安全控制框架 2024
控制项模式安全控制框架(SCF)是一个全面的网络安全控制框架,包含超过1000个控制要求,覆盖隐私、网络安全、数据保护、业务连续性等多个领域。SCF旨在帮助组织满足多个法规和标准的合规要求。
存在一些机制来限制具有特定业务需求的特权用户对事件日志管理的访问。
存在自动机制来生成特权帐户和/或组的权限更改的事件日志。
存在通过分析通信流量/事件模式并开发代表常见流量模式和/或事件的配置文件来“调整”事件监控技术的机制。
存在一些机制,可以在主要审核功能出现故障时提供备用事件记录功能。
现有机制可根据资产的重要性及其存储、传输和处理的数据的敏感性来评估组织的监控需求并确定资产监控的优先级。
存在自动化机制来分析网络流量以检测隐蔽数据泄露。
存在检测和响应可能表明帐户泄露或其他恶意活动的异常行为的机制。
现有机制可以根据来自执法部门、行业协会或其他可靠威胁情报来源的不断变化的威胁信息来调整审计审查、分析和报告的水平。
存在将系统访问链接到个人用户或服务帐户的机制。
存在自动提醒事件响应人员注意具有潜在安全事件影响的不当或异常活动的机制。
存在自动实施预定纠正措施的机制,以响应检测到的具有安全事件影响的事件。
存在利用安全事件事件管理器 (SIEM) 或类似自动化工具来支持近实时分析和事件升级的机制。
存在自动化机制来集中收集、审查和分析来自多个来源的审计记录。
现有机制可利用安全事件事件管理器 (SIEM) 或类似的自动化工具来支持安全相关事件日志的集中收集。
存在集中管理和配置组织定义的信息系统组件生成的审计记录中所需捕获的内容的机制。
存在一些机制,可以为特权用户或角色提供更改要在指定时间阈值内基于特定事件标准对指定信息系统组件执行的审核的能力。
存在配置系统以生成包含足够信息的事件日志的机制,至少可以: (1) 确定发生的事件类型; (2) 事件发生的时间(日期和时间); (三)事件发生地点; (四)事件的来源; (5) 事件的结果(成功或失败); (6) 与事件相关的任何用户/主体的身份。
现有机制可促进企业范围内监控控制的实施。
存在自动化机制,通过安全事件事件管理器 (SIEM) 或类似的自动化工具将整个企业的技术和非技术信息关联起来,以增强整个组织的态势感知。
存在自动化机制,将审计记录中的信息与通过监控物理访问获得的信息关联起来,以进一步增强识别可疑、不当、异常或恶意活动的能力。
存在进行隐蔽通道分析的机制,以识别作为隐蔽通道的潜在途径的通信方面。
存在协调外部组织之间经过清理的事件日志的机制,以便在跨组织边界共享事件日志时识别异常事件,而不会泄露敏感或关键业务数据。
加密机制的存在是为了保护事件日志和审计工具的完整性。
存在确保数据库生成包含足够信息来监控数据库活动的审计记录的机制。
存在监控已停用帐户的尝试使用的机制。
存在自动化机制来强制对事件日志的移动或删除进行双重授权。
存在将事件日志备份到与安全事件事件管理器 (SIEM) 或类似自动化工具不同的物理系统或系统组件的机制。
存在将事件日志保留一段符合记录保留要求的机制,为安全事件的事后调查提供支持,并满足法律、法规和合同保留要求。
存在分配和主动管理足够的事件日志存储容量的机制,以减少超出此类容量的可能性。
当分配的卷达到组织定义的最大事件日志存储容量的百分比时,存在自动化机制来警告适当的人员。
存在对关键资产利用文件完整性监视器 (FIM) 或类似更改检测技术的机制,以针对未经授权的修改生成警报。
现有机制利用基于主机的入侵检测/防御系统 (HIDS / HIPS) 主动发出警报或阻止不需要的活动,并将日志发送到安全事件事件管理器 (SIEM) 或类似的自动化工具,以保持态势感知。
存在将信息生产者的身份与所生成的信息绑定在一起的机制。
存在持续监控入站和出站通信流量以发现异常或未经授权的活动或情况的机制。
现有机制可以对已确定风险水平较高的个人实施强化活动监控。
存在监控内部人员活动以防止潜在安全事件的机制。
自动化机制将审计记录分析与漏洞扫描器、网络性能、系统监控和其他来源的分析相结合,以进一步增强识别不当或异常活动的能力。
存在在关键系统、关键网段和网络阻塞点上实施入侵检测/防御系统(IDS/IPS)技术的机制。
存在将审计记录中包含的个人数据 (PD) 限制为数据隐私风险评估中确定的元素的机制。
存在自动化机制来识别妥协指标 (IoC) 并发出警报。
存在监控未经授权泄露或披露非公开信息的证据的机制。
存在提供事件日志报告生成功能的机制,以帮助检测和评估异常活动。
存在利用不可否认能力来防止个人错误地否认已执行特定操作的机制。
存在机制来指定与审计信息的审查、分析和报告相关的用户和系统允许的操作。
存在记录和审查具有提升权限的用户和/或服务的操作的机制。
存在对特权用户实施增强活动监控的机制。
存在保护事件日志和审计工具免遭未经授权的访问、修改和删除的机制。
存在记录所有互联网绑定请求的机制,以便识别禁止的活动并协助事件处理程序识别潜在受损的系统。
存在一些机制来提供和实现审核包含个人数据(PD)的数据集的用户查询事件的参数的能力。
当发生事件日志处理失败时,现有机制可提供 24x7x365 近乎实时的警报功能。
现有机制使授权人员能够根据组织标准以及法律、法规和合同义务,实时远程查看和收听与已建立的用户会话相关的内容。
存在一些机制,可以在日志处理失败时向适当的人员发出警报,并采取措施纠正中断。
存在持续审查事件日志并根据既定时间表和程序升级事件的机制。
存在保护日志文件中包含的敏感/受监管数据的机制。
存在提供会话审核功能的机制,这些功能可以: (1) 捕获并记录与用户会话相关的所有内容; (2)远程实时查看与已建立的用户会话相关的所有内容。
存在根据特定的跨组织共享协议与第三方组织共享事件日志的机制。
存在将内部系统时钟与权威时间源同步的机制。
存在生成、监控、关联和响应来自物理、网络安全、数据隐私和供应链活动的警报的机制,以实现综合态势感知。
存在自动化机制,可将审计记录编译成与时间相关的组织范围审计跟踪。
存在监控第三方人员活动是否存在潜在安全事件的机制。
存在将系统配置为使用权威时间源来生成事件日志时间戳的机制。
存在采用趋势分析的机制来确定是否需要基于经验数据修改安全控制实施、连续监视活动的频率和/或连续监视过程中使用的活动类型。
存在监控未经授权的活动、帐户、连接、设备和软件的机制。
存在自动化机制来检测未经授权的网络服务并向事件响应人员发出警报。
存在详细记录到达网络边界设备(包括防火墙、入侵检测/预防系统 (IDS/IPS) 以及入站和出站代理)的所有流量(允许和阻止)的机制。
存在利用无线入侵检测/保护系统(WIDS/WIPS)来识别恶意无线设备并检测通过无线网络的攻击企图的机制。