CIS
CIS is a forward-thinking nonprofit that harnesses the power of a global IT community to safeguard public and private organizations against cyber threats.
www.cisecurity.org
CIS (Center of Internet Security) Benchmarks는 인터넷 보안의 중심이라는 의미를 가지고 있다. 이것은 전 세계적으로 사용되는 IT 시스템 및 기기에 대한 보안 설정 가이드라인을 제공하는 프레임워크로, 공개적으로 사용할 수 있도록 제공되며, 실질적인 보안 향상을 위한 권장 사항들을 포함하고 있다.
CIS Benchmarks의 핵심 내용
CIS Benchmarks의 핵심은 다양한 운영 체제, 미들웨어 및 소프트웨어 등에 대한 상세한 보안 설정 방법을 안내한다. 이러한 안내는 정보보호 관리자가 시스템 구성을 검토하고 적절하게 조정하여 최상의 보안 수준을 달성할 수 있도록 돕는다.
CIS Benchmarks의 구조
CIS Benchmarks는 각각의 벤치마크 내에서 'Level 1'과 'Level 2'로 나뉘며, 이를 통해 사용자가 자신의 환경에 맞게 유연하게 보안 정책을 적용할 수 있다.
- Level 1: 일반적인 시스템에서 안전하게 적용 가능하며, 고려할 만한 최소한의 보안 조치들이다.
- Level 2: 더 높은 보안 환경을 필요로 하는 시스템에서 고려될 수 있는 추가적인 "방어 깊이"를 제공한다.
각 CIS 벤치마크에는 두 개의 프로파일 레벨 중 하나를 기반으로 여러 구성 권장 사항이 포함되어 있다. 레벨 1 벤치마크 프로파일은 실행하기 쉽고 비즈니스 기능에 최소의 영향을 주는 기본 레벨 구성에 적용된다. 반면, 레벨 2 벤치마크 프로파일은 높은 수준의 보안 환경을 위한 것으로, 비즈니스 운영 중단을 최소화하면서 실행하려면 추가적인 조율과 계획이 필요하다.
CIS 벤치마크는 7개의 핵심 카테고리를 가지고 있다.
- 운영 체제 벤치마크: Microsoft Windows, Linux 및 Apple OSX와 같은 핵심 운영 체제의 보안 구성에 적용됨. 이 벤치마크에는 로컬 및 원격 액세스 제한, 사용자 프로필, 드라이브 설치 프로토콜 및 인터넷 브라우저 구성에 대한 최선의 방법 가이드라인이 포함되어 있다.
- 서버 소프트웨어 벤치마크: Microsoft Windows Server, SQL Server, VMware, Docker 및 Kubernetes 등 널리 사용되는 서버 소프트웨어의 보안 구성에 적용됨. 이 경우 Kubernetes PKI 인증, API 서버 설정 등을 위한 권장 사항들이 포함되어 있다.
- 클라우드 제공자 벤치마크: Amazon Web Services(AWS), Microsoft Azure 등 주요 퍼블릭 클라우드를 위한 보안 구성에서 활용됨. IAM(identity and access management), 시스템 로깅 프로토콜 등을 위한 가이드라인들이 포함되어 있다.
- 모바일 디바이스 벤치마크: iOS 및 Android를 포함한 모바일 운영 체제에서 사용됨. 개발자 옵션 및 설정과 같은 주요 분야가 중심임.
- 네트워크 디바이스 벤치마크: Cisco와 같은 회사의 네트워크 디바이스에 대한 일반 및 특정 공급업체별 보안 구성 가이드라인을 제공함.
- 데스크탑 소프트웨어 벤치마크: Microsoft Office 및 Exchange Server, Google Chrome 등 주요 데스크탑 소프트웨어 애플리케이션에 적용됨. 이메일 개인정보 보호 등에 중점을 둠.
- 다기능 인쇄 디바이스 벤치마크: 사무 환경의 다기능 프린터를 구성하기 위한 보안 최선의 방법을 설명하며, 펌웨어 업데이트 등 주제에 적용된다.
CIS 중요 보안 제어 구현 그룹
https://www.cisecurity.org/controls/implementation-groups
CIS Critical Security Controls Implementation Groups
Implementation Groups (IGs) are the recommended guidance to prioritize implementation of the CIS Critical Security Controls (CIS Controls). In an effort to assist enterprises of every size, IGs are divided into three groups. They are based on the risk prof
www.cisecurity.org
구현 그룹(Implementation Groups, IGs)은 CIS 중요 보안 제어(CIS Controls)의 구현을 우선 순위에 따라 지침을 제공하는 것이다. 모든 규모의 기업들이 돕기 위해, IGs는 세 가지 그룹으로 나뉘어져 있다. 이들은 기업이 CIS Controls를 구현하기 위해 사용할 수 있는 리스크 프로필과 자원에 기반하여 나뉘어진다.
각 IG는 구현해야 하는 일련의 안전장치(Safeguards, 이전에는 CIS Sub-Controls라고 불렸음)를 식별한다. CIS Controls v8에서는 총 153개의 안전장치가 있다.
모든 기업은 IG1부터 시작해야 한다. IG1은 "핵심 사이버 위생"으로 정의되며, 모든 기업이 가장 흔한 공격들로부터 방어하기 위해 적용해야 하는 사이버 방어 안전장치의 기본 세트를 의미한다.
IG2는 IG1을 바탕으로 하며, IG3는 모든 제어와 안전장치를 포함하고 있다.
CIS-CAT Pro Tool
https://www.cisecurity.org/cybersecurity-tools/cis-cat-pro
CIS-CAT Pro
Review some of the common questions about CIS-CAT, the Center for Internet Security's configuration assessment tool.
www.cisecurity.org
CIS-CAT Pro라는 도구를 사용하여 자동화된 벤치마크 테스트를 실행할 수 있다. 이 도구는 현재 시스템 설정과 CIS Benchmark 사항간 차이점을 식별하여 해당 결과를 리포트로 제공한다.
결론
정보보호 관리자나 IT 전문가들은 CIS Benchmarks를 활용하여 기관의 IT 인프라가 최선의 보안 상태로 유지될 수 있도록 지원받을 수 있다. 그럼으로써 조직 전체가 위협으로부터 보호받을 수 있게 된다.
CIS Benchmarks는 보안에 대한 철저한 이해와 적절한 설정이 중요하다는 것을 깨닫게 해주는 도구이며, 이를 통해 조직은 안전하고 안정적인 IT 환경을 만들 수 있다.
References
- What are CIS benchmarks and how to use them? : https://www.calcomsoftware.com/what-are-cis-benchmarks-and-how-to-use-them/
- What are CIS benchmarks? (IBM) : https://www.ibm.com/topics/cis-benchmarks
