • DNS子域名发掘工具两项
  • 网络安全日志收集甲方基础实践
  • Windows服务器如何设置Defender杀毒?
  • 应用网络安全加固基准:CIS Benchmarks 2024年3月及之前的更新...
  • 实测 Process Monitor 的系统启动日志功能确实强...
  • CIS关键安全控制措施集18项完整目录
  • 关于OpenSCAP/SCAP安全策略的介绍
  • 什么是网络行为异常检测(NBAD)?
  • 解读即将实施的 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》(下篇)...
  • 开源代码漏洞扫描器 OSV-Scanner 新增修复和离线功能...
  • MSSQL数据库自动备份和自动复制转移备份...
  • 深度配置Linux系统日志审计
  • 更多...