Pubblicati dal Center for Internet Security (CIS), i benchmark CIS sono best practice per configurare in modo sicuro sistemi IT, software, reti e infrastrutture cloud.
I benchmark CIS sono sviluppati attraverso un processo basato sul consenso che coinvolge comunità di professionisti di cybersecurity di tutto il mondo. Questi esperti identificano, perfezionano e convalidano continuamente le best practice di sicurezza nelle loro aree di interesse per aiutare le organizzazioni a proteggere i propri asset digitali dai rischi informatici.
Il CIS ha pubblicato oltre 100 benchmark CIS, che coprono 8 categorie tecnologiche di base e oltre 25 famiglie di prodotti di fornitori.1 Sono disponibili tramite download gratuito in PDF per uso non commerciale.
I benchmark CIS aiutano le organizzazioni a migliorare il loro livello di sicurezza seguendo standard di sicurezza prescrittivi e riconosciuti a livello globale e linee guida per la difesa informatica. Inoltre, supportano anche casi d'uso aziendali come la conformità normativa, la governance IT e la politica di sicurezza.
Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.
Fondata nell'ottobre 2000, CIS è un'organizzazione senza scopo di lucro la cui missione è "rendere il mondo connesso un luogo più sicuro sviluppando, convalidando e promuovendo soluzioni tempestive di best practice che aiutino le persone, le aziende e i governi a proteggersi dalle minacce informatiche pervasive".2
Le CIS Benchmarks Communities, un gruppo di oltre 12.000 professionisti della sicurezza IT che contribuiscono allo sviluppo delle best practice CIS, sono aperte a chiunque voglia contribuire. Le community sono composte da volontari e comprendono esperti in materia, fornitori, redattori tecnici, tester e altri membri del CIS provenienti da tutto il mondo.
Il CIS è anche sede del Multi-State Information Sharing and Analysis Center (MS-ISAC), che fornisce risorse per la prevenzione, la protezione, la risposta e il recupero delle minacce informatiche per gli enti di governo statali, locali, tribali e territoriali (SLTT) degli Stati Uniti. È anche la sede dell'Elections Infrastructure Information Sharing and Analysis Center (EI-ISAC), che supporta le esigenze di cybersecurity degli uffici elettorali statunitensi.3
I livelli di profilo CIS si riferiscono a diversi livelli di raccomandazione per la sicurezza e contengono più configurazioni per prodotti diversi.
Il livello 1 riguarda configurazioni di base più facili da implementare e con un impatto minimo sulle funzionalità aziendali.
Il livello 2 si applica agli ambienti ad alta sicurezza che richiedono maggiore coordinamento e pianificazione per l'implementazione con interruzioni aziendali minime.
STIG è un insieme di linee di base di configurazione che affrontano la Security Technical Implementation Guide (STIG), standard di sicurezza pubblicati e gestiti dal Dipartimento della difesa degli Stati Uniti (DOD) per soddisfare i requisiti del governo degli statunitense.
Il profilo STIG del CIS aiuta le organizzazioni a conformarsi alle linee guida dello STIG. I sistemi di sicurezza configurati con STIG soddisfano i requisiti di conformità CIS e STIG.
Come accennato in precedenza, ci sono oltre 100 benchmark CIS raggruppati in 8 categorie di tecnologia IT, tra cui:
Questa categoria riguarda le configurazioni di sicurezza dei sistemi operativi principali, come Microsoft Windows, Linux e macOS di Apple. Queste includono le linee guida sulle best practice per le restrizioni di accesso locale e accesso remoto, i profili utente, l'autenticazione, i protocolli di installazione driver e le configurazioni dei browser internet.
Questa categoria riguarda le configurazioni di sicurezza di software server ampiamente utilizzati, tra cui Microsoft Windows Server, SQL Server e VMware. Supporta anche piattaforme di containerizzazione open source, come Docker e Kubernetes.
I benchmark includono consigli per la configurazione dei certificati Kubernetes PKI (Public Key Infrastructure), delle impostazioni del server application programming interface (API), dei controlli di amministrazione del server, delle politiche di vNetwork e delle restrizioni di storage.
Questa categoria riguarda le configurazioni di sicurezza per Amazon Web Services (AWS), Microsoft Azure, Google, IBM® e altri ambienti cloud pubblici popolari. I benchmark includono linee guida sulla sicurezza cloud per la configurazione della gestione delle identità e degli accessi (IAM), i protocolli di registrazione del sistema, le configurazioni di rete e le garanzie di conformità normativa.
Questa categoria si rivolge ai sistemi operativi mobile, inclusi iOS e Android, e si concentra su aree come le opzioni e le impostazioni per gli sviluppatori, le configurazioni della privacy del sistema operativo, le impostazioni del browser e le autorizzazioni delle app.
Questa categoria offre linee guida generali e specifiche per la configurazione della sicurezza dei dispositivi di rete e dell'hardware applicabile di Cisco, Palo Alto Networks, Juniper e altri.
Questa categoria riguarda le configurazioni di sicurezza per alcune delle applicazioni più comunemente utilizzate, tra cui Microsoft Office e Exchange Server, Google Chrome, Mozilla Firefox e il browser Safari. Questi benchmark si concentrano sulla privacy delle email e sulle impostazioni del server, sul mobile device management, sulle impostazioni predefinite del browser e sul blocco di software di terze parti.
Questa categoria delinea le best practice di sicurezza per la configurazione delle stampanti multifunzione in ufficio. Riguarda l'aggiornamento del firmware, le configurazioni TCP/IP, la configurazione dell'accesso wireless, la gestione degli utenti, la condivisione di file e altro ancora.
Questa categoria riguarda la supply chain del software e aiuta i team a proteggere le pipeline DevSecOps. Offre best practice per i controlli di sicurezza durante tutto il ciclo di vita dello sviluppo del software, dalla progettazione iniziale all'integrazione, al test, alla consegna e all'implementazione.
Nel corso degli anni, il CIS ha prodotto e distribuito altri strumenti gratuiti e soluzioni a pagamento che supportano i benchmark CIS. Queste risorse aiutano le organizzazioni a rafforzare ulteriormente la propria preparazione in materia di cybersecurity.
Precedentemente nota come SANS Critical Security Controls (SANS Top 20 Controls), la CIS Critical Security Controls (CSC) è una guida completa di 18 misure di sicurezza e contromisure per una difesa informatica efficace. Chiamati anche CIS Controls, sono gratuiti e forniscono una lista di controllo prioritaria che le organizzazioni possono implementare per ridurre significativamente la superficie degli attacchi informatici.
I benchmark CIS fanno riferimento a queste best practices di cybersecurity quando si riferiscono alle raccomandazioni per configurazioni di sistema più sicure.
Il CIS offre anche immagini rinforzate preconfigurate che consentono alle aziende di eseguire operazioni informatiche in modo conveniente senza dover investire in hardware o software aggiuntivi. Le immagini rinforzate sono molto più sicure delle immagini virtuali standard e limitano in modo significativo le vulnerabilità di sicurezza che possono portare a un attacco informatico.
Le immagini con protezione avanzata CIS sono progettate e configurate in conformità ai benchmark CIS e ai controlli CIS e sono riconosciute come pienamente conformi a varie organizzazioni di conformità normativa. Le immagini protezione avanzata CIS sono disponibili in quasi tutte le principali piattaforme di cloud computing e sono facili da distribuire e gestire.
Il programma di affiliazione CIS SecureSuite fornisce alle organizzazioni strumenti e risorse per la cybersecurity. L'iscrizione è gratuita per il governo e le istituzioni accademiche SLTT (statali, locali, tribali e territoriali) statunitensi, mentre le opzioni di pagamento variano per gli utenti commerciali e gli enti governativi all'estero.
CIS WorkBench è una piattaforma centralizzata che riunisce CIS Controls e CIS benchmark Communities, consentendo la collaborazione per lo sviluppo continuo dei benchmark CIS.
Disponibile per i membri del CIS SecureSuite, il CIS SecureSuite Build Kit è costituito da risorse che forniscono l'automazione della sicurezza e la correzione dei sistemi secondo i benchmark CIS.
Il CIS Configuration Assessment Tool (CAT) fornisce scansioni automatiche delle impostazioni di configurazione di un sistema rispetto ai benchmark CIS. È disponibile per i membri CIS SecureSuite.
CIS-CAT Lite è uno strumento gratuito per la valutazione dei sistemi IT. Rispetto al CIS-Cat Pro, questa versione limitata offre valutazioni di livello base rispetto a un numero inferiore di benchmark CIS.
I benchmark CIS aiutano le organizzazioni con strategie di governance, rischio e conformità (GRC) a gestire la governance e i rischi mantenendo la conformità alle normative di governo e settori.
I benchmark CIS sono strettamente allineati o "mappati" ai framework di sicurezza e privacy dei dati. Di conseguenza, qualsiasi organizzazione che opera in un settore governato da questo tipo di normative può fare progressi significativi verso la conformità aderendo ai benchmark CIS. Questi enti di regolamentazione includono:
Sebbene le aziende siano sempre libere di fare le proprie scelte in merito alle configurazioni di sicurezza, i benchmark CIS offrono una serie di vantaggi:
1 CIS Benchmarks List, Center for Internet Security Inc. (CIS)
2 Getting to know the CIS Benchmarks, Center for Internet Security, Inc. (CIS)
3 About us, Center for Internet Security, Inc. (CIS)