Skip to main content
QUICK REVIEW

[论文解读] A Critical View on CIS Controls

Stjepan Groš|arXiv (Cornell University)|Oct 3, 2019
Information and Cyber Security被引用 4
一句话总结

本文批判性地评估了CIS控制框架,质疑其未经验证的有效性声明以及缺乏科学审视。文章指出,尽管由于CIS和SANS的有力营销而被广泛采用,该框架仍缺乏实证验证,依赖不可核实的数据,并且利益相关方存在固有的利益冲突。本文呼吁通过详细的案例研究和开放获取实现方式,开展独立的科学研究,以提升其在真实安全环境中的可信度和有效性。

ABSTRACT

CIS Controls is a set of 20 controls and 171 sub-controls that were created with an idea of having a list of something to implement so that organizations can increase their security. While good in theory, it is a big question of how viable this approach is in practice, and does it really help. There is only a minor number of critical views of CIS Controls and since CIS Controls are marketed by two very influential organizations they are very popular. Yet, there are alternatives published by ISO, NIST and even PCI consortium. In this paper we critically assess CIS Controls, assumptions on which they are based as well as validity of approach and claims made in its favor. The conclusion is that scientific community should be more active regarding this topic, but also that more material is necessary. This is something that CIS and SANS should support if they want to make CIS Controls viable alternative to other approaches.

研究动机与目标

  • 批判性评估CIS控制的有效性与科学严谨性,挑战其在学术界研究甚少的情况下仍被广泛采纳的现象。
  • 调查CIS和SANS关于该框架在降低网络风险方面有效性的未经验证声明。
  • 识别CIS、SANS、供应商和用户等利益相关方阻碍对CIS控制客观评估的系统性激励机制。
  • 呼吁开展独立的科学研究,以验证CIS控制在现实世界中的影响和效果,并与替代框架进行比较。
  • 倡导开放获取实施细节和详细案例研究,以实现可复现的、基于证据的框架评估。

提出的方法

  • 对CIS控制文档、营销材料及CIS和SANS相关声明进行批判性审查。
  • 分析该框架所基于的假设,包括标准化控制清单可普遍降低风险的观点。
  • 将CIS控制与其它成熟框架(如NIST、ISO 27001、PCI-DSS)进行比较,突出其在基于风险的选择与预设实施方面的结构性差异。
  • 通过评估其缺乏可验证数据或方法论,评估关键声明(如88%风险降低和‘显著一致性’)的可信度。
  • 识别CIS、SANS、供应商和用户等关键利益相关方的激励机制,这些机制抑制了对框架实际效果的客观评估。
  • 提出一项研究议程,基于透明、同行评审的案例研究,包含详细的实施背景、控制选择过程和结果评估。

实验结果

研究问题

  • RQ1CIS和SANS所声称的基于漏洞的风险降低(例如,88%的风险降低)在多大程度上是可实证验证的,或有数据支持?
  • RQ2尽管CIS控制被广泛采纳并具有重大影响力,为何其长期缺乏关键的科学审视?
  • RQ3CIS、SANS、供应商和用户等关键利益相关方的激励机制,如何破坏对框架在现实世界中有效性的客观评估?
  • RQ4需要哪些具体的研究方法和数据收集实践,才能产生可信且可复现的CIS控制实施结果评估?
  • RQ5科学界如何能为验证CIS控制相对于NIST或ISO 27001等其他安全框架的有效性做出贡献?

主要发现

  • CIS和SANS常引用美国国务院在85,000个系统上实现88%基于漏洞风险降低的声明,但该声明缺乏可验证的数据、方法论或公开文档支持。
  • CIS控制与实际网络攻击之间存在‘显著一致性’的断言缺乏依据,因为未提供可衡量的定义或验证流程。
  • CIS控制被宣传为‘一刀切’解决方案,但该框架在不同规模组织(尤其是小型企业)中的可扩展性和适用性存疑,特别是对于数据泄露防护等控制措施。
  • CIS、SANS、解决方案供应商和用户等利益相关方存在强烈的财务或声誉激励,避免批评该框架,从而形成系统性障碍,阻碍独立验证。
  • 该框架的预设性——提供固定控制清单而无需进行风险评估——与强调基于上下文的风险选择的安全治理原则相悖。
  • 缺乏详细、公开可获取的案例研究,包括实施背景、控制选择过程和结果评估,严重阻碍了科学验证和对比分析。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。