Cosa sono i benchmark CIS?
I benchmark CIS del Center for Internet Security (CIS) sono una serie di best practice riconosciute a livello globale e basate sul consenso per aiutare i professionisti della sicurezza a implementare e gestire le proprie difese in termini di sicurezza informatica. Sviluppate in collaborazione con una comunità globale di esperti di sicurezza, le linee guida aiutano le organizzazioni a tutelarsi in modo proattivo contro i rischi emergenti. Le aziende implementano le linee guida dei benchmark CIS per limitare le vulnerabilità relative alla sicurezza derivanti dalla configurazione nelle proprie risorse digitali.
Perché sono importanti i benchmark CIS?
Strumenti come i benchmark CIS sono importanti perché delineano le best practice in fatto di sicurezza, sviluppate da professionisti ed esperti in materia di sicurezza, per l'implementazione di prodotti di oltre 25 fornitori diversi. Queste best practice costituiscono un buon punto di partenza per creare un piano di implementazione di un nuovo prodotto o servizio o per verificare che le implementazioni esistenti siano sicure.
Con l'implementazione dei benchmark CIS, è possibile proteggere meglio i sistemi legacy dai rischi comuni ed emergenti adottando misure come quelle che seguono:
- Disabilitazione delle porte non utilizzate
- Rimozione delle autorizzazioni delle app non necessarie
- Limitazione dei privilegi degli amministratori
Anche i sistemi e le applicazioni IT funzionano meglio se si disattivano i servizi non necessari.
Esempio di benchmark CIS
Ad esempio, gli amministratori possono seguire le linee guida dettagliate del Benchmark CIS per AWS Foundations per definire una solida policy delle password per AWS Identity and Access Management (IAM). L'applicazione delle policy delle password, l'uso dell'autenticazione a più fattori (MFA), la disabilitazione della root, la rotazione delle chiavi di accesso ogni 90 giorni e altre tattiche sono linee guida distinte, ma correlate, per migliorare la sicurezza di un account AWS.
Adottando i benchmark CIS, l'organizzazione può ottenere diversi vantaggi in termini di sicurezza informatica, come ad esempio i seguenti:
Linee guida sulla sicurezza informatica degli esperti
I benchmark CIS forniscono alle organizzazioni un quadro di configurazioni di sicurezza verificate e comprovate da esperti. Le aziende possono evitare scenari basati sui tentativi che mettono a rischio la sicurezza e beneficiare dell'esperienza di una comunità IT e di sicurezza informatica diversificata.
Standard di sicurezza riconosciuti a livello mondiale
I benchmark CIS sono le uniche guide di best practice riconosciute e accettate a livello globale da governi, aziende, istituti di ricerca e accademici. Grazie alla comunità globale e diversificata che lavora su un modello decisionale basato sul consenso, i benchmark CIS si contraddistinguono per un'applicabilità e un'accettabilità molto più ampie rispetto alle leggi e agli standard di sicurezza regionali.
Prevenzione delle minacce a costi contenuti
La documentazione dei benchmark CIS può essere scaricata e implementata da chiunque gratuitamente. L'azienda può ottenere gratuitamente istruzioni aggiornate e dettagliate per tutti i tipi di sistemi IT. È possibile garantire la governance IT e contrastare i danni finanziari e di reputazione derivanti da minacce informatiche evitabili.
Conformità normativa
I benchmark CIS sono in linea con i principali framework per la sicurezza e la privacy dei dati, come ad esempio quelli che seguono:
- Framework per la sicurezza informatica del National Institute of Standards and Technology (NIST) degli Stati Uniti
- Health Insurance Portability and Accountability Act (HIPAA).
- Standard Payment Card Industry Data Security (PCI DSS)
L'implementazione dei benchmark CIS è un grande passo verso la conformità per le organizzazioni che operano in settori fortemente regolamentati, che in questo modo possono prevenire i problemi di conformità derivanti da sistemi IT non correttamente configurati.
Quali tipi di sistemi IT coprono i benchmark CIS?
Il CIS ha pubblicato oltre 100 benchmark che coprono le famiglie di prodotti di oltre 25 fornitori. Applicando e monitorando i benchmark CIS su tutti i tipi di sistemi IT, si crea un ambiente IT intrinsecamente sicuro che può essere ulteriormente difeso con soluzioni di sicurezza. Le tecnologie coperte dai benchmark CIS possono essere raggruppate nelle seguenti sette ampie categorie.
Sistemi operativi
I benchmark CIS per i sistemi operativi forniscono configurazioni di sicurezza standard per i sistemi operativi più diffusi, tra cui Amazon Linux, e comprendono le best practice per funzioni come le seguenti:
- Controllo degli accessi al sistema operativo
- Policy di gruppo
- Impostazioni per i browser Web
- Gestione delle patch
Infrastruttura e servizi cloud
I benchmark CIS per l'infrastruttura cloud forniscono standard di sicurezza che le aziende possono utilizzare per configurare in modo sicuro gli ambienti cloud, come quelli forniti da AWS. Le linee guida includono le best practice per le impostazioni delle reti virtuali, le configurazioni di AWS Identity and Access Management (IAM), i controlli di conformità e sicurezza e altro ancora.
Software server
I benchmark CIS per i software server offrono linee guida per la configurazione e raccomandazioni per le impostazioni dei server, i controlli di amministrazione dei server, le impostazioni di archiviazione e i software server dei fornitori più diffusi.
Software desktop
I benchmark CIS coprono la maggior parte dei software desktop utilizzati dalle aziende. Le linee guida includono le best practice per la gestione delle funzionalità dei software desktop, come ad esempio le seguenti:
- Software desktop di terze parti
- Impostazioni per i browser
- Privilegi per l'accesso
- Account degli utenti
- Gestione dei dispositivi client
Dispositivi mobili
I benchmark CIS per i dispositivi mobili riguardano le configurazioni di sicurezza per i sistemi operativi che funzionano su telefoni cellulari, tablet e altri dispositivi portatili. Forniscono raccomandazioni per le impostazioni dei browser mobili, i permessi delle applicazioni, le impostazioni della privacy e altro ancora.
Dispositivi di rete
I benchmark CIS forniscono inoltre configurazioni di sicurezza per dispositivi di rete come firewall, router, switch e reti private virtuali (VPN). Contengono raccomandazioni sia neutre che specifiche a seconda del fornitore, per garantire la sicurezza dell'impostazione e della gestione di questi dispositivi di rete.
Dispositivi di stampa multifunzione
I benchmark CIS per le periferiche di rete come stampanti multifunzione, scanner e fotocopiatrici coprono le best practice per la configurazione sicura come le impostazioni di condivisione dei file, le restrizioni di accesso e gli aggiornamenti dei firmware.
Cosa sono i livelli dei benchmark CIS?
Per aiutare le organizzazioni a raggiungere i propri obiettivi di sicurezza, il CIS assegna un livello di profilo a ciascuna linea guida dei benchmark CIS. Ogni profilo CIS include raccomandazioni che comportano un diverso livello di sicurezza. Le organizzazioni possono scegliere un profilo in base alle proprie esigenze di sicurezza e conformità.
Profilo di Livello 1
Le raccomandazioni per la configurazione dei profili di Livello 1 sono raccomandazioni di sicurezza di base per la configurazione dei sistemi IT, sono facili da seguire e non incidono sulla funzionalità aziendale o sui tempi di attività. Queste raccomandazioni riducono il numero di punti di accesso ai sistemi IT, riducendo così i rischi legati alla sicurezza informatica.
Profilo di Livello 2
Le raccomandazioni per la configurazione dei profili di Livello 2 sono ottimali per i dati altamente sensibili in cui la sicurezza costituisce una priorità. L'implementazione di queste raccomandazioni richiede competenze professionali e una pianificazione scrupolosa per ottenere la massima sicurezza con il minino numero di interruzioni. L'implementazione delle raccomandazioni per profili di Livello 2 contribuisce inoltre al raggiungimento della conformità normativa.
Profilo STIG
La Security Technical Implementation Guide (STIG) è un insieme di linee guida per la configurazione della Defense Information Systems Agency (DISA) degli Stati Uniti, Il Dipartimento della Difesa statunitense pubblica e mantiene aggiornati questi standard di sicurezza. Le STIG sono redatte specificamente per soddisfare i requisiti del governo statunitense.
I benchmark CIS specificano anche un profilo STIG di Livello 3, progettato per aiutare le organizzazioni a rispettare le STIG. Il profilo STIG contiene raccomandazioni di Livello 1 e Livello 2 specifiche per le STIG e comprende altre raccomandazioni che gli altri due profili non trattano, ma che sono richieste dalle STIG della DISA.
La configurazione dei sistemi secondo i benchmark CIS per STIG rende l'ambiente IT conforme sia al CIS che alle STIG.
Come vengono sviluppati i benchmark CIS?
Le community del CIS seguono un processo unico basato sul consenso per sviluppare, approvare e mantenere aggiornati i benchmark CIS per i diversi sistemi di destinazione. Nel complesso, il processo di sviluppo dei benchmark CIS si presenta come segue:
- La community identifica la necessità di un benchmark specifico.
- La community stabilisce l'ambito di applicazione del benchmark.
- Volontari creano discussioni sul sito Web della community CIS WorkBench.
- Gli esperti della community CIS del sistema IT specifico si dedicano alla revisione e alla discussione della bozza di lavoro.
- Gli esperti creano, discutono e testano le loro raccomandazioni fino a raggiungere un consenso.
- Finalizzano il benchmark e lo pubblicano sul sito Web del CIS.
- Altri volontari della community intervengono nella discussione sul benchmark CIS.
- Il team di consenso analizza i feedback di coloro che hanno implementato il benchmark.
- Il team apporta revisioni e aggiornamenti nelle nuove versioni del benchmark CIS.
Il rilascio di nuove versioni dei benchmark CIS dipende anche da modifiche o aggiornamenti dei sistemi informatici corrispondenti.
Come è possibile implementare i benchmark CIS?
Ogni benchmark CIS include una descrizione della raccomandazione, il motivo della raccomandazione e le istruzioni che gli amministratori di sistema possono seguire per implementarla correttamente. Ogni benchmark può essere composto da diverse centinaia di pagine, poiché copre ogni area del sistema IT di destinazione.
L'implementazione dei benchmark CIS e il mantenimento di tutti i rilasci di versione diventano complicati se eseguiti manualmente, ecco perché molte organizzazioni utilizzano strumenti automatizzati per monitorare la conformità al CIS. Il CIS offre anche strumenti gratuiti e premium che possono essere utilizzati per analizzare i sistemi IT e generare report di conformità al CIS. Questi avvisano gli amministratori di sistema se le configurazioni esistenti non soddisfano le raccomandazioni dei benchmark CIS.
Quali altre risorse di sicurezza sono incluse nei benchmark CIS?
Il CIS pubblica anche altre risorse per migliorare la sicurezza Internet di un'organizzazione, comprese le seguenti due risorse principali.
Controlli CIS
I controlli CIS (precedentemente noti come CIS Critical Security Controls) sono un'altra risorsa che il CIS pubblica come guida completa alle best practice per la sicurezza di sistemi e reti. La guida contiene una checklist di 20 elementi di protezione e azioni ad alta priorità che si sono dimostrati efficaci contro le minacce in fatto di sicurezza informatica più pericolose e distruttive per i sistemi IT.
I controlli CIS corrispondono alla maggior parte dei principali standard e quadri normativi, come ad esempio i seguenti:
- Framework per la sicurezza informatica del National Institute of Standards and Technology (NIST) degli Stati Uniti
- NIST 800-53
- Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS), Federal Information Security Management Act (FISMA) e altri afferenti alla serie di norme ISO 27000
I controlli CIS offrono un punto di partenza per seguire uno dei seguenti framework di conformità:
Benchmark CIS e controlli CIS
I controlli CIS sono linee guida piuttosto generiche per la sicurezza di interi sistemi e reti, mentre i benchmark CIS sono raccomandazioni molto specifiche per le configurazioni di sistemi sicuri. I benchmark CIS sono un passo fondamentale per l'implementazione dei controlli CIS, perché ogni raccomandazione del benchmark CIS si riferisce a uno o più controlli CIS.
Ad esempio, il controllo CIS 3 suggerisce configurazioni hardware e software sicure per i sistemi informatici. I benchmark CIS riportano indicazioni neutre e specifiche per il fornitore, insieme a istruzioni dettagliate che gli amministratori possono seguire per implementare il controllo CIS 3.
Immagini rafforzate CIS
Una macchina virtuale (VM) è un ambiente informatico virtuale che emula l'hardware di un computer dedicato. Le immagini VM sono modelli che gli amministratori di sistema utilizzano per creare rapidamente più macchine virtuali con configurazioni di sistemi operativi simili. Tuttavia, se l'immagine VM è configurata in modo errato, anche le istanze della macchina virtuale create da essa saranno configurate in modo errato e risulteranno vulnerabili.
Il CIS offre immagini rafforzate CIS, che sono immagini VM già configurate secondo gli standard dei benchmark CIS.
Vantaggi dell'utilizzo delle immagini rafforzate CIS
Le immagini rafforzate CIS sono utili perché offrono le seguenti caratteristiche:
- Preconfigurazione secondo le linee guida dei benchmark CIS
- Gestione e implementazione semplificate
- Aggiornamenti e patch a cura del CIS
A seconda delle esigenze di sicurezza e conformità, è possibile scegliere immagini rafforzate CIS configurate con un profilo di Livello 1 o 2.
Come utilizzare i benchmark CIS su AWS?
Il CIS è un partner fornitore di software indipendente (ISV) di AWS e AWS è un'azienda membro dei benchmark di sicurezza del CIS. I benchmark CIS includono linee guida per configurazioni sicure per un sottoinsieme di servizi cloud AWS e per le impostazioni a livello di account.
Ad esempio, il CIS descrive le impostazioni di configurazione per le best practice per AWS nei benchmark CIS, come i seguenti:
- Benchmark CIS per AWS Foundations
- Benchmark CIS per Amazon Linux 2
- Benchmark CIS per Amazon Elastic Kubernetes Service (EKS)
- Benchmark per l’elaborazione degli utenti finali AWS
Puoi inoltre accedere a immagini rafforzate CIS di Amazon Elastic Compute Cloud (EC2) nel Marketplace AWS, in modo da essere certi che le immagini di Amazon EC2 soddisfino i benchmark CIS.
Allo stesso modo, è possibile automatizzare i controlli perché l'implementazione AWS soddisfi le raccomandazioni stabilite nello standard per i benchmark di base CIS per AWS. La Centrale di sicurezza AWS supporta lo standard per i benchmark di base CIS per AWS, che consiste in 43 controlli e 32 requisiti secondo il Payment Card Industry Data Security Standard (PCI DSS) su 14 servizi AWS. Una volta abilitata, la Centrale di sicurezza AWS inizia immediatamente a eseguire controlli di sicurezza continui e automatici su ogni controllo e su ogni risorsa pertinente associata al controllo.
Assicura la conformità CIS per la tua infrastruttura cloud e inizia a lavorare con AWS creando un account AWS gratuito oggi stesso.
Fasi successive per i benchmark CIS in AWS
Ottieni accesso istantaneo al piano gratuito di AWS.