IG1 IG2 IG3

إنشاء وصيانة عملية التكوين الآمن

مجموعة الضابط: 4. التكوين الآمن لأصول المؤسسة والبرمجيات

نوع الأصل: التطبيقات

وظيفة الأمان: حماية

الوصف

إنشاء وصيانة عملية التكوين الآمن لأصول المؤسسة (أجهزة المستخدم النهائي بما في ذلك المحمولة والمتنقلة والأجهزة غير الحاسوبية/إنترنت الأشياء والخوادم) والبرمجيات (أنظمة التشغيل والتطبيقات). مراجعة وتحديث الوثائق سنويًا أو عند حدوث تغييرات مؤسسية كبيرة قد تؤثر على هذا الضمان.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

CIS-CAT Pro CIS Official Benchmark Tool; Industry Standard

أداة تقييم آلية لمعايير مركز أمن الإنترنت لفحص امتثال التكوين عبر أنظمة التشغيل والتطبيقات والسحابة

Center for Internet Security · عضوية حزمة الأمان من مركز أمن الإنترنت

Qualys Policy Compliance Gartner MQ Leader, Vulnerability Management 2024

منصة سحابية لتقييم التكوين والامتثال مع دعم معايير مركز أمن الإنترنت والمراقبة المستمرة

Qualys · اشتراك لكل أصل

Tripwire Enterprise Gartner Peer Insights, Security Configuration Management 2024

منصة إدارة تكوين الأمان ومراقبة سلامة الملفات مع امتثال السياسات واكتشاف الانحراف

Fortra (Tripwire) · اشتراك لكل عقدة

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

استغلال التكوينات الافتراضية أو الضعيفة للنظام

السلامة

يستغل المهاجمون التكوينات الافتراضية الجاهزة بما في ذلك المنافذ المفتوحة والخدمات غير الضرورية وإعدادات الأمان الضعيفة التي لم يتم تقويتها وفقاً لخط أساس آمن.

انحراف التكوين يمكّن نواقل الهجوم

السرية

بمرور الوقت، تنحرف الأنظمة عن التكوينات الآمنة من خلال التغييرات المخصصة، مما يعيد إدخال الثغرات التي تم تخفيفها سابقاً ويخلق أوضاعاً أمنية غير متسقة.

استغلال برامج الفدية للأنظمة غير المقواة

التوفر

تنتشر برامج الفدية بسرعة عبر الأنظمة التي تفتقر إلى تكوينات مقواة، مستغلة البروتوكولات الممكّنة افتراضياً مثل SMBv1 وخدمات الوصول عن بُعد غير الضرورية.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود خط أساس تكوين آمن محدد

بدون عملية تكوين آمن موثقة، يتم نشر الأنظمة بالإعدادات الافتراضية للمورد التي تعطي الأولوية لسهولة الاستخدام على الأمان، تاركة أسطح هجوم معروفة مكشوفة.