作为Cyber Essentials计划申请人,您必须确保您的组织满足所有要求。在您选择的认证机构授予您所寻求级别的认证之前,您可能还需要提供各种形式的证据。
2.查看五个技术控制主题中的每一个以及它们作为要求体现的控制。
3.根据需要采取措施,确保您的组织在您确定的范围内满足所有要求。
新增功能
添加了在家工作要求以及如何将其纳入认证范围的信息。
所有云服务现在都在范围内,添加了定义和共享责任表来帮助完成此操作。
更新了基于密码的身份验证要求,并添加了有关多重身份验证的新部分。此要求也已移至用户访问控制。
添加了一条新声明,阐明了将最终用户设备纳入认证范围。
有关添加到安全更新管理控件的不受支持的应用程序的更多信息。
从控件定义中删除了特定的“电子邮件、Web和应用程序服务器”,并替换为“服务器”。
定义
软件包括操作系统、商用现成应用程序、插件、解释器、脚本、库、网络软件和固件。
设备包括所有类型的主机、网络设备、服务器、网络和最终用户设备,如台式计算机、笔记本电脑、瘦客户端、平板电脑和移动电话(智能手机),无论是物理设备还是虚拟设备。
申请人是指寻求认证的组织,有时是指作为主要联系人的个人,具体取决于上下文。
企业VPN是一种虚拟专用网络解决方案,可连接回申请人的办公地点或虚拟/云防火墙。这必须由申请组织管理,以便可以应用防火墙控制。
组织数据包括属于申请组织的任何电子数据。例如电子邮件、办公文档、数据库数据、财务数据。
组织服务包括申请组织拥有或订阅的任何软件应用程序、云应用程序、云服务、用户交互式桌面和移动设备管理解决方案。例如:Web应用程序、Microsoft Office 365、Google Workspace、移动设备管理容器、Citrix Desktop、虚拟桌面解决方案、IP电话。
子集定义为组织的一部分,其网络通过防火墙或VLAN与组织的其余部分隔离。
服务器是作为申请人业务的一部分向其他设备提供组织数据或服务的特定设备。
许可和支持的软件是您拥有合法使用权的软件,并且供应商已承诺通过提供定期更新或补丁来支持该软件。供应商必须提供停止提供更新的未来日期。供应商不必是软件的原始创建者,但他们必须能够修改原始软件以创建更新。
范围
范围概述
评估和认证应涵盖用于执行申请人业务的整个IT基础设施,或者在必要时涵盖定义明确且单独管理的子集。无论哪种方式,都必须根据管理范围的业务部门、网络边界和物理位置明确定义范围的边界。在评估开始之前,申请人和认证机构必须商定范围。
子集可用于定义Cyber Essentials范围内的内容或范围之外的内容。
信息:选择包含整个IT基础架构的范围的组织可实现最佳保护并增强客户信心。
这些要求适用于范围范围内并满足以下任何条件的所有设备和软件:
可以接受来自不受信任的互联网连接主机的传入网络连接;或
自带设备(BYOD)
除了组织拥有的移动或远程设备外,访问组织数据或服务(定义见上文)的用户拥有的设备也在范围内。但是,所有移动或远程设备仅用于:
传统上,用户设备通过集中管理进行管理,确保整个组织的一致性。在这种情况下,安全控制的认证很简单,因为将有一个标准构建或参考进行评估。
BYOD使问题复杂化,因为用户可以更自由地“自定义”他们的体验,从而使控件的一致实施更具挑战性。使用组织数据和服务定义来强制实施强访问策略应该可以消除这种歧义。
在家工作
默认方法是,家庭位置内用于申请人业务目的的所有公司或BYOD家庭工作设备都在Cyber Essentials的范围内。
互联网服务提供商(ISP)路由器和用户提供的路由器超出范围,这意味着需要在用户设备上应用Cyber Essentials防火墙控制(例如软件防火墙)。
如果申请组织向家庭佣工提供路由器,则该路由器将在范围内。
如果家庭佣工使用的是公司VPN,则其互联网边界位于公司防火墙或虚拟/云防火墙上。
无线设备
如果攻击者不可能直接从互联网进行攻击,则不在范围内(Cyber Essentials方案不涉及只能从无线设备的信号范围内发起的攻击)
如果它们是家庭位置内ISP路由器的一部分,则不在范围内
外部托管服务—云
如果申请人的数据或服务托管在云服务上,则这些服务必须在范围内。在云服务中,申请人始终负责确保实施所有控制措施,但某些控制措施可以由云服务提供商实施。谁实施哪种控件取决于云服务的类型。我们考虑三种不同类型的云服务:
基础设施即服务(IaaS)-云提供商提供由申请人配置和管理的虚拟服务器和网络设备,就像物理设备一样。IaaS的例子包括Rackspace,Google Compute Engine或Amazon EC2。
平台即服务(PaaS)-云提供商提供和管理底层基础架构,申请人提供和管理应用程序。PaaS的示例包括Azure Web Apps和Amazon Web Services Lambda。
软件即服务(SaaS)-云提供商向申请人交付应用程序,申请人配置服务。申请人仍必须花时间确保安全配置服务。SaaS的例子包括Microsoft 365,Dropbox,Gmail。
谁实现控件将根据所用云服务的设计而有所不同,但下表作为通常应由谁实现每个控件的指南:
如果云提供商实施控制,申请人必须确信云提供商已承诺在合同条款或合同引用的文件(例如安全声明或隐私声明)中实施。云提供商通常会解释他们如何在信任中心发布的文档中实现安全性,其中包括对“责任共担模型”的引用。
如果申请人使用其他外部管理服务(例如远程管理),则申请人可能无法直接满足所有要求。申请人可以根据可行性选择是否将这些服务纳入范围。
如果包括在内,则申请人必须能够证明服务提供商充分满足了申请人无法控制的要求。可以考虑现有证据(例如通过云服务的PCI认证和涵盖适当范围的ISO 27001认证提供的证据)。
网络应用程序
默认情况下,由开发公司(而不是内部开发人员)创建且可从Internet公开访问的商业Web应用程序在范围内。Web应用程序的定制和自定义组件不在范围内。针对此类应用程序中漏洞的主要缓解措施是符合商业最佳实践(如开放Web应用程序安全项目(OWASP)标准)的可靠开发和测试。
按技术控制主题划分的要求
防火墙
适用于:边界防火墙;台式电脑;笔记本电脑;路由器;服务器;IaaS;PaaS;SaaS。
目的
介绍
所有设备都运行网络服务,这些服务与其他设备和服务创建某种形式的通信。通过限制对这些服务的访问,您可以减少遭受攻击的风险。这可以使用防火墙和等效的网络设备或云服务中的数据流策略来实现。
边界防火墙是一种网络设备,可以将入站和出站网络流量限制为其计算机和移动设备网络上的服务。它可以通过实施称为“防火墙规则”的限制来帮助防止网络攻击,这些限制可以根据流量的来源、目的地和通信协议类型允许或阻止流量。
或者,如果组织不控制设备连接到的网络,则必须在设备上配置软件防火墙。其工作方式与边界防火墙相同,但仅保护配置边界防火墙的单个设备。这种方法可以提供更量身定制的规则,并意味着这些规则适用于使用任何位置的设备。但是,这会增加管理防火墙规则的管理开销。
本技术控制主题的要求
范围内的每台设备都必须受到正确配置的防火墙(或等效网络设备)的保护。
信息:大多数台式机和笔记本电脑操作系统现在都预装了软件防火墙,我们建议优先打开这些防火墙而不是第三方防火墙应用程序。
对于所有防火墙(或等效的网络设备),申请组织必须定期:
将任何默认管理密码更改为难以猜测的替代密码(请参阅基于密码的身份验证),或完全禁用远程管理访问
阻止从Internet访问管理接口(用于管理防火墙配置),除非有明确且记录在案的业务需求,并且接口受以下控件之一保护:
-IP允许列表,限制对一小部分受信任地址的访问,并结合正确管理的密码身份验证方法
确保入站防火墙规则由授权人员批准和记录;业务需求必须包含在文档中
当不再需要不必要的防火墙规则时,快速删除或禁用它们
在不受信任的网络(如公共Wi-Fi热点)上使用的设备上使用软件防火墙。
安全配置
适用于:服务器;台式电脑;笔记本电脑;片;手机;瘦客户端;IaaS;PaaS;SaaS.
目的
介绍
计算机和网络设备的默认配置并不总是安全的。标准的开箱即用配置通常包括一个或多个弱点,例如:
具有预先确定的公开默认密码或未启用多重身份验证的管理账户
预先启用但不必要的用户账户(有时具有特殊访问权限)
计算机和网络设备的默认安装可以为网络攻击者提供各种机会,以未经授权访问组织的敏感信息-通常很容易。
通过在安装计算机和网络设备时应用一些简单的技术控制,您可以最大限度地减少固有漏洞并增强对常见类型网络攻击的保护。
本技术控制主题的要求
删除和禁用不必要的用户账户(例如来宾账户和管理)
更改任何默认或可猜测的账户密码(请参阅基于密码的身份验证)
删除或禁用不必要的软件(包括应用程序、系统实用程序和网络服务)
禁用任何允许在未经用户授权的情况下执行文件的自动运行功能(例如从Internet下载文件时)
在允许访问组织数据或服务之前,确保对用户进行身份验证
确保适当的设备锁定控制(请参阅下面的“设备锁定”,请参阅下面的“设备锁定”)
如果设备需要用户实际存在才能访问设备提供的服务(例如,笔记本电脑登录、手机解锁),则用户必须使用生物识别、密码或PIN等凭据解锁设备,然后才能访问服务。
生物识别测试、密码和PIN必须受到以下至少一项的保护,以防止暴力攻击:
“限制”尝试速率。这意味着用户在每次尝试之间必须等待的时间都会随着每次不成功的尝试而增加。这应该允许在5分钟内不超过10次猜测。
必须使用技术控制来管理凭据的质量。如果凭据仅用于解锁设备,则必须使用至少6个字符的最小密码或PIN长度。当设备解锁凭据在其他地方使用时,必须将“用户访问控制”中的完整密码要求应用于凭据。
用户访问控制
适用于:服务器;台式电脑;笔记本电脑;片;手机;IaaS;PaaS;SaaS。
目的
仅提供对用户执行其角色实际所需的应用程序、计算机和网络的访问
介绍
组织中的每个活动用户账户都有助于访问设备和应用程序以及敏感的业务信息。通过确保只有经过授权的个人才拥有用户账户,并且仅授予他们履行职责所需的访问权限,可以降低信息被盗或损坏的风险。
与普通用户账户相比,具有特殊访问权限的账户增强了对设备、应用程序和信息的访问。当此类账户遭到入侵时,可以利用其更大的自由度来促进信息的大规模损坏、业务流程中断以及对组织中其他设备的未经授权的访问。
例如,“管理账户”的特权特别高。此类账户通常允许:
所有类型的管理员都将拥有此类账户,包括域管理员和本地管理员。
现在考虑一下,如果用户打开恶意URL或电子邮件附件,则任何关联的恶意软件通常都以用户当前操作的账户的权限级别执行。显然,您必须特别注意特权账户的分配和使用。
示例:Jody使用管理账户登录。如果Jody打开恶意URL或电子邮件附件,则任何关联的恶意软件都可能获得管理权限。不幸的是,这正是发生的事情。使用Jody的管理权限,一种称为勒索软件的恶意软件会加密网络上的所有数据,然后要求赎金。勒索软件能够加密比标准用户权限更多的数据,使问题更加严重。
本技术控制主题的要求
申请人必须控制其用户账户以及授予有权访问组织数据和服务的每个用户账户的访问权限。重要的是,这包括第三方用于访问的账户,例如用于设备管理或支持服务的账户。它还必须了解用户账户如何进行身份验证并控制该身份验证的强度。
在授予对应用程序或设备的访问权限之前,使用唯一凭据对用户进行身份验证(请参阅基于密码的身份验证)
在不再需要时删除或禁用用户账户(例如,当用户离开组织时或在定义的账户不活动时间后)
实施MFA(如果可用)。对云服务的身份验证必须始终使用MFA。
仅使用单独的账户执行管理活动(不得发送电子邮件、Web浏览或其他可能使管理权限面临可避免风险的标准用户活动)
删除或禁用不再需要的特殊访问权限(例如,当员工更改角色时)
-“限制”尝试速率。这意味着用户在每次尝试之间必须等待的时间都会随着每次不成功的尝试而增加。这应该允许在5分钟内不超过10次猜测。
技术控制用于管理密码的质量。这将包括以下内容之一:
-最小密码长度至少为8个字符,没有最大长度限制,并使用拒绝列表自动阻止常用密码。
支持用户为其工作账户选择唯一的密码。这是通过以下方式实现的:
-教育人们如何避免使用常见或可发现的密码,例如宠物的名字、常见的键盘模式或他们在其他地方使用过的密码。这可能包括教人们使用某些密码管理器中内置的密码生成器功能。
-鼓励人们选择更长的密码。这可以通过促进使用多个单词(至少三个)来创建密码(例如,“三个随机单词”)来完成
-为密码(例如密码管理器或安全锁定柜)提供可用的安全存储,并提供有关如何以及何时使用密码的明确信息。
如果申请人知道或怀疑密码或账户已被泄露,则有一个既定的流程可以立即更改密码。
除了为不受其他技术控制(如上文)保护的密码提供额外保护外,还应始终使用多重身份验证为管理账户和可从Internet访问的账户提供额外保护。
多重身份验证方法的密码元素的密码长度必须至少为8个字符,没有最大长度限制。
应选择其他因素,以便它们可用且可访问。这可能需要用户测试来验证某个因素是否适合用户。有关更多信息,请参阅NCSC关于MFA的指南。
信息:SMS不是最安全的MFA类型,但与不使用任何MFA相比,它仍然具有巨大的优势。任何多因素身份验证都比根本没有要好。但是,如果有适用于您的用例的替代方案,我们建议您使用这些替代方案而不是SMS。
恶意软件防护
适用于:服务器、台式计算机;笔记本电脑;片;手机;IaaS;PaaS;SaaS。
目的
限制执行已知的恶意软件和不受信任的软件,以防止有害代码造成损害或访问敏感数据。
介绍
执行从互联网下载的软件可能会使设备受到恶意软件感染。恶意软件,如计算机病毒、蠕虫和间谍软件,是已编写的软件,并且故意分发以执行恶意操作。恶意软件感染的潜在来源包括恶意电子邮件附件、下载(包括来自应用程序商店的下载)以及直接安装未经授权的软件。
如果系统感染了恶意软件,您的组织可能会遇到系统故障、数据丢失或后续感染等问题,这些问题在其他地方造成伤害之前一直看不见。
您可以通过以下方式在很大程度上避免恶意软件的潜在危害:
在恶意软件造成伤害之前检测并禁用恶意软件(反恶意软件)
在控制对其他数据访问的环境中执行不受信任的软件(沙盒)
示例:Acme公司将代码签名与仅允许设备应用程序存储中经过审查的应用程序在设备上执行的规则一起实现。未签名和未经批准的应用程序将不会在设备上运行。用户只能安装受信任(允许列出)的应用程序这一事实可以降低恶意软件感染的风险。
本技术控制主题的要求
申请人必须在范围内的所有设备上实施恶意软件防护机制。对于每个此类设备,申请人必须至少使用下列三种机制中的一种:
软件(以及所有相关的恶意软件签名文件)必须保持最新,签名文件至少每天更新一次。这可以通过自动更新或集中管理的部署来实现。
必须将软件配置为在访问时自动扫描文件。这包括下载和打开文件的时间,以及从网络文件夹访问文件的时间。
当通过Web浏览器(无论是通过其他软件还是浏览器本身)访问网页时,软件必须自动扫描网页。
该软件必须防止连接到互联网上的恶意网站(例如,通过拒绝列表)——除非有明确的、有据可查的业务需求,并且申请人理解并接受相关风险。
仅允许受代码签名限制的已批准应用程序在设备上执行。申请人必须:
在将此类应用程序部署到设备之前主动批准此类应用程序
维护已批准应用程序的最新列表用户不得安装任何未签名或签名无效的应用程序。
所有来源不明的代码都必须在阻止访问其他资源的“沙盒”中运行
安全更新管理
适用于:服务器;台式电脑;笔记本电脑;片;手机;防火墙;路由器;IaaS;PaaS;SaaS。
目的
确保设备和软件不容易受到已知安全问题的影响,这些问题有可用的修复程序。
介绍
任何运行软件的设备都可能包含安全漏洞,称为“漏洞”。
个人或团体迅速滥用(或“利用”)漏洞来攻击具有这些弱点的组织中的计算机和网络。
警告:产品供应商以称为“补丁”或安全更新的软件更新的形式,为其仍支持的产品中识别的漏洞提供修复程序。这些可以立即提供给客户,也可以按定期发布计划(可能每月)提供。
本技术控制主题的要求
申请人必须确保所有范围内的软件都保持最新状态。作用域内设备上的所有软件必须:
更新,包括应用使更新生效所需的任何手动配置更改,在更新发布后的14天内*,其中:
-此更新修复了供应商描述为“严重”或“高风险”的漏洞
为了获得最佳安全性和易于实施,强烈建议(但不是强制性的)在14天内应用所有已发布的更新。
*尽快应用这些更新非常重要。14天被视为能够实施此要求的合理期限。更长的时间将构成严重的安全风险,而较短的期限可能不切实际。
信息:如果供应商使用不同的术语来描述漏洞的严重性,请参阅通用漏洞评分系统(CVSS)中的精确定义。就Cyber Essentials计划而言,“严重”或“高风险”漏洞是指CVSS3得分为7或以上或被供应商识别为“严重或高风险”的漏洞。
警告:某些供应商将具有不同严重性级别的多个问题的安全更新作为单个更新发布。如果此类更新涵盖任何“关键”或“高风险”问题,则必须在14天内安装。
进一步指导
备份您的数据
备份意味着创建信息的副本并将其保存到另一台设备或云存储(在线)。
定期备份意味着您将始终保存信息的最新版本。这将帮助您在数据丢失或被盗时更快地恢复。
您还可以打开自动备份。这会定期将您的信息保存到云存储中,而无需您记住。
如果您将信息备份到U盘或外部硬盘驱动器,请将其与U盘或外部硬盘驱动器断开连接
备份数据不是Cyber Essentials的技术要求;但是我们强烈建议实施适当的备份解决方案。
原文始发于微信公众号(祺印说信安):英国:网络基础-对IT基础架构的要求
评论