SecHard
5.2.1. CIS V7.1 Compliance
- seda peker
- Abdullah Can Çakar
The Center for Internet Security (CIS) tarafından yayınlanan "CIS Controls v7.1" adlı güvenlik kontrol listesine uyumluluk anlamına gelir. Bu kontrol listesi, kuruluşlar için bir dizi temel güvenlik kontrolünü tanımlamaktadır.
CIS V7.1 Compliance'ın amacı, kuruluşları siber saldırılara karşı korumaktır. Bu amaçla, kontrol listesinde bilgi güvenliğinin temel ilkeleri olan gizlilik, bütünlük ve erişilebilirlik kapsamında çeşitli tedbirlere yer verilmiştir. Bu tedbirler arasında, erişim kontrolü, veri şifreleme, ağ güvenliği, sistem güncellemeleri ve personel eğitimi gibi önlemler yer almaktadır.
CIS V7.1 Compliance, CIS tarafından çıkarılmıştır. Bu kontrol listesi, 2022 yılında yayınlanmıştır.
CIS V7.1 Compliance, her türden kuruluş için faydalı olabilir. Ancak, özellikle aşağıdaki kuruluşlar için kullanılması önerilir:
· Kritik altyapıya sahip kuruluşlar
· Büyük ve karmaşık kuruluşlar
· Siber saldırılara karşı hassas olan kuruluşlar
CIS V7.1 Compliance'ın sağladığı faydalar şunlardır:
· Kuruluşları siber saldırılara karşı korur.
· Kuruluşların bilgi güvenliği risklerini azaltır.
· Kuruluşların uyumluluk yükümlülüklerini yerine getirmesine yardımcı olur.
· Kuruluşların itibarını güçlendirir.
CIS V7.1 Compliance'a uyum sağlamak için, kuruluşların kontrol listesinde yer alan tedbirleri almaları gerekmektedir. Bu tedbirlerin alınması, kuruluşların siber saldırılara karşı korunmasına yardımcı olacaktır.
CIS V7.1 Compliance'ın kapsamı, bilgi güvenliğinin tüm unsurlarını kapsamaktadır. Bu unsurlar arasında, bilgi ve iletişim sistemleri, bilgi ve iletişim sistemlerinde kullanılan yazılım ve donanım, bilgi ve iletişim sistemlerine erişim sağlayan kişiler ve bilgi ve iletişim sistemlerinde işlenen veriler yer almaktadır.
CIS V7.1 Compliance'a uyum sağlamak için, kuruluşların aşağıdaki adımları atmaları gerekmektedir:
Kontrol listesini inceleyin ve kuruluşunuz için önemli olan kontrolleri belirleyin.
Belirlediğiniz kontroller için eylem planları geliştirin.
Eylem planlarını uygulayın ve kontrollerin etkinliğini değerlendirin.
CIS V7.1 Compliance, kuruluşların siber saldırılara karşı korunmasına yardımcı olacak önemli bir araçtır.
Madde | Sechard Tarafından Uygulanabilirlik |
|---|---|
1.1 - Utilize an Active Discovery Tool | Uygulanabilir |
1.2 - Use a Passive Asset Discovery Tool | Uygulanabilir Değil |
1.3 - Use DHCP Logging to Update Asset Inventory | Uygulanabilir Değil |
1.4 - Maintain Detailed Asset Inventory | Uygulanabilir |
1.5 - Maintain Asset Inventory Information | Uygulanabilir |
1.6 - Address Unauthorized Assets | Uygulanabilir |
1.7 - Deploy Port Level Access Control | Uygulanabilir |
1.8 - Utilize Client Certificates to Authenticate Hardware Assets | Uygulanabilir Değil |
2.1 - Maintain Inventory of Authorized Software | Uygulanabilir |
2.1 - Physically or Logically Segregate High Risk Applications | Uygulanabilir Değil |
2.2 - Ensure Software is Supported by Vendor | Uygulanabilir |
2.3 - Utilize Software Inventory Tools | Uygulanabilir |
2.4 - Track Software Inventory Information | Uygulanabilir |
2.5 - Integrate Software and Hardware Asset Inventories | Uygulanabilir |
2.6 - Address unapproved software | Uygulanabilir |
2.7 - Utilize Application Whitelisting | Uygulanabilir Değil |
2.8 - Implement Application Whitelisting of Libraries | Uygulanabilir Değil |
2.9 - Implement Application Whitelisting of Scripts | Uygulanabilir Değil |
3.1 - Run Automated Vulnerability Scanning Tools | Uygulanabilir |
3.2 - Perform Authenticated Vulnerability Scanning | Uygulanabilir Değil |
3.3 - Protect Dedicated Assessment Accounts | Uygulanabilir Değil |
3.4 - Deploy Automated Operating System Patch Management Tools | Uygulanabilir Değil |
3.5 - Deploy Automated Software Patch Management Tools | Uygulanabilir Değil |
3.6 - Compare Back-to-Back Vulnerability Scans | Uygulanabilir |
3.7 - Utilize a Risk-Rating Process | Uygulanabilir |
4.1 - Maintain Inventory of Administrative Accounts | Uygulanabilir |
4.2 - Change Default Passwords | Uygulanabilir Değil |
4.3 - Ensure the Use of Dedicated Administrative Accounts | Uygulanabilir Değil |
4.4 - Use Unique Passwords | Uygulanabilir Değil |
4.5 - Use Multi-Factor Authentication for All Administrative Access | Uygulanabilir Değil |
4.6 - Use Dedicated Workstations For All Administrative Tasks | Uygulanabilir Değil |
4.7 - Limit Access to Script Tools | Uygulanabilir |
4.8 - Log and Alert on Changes to Administrative Group Membership | Uygulanabilir Değil |
4.9 - Log and Alert on Unsuccessful Administrative Account Login | Uygulanabilir Değil |
5.1 - Establish Secure Configurations | Uygulanabilir |
5.2 - Maintain Secure Images | Uygulanabilir Değil |
5.3 - Securely Store Master Images | Uygulanabilir Değil |
5.4 - Deploy System Configuration Management Tools | Uygulanabilir Değil |
5.5 - Implement Automated Configuration Monitoring Systems | Uygulanabilir Değil |
6.1 - Utilize Three Synchronized Time Sources | Uygulanabilir Değil |
6.2 - Activate Audit Logging | Uygulanabilir Değil |
6.3 - Enable Detailed Logging | Uygulanabilir Değil |
6.4 - Ensure Adequate Storage for Logs | Uygulanabilir Değil |
6.5 - Central Log Management | Uygulanabilir Değil |
6.6 - Deploy SIEM or Log Analytic Tools | Uygulanabilir Değil |
6.7 - Regularly Review Logs | Uygulanabilir Değil |
6.8 - Regularly Tune SIEM | Uygulanabilir Değil |
7.1 - Sandbox All Email Attachments | Uygulanabilir Değil |
7.1 - Ensure Use of Only Fully Supported Browsers and Email Clients | Uygulanabilir |
7.2 - Disable Unnecessary or Unauthorized Browser or Email Client Plugins | Uygulanabilir |
7.3 - Limit Use of Scripting Languages in Web Browsers and Email Clients | Uygulanabilir |
7.4 - Maintain and Enforce Network-Based URL Filters | Uygulanabilir Değil |
7.5 - Subscribe to URL-Categorization Service | Uygulanabilir Değil |
7.6 - Log All URL requester | Uygulanabilir Değil |
7.7 - Use of DNS Filtering Services | Uygulanabilir Değil |
7.8 - Implement DMARC and Enable Receiver-Side Verification | Uygulanabilir Değil |
7.9 - Block Unnecessary File Types | Uygulanabilir Değil |
8.1 - Utilize Centrally Managed Anti-malware Software | Uygulanabilir Değil |
8.2 - Ensure Anti-Malware Software and Signatures Are Updated | Uygulanabilir Değil |
8.3 - Enable Operating System Anti-Exploitation Features/Deploy Anti-Exploit Technologies | Uygulanabilir Değil |
8.4 - Configure Anti-Malware Scanning of Removable Devices | Uygulanabilir Değil |
8.5 - Configure Devices to Not Auto-Run Content | Uygulanabilir Değil |
8.6 - Centralize Anti-Malware Logging | Uygulanabilir Değil |
8.7 - Enable DNS Query Logging | Uygulanabilir Değil |
8.8 - Enable Command-Line Audit Logging | Uygulanabilir |
9.1 - Associate Active Ports Services and Protocols to Asset Inventory | Uygulanabilir |
9.2 - Ensure Only Approved Ports Protocols and Services Are Running | Uygulanabilir |
9.3 - Perform Regular Automated Port Scans | Uygulanabilir |
9.4 - Apply Host-Based Firewalls or Port-Filtering | Uygulanabilir Değil |
9.5 - Implement Application Firewalls | Uygulanabilir Değil |
10.1 - Ensure Regular Automated BackUps | Uygulanabilir Değil |
10.2 - Perform Complete System Backups | Uygulanabilir Değil |
10.3 - Test Data on Backup Media | Uygulanabilir Değil |
10.4 - Protect Backups | Uygulanabilir |
10.5 - Ensure All Backups Have at Least One Offline Backup Destination | Uygulanabilir Değil |
11.1 - Maintain Standard Security Configurations for Network Devices | Uygulanabilir Değil |
11.2 - Document Traffic Configuration Rules | Uygulanabilir Değil |
11.3 - Use Automated Tools to Verify Standard Device Configurations and Detect Changes | Uygulanabilir |
11.4 - Install the Latest Stable Version of Any Security-Related Updates on All Network Devices | Uygulanabilir Değil |
11.5 - Manage Network Devices Using Multi-Factor Authentication and Encrypted Sessions | Uygulanabilir Değil |
11.6 - Use Dedicated Machines For All Network Administrative Tasks | Uygulanabilir Değil |
11.7 - Manage Network Infrastructure Through a Dedicated Network | Uygulanabilir Değil |
12.1 - Maintain an Inventory of Network Boundaries | Uygulanabilir Değil |
12.1 - Decrypt Network Traffic at Proxy | Uygulanabilir Değil |
12.2 - Scan for Unauthorized Connections Across Trusted Network Boundaries | Uygulanabilir Değil |
12.3 - Deny Communications With Known Malicious IP Addresses | Uygulanabilir Değil |
12.4 - Deny Communication Over Unauthorized Ports | Uygulanabilir Değil |
12.5 - Configure Monitoring Systems to Record Network Packets | Uygulanabilir Değil |
12.6 - Deploy Network-Based IDS Sensors | Uygulanabilir Değil |
12.7 - Deploy Network-Based Intrusion Prevention Systems | Uygulanabilir Değil |
12.8 - Deploy NetFlow Collection on Networking Boundary Devices | Uygulanabilir Değil |
12.9 - Deploy Application Layer Filtering Proxy Server | Uygulanabilir Değil |
12.11 - Require All Remote Login to Use Multi-Factor Authentication | Uygulanabilir Değil |
12.12 - Manage All Devices Remotely Logging into Internal Network | Uygulanabilir Değil |
13.1 - Maintain an Inventory of Sensitive Information | Uygulanabilir |
13.2 - Remove Sensitive Data or Systems Not Regularly Accessed by Organization | Uygulanabilir Değil |
13.3 - Monitor and Block Unauthorized Network Traffic | Uygulanabilir Değil |
13.4 - Only Allow Access to Authorized Cloud Storage or Email Providers | Uygulanabilir Değil |
13.5 - Monitor and Detect Any Unauthorized Use of Encryption | Uygulanabilir Değil |
13.6 - Encrypt Mobile Device Data | Uygulanabilir Değil |
13.7 - Manage USB Devices | Uygulanabilir Değil |
13.8 - Manage Systems External Removable Medias Read/Write Configurations | Uygulanabilir Değil |
13.9 - Encrypt Data on USB Storage Devices | Uygulanabilir Değil |
14.1 - Segment the Network Based on Sensitivity | Uygulanabilir Değil |
14.2 - Enable Firewall Filtering Between VLANs | Uygulanabilir Değil |
14.3 - Disable Workstation to Workstation Communication | Uygulanabilir Değil |
14.4 - Encrypt All Sensitive Information in Transit | Uygulanabilir Değil |
14.5 - Utilize an Active Discovery Tool to Identify Sensitive Data | Uygulanabilir |
14.6 - Protect Information Through Access Control Lists | Uygulanabilir Değil |
14.7 - Enforce Access Control to Data Through Automated Tools | Uygulanabilir Değil |
14.8 - Encrypt Sensitive Information at Rest | Uygulanabilir Değil |
14.9 - Enforce Detail Logging for Access or Changes to Sensitive Data | Uygulanabilir Değil |
15.1 - Maintain an Inventory of Authorized Wireless Access Points | Uygulanabilir |
15.1 - Create Separate Wireless Network for Personal and Untrusted Devices | Uygulanabilir Değil |
15.2 - Detect Wireless Access Points Connected to the Wired Network | Uygulanabilir Değil |
15.3 - Use a Wireless Intrusion Detection System | Uygulanabilir Değil |
15.4 - Disable Wireless Access on Devices if Not Required | Uygulanabilir Değil |
15.5 - Limit Wireless Access on Client Devices | Uygulanabilir Değil |
15.6 - Disable Peer-to-Peer Wireless Network Capabilities on Wireless Clients | Uygulanabilir Değil |
15.7 - Leverage the Advanced Encryption Standard (AES) to Encrypt Wireless Data | Uygulanabilir Değil |
15.8 - Use Wireless Authentication Protocols That Require Mutual Multi-Factor Authentication | Uygulanabilir Değil |
15.9 - Disable Wireless Peripheral Access of Devices | Uygulanabilir Değil |
16.1 - Ensure All Accounts Have An Expiration Date | Uygulanabilir |
16.1 - Maintain an Inventory of Authentication Systems | Uygulanabilir |
16.2 - Configure Centralized Point of Authentication | Uygulanabilir |
16.3 - Require Multi-Factor Authentication | Uygulanabilir Değil |
16.4 - Encrypt or Hash all Authentication Credentials | Uygulanabilir |
16.5 - Encrypt Transmittal of Username and Authentication Credentials | Uygulanabilir |
16.6 - Maintain an Inventory of Accounts | Uygulanabilir |
16.7 - Establish Process for Revoking Access | Uygulanabilir |
16.8 - Disable Any Unassociated Accounts | Uygulanabilir Değil |
16.9 - Disable Dormant Accounts | Uygulanabilir Değil |
16.11 - Lock Workstation Sessions After Inactivity | Uygulanabilir Değil |
16.12 - Monitor Attempts to Access Deactivated Accounts | Uygulanabilir Değil |
16.13 - Alert on Account Login Behavior Deviation | Uygulanabilir Değil |
17.1 - Perform a Skills Gap Analysis | Uygulanabilir Değil |
17.2 - Deliver Training to Fill the Skills Gap | Uygulanabilir Değil |
17.3 - Implement a Security Awareness Program | Uygulanabilir Değil |
17.4 - Update Awareness Content Frequently | Uygulanabilir Değil |
17.5 - Train Workforce on Secure Authentication | Uygulanabilir Değil |
17.6 - Train Workforce on Identifying Social Engineering Attacks | Uygulanabilir Değil |
17.7 - Train Workforce on Sensitive Data Handling | Uygulanabilir Değil |
17.8 - Train Workforce on Causes of Unintentional Data Exposure | Uygulanabilir Değil |
17.9 - Train Workforce Members on Identifying and Reporting Incidents | Uygulanabilir Değil |
18.1 - Deploy Web Application Firewalls | Uygulanabilir Değil |
18.1 - Establish Secure Coding Practices | Uygulanabilir Değil |
18.2 - Ensure That Explicit Error Checking is Performed for All In-House Developed Software | Uygulanabilir Değil |
18.3 - Verify That Acquired Software is Still Supported | Uygulanabilir Değil |
18.4 - Only Use Up-to-Date and Trusted Third-Party Components | Uygulanabilir Değil |
18.5 - Use Only Standardized and Extensively Reviewed Encryption Algorithms | Uygulanabilir Değil |
18.6 - Ensure Software Development Personnel are Trained in Secure Coding | Uygulanabilir Değil |
18.7 - Apply Static and Dynamic Code Analysis Tools | Uygulanabilir Değil |
18.8 - Establish a Process to Accept and Address Reports of Software Vulnerabilities | Uygulanabilir Değil |
18.9 - Separate Production and Non-Production Systems | Uygulanabilir Değil |
18.11 - Use Standard Hardening Configuration Templates for Databases | Uygulanabilir Değil |
19.1 - Document Incident Response Procedures | Uygulanabilir Değil |
19.2 - Assign Job Titles and Duties for Incident Response | Uygulanabilir Değil |
19.3 - Designate Management Personnel to Support Incident Handling | Uygulanabilir Değil |
19.4 - Devise Organization-wide Standards for Reporting Incidents | Uygulanabilir Değil |
19.5 - Maintain Contact Information For Reporting Security Incidents | Uygulanabilir Değil |
19.6 - Publish Information Regarding Reporting Computer Anomalies and Incidents | Uygulanabilir Değil |
19.7 - Conduct Periodic Incident Scenario Sessions for Personnel | Uygulanabilir Değil |
19.8 - Create Incident Scoring and Prioritization Schema | Uygulanabilir Değil |
20.1 - Establish a Penetration Testing Program | Uygulanabilir Değil |
20.2 - Conduct Regular External and Internal Penetration Tests | Uygulanabilir Değil |
20.3 - Perform Periodic Red Team Exercises | Uygulanabilir Değil |
20.4 - Include Tests for Presence of Unprotected System Information and Artifacts | Uygulanabilir Değil |
20.5 - Create Test Bed for Elements Not Typically Tested in Production | Uygulanabilir Değil |
20.6 - Use Vulnerability Scanning and Penetration Testing Tools in Concert | Uygulanabilir |
20.7 - Ensure Results from Penetration Test are Documented Using Open Machine-readable Standards | Uygulanabilir Değil |
20.8 - Control and Monitor Accounts Associated with Penetration Testing | Uygulanabilir Değil |
SecHard