Apa itu Tolok Ukur CIS?
CIS Benchmarks dari Center of Internet Security (CIS) adalah serangkaian praktik terbaik yang diakui secara global dan berbasis konsensus untuk para praktisi keamanan menerapkan dan mengelola pertahanan keamanan siber mereka. Dikembangkan dengan komunitas ahli keamanan global, pedoman ini membantu organisasi secara proaktif melindungi dari risiko yang muncul. Perusahaan menerapkan pedoman Tolok Ukur CIS untuk membatasi kelemahan keamanan berbasis konfigurasi dalam aset digital perusahaan.
Mengapa Tolok Ukur CIS penting?
Alat seperti Tolok Ukur CIS penting karena menguraikan praktik terbaik keamanan, yang dikembangkan oleh profesional keamanan dan ahli materi terkait, untuk melakukan deployment pada lebih dari 25 produk vendor yang berbeda. Praktik terbaik ini adalah titik awal yang bagus untuk membuat produk atau rencana deployment layanan yang baru atau untuk memverifikasi bahwa deployment yang ada dalam kondisi aman.
Saat Anda menerapkan Tolok Ukur CIS, Anda dapat mengamankan sistem warisan Anda dengan lebih baik dari risiko umum dan yang muncul dengan mengambil langkah-langkah berikut:
- Menonaktifkan port yang tidak digunakan
- Menghapus izin aplikasi yang tidak diperlukan
- Membatasi hak administratif
Sistem dan aplikasi IT juga memiliki performa yang lebih baik saat Anda menonaktifkan layanan yang tidak diperlukan.
Contoh Tolok Ukur CIS
Misalnya, admin dapat mengikuti pedoman Tolok Ukur AWS Foundations CIS langkah demi langkah untuk membantu mereka menyiapkan kebijakan kata sandi yang kuat untuk AWS Identity and Access Management (IAM). Penegakan kebijakan kata sandi, penggunaan autentikasi multifaktor (MFA), penonaktifan root, penjaminan kunci akses dirotasi setiap 90 hari, dan taktik lainnya adalah berbeda, tetapi berkaitan dengan pedoman identitas untuk meningkatkan keamanan akun AWS.
Dengan mengadopsi Tolok Ukur CIS, organisasi Anda bisa mendapatkan beberapa keamanan siber, seperti berikut:
Pedoman keamanan siber ahli
Tolok Ukur CIS memberikan kerangka kerja konfigurasi keamanan yang telah diperiksa dan dibuktikan oleh para ahli kepada organisasi. Perusahaan dapat menghindari skenario coba-coba yang membahayakan keamanan dan memanfaatkan keahlian komunitas IT serta keamanan siber yang beragam.
Standar keamanan yang diakui secara global
Tolok Ukur CIS adalah satu-satunya panduan praktik terbaik yang diakui secara global dan diterima oleh pemerintah, bisnis, penelitian, dan institusi akademik. Berkat komunitas global dan beragam yang bekerja pada model pengambilan keputusan berbasis konsensus, Tolok Ukur CIS memiliki penerapan dan penerimaan yang jauh lebih luas daripada hukum regional dan standar keamanan.
Pencegahan ancaman yang hemat biaya
Dokumentasi Tolok Ukur CIS tersedia secara gratis untuk diunduh dan diimplementasikan oleh siapa saja. Perusahaan Anda dapat memperoleh instruksi terbaru langkah demi langkah untuk semua jenis sistem IT tanpa biaya. Anda dapat mencapai tata kelola IT dan mencegah kerusakan finansial dan reputasi dari ancaman siber yang dapat dicegah.
Kepatuhan terhadap Peraturan
Tolok Ukur CIS selaras dengan kerangka kerja keamanan dan privasi data utama seperti berikut:
- Kerangka Kerja Keamanan Siber dari Institut Standar dan Teknologi Nasional (NIST)
- Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA)
- Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS)
Menerapkan Tolok Ukur CIS adalah langkah besar untuk mencapai kepatuhan bagi organisasi yang beroperasi di industri yang diatur secara ketat. Tolok Ukur CIS dapat mencegah kegagalan kepatuhan yang diakibatkan oleh sistem IT yang salah dikonfigurasi.
Apa jenis sistem IT yang dicakup oleh Tolok Ukur CIS?
CIS telah menerbitkan lebih dari 100 tolok ukur yang menjangkau lebih dari 25 keluarga produk vendor. Saat Anda menerapkan dan memantau Tolok Ukur CIS di semua jenis sistem IT, Anda membangun lingkungan IT yang aman secara permanen yang dapat Anda pertahankan lebih lanjut dengan solusi keamanan. Teknologi yang dicakup oleh Tolok Ukur CIS dapat dikelompokkan secara luas ke dalam tujuh kategori berikut.
Sistem operasi
Tolok Ukur CIS untuk sistem operasi menyediakan konfigurasi keamanan standar untuk sistem operasi populer, termasuk Amazon Linux. Tolok ukur ini menyertakan praktik terbaik untuk fitur seperti berikut ini:
- Kontrol akses sistem operasi
- Kebijakan grup
- Pengaturan browser web
- Pengelolaan patch
Infrastruktur dan layanan cloud
Tolok Ukur CIS untuk infrastruktur cloud menyediakan standar keamanan yang dapat digunakan perusahaan untuk mengonfigurasi lingkungan cloud dengan aman, seperti yang disediakan oleh AWS. Pedoman tersebut menyertakan panduan praktik terbaik untuk pengaturan jaringan virtual, konfigurasi AWS Identity and Access Management (IAM), kontrol kepatuhan dan keamanan, dan masih banyak lagi.
Perangkat lunak server
Tolok ukur CIS untuk perangkat lunak server memberikan dasar konfigurasi dan rekomendasi untuk pengaturan server, kontrol admin server, pengaturan penyimpanan, dan perangkat lunak server dari vendor populer.
Perangkat lunak desktop
Tolok Ukur CIS mencakup sebagian besar perangkat lunak yang biasanya digunakan organisasi. Pedoman tersebut meliputi praktik terbaik untuk mengelola fitur perangkat lunak desktop, seperti berikut:
- Perangkat lunak desktop pihak ketiga
- Pengaturan browser
- Hak akses pengguna
- Akun pengguna
- Manajemen perangkat klien
Perangkat seluler
Tolok Ukur CIS untuk perangkat seluler mencakup konfigurasi keamanan untuk sistem operasi yang berjalan di ponsel, tablet, dan perangkat genggam lainnya. Tolok Ukur CIS memberikan rekomendasi untuk pengaturan peramban seluler, izin aplikasi, pengaturan privasi, dan masih banyak lagi.
Perangkat jaringan
Tolok Ukur CIS juga memberikan konfigurasi keamanan untuk perangkat jaringan seperti firewall, router, switch, dan jaringan privat virtual (VPN). Tolok Ukur CIS berisi rekomendasi vendor netral dan khusus untuk memastikan penyiapan dan manajemen keamanan dari perangkat jaringan ini.
Perangkat cetak multifungsi
Tolok Ukur CIS untuk periferal jaringan seperti pencetak, pemindai, dan mesin fotokopi multifungsi mencakup praktik terbaik konfigurasi yang aman seperti pengaturan berbagi file, pembatasan akses, dan pembaruan firmware.
Apa saja level Tolok Ukur CIS?
Untuk membantu organisasi mencapai tujuan keamanan unik mereka, CIS menetapkan level profil untuk setiap pedoman Tolok Ukur CIS. Setiap profil CIS berisi rekomendasi yang memberikan level keamanan yang berbeda. Organisasi dapat memilih profil berdasarkan kebutuhan keamanan dan kepatuhan mereka.
Profil Level 1
Rekomendasi konfigurasi untuk profil Level 1 adalah rekomendasi keamanan dasar untuk mengonfigurasi sistem IT. Konfigurasi ini mudah diikuti dan tidak memengaruhi fungsionalitas bisnis atau waktu aktif. Rekomendasi ini mengurangi jumlah titik masuk ke dalam sistem IT Anda, sehingga mengurangi risiko keamanan siber Anda.
Profil Level 2
Rekomendasi konfigurasi profil Level 2 berfungsi paling baik dengan data yang sangat sensitif yang mengutamakan keamanan. Menerapkan rekomendasi ini memerlukan ahli profesional dan perencanaan yang cermat untuk mencapai keamanan yang komprehensif dengan gangguan minimal. Menerapkan rekomendasi profil Level 2 juga membantu mencapai kepatuhan terhadap peraturan.
Profil STIG
Panduan Implementasi Teknis Keamanan (STIG) adalah seperangkat garis dasar konfigurasi dari Badan Sistem Informasi Keamanan (DISA). Departemen Pertahanan AS menerbitkan dan memelihara standar keamanan ini. STIG secara khusus ditulis untuk memenuhi persyaratan pemerintah AS.
Tolok Ukur CIS juga menentukan profil STIG Level 3 yang didesain untuk membantu organisasi mematuhi STIG. Profil STIG berisi rekomendasi profil Level 1 dan Level 2 yang khusus untuk STIG dan memberikan lebih banyak rekomendasi yang tidak dicakup oleh dua profil lainnya tetapi diperlukan oleh STIG DISA.
Saat Anda mengonfigurasi sistem berdasarkan Tolok Ukur STIG CIS, lingkungan IT Anda akan mematuhi CIS dan STIG.
Bagaimana Tolok Ukur CIS dikembangkan?
Komunitas CIS mengikuti proses berbasis konsensus yang unik untuk mengembangkan, menyetujui, dan memelihara Tolok Ukur CIS untuk sistem target yang berbeda. Secara keseluruhan, proses pengembangan Tolok Ukur CIS terlihat seperti berikut:
- Komunitas mengidentifikasi kebutuhan untuk tolok ukur tertentu.
- Mereka menetapkan ruang lingkup tolok ukur.
- Relawan membuat thread diskusi di situs web komunitas CIS WorkBench.
- Para ahli dari komunitas CIS sistem IT khusus menghabiskan waktu untuk meninjau dan mendiskusikan draft kerja.
- Para ahli membuat, mendiskusikan, dan menguji rekomendasi mereka hingga memperoleh keputusan bersama.
- Mereka menyelesaikan tolok ukur dan menerbitkannya di situs web CIS.
- Lebih banyak sukarelawan dari komunitas bergabung dalam diskusi Tolok Ukur CIS.
- Tim konsensus mempertimbangkan umpan balik dari mereka yang menerapkan tolok ukur tersebut.
- Mereka membuat revisi dan pembaruan di versi Tolok Ukur CIS yang baru.
Perilisan versi Tolok Ukur CIS yang baru bergantung pada perubahan dan peningkatan sistem IT yang sesuai.
Bagaimana Anda dapat menerapkan Tolok Ukur CIS?
Setiap Tolok Ukur CIS berisi deskripsi rekomendasi, alasan rekomendasi, dan instruksi yang dapat diikuti oleh admin sistem untuk menerapkan rekomendasi dengan benar. Setiap tolok ukur dapat terdiri dari beberapa ratus halaman karena mencakup setiap area sistem IT target.
Menerapkan Tolok Ukur CIS dan terus mengikuti semua perilisan versinya bisa menjadi sangat rumit jika dilakukan secara manual. Oleh karena itu, banyak organisasi menggunakan alat otomatis untuk memantau kepatuhan CIS. CIS menawarkan alat gratis dan premium yang dapat Anda gunakan untuk memindai sistem IT dan menghasilkan laporan kepatuhan CIS. Alat ini memberi tahu admin sistem jika konfigurasi yang ada tidak memenuhi rekomendasi Tolok Ukur CIS.
Apa sumber daya keamanan lain yang disertakan dengan Tolok Ukur CIS?
CIS juga menerbitkan sumber daya lain untuk meningkatkan keamanan internet organisasi, termasuk dua sumber daya utama berikut.
Kontrol CIS
Kontrol CIS (sebelumnya disebut Kontrol Keamanan Penting CIS) adalah sumber daya lain yang diterbitkan CIS sebagai panduan praktik terbaik yang komprehensif untuk keamanan sistem dan jaringan. Panduan ini berisi daftar periksa 20 pengamanan dan tindakan yang merupakan prioritas tinggi dan telah terbukti efektif terhadap ancaman keamanan siber yang paling luas dan merusak pada sistem IT.
Kontrol CIS memetakan sebagian besar standar utama dan kerangka peraturan, seperti berikut:
- Kerangka Kerja Keamanan Siber dari Institut Standar dan Teknologi Nasional (NIST)
- NIST 800-53
- Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA), Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), Undang-Undang Manajemen Keamanan Informasi Federal (FISMA), dan lainnya dalam seri standar ISO 27000
Kontrol CIS memberikan Anda titik awal untuk mengikuti salah satu kerangka kerja kepatuhan berikut.
Tolok Ukur CIS vs. Kontrol CIS
Kontrol CIS adalah pedoman yang agak umum untuk mengamankan seluruh sistem dan jaringan, tetapi Tolok Ukur CIS adalah rekomendasi yang sangat spesifik untuk konfigurasi sistem yang aman. Tolok Ukur CIS adalah suatu langkah yang penting untuk menerapkan Kontrol CIS karena setiap rekomendasi Tolok Ukur CIS mengacu pada satu Kontrol CIS atau lebih.
Misalnya, Kontrol CIS 3 menyarankan konfigurasi perangkat keras dan perangkat lunak yang aman untuk sistem komputer. Tolok Ukur CIS memberikan panduan vendor netral dan khusus bersama dengan instruksi detail yang dapat diikuti admin untuk menerapkan Kontrol CIS 3.
Citra yang Diamankan CIS
Mesin virtual (VM) adalah lingkungan komputasi virtual yang mengemulasi perangkat keras komputer khusus. Citra VM adalah templat yang digunakan admin sistem untuk dengan cepat membuat beberapa VM dengan konfigurasi sistem operasi yang serupa. Namun, jika citra VM dikonfigurasikan dengan tidak benar, instans VM yang dibuat dari citra VM tersebut juga akan memiliki konfigurasi yang salah dan rentan.
CIS ini menawarkan Citra yang Diamankan CIS, yaitu citra VM yang sudah dikonfigurasi dengan standar Tolok Ukur CIS.
Manfaat menggunakan Citra yang Diamankan CIS
Citra yang Diamankan CIS berguna karena menawarkan fitur berikut ini:
- Sudah dikonfigurasi sebelumnya ke dasar Tolok Ukur CIS
- Mudah di-deploy dan dikelola
- Diperbarui dan di-patch oleh CIS
Tergantung pada kebutuhan keamanan dan kepatuhan Anda, Anda dapat memilih antara Citra yang Diamankan CIS yang dikonfigurasi ke profil Level 1 atau ke profil Level 2.
Bagaimana cara menggunakan Tolok Ukur CIS di AWS?
CIS adalah partner Vendor Perangkat Lunak Independen (ISV) AWS dan AWS adalah perusahaan Anggota Tolok Ukur Keamanan CIS. Tolok Ukur CIS mencakup pedoman untuk konfigurasi yang aman untuk subset layanan AWS cloud dan pengaturan tingkat akun.
Misalnya, CIS menguraikan pengaturan konfigurasi praktik terbaik untuk AWS di Tolok Ukur CIS, seperti berikut:
- Tolok Ukur AWS Foundations CIS
- Tolok Ukur Amazon Linux 2 CIS
- Tolok Ukur Amazon Elastic Kubernetes Service (EKS) CIS
- Tolok Ukur AWS End User Compute
Anda juga dapat mengakses citra Amazon Elastic Compute Cloud (EC2) yang diamankan CIS di AWS Marketplace sehingga Anda dapat yakin bahwa citra Amazon EC2 memenuhi Tolok Ukur CIS.
Demikian pula, Anda dapat mengotomatiskan pemeriksaan untuk memastikan bahwa deployment AWS Anda memenuhi rekomendasi yang ditetapkan dalam standar Tolok Ukur AWS Foundations CIS. AWS Security Hub mendukung standar Tolok Ukur AWS Foundations CIS, yang terdiri dari 43 kontrol dan 32 persyaratan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) di seluruh 14 layanan AWS. Setelah diaktifkan, AWS Security Hub langsung mulai menjalankan pemeriksaan keamanan otomatis dan berkelanjutan terhadap setiap kontrol dan setiap sumber daya relevan yang terkait dengan kontrol.
Pastikan kepatuhan CIS untuk infrastruktur cloud Anda dan mulai AWS dengan membuat akun AWS gratis sekarang juga.