효과적인 사이버 방어를 위한 CIS의 중요 보안 제어

CIS Controls(이전의 Center for Internet Security Critical Security Controls for Effective Cyber Defense)는 컴퓨터 보안을 위한 베스트 프랙티스 가이드라인의 발행물입니다.이 프로젝트는 2008년 초 미국 방위 산업 ^[1]기반 내 조직이 경험하는 극심한 데이터 손실에 대응하여 시작되었습니다.이 출판물은 처음에 SANS Institute에 의해 개발되었습니다.소유권은 2013년 사이버보안심의회(CCS)로 넘어갔으며 2015년 인터넷보안센터(CIS)로 넘어갔다.이것은 원래 컨센서스 감사 가이드라인으로 알려져 있으며 CIS CSC, CIS 20, CCS CSC, SANS Top 20 또는 CAG 20으로도 알려져 있습니다.

목표들

이 가이드라인은 조직이 기존의 공격을 차단하거나 완화하기 위해 구현해야 하는 18개의 주요 액션(원래 20개)으로 구성됩니다.제어는 주로 자동화된 수단을 사용하여 ^[2]구현, 시행 및 감시할 수 있도록 설계되었습니다.보안 제어는 IT ^[3]담당자가 쉽게 이해할 수 있는 언어로 작성된, 사이버 보안에 대한 실행 가능한 권장 사항을 제공합니다.컨센서스 감사 가이드라인의 목표는 다음과 같습니다.

• 사이버 공격을 활용하여 사이버 방어에 대한 정보 제공, 고수익 영역 집중
• 보안 투자가 가장 큰 위협에 대처하는 데 집중되도록 보장합니다.
• 자동화 기능을 최대한 활용하여 보안 제어를 실시함으로써 인적 오류를 무효화한다.
• 컨센서스 프로세스를 사용하여 최선의^[4] 아이디어를 수집하다

컨트롤

버전 8은 2021년 5월 18일에 출시되었습니다.https://www.cisecurity.org/media-mention/center-for-internet-security-updates-cis-controls-with-focus-on-cloud-mobile-and-remote-work/

IG(Implementation Groups)는 CIS 제어 구현의 우선순위를 정하는 권장 지침이다.

CIS Controls v8은 구현 그룹 1(IG1)을 기본적인 사이버 위생으로 정의하고 모든 기업에 대한 새로운 최소 정보 보안 표준을 나타냅니다.

IG1은 CIS 통제에 대한 진입로이며 56개의 사이버 방어 세이프가드 기본 세트로 구성되어 있다.IG1에 포함된 세이프가드는 가장 일반적인 공격으로부터 보호하기 위해 모든 기업이 적용해야 하는 것입니다.https://www.cisecurity.org/controls/cis-controls-list/

IG2는 74개의 추가 세이프가드로 구성되며 IG1에서 식별된 56개의 세이프가드를 기반으로 구축된다.

IG2용으로 선정된 74가지 세이프가드는 보안 팀이 증가하는 운영 복잡성에 대처하는 데 도움이 됩니다.일부 세이프가드는 적절한 설치와 구성을 위해 엔터프라이즈급 기술과 전문 지식을 활용합니다.

IG2 기업에서는 IT인프라스트럭처의 관리와 보호를 담당하는 개인을 채용하고 있습니다.이러한 기업은 일반적으로 직무 및 임무에 따라 리스크 프로파일이 다른 여러 부서를 지원합니다.소규모 기업 유닛에는 법령 준수에 대한 부담이 있을 수 있습니다.IG2 기업은 중요한 클라이언트 또는 엔터프라이즈 정보를 저장 및 처리하는 경우가 많으며 짧은 서비스 중단에도 견딜 수 있습니다.가장 큰 우려는 위반이 발생할 경우 공신력을 잃는 것이다.

IG(Implementation Groups)는 CIS 제어 구현의 우선순위를 정하는 권장 지침이다.

IG3는 23개의 추가 세이프가드로 구성됩니다.IG1(56)과 IG2(74)에서 식별된 안전장치에 기초해 CIS 제어 v8에서 153개의 안전장치에 합산한다.

IG3 기업에서는 일반적으로 사이버 보안의 다양한 측면(예: 리스크 관리, 침투 테스트, 애플리케이션 보안)을 전문으로 하는 보안 전문가를 고용합니다.IG3 자산 및 데이터에는 규제 및 컴플라이언스 감독 대상이 되는 중요한 정보 또는 기능이 포함되어 있습니다.IG3 기업은 서비스의 가용성, 기밀 데이터의 기밀성 및 무결성에 대처해야 합니다.공격이 성공하면 공공 복지에 심각한 해를 끼칠 수 있다.

IG3에 대해 선택된 세이프가드는 숙련된 적의 표적 공격을 줄이고 제로 데이 공격의 영향을 줄여야 합니다.

다음은 v8의 CIS 컨트롤 목록입니다.

CIS 제어 1: 기업 자산의 인벤토리 및 관리

CIS 제어 2: 소프트웨어 자산의 인벤토리 및 제어

CIS 제어 3: 데이터 보호

CIS Control 4: 엔터프라이즈 자산 및 소프트웨어의 안전한 설정

CIS 제어 5: 계정 관리

CIS Control 6: 접근컨트롤 관리

CIS Control 7: 지속적인 취약성 관리

CIS 제어 8: 감사 로그 관리

CIS Control 9: 전자 메일 웹 브라우저 및 보호

CIS Control 10: 말웨어 방어

CIS Control 11: 데이터 복구

CIS 컨트롤 12: 네트워크 인프라스트럭처 관리

CIS 컨트롤 13: 네트워크 감시 및 방어

CIS Control 14: 보안 의식 및 스킬 트레이닝

CIS 제어 15: 서비스 공급자 관리

CIS 제어 16: 응용 프로그램소프트웨어 보안

CIS 제어 17: 사고 대응 관리

CIS 제어 18: 침투 테스트

https://www.cisecurity.org/controls/cis-controls-list/

CIS RAM

버전 8의 공개와 함께 CIS는 2021년 10월 CIS 제어 v8을 위한 CIS 위험 평가 방법(RAM) v2.0도 공개했다.최신 릴리스는 CIS RAM v2.1입니다.CIS RAM은 "CIS Critical Security Controls(CIS 제어)^[5] 구현을 위한 투자를 정당화하는 데 도움이 되도록 설계된 리스크 평가 방법"입니다.CIS RAM v2.1은 "CIS 제어 구현 그룹(IGS)과 연계하여 3가지 수준의 기능을 가진 기업을 지원하기 위한 3가지 접근방식을 제공합니다."CIS는 새로운 버전이 출시될 때마다 사용자를 안내하기 위해 일련의 웨비나를 개발했습니다.구현 그룹 2(IG2) 워크숍을^[6] 위한 CIS 위험 평가 방법(RAM) v2.1은 2022년 2월에 실시되었으며, 기록을 이용할 수 있다.2022년 6월에 CIS는 "IG3를 ^[7]위해 CIS RAM v2.1을 사용하여 위험 평가를 수행하는 방법"을 검토하는 다른 웨비나를 실시할 예정이다. 이 일련의 웨비나는 CIS와 CIS RAM의 주요 작성자인 Chris Cronin에 의해 모델레이트 및 수행되었다.

버전 7.1은 2019년 ^[8]4월 4일에 출시되었습니다.

CSC 1: 하드웨어 자산의 인벤토리 및 제어 CSC 2: 소프트웨어 자산의 인벤토리 및 제어 CSC 3: 지속적인 취약성 평가 및 복구 CSC 4: 관리자 권한의 사용 제어 CSC 5: 모바일 디바이스, 노트북 및 워크스테이션에서의 하드웨어 및 소프트웨어 보안 설정감사 로그 분석 CSC 7: 이메일 및 웹 브라우저 보호 CSC 8: 멀웨어 방어 CSC 9: 네트워크 포트, 프로토콜 및 서비스의 제한 및 제어 CSC 10: 데이터 복구 기능 CSC 11: 방화벽, CSC 스위치 등의 네트워크 디바이스용 보안 설정필요한 CSC 15: 무선 액세스컨트롤 CSC 16: 계정 감시 및 제어 CSC 17: 보안 인식 및 훈련 프로그램 CSC 18: 응용 프로그램소프트웨어 보안 CSC 19: 사고 응답 및 관리 CSC 20: 침입 테스트

구현 그룹

버전 7.1에서는 실장 그룹이 ^[9]도입되어 컨트롤은 다음 3개의 섹션으로 나누어져 있습니다.

• 실시 그룹 1: 모든 기업(소규모에서 대규모)에 적용 가능
• 도입 그룹 2: 기밀 정보 저장을 위한 추가 관리
• 구현 그룹 3: 매우 중요한 정보에 대한 추가 관리

실장 그룹에서는 소규모 기업이 모든 CIS 제어에 준거할 필요는 없습니다.

이전 버전

버전 2.1은 2009년8월 10일에 출시되었습니다.버전 3.0은 2011년 4월 13일에 출시되었습니다.버전 5.0은 CCS(Council on Cyber Security)^[10]에 의해 2014년 2월 2일에 출시되었습니다.버전 6.0은 2015년 10월 15일에 출시되었습니다.버전 6.1은 2016년 8월 31일에 출시되었으며 버전 6과 동일한 우선 순위를 가집니다.버전 7은 2018년 ^[11]3월 19일에 출시되었습니다.버전 7.1은 2019년 4월 4일에 출시되었습니다.

버전 5와 비교하여 버전 6/6.1에서는 컨트롤의 우선순위가 변경되어 다음 2개의 컨트롤이 변경되었습니다.

• 'Secure Network Engineering'은 버전5에서는 CSC 19였지만 버전 6/6.1에서는 삭제되었습니다.
• 'CSC 7: Email and Web Browser Protection'은 버전 6/6.1에 추가되었습니다.

버전 ^[12]7에서는 컨트롤 3, 4, 5가 재편성되었습니다.컨트롤 1-6은 "기본", 7-16은 "기본", 17-20은 "조직"으로 간주됩니다.또한 CIS 제어를 합리적으로 구현하기 위한 정보 보안 위험 평가 방법인 CIS RAM을 출시했다.^[13]

기부자

컨센서스 감사 가이드라인(CAG)은 미국 정부기관, 상업용 법의학 전문가 및 펜 ^[15]테스터로부터 100명 이상의 기부자로^[14] 구성된 컨소시엄에 의해 작성되었습니다.초안 작성자는 다음과 같은 구성원을 포함한다.

• 미국 국가안보국 레드팀 블루팀
• 미국 국토안보부, US-CERT
• 미국 국방성 컴퓨터 네트워크 방어 아키텍처 그룹
• 미국 국방성 합동 태스크포스 - 글로벌 네트워크 운용 (JTF-GNO)
• 미국 국방부 사이버 범죄 센터(DC3)
• 미국 에너지부 로스앨러모스 국립연구소, 그리고 다른 3개의 국립연구소.
• 미국 국무부, CISO 사무소
• 미국 공군
• 미국 육군 연구소
• 미국 교통부 CIO 사무실
• 미국 보건복지부 CISO 사무소
• 미국 정부 어카운터빌리티 오피스(GAO)
• MITRE 코퍼레이션
• SANS^[1] 연구소

주목할 만한 결과

2009년부터 미 국무부는 컨센서스 감사 가이드라인을 사용하여 리스크 스코어링 프로그램의 일부를 보완하기 시작했다.동성의 측정에 의하면, 이 어프로치를 사용한 사이트 스코어링의 첫 해에, 동성은 해외 사이트에서는 주요 미분류 네트워크의 전체적인 리스크를 거의 90%, 국내 ^[16]사이트에서는 89% 삭감했습니다.

외부 링크

• 'CIS Critical Security Controls(CIS Critical Security Controls)' 웹 사이트(인터넷 보안 센터)
• CIS CSC 버전6 pdf로의 직접 링크(Internet Security 센터)
• CIS CSC 버전 6.1 pdf로의 직접 링크(Internet Security 센터)
• 「Symantec™Risk Automation Suite를 사용한 CAG(Consensus Audit Guidelines) 대응」백서(Symantec Corporation 백서)
• "Fast Track to Consensum Audit Guidelines #8 (CAG 8 ) Compliance" 기사 (Lieberman Software Corporation 후원 블로그에 게재)
• "CIS Controls Introduction - SANs Back to Basics" 백서(Tripwire, Inc.의 백서)
• "기관들이 20개의 중요한 통제를 거부하는 이유"
• "그렇지 않은 20가지 컨트롤"
• "CIS 제어 v8을 위한 CIS 위험 평가 방법(RAM) v2.0"
• "CIS RAM v2.1 다운로드 링크(Internet Security 및 HALOCK Security^[17] Labs 센터 작성)

레퍼런스