如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之十四:安全意识和技能培训

作者:Sender  来源:WaveCN.com  发布日期:2022-04-15  最后修改日期:2022-04-15

  CIS关键安全控制措施集(CIS Critical Security Controls,CIS Controls)系列介绍文章,本期介绍控制措施14:安全意识和技能培训

article banner

笔者:国际认证信息系统审计师、软考系统分析师

  控制措施14:安全意识和技能培训

  包含有9个细项,IG1前8项,IG2全9项,IG3全9项。

  这9项分别是:

  14.1 建立并维护一套安全意识计划。安全意识程序的目的是教育企业的员工如何以安全的方式与企业资产和数据进行交互。招聘员工时需要进行培训,并且至少每年一次或者在发生可能影响此安全措施的重大企业变革,进行审查和更新内容。

  14.2 培训员工识别社交工程攻击,如网络钓鱼、预发短信和尾随攻击。

  14.3 对员工进行身份认证最佳实践方式的培训。培训主题包括多因素验证(MFA)、密码组合和凭据管理。

  14.4 培训员工进行数据处理的最佳实践方式。培训员工如何识别和正确地存储、传输、归档和销毁敏感数据。包括培训员工的清理屏幕和桌面的最佳实践方式,例如当他们离开企业资产时锁定屏幕,在会议结束时删除物理或虚拟白板,以及安全地存储数据和资产。

  14.5 培训员工了解会导致意外数据暴露的因素,培训主题包括敏感数据的错误传递、丢失便携式终端用户设备或向非预期的用户发布数据。

  14.6 培训员工如何识别和报告安全事件,尤其是识别出潜在的事件,并能够报告此类事件。

  14.7 培训员工如何识别和报告他们的企业资产是否错过了安全更新。员工应能了解如何验证和报告过时的软件补丁,或自动化流程和工具中的任何故障。该培训的一部分应包括对自动化流程和工具中的任何故障通知IT支持人员。

  14.8 培训员工了解通过不安全的网络连接和传输企业数据的危险。如果企业有远程工作人员,培训必须包括书面指引,以确保所有用户都能按指引安全地配置其家庭网络基础设施。

  14.9 进行特定角色的安全意识和技能培训。包括为IT专业人员开设的安全系统管理课程,为web应用程序开发人员提供的OWASP®Top10漏洞意识和预防培训,以及针对高级企业角色的高级社交工程攻击防范意识的培训。

  控制措施14的目的是使企业能建立并维护一套安全意识计划,通过该计划影响员工的行为,使员工具有安全意识和适当的技能,以减少对企业的网络安全风险。

  有效的安全意识培训计划不应该仅仅是一个固定的,一年一次的培训视频,再加上定期的网络钓鱼测试。虽然需要进行年度培训,但也应该有更频繁的、关于安全的专题信息和通知。这可以包括以下情况:在媒体报道密码泄漏事件时提醒更改使用强密码,在年度纳税期间网络钓鱼攻击情况会增加,或提高节日期间警惕通过邮件传递恶意附件的意识。

  培训还应考虑企业不同的监管和威胁态势。比如金融公司可能在数据处理和使用方面有更多的合规相关培训,对于医疗保健企业是处理医疗保健数据,对于商家则是和处理信用卡数据相关。

  社交工程培训,如网络钓鱼测试,也应该包括对针对不同角色的战术的意识。例如,金融团队收到欺诈商务邮件(BEC),试图冒充高管,要求电汇;或收到来自被控制的合作伙伴或供应商的电子邮件,包含有要求进行付款的银行账户信息等情况。

  为了更全面地处理这一主题,以下资源有助于建立有效的安全意识程序:

NIST® SP 800-50 Infosec Awareness Training

https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-50.pdf

National Cyber Security Centre (UK)

https://www.ncsc.gov.uk/guidance/10-steps-user-education-and-awareness

EDUCAUSE

https://www.educause.edu/focus-areas-and-initiatives/policy-and-security/cybersecurity-program/awareness-campaigns

National Cyber Security Alliance (NCSA)

https://staysafeonline.org/

SANS

https://www.sans.org/security-awareness-training/resources

  对于如何配置家用路由器,可参考CIS 控制措施 7.1之远程工作及小型办公室网络安全指南:

https://www.cisecurity.org/white-papers/cis-controls-telework-and-small-office-network-security-guide/

本栏目相关
  •  2024-03-05 点评软件供应链安全框架 in-toto 的审计结果
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-08-28 网络攻防中的色彩象征
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-28 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一:总览
  •  2023-01-06 MSSQL数据库自动备份和自动复制转移备份
  • 微信订阅号二维码

    本页网址二维码: