CIS benchmark là gì? Tìm hiểu về chuẩn cấu hình bảo mật cho doanh nghiệp, tổ chức

Được phát triển bởi một cộng đồng các chuyên gia an ninh mạng toàn cầu, CIS Benchmarks là một tập hợp các phương pháp tối ưu nhất để cấu hình bảo mật cho các hệ thống CNTT, phần mềm, mạng và cơ sở hạ tầng đám mây.

CIS Benchmarks là gì?

Được phát hành bởi Trung tâm An ninh Internet (CIS), CIS Benchmarks là các phương pháp tối ưu trong ngành CNTT được lưu trữ lại dùng để định cấu hình bảo mật cho các hệ thống CNTT, phần mềm và mạng. Hiện tại, có tổng cộng hơn 140 CIS Benchmarks, trải dài trên bảy hạng mục công nghệ chủ chốt. CIS Benchmarks được phát triển thông qua một quá trình ra quyết định đồng thuận chung duy nhất của cộng đồng các chuyên gia an ninh mạng trên khắp thế giới. Mỗi thành viên trong cộng đồng không ngừng xác định, tinh chỉnh và phê chuẩn các phương pháp bảo mật tối ưu nhất trong các lĩnh vực của mình.

Thông tin về Trung tâm An ninh Internet (CIS)

CIS là một tổ chức phi lợi nhuận được thành lập vào tháng 10/2000. Tổ chức này được phát triển bởi một cộng đồng CNTT toàn cầu với mục tiêu chung là xác định, phát triển, xác thực, thúc đẩy và duy trì những giải pháp thực tiễn tốt nhất cho phòng thủ mạng. Trong những năm qua, CIS đã sản xuất và phân phối một số công cụ và giải pháp miễn phí để tăng cường an ninh mạng cho các doanh nghiệp thuộc mọi quy mô.

CIS được biết đến nhiều nhất với CIS Controls, một hướng dẫn toàn diện gồm 20 biện pháp bảo vệ và đối phó để phòng thủ an ninh mạng hiệu quả. CIS Controls cung cấp một danh sách biện pháp ưu tiên mà các tổ chức có thể thực hiện để giảm đáng kể tấn công bề mặt vào mạng của họ. CIS Benchmarks tham chiếu các kiểm soát này khi đưa ra những khuyến nghị để các cấu hình hệ thống được bảo mật tốt hơn.

CIS Benchmark được tổ chức như thế nào? 

Mỗi CIS Benchmark gồm có nhiều đề xuất cấu hình dựa trên một trong hai cấp độ cấu hình. Cấu hình Benchmark cấp 1 gồm có các cấu hình cơ bản dễ dàng triển khai và ảnh hưởng không đáng kể đến hoạt động của doanh nghiệp. Cấu hình Benchmark cấp 2 dùng cho môi trường bảo mật cao và cần nhiều sự điều phối và kế hoạch hơn để ít gây trở ngại trong vận hành doanh nghiệp.

Có 7 loại CIS Benchmarks chính:

1. Benchmark hệ điều hành bao gồm các cấu hình bảo mật của các hệ điều hành cốt lõi như Microsoft Windows, Linux và Apple OSX. Những benchmark này gồm có những hướng dẫn thực tiễn nhất cho việc hạn chế truy cập cục bộ và từ xa, hồ sơ người dùng, giao thức cài đặt trình điều khiển, và cấu hình của trình duyệt web.

2. Benchmark phần mềm máy chủ bao gồm các cấu hình bảo mật của phần mềm máy chủ được sử dụng rộng rãi, bao gồm Microsoft Windows Server, SQL Server, VMware, Docker, và Kubernetes. Các benchmark này gồm có các đề xuất để định cấu hình chứng chỉ Kubernetes PKI, cài đặt máy chủ API, kiểm soát quyền quản trị máy chủ, chính sách vNetwork và các giới hạn lưu trữ.

3. Benchmark của nhà cung cấp đám mây xử lý các cấu hình bảo mật cho Amazon Web Services (AWS), Microsoft Azure, Google, IBM và các đám mây công cộng (public cloud) phổ biến khác. Những benchmark này bao gồm các hướng dẫn để định cấu hình quản lý truy cập và nhận dạng (IAM), giao thức ghi nhật ký hệ thống, cấu hình mạng và các biện pháp tuân thủ quy định an toàn.

4. Benchmark của thiết bị di động dùng cho các hệ điều hành di động, bao gồm iOS và Android. Bên cạnh đó, benchmark này còn tập trung vào các lĩnh vực như các tùy chọn và cài đặt dành cho nhà phát triển, cấu hình quyền riêng tư của hệ điều hành, cài đặt trình duyệt và quyền truy cập ứng dụng.

5. Benchmark của  thiết bị mạng cung cấp các nguyên tắc cấu hình bảo mật chung và những nguyên tắc của nhà cung cấp cụ thể cho các thiết bị mạng và phần cứng tương thích như Cisco, Palo Alto Networks, Juniper…

6. Benchmark của phần mềm máy tính để bàn bao gồm các cấu hình bảo mật cho một số ứng dụng phần mềm máy tính để bàn được sử dụng phổ biến nhất, bao gồm Microsoft Office và Exchange Server, Google Chrome, Mozilla Firefox và Trình duyệt Safari. Các benchmark này tập trung vào cài đặt máy chủ và quyền riêng tư email, quản lý thiết bị di động, cài đặt trình duyệt mặc định và chặn phần mềm của bên thứ ba.

7. Benchmark của thiết bị in đa năng đề ra các phương pháp bảo mật cải tiến nhất để định cấu hình các máy in đa năng trong văn phòng đồng thời còn hoạt động trong những lĩnh vực như cập nhật chương trình cơ sở, cấu hình TCP / IP, cấu hình truy cập không dây, quản lý người dùng và chia sẻ tệp.

CIS Hardened Images

CIS cũng cung cấp các Hardened Image với cấu hình thiết lập sẵn cho phép các doanh nghiệp triển khai vận hành máy tính một cách hiệu quả cao mà không cần đầu tư thêm phần cứng hoặc phần mềm. Hardened image an toàn hơn nhiều so với các ảnh ảo tiêu chuẩn, và hạn chế đáng kể việc hình thành các lỗ hổng bảo mật dẫn đến các cuộc tấn công mạng.

CIS Hardened Images được thiết kế và thiết lập cấu hình theo CIS Benchmarks và CIS Controls. CIS Hardened Image này cũng được công nhận là hoàn toàn tuân thủ các tổ chức tuân thủ định khác nhau. CIS Hardened Image được cài đặt sẵn trong hầu hết các nền tảng điện toán đám mây chủ lực, và dễ dàng thực thi và quản lý.

CIS Benchmark và tuân thủ quy định

CIS Benchmark liên hệ chặt chẽ với các khung quy định về quyền riêng tư dữ liệu và bảo mật bao gồm khung an toàn thông tin của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST), tiêu chuẩn bảo mật dữ liệu PCI (PCI DSS), Đạo luật về trách nhiệm giải trình và cung cấp bảo hiểm y tế (HIPAA), và tiêu chuẩn ISO/EIC 2700. Do đó, bất kỳ tổ chức nào hoạt động trong ngành chịu sự chi phối của các loại nguyên tắc này có thể tiến bộ đáng kể trong việc tuân thủ bằng cách tuân thủ các CIS Benchmark. Ngoài ra, CIS Controls và CIS Hardened Images có thể giúp hỗ trợ các tổ chức trong việc tuân thủ Quy định bảo vệ dữ liệu chung của Liên minh Châu Âu (GDPR)

Lợi ích của CIS Benchmark

Mặc dù các doanh nghiệp luôn có quyền tự do lựa chọn cấu hình bảo mật, nhưng dưới đây là những đề xuất từ CIS Benchmark:

• Một tập hợp kiến thức chuyên môn của cộng đồng các chuyên gia an ninh mạng và CNTT toàn cầu.

• Hướng dẫn từng bước bảo mật cho mỗi lĩnh vực trong cơ sở hạ tầng CNTT được cập nhật thường xuyên.

• Tính nhất quán trong quản lý tuân thủ

• Một khuôn mẫu linh động để áp dụng các dịch vụ đám mây mới một cách an toàn và thực thi các chiến lược chuyển đổi kỹ thuật số.

• Các cấu hình dễ dàng triển khai để cải tiến tính hiệu quả và bền vững trong vận hành.

Theo ibm.