Greenbone rozszerza wytyczne dotyczące zgodności z benchmarkami CIS
Greenbone Cybersecurity, Update, Richtlinien
Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows, Linux: Rok po wprowadzeniu na rynek, Greenbone wprowadza liczne nowe wytyczne dotyczące zgodności z benchmarkami CIS w swoich produktach. CIS benchmarki są używane przez firmy, organizacje lub władze aby sprawdzić, czy wszystkie produkty oprogramowania, aplikacje, systemy operacyjne i inne komponenty używane aplikacje, systemy operacyjne i inne komponenty spełniają bezpieczne spełniają wymogi bezpieczeństwa. Podobnie jak IT-Grundschutz-Kompendium Bundesamt für Security in Information Technology (BSI), Center for Internet Security (CIS), organizacja non-profit założona w 2000 roku, zapewnia kompleksowe najlepsze praktyki w zakresie najlepszych praktyk w zakresie bezpieczeństwa IT dla rządów, przemysłu i nauki. nauki. Już w 2021 roku Greenbone opracował pierwsze wytyczne dotyczące zgodności z wzorcami CIS. Obecnie 18 kolejnych wytycznych dotyczących zgodności.
Benchmarki dla bezpieczeństwa korporacyjnego
Strona CIS Benchmarks reprezentują wytyczne firm i władz publicznych, które służą jako (benchmark) dla zgodności z wymaganiami. Szczegółowe benchmarki opisują szczegółowo konfiguracje, warunki, audyty i testy dla różnych konfiguracji i systemów. testy dla różnych konfiguracji i systemów. Po udanym skanowaniu Administratorzy IT otrzymują obszerny raport z procentową informacją o zgodność systemów, ale także dostarcza rekomendacji dla dalszych zalecenia dotyczące dalszych środków hartowania.
W porównaniu do specyfikacji IT-Grundschutz, CIS benchmarki często okazują się znacznie bardziej szczegółowe, ale także bardziej bardziej rozbudowane. W przeciwieństwie do wielu testów w Greenbone Enterprise Feed, które szukają luk bezpieczeństwa i podatności, aby pomóc w obronie przed atakami, benchmarki CIS są używane do udowodnienia, że firma lub firma lub agencja przez cały czas przestrzega obowiązujących przepisów dotyczących zgodności i ma przepisów dotyczących zgodności w każdym momencie.
Benchmarki CIS w Greenbone
Bereits seit 2021 Greenbone integruje wiele wytycznych dotyczących zgodności z CIS benchmarków CIS. Wytyczne te są kompilacją testów, które testów, które Greenbone-Lösung wykonuje na systemie docelowym. W prostych słowach, dla każdego pojedynczego rekomendacji z benchmarku CIS, opracowywany jest test podatności, który Dla każdego indywidualnego wymagania lub zalecenia z benchmarku CIS opracowywany jest test podatności. rekomendacji. Wszystkie testy są łączone przez Greenbone w konfiguracje skanowania i dodawane do Greenbone Enterprise Feed dodane. Ponieważ konfiguracje skanowania w tym przypadku reprezentują wytyczne wytyczne, są one określane jako "wytyczne zgodności". "wytyczne zgodności".
W 2022 roku Greenbone znacznie rozszerzy zestaw zasad zgodności z CIS zawartych w. Greenbone Enterprise Feed w sposób znaczący. 18 więcej Wytyczne zgodności dla benchmarków CIS dla różnych rodzin produktów zostało dodanych. Oprócz wytycznych zgodności dot. Kontenery Docker, testy są teraz dostępne dla Windows 10 Enterprise, Windows 2019 Server, Centos oraz niezależne od dystrybucji Dostępne są benchmarki dla systemu Linux. Ponadto webmasterzy mogą teraz używać m.in. serwerów takich jak Apache (2.2 i 2.4), NGINX, Tomcat i Microsoft IIS 10 a także administracje baz danych (MongoDB 3.2 i 3.6, Oracle Community Server 5.6 i 5.7 oraz PostgreSQL 9.6, 10, 11 i 12) na Wytyczne dotyczące zgodności z benchmarkami CIS.
Benchmarki CIS: poziom 1, 2 i STIG
Benchmarki CIS są podzielone na kilka poziomów (Level 1, 2 oraz STIG) i zazwyczaj zawierają kilka profili konfiguracji do przetestowania. Poziom 1 zawiera podstawowe zalecenia dotyczące zmniejszenia powierzchni ataku firmy, poziom 2 odnosi się do użytkowników o szczególnych potrzebach bezpieczeństwa specjalne potrzeby w zakresie bezpieczeństwa. STIG - dawny poziom 3 - jest używany stosowany przede wszystkim w środowiskach wojskowych lub urzędowych. używane. STIG to skrót od Security Technical Implementation Guide. Strona . Departament Obrony USA utrzymuje stronę Webseite ze wszystkimi szczegółami. Opisane tam DISA STIGs (Defense Information Systems Agency Security Technical Implementation Guides) są wymogiem Departamentu Obrony USA.
Certyfikacja przez CIS
Greenbone jest członkiem konsorcjum CIS i na bieżąco rozszerza swoje CIS i na bieżąco rozszerza konfiguracje skanowania wzorcowego CIS. Jak wszystkie Greenbone opracowane przez Greenbone na podstawie benchmarków CIS, najnowsze najnowsze są również certyfikowane przez CIS - co oznacza maksymalne bezpieczeństwo, jeśli chodzi o utwardzenie systemu zgodnie z Zaleceniami CIS dotyczącymi utwardzania. To nie tylko upraszcza przygotowanie audytów, ważne kryteria można sprawdzić z wyprzedzeniem za pomocą przez rozwiązanie Greenbone, a w razie potrzeby wszelkie znalezione słabości mogą być i w razie potrzeby wyeliminować znalezione słabości, zanim pojawią się problemy.
Oryginalny blog Markusa Feilnera | Greenbone