מה זה CIS Benchmarks?
CIS Benchmarks הם קווים מנחים ואמות מידה שפותחו על ידי CIS (Center for Internet Security),
ארגון ללא מטרות רווח, שמטרתו לשפר את אבטחת המידע והגנת הסייבר בעולם.
CIS Benchmarks הם סטנדרטים פתוחים שמספקים המלצות להגדרות מאובטחות
(Secure Configuration Guidelines) עבור מערכות, תוכנות, ושירותים טכנולוגיים.
הם מבוססים על ניסיון תעשייתי, מחקר והסכמה רחבה בין מומחי אבטחת סייבר.
למה משמשים CIS Benchmarks?
CIS Benchmarks משמשים בעיקר לשיפור האבטחה של מערכות וטכנולוגיות בארגון.
השימוש העיקרי בהם הוא למנוע פרצות אבטחה, להגן על נתונים רגישים, ולעמוד בדרישות רגולטוריות.
הנה פירוט של השימושים המרכזיים:
הקשחת מערכות (System Hardening)
CIS Benchmarks מספקים הנחיות להגדרה מאובטחת של מערכות הפעלה, תוכנות, רשתות ושירותים.
המטרה היא להפחית את שטח התקיפה של המערכת על ידי הסרת פונקציות מיותרות, פורטים פתוחים,
ושירותים לא נחוצים.
לדוגמה:
השבתת פורטים שאינם בשימוש או התקנת עדכוני אבטחה קריטיים.
עמידה ברגולציות ותקנים
ארגונים נדרשים לעמוד בדרישות רגולציה (כגון GDPR, HIPAA, PCI DSS).
CIS Benchmarks עוזרים לעמוד בהן על ידי יצירת סביבה מאובטחת.
לדוגמה:
קביעת מדיניות סיסמאות מחמירה או הגבלת הרשאות משתמשים.
זיהוי וניהול סיכונים
CIS Benchmarks מסייעים בזיהוי תצורות בעייתיות במערכות שיכולות להוביל לאיומי סייבר.
הם מספקים תהליכים להקשחת התצורה, מה שמקטין סיכונים בצורה משמעותית.
יצירת סביבה אחידה ובטוחה
במערכות מורכבות עם תשתיות מגוונות, CIS Benchmarks מספקים סטנדרטים אחידים
שמבטיחים הגדרות עקביות בין המערכות.
הם מקלים על ניהול ואבטחת המערכות בארגון גדול.
כלים להערכה ושיפור מתמיד
באמצעות כלי ניתוח כמו CIS-CAT, ניתן לבדוק התאמה של המערכות
לסטנדרטים ולתקן סטיות.
הכלים מאפשרים תהליך אוטומטי ומתמשך לשמירה על רמת אבטחה גבוהה.
הגנה מפני איומי סייבר
הטמעת CIS Benchmarks מגינה על מערכות מפני איומים כמו:
התקפות פישינג.
גניבת נתונים.
התקפות כופר (Ransomware).
הקלת תהליכי ביקורת (Audit)
CIS Benchmarks מהווים בסיס ברור ומוגדר לצורך ביקורת פנימית וחיצונית
על תהליכי האבטחה.
לדוגמה:
בעת בדיקה חיצונית, ניתן להציג עמידה מלאה באמות המידה של CIS.
שיפור האמינות העסקית
מערכות מאובטחות ואמינות מאפשרות לארגונים לספק שירותים בצורה יציבה יותר
ולבנות אמון עם לקוחות ושותפים.
הליך יישום CIS Benchmarks
הליך יישום CIS Benchmarks כולל מספר שלבים ברורים שמטרתם לוודא שכל מערכת מוגדרת
בהתאם להנחיות המאובטחות.
הנה הפירוט של השלבים:
הערכת מצב קיים
מיפוי מערכות:
זיהוי כל המערכות, התשתיות, והיישומים הקיימים בארגון
(שרתים, תחנות עבודה, שירותי ענן וכו’).
בדיקת הגדרות נוכחיות:
השוואת הגדרות המערכת הקיימות לאמות המידה של CIS כדי לזהות פערים.
ניתן להשתמש בכלים כמו CIS-CAT להערכת תאימות אוטומטית.
בחירת ה-CIS Benchmark המתאים
יש לבחור את ה-CIS Benchmark המתאים למערכת/שירות הרלוונטי,
לדוגמה: Windows Server, Ubuntu, Docker, AWS.
יש להוריד את הקובץ הרשמי מאתר CIS (חינם בהרשמה).
ניתוח והבנת הדרישות
יש לקרוא בעיון את המדריך של ה-CIS Benchmark הנבחר.
חשוב להבין אילו הגדרות מאובטחות מומלצות ומה השפעתן על המערכת.
תכנון והטמעה
תכנון שינויים:
קביעת סדרי עדיפויות (מה לתקן קודם).
תכנון זמנים לביצוע שינויים.
ווידוא שכל שינוי תואם את דרישות הארגון.
בדיקות מוקדמות:
יש לבדוק את השינויים במערכת בדיקות או בסביבה מבודדת (Sandbox)
כדי לוודא שאין השפעה שלילית על ביצועי המערכת.
יישום שינויים
עדכון תצורות המערכת לפי ההמלצות.
לדוגמה: השבתת פורטים לא בשימוש, קביעת מדיניות סיסמאות, הגבלת הרשאות.
ניתן ליישם את השינויים ידנית או בעזרת כלים אוטומטיים, כמו:
Ansible, Chef, Puppet להגדרה אוטומטית.
CIS WorkBench לשינויים ישירים.
אימות התאימות
הרצת כלי בדיקה, כמו CIS-CAT Pro, כדי לוודא שכל השינויים יושמו בהצלחה.
תיעוד של כל הפעולות שבוצעו.
הדרכה ותקשורת פנים-ארגונית
הדרכת צוותי IT ואבטחת מידע על החשיבות של הגדרות מאובטחות.
הסבר על הגדרות חדשות כדי למנוע תקלות או שימוש שגוי.
ניטור ותחזוקה מתמשכת
ניטור מתמיד של המערכת כדי לזהות שינויים לא מורשים.
עדכון הגדרות בהתאם להמלצות חדשות שמפרסם CIS.
ביצוע סריקות תקופתיות כדי לשמור על תאימות.
ביקורת ועדכונים
קיום ביקורות שוטפות להערכת התאימות והבטחת שמירה על הסטנדרטים.
מעקב אחר עדכונים חדשים של ה-CIS Benchmarks ושיפור מתמיד של המערכת.
כלי CIS Benchmarks
להלן הכלים העיקריים המסייעים ביישום CIS Benchmarks
ובבקרה על תאימות הגדרות אבטחה:
CIS-CAT Pro
כלי רשמי של CIS המאפשר סריקה אוטומטית ובדיקת התאימות של המערכות
ל-CIS Benchmarks.
תכונות עיקריות:
זיהוי פערים בתצורה.
יצירת דוחות תאימות מפורטים.
מתן המלצות לתיקון.
שימושים:
מתאים לסריקות תכופות וביצוע מעקב אחר שיפורים.
Ansible Playbooks for CIS
אוסף תהליכים אוטומטיים (Playbooks) שמיועדים להחיל את ההמלצות
של CIS Benchmarks באמצעות Ansible.
יתרונות:
פריסה מהירה של הגדרות מאובטחות.
אפשרות לניהול הגדרות מרחוק.
שימושים:
פרויקטים עם צורך ביישום מסיבי של הגדרות מאובטחות.
Chef Compliance
פלטפורמה לניהול תאימות אבטחת מידע שמבוססת על Chef.
תכונות עיקריות:
בדיקות תאימות רציפות.
תיקון אוטומטי של הגדרות שגויות.
שימושים:
ארגונים עם תשתיות מורכבות.
Puppet with CIS Modules
כלי לניהול תצורה אוטומטי שמספק מודולים מובנים ליישום CIS Benchmarks.
יתרונות:
יישום מדויק של הגדרות.
ניהול מבוזר של תצורות.
OpenSCAP
כלי קוד פתוח המאפשר סריקה ואימות תאימות לתקנים, כולל CIS Benchmarks.
תכונות עיקריות:
בדיקות תאימות מבוססות SCAP.
שילוב קל בסביבות Linux.
שימושים:
מתאים לארגונים המחפשים פתרון קוד פתוח.
CIS Build Kits
חבילות מוכנות שמספקות תצורה מאובטחת מראש בהתאם ל-CIS Benchmarks.
יתרונות:
הטמעה קלה ומהירה.
מותאמות לסביבות ענן ושרתים פיזיים.
SCAP Compliance Checker
כלי קוד פתוח נוסף לבדיקה והערכה של תצורות מערכת לפי תקנים כמו CIS.
שימושים:
קל לשימוש בסביבות Linux.
Cloud-Native Security Tools
שירותי אבטחה בענן כמו:
AWS Security Hub: סריקות אבטחה ומעקב אחרי תאימות CIS בענן AWS.
Azure Security Center: בדיקות תאימות ב-Azure, כולל CIS Benchmarks.
Google Cloud Security Command Center: זיהוי וטיפול בפערי אבטחה ב-GCP.
Splunk or ELK for Monitoring
ניתן לשלב כלים כמו Splunk או ELK Stack לניטור ודיווח על תאימות בזמן אמת.
שימושים:
מעקב שוטף והתרעות אוטומטיות על פערי תאימות.
DevSec Hardening Framework
פרויקט קוד פתוח המבוסס על Ansible ו-Terraform, שמציע תצורות מאובטחות
לפי CIS Benchmarks.
יתרונות:
אוטומציה בתשתיות קלאוד.
אינטגרציה עם כלים מודרניים.
CIS WorkBench
פורטל רשמי של CIS להורדה וניהול של Benchmarks וכלים נלווים.
שימושים:
בסיס מידע להנחיות CIS ותמיכה טכנית.
