ما المقصود بمعايير CIS Benchmarks؟
CIS Benchmarks هي مجموعة من أفضل الممارسات التي وضعها مركز أمن الإنترنت (CIS) والمعترف بها عالميًا والقائمة على التوافق، الغرض منها مساعدة ممارسي الأمان في تنفيذ دفاعاتهم في مجال الأمن السيبراني وإدارتها. تساعد المبادئ التوجيهية، التي وضعها مجتمع عالمي من خبراء الأمان، المؤسسات في توفير حماية استباقية ضد المخاطر الناشئة. تنفذ الشركات المبادئ التوجيهية الواردة في معايير CIS Benchmark للحد من الثغرات الأمنية القائمة على التكوين الموجودة في أصولها الرقمية.
ما أهمية معايير CIS Benchmarks؟
تُعتبر الأدوات مثل معايير CIS Benchmarks مهمة لأنها تحدّد أفضل ممارسات الأمان التي وضعها المتخصصون والخبراء المختصين في مجال الأمان بهدف نشر أكثر من 25 منتجًا مختلفًا من المورّدين. تعد أفضل الممارسات هذه نقطة انطلاق جيدة لتطوير منتج جديد أو وضع خطة نشر خدمة جديدة، أو للتحقق من أن عمليات النشر الحالية آمنة.
عند تنفيذ معايير CIS Benchmarks، يمكنك تأمين أنظمتك القديمة بشكل أفضل ضد المخاطر الشائعة والناشئة من خلال اتخاذ خطوات عديدة، ومنها:
- إيقاف المنافذ غير المستخدمة
- إزالة أذونات التطبيق غير الضرورية
- تحديد الامتيازات الإدارية
تعمل أنظمة وتطبيقات تكنولوجيا المعلومات بشكل أفضل أيضًا عند إيقاف الخدمات غير الضرورية.
مثال على معايير CIS Benchmarks
يمكن للمسؤولين مثلاً اتّباع المبادئ التوجيهية خطوة بخطوة الواردة في معيار CIS AWS Foundations Benchmark، ما يساعدهم في إعداد سياسة كلمة مرور قوية لإدارة الهوية والوصول في AWS (IAM). ويمكن اتباع مبادئ توجيهية معنية بإدارة الهوية لتحسين أمان حساب AWS، التي هي معروفة بأنها متميزة ولكن ذات الصلة، ومن بينها تطبيق سياسة كلمة المرور، واستخدام المصادقة متعددة العوامل (MFA)، وإيقاف الجذر، وضمان تبديل مفاتيح الوصول كل 90 يومًا، وغيرها.
من خلال اعتماد معايير CIS، يمكن لمؤسستك الاستفادة من العديد من مزايا الأمن السيبراني، وهذا يشمل:
إرشادات خبراء الأمن السيبراني
توفر معايير CIS Benchmarks للمؤسسات إطارًا من التكوينات الأمنية التي فحصها الخبراء وأثبتوا فعاليتها. يمكن للشركات تجنب سيناريوهات التجربة والخطأ التي تعرّض الأمان للخطر والاستفادة من خبرة مجتمع تكنولوجيا المعلومات والأمن السيبراني المتنوع.
معايير الأمان المعترف بها عالميًا
تُعد معايير CIS Benchmarks أدلة أفضل الممارسات الوحيدة المعترف بها عالميًا والمقبولة من قبل الحكومات والشركات والمؤسسات البحثية والأكاديمية على حدٍ سواء. بفضل المجتمع العالمي والمتنوع الذي يعمل على نموذج صنع القرار القائم على التوافق، تتمتع معايير CIS Benchmarks بإمكانية تطبيق وتلقى قبولاً أوسع بكثير من القوانين الإقليمية ومعايير الأمان.
منع التهديدات بطريقة فعّالة من حيث التكلفة
يمكن لأي شخص تنزيل مستندات CIS Benchmark وتطبيقها مجانًا. يمكن لشركتك الحصول على تعليمات خطوة بخطوة محدّثة لاستخدام جميع أنواع أنظمة تكنولوجيا المعلومات بدون أي تكلفة. يمكنك تحقيق حوكمة تقنية المعلومات وتجنب التعرّض لأضرار مالية وتشويه السمعة بسبب التهديدات السيبرانية التي يمكن الوقاية منها.
الامتثال للوائح التنظيمية
تتوافق معايير CIS Benchmarks مع أطر الأمان وخصوصية البيانات الرئيسية، ومن بينها:
- إطار الأمن السيبراني لدى المعهد الوطني للمعايير والتكنولوجيا (NIST)
- قانون إخضاع التأمين الصحي لإمكانية النقل والمساءلة (HIPAA)
- معيار أمان البيانات في مجال بطاقات الدفع (PCI DSS)
يُعتبر قيام المنظمات التي تعمل في المجالات شديدة التنظيم بتنفيذ معايير CIS Benchmarks خطوة كبيرة نحو تحقيق الامتثال. يمكنهم منع تعذّر تحقيق الامتثال بسبب أنظمة تكنولوجيا المعلومات التي تم تكوينها بشكل خاطئ.
ما أنواع أنظمة تكنولوجيا المعلومات التي تغطيها معايير CIS Benchmarks؟
نشر مركز أمن الإنترنت (CIS) أكثر من 100 معيار مرجعي، تشمل أكثر من 25 مجموعة من منتجات المورّدين. عند تطبيق معايير CIS Benchmarks ومراقبتها في جميع أنواع أنظمة تكنولوجيا المعلومات، فإنك تبني بيئة تقنية معلومات آمنة بحكم طبيعتها، ويمكنك الدفاع عنها بشكل أكبر باستخدام حلول الأمان. يمكن تصنيف التقنيات التي تغطيها معايير CIS Benchmarks على نطاق واسع في الفئات السبع التالية.
أنظمة التشغيل
توفر معايير CIS Benchmarks لأنظمة التشغيل تكوينات أمان قياسية لأنظمة التشغيل الشائعة، ومن بينها Amazon Linux. تتضمن هذه المعايير أفضل الممارسات لميزات عديدة، ومنها:
- التحكم في الوصول إلى نظام التشغيل
- سياسات المجموعة
- إعدادات متصفح الويب
- الإدارة المجمعة
البنية الأساسية والخدمات السحابية
توفر معايير CIS Benchmarks للبنية الأساسية السحابية معايير أمان يمكن للشركات استخدامها لتكوين بيئات السحابة بشكل آمن، مثل تلك التي توفرها AWS. تتضمن المبادئ التوجيهية أفضل الممارسات المعنية بإعدادات الشبكة الافتراضية وتكوينات إدارة الهوية والوصول في AWS (IAM) وضوابط الامتثال والضوابط الأمنية والمزيد.
برامج الخادم
توفر معايير CIS المخصصة لبرامج الخادم خطوط الأساس والتوصيات لتكوين إعدادات الخادم، وضوابط مسؤول الخادم، وإعدادات التخزين، وبرامج الخادم من الموردين المعروفين.
برامج سطح المكتب
تغطي معايير CIS Benchmarks معظم برامج سطح المكتب التي عادةً ما تستخدمها المؤسسات. تتضمن المبادئ التوجيهية أفضل الممارسات لإدارة ميزات برامج سطح المكتب، وهذا يشمل:
- برامج سطح المكتب الخارجية
- إعدادات المتصفح
- امتيازات الوصول
- حسابات المستخدمين
- إدارة جهاز العميل
الأجهزة المحمولة
تغطي معايير CIS Benchmarks المعنية بالأجهزة المحمولة تكوينات الأمان لأنظمة التشغيل التي تعمل على الهواتف المحمولة والأجهزة اللوحية وغيرها من الأجهزة المحمولة باليد. وهي توفر توصيات حول إعدادات متصفح الهاتف المحمول، وأذونات التطبيق، وإعدادات الخصوصية، والمزيد.
أجهزة الشبكة
توفر معايير CIS Benchmarks أيضًا تكوينات أمنية لأجهزة الشبكة، مثل جُدُر الحماية وأجهزة التوجيه والمحولات والشبكات الخاصة الافتراضية (VPN). وهي تحتوي على توصيات من الموردين بشكل عام، وتوصيات من مورّدين محدّدين، ما يضمن الإعداد الآمن لهذه الأجهزة وإدارتها.
أجهزة الطباعة المتعددة الوظائف
تغطي معايير CIS Benchmarks المعنية بأجهزة الشبكة الطرفية، مثل الطابعات المتعددة الوظائف والماسحات الضوئية وآلات التصوير، أفضل ممارسات التكوين الآمن، بما يشمل إعدادات مشاركة الملفات وقيود الوصول وتحديثات البرامج الثابتة.
ما هي مستويات معايير CIS Benchmarks؟
لمساعدة المؤسسات على تحقيق أهدافها الأمنية الفريدة، يخصص مركز أمن الإنترنت (CIS) مستويات ملفات التعريف لكل دليل من أدلة معايير CIS Benchmark. يتضمن كل ملف تعريف CIS توصيات توفر مستوى مختلفًا من الأمان. يمكن للمؤسسات اختيار ملف التعريف المناسب بناءً على احتياجات الأمان والامتثال.
ملف التعريف من المستوى الأوّل
توصيات التكوين لملف التعريف من المستوى الأوّل هي توصيات أمان أساسية لتكوين أنظمة تكنولوجيا المعلومات. من السهل تطبيقها ولا تؤثر على وظائف العمل أو الجهوزية. تقلل هذه التوصيات من عدد نقاط الدخول إلى أنظمة تكنولوجيا المعلومات لديك، ما يقلل بالتالي من مخاطر الأمن السيبراني لديك.
ملف التعريف من المستوى الثاني
تعمل توصيات التكوين لملف التعريف من المستوى الثاني بشكل أفضل عند التعامل مع البيانات شديدة الحساسية التي تمنح الأولوية للأمان. يتطلب تنفيذ هذه التوصيات خبرة مهنية وتخطيطًا دؤوبًا لتحقيق أمان شامل بأقل قدر من انقطاعات الخدمة. يساعد أيضًا تنفيذ توصيات ملف التعريف من المستوى الثاني في تحقيق الامتثال للوائح التنظيمية.
ملف التعريف لدليل STIG
دليل التنفيذ التقني للأمان (STIG) عبارة عن مجموعة من خطوط الأساس للتكوين التي وضعتها وكالة أنظمة معلومات الدفاع (DISA). تنشر وزارة الدفاع الأمريكية هذه المعايير الأمنية وتحافظ عليها. تمت صياغة دليل التنفيذ التقني للأمان (STIG) خصيصًا لتلبية متطلبات حكومة الولايات المتحدة.
تحدد معايير CIS Benchmarks أيضًا ملف تعريف STIG من المستوى الثالث المصمم لمساعدة المؤسسات على الامتثال للمعايير الواردة في دليل STIG. يحتوي ملف التعريف STIG على توصيات ملفات التعريف من المستويين الأول والثاني التي تكون خاصة بدليل STIG، ويوفّر المزيد من التوصيات التي لا يغطيها الملفان التعريفيان الآخران ولكنها مطلوبة وفق معايير دليل STIG الصادر عن وكالة أنظمة معلومات الدفاع (DISA).
عندما تقوم بتكوين أنظمتك وفقًا لمعايير CIS Benchmarks الخاص بدليل STIG، ستكون بيئة تكنولوجيا المعلومات لديك متوافقة مع كل من معايير CIS ودليل STIG.
كيف يتم تطوير معايير CIS Benchmarks؟
تتبع مجتمعات مركز أمن الإنترنت (CIS) عملية فريدة قائمة على التوافق بهدف تطوير معايير CIS Benchmarks لأنظمة مستهدفة مختلفة والموافقة عليها والحفاظ عليها. بشكل عام، تتألف عملية تطوير معايير CIS Benchmark من الخطوات التالية:
- يحدّد المجتمع الحاجة إلى معيار معين.
- يحدّد المجتمع نطاق المعيار.
- يعمل المتطوعون على إنشاء سلاسل مناقشات على موقع مجتمع CIS WorkBench الإلكتروني.
- يقضي خبراء من مجتمع CIS لنظام تكنولوجيا المعلومات المحدد وقتًا في مراجعة مسودة العمل ومناقشتها.
- يقوم الخبراء بإعداد توصياتهم ومناقشتها واختبارها حتى يصلوا إلى توافق في الآراء.
- يضع الخبراء اللمسات الأخيرة على المعيار وينشرونه على موقع CIS الإلكتروني.
- ينضم المزيد من المتطوعين من المجتمع إلى مناقشة معايير CIS Benchmark.
- ينظر فريق التوافق في ملاحظات وآراء الجهات التي تنفذ المعيار.
- يجري الفريق المراجعات والتحديثات في الإصدارات الجديدة من معيار CIS Benchmark.
يعتمد إطلاق إصدارات جديدة من معايير CIS Benchmarks أيضًا على التغييرات أو الترقيات في أنظمة تكنولوجيا المعلومات المقابلة.
كيف يمكنك تنفيذ معايير CIS Benchmarks؟
يتضمن كل معيار CIS Benchmark وصفًا للتوصية وسبب التوصية وإرشادات يمكن لمسؤولي النظام اتباعها لتنفيذ التوصيات كما يلزم. يمكن أن يتألف كل معيار من مئات الصفحات لأنه يغطي كل جوانب نظام تكنولوجيا المعلومات المستهدف.
يصبح تنفيذ معايير CIS Benchmarks ومواكبة جميع عمليات إطلاق الإصدارات أكثر تعقيدًا عند القيام بذلك يدويًا. لهذا السبب، تستخدم العديد من المؤسسات أدوات آلية لمراقبة الامتثال لمعايير مركز أمن الإنترنت (CIS). يوفر مركز أمن الإنترنت (CIS) أيضًا أدوات مجانية ومميزة يمكنك استخدامها لفحص أنظمة تكنولوجيا المعلومات وإنشاء تقارير الامتثال لمعايير CIS. ترسل هذه الأدوات تنبيهات لمسؤولي النظام إن لم تكن التكوينات الحالية وفق توصيات معيار CIS Benchmark.
ما موارد الأمان الأخرى المضمنة في CIS Benchmarks؟
ينشر مركز أمن الإنترنت (CIS) أيضًا موارد أخرى لتحسين أمان الإنترنت بالمؤسسة، بما في ذلك الموارد الرئيسة التالية.
CIS Controls (ضوابط مركز أمن الإنترنت)
CIS Controls (المعروفة سابقًا باسم CIS Critical Security Controls) هي مورد آخر ينشره مركز أمن الإنترنت (CIS) كدليل شامل لأفضل الممارسات المتعلقة بأمان النظام والشبكة. يحتوي الدليل على قائمة تحقق يرد فيها 20 من الإجراءات الوقائية ذات أولوية عالية التي أثبتت فعاليتها ضد تهديدات الأمن السيبراني الأكثر انتشارًا وإحداثًا للضرر على أنظمة تكنولوجيا المعلومات.
ترتبط ضوابط CIS Controls بمعظم المعايير والأطر التنظيمية الرئيسية، وفي ما يلي بعض الأمثلة:
- إطار الأمن السيبراني لدى المعهد الوطني للمعايير والتكنولوجيا (NIST)
- NIST 800-53
- قانون إخضاع التأمين الصحي لإمكانية النقل والمساءلة (HIPAA)، ومعيار أمان البيانات في مجال بطاقات الدفع (PCI DSS)، والقانون الفيدرالي لإدارة أمن المعلومات (FISMA)، وغيرها من الضوابط في سلسلة معايير ISO 27000
تمنحك ضوابط CIS Controls نقطة بداية لاتباع أي من أطر الامتثال هذه.
أوجه الاختلاف بين معايير CIS Benchmarks وضوابط CIS Controls
تعد ضوابط CIS Controls بمثابة مبادئ توجيهية عامة لتأمين أنظمة وشبكات بكاملها، ولكن معايير CIS Benchmarks هي توصيات محددة للغاية لتكوينات النظام الآمن. معايير CIS Benchmarks هي خطوة حاسمة لتنفيذ ضوابط CIS Controls لأن كل توصية معيار CIS Benchmark تشير إلى واحد أو أكثر من ضوابط CIS Controls.
على سبيل المثال، تقترح ضوابط CIS Control 3 تكوينات الأجهزة والبرامج الآمنة لأنظمة الكمبيوتر. توفر معايير CIS Benchmarks المبادئ التوجيهية من الموردين بشكل عام، والمبادئ التوجيهية من مورّدين محدّدين، بالإضافة إلى الإرشادات التفصيلية التي يمكن للمسؤولين اتباعها لتنفيذ ضوابط CIS Control 3.
صور Hardened Images من CIS
الآلة الافتراضية (VM) هي بيئة حوسبة افتراضية تحاكي أجهزة الكمبيوتر المخصصة. صور الآلة الافتراضية هي نماذج يستخدمها مسؤولو النظام بهدف إنشاء أجهزة افتراضية متعددة بسرعة مع تكوينات نظام تشغيل مماثلة. ومع ذلك، إذا تم تكوين صورة الآلة الافتراضية بشكل غير صحيح، فسيتم أيضًا تكوين مثيلات الآلة الافتراضية التي تم إنشاؤها باستخدامها بشكل خاطئ وعرضة للخطر.
يقدّم مركز أمن الإنترنت (CIS) صور CIS Hardened Images، وهي صور آلة افتراضية سبق وتم تكوينها وفق معايير CIS Benchmark.
مزايا استخدام صور CIS Hardened Images
تعد صور CIS Hardened Images مفيدة لأنها توفر الميزات التالية:
- مسبقة التكوين وفقًا لخطوط الأساس لمعايير CIS Benchmark
- سهولة النشر والإدارة
- تم تحديثها وتصحيحها بواسطة مركز أمن الإنترنت (CIS)
بناءً على احتياجات الأمان والامتثال الخاصة بك، يمكنك اختيار صور CIS Hardened Images التي تم تكوينها لتناسب ملفات التعريف من المستويين الأول أو الثاني.
كيفية استخدام معايير CIS Benchmarks على AWS
مركز أمن الإنترنت (CIS) هو شريك مُورّد البرمجيات المستقل (ISV)، وAWS هي شركة عضو في برنامج CIS Security Benchmarks. تشتمل معايير CIS Benchmarks على مبادئ توجيهية تساعدك على إعداد التكوينات الآمنة لمجموعة فرعية من خدمات AWS السحابية والإعدادات على مستوى حساب AWS.
على سبيل المثال، يحدّد مركز أمن الإنترنت (CIS) إعدادات التكوين وفق أفضل الممارسات فيما يتعلق بمعايير AWS in CIS Benchmarks، ومنها:
- معيار CIS AWS Foundations Benchmark
- معيار CIS Amazon Linux 2 Benchmark
- معيار CIS Amazon Elastic Kubernetes Service (EKS) Benchmark
- معيار AWS End User Compute Benchmark
يمكنك أيضًا الوصول إلى صور Amazon Elastic Compute Cloud (EC2) المعززة بمعرفة مركز أمن الإنترنت (CIS) في AWS Marketplace وبالتالي تثق في أنّ صور Amazon EC2 تستوفي معايير مركز أمن الإنترنت (CIS).
وبالمثل، يمكنك أتمتة عمليات الفحص للتأكد من أن نشر AWS لديك يفي بالتوصيات المحددة في معيار CIS AWS Foundations Benchmark. يتوافق AWS Security Hub مع معيار CIS AWS Foundations Benchmark، الذي يتكون من ضوابط يبلغ عددها 43 ضابطًا ومتطلبات معيار أمان البيانات في مجال بطاقات الدفع (PCI DSS) يبلغ عددها 32 مُتطلبًا تشمل 14 خدمة من خدمات AWS. بمجرد تمكين AWS Security Hub، يبدأ فورًا في إجراء فحوصات أمنية مستمرة وآلية للتحقق من التوافق مع كل من الضوابط والموارد ذات الصلة المرتبطة بها.
احرص على امتثال البنية الأساسية السحابية لديك لمعايير مركز أمن الإنترنت (CIS) وابدأ استخدام AWS من خلال إنشاء حساب AWS مجاني اليوم.