Forklaring på CIS #7: Webbrowsere og e-mail klienter er almindelige indgangs- og angrebssteder pga den høje tekniske kompleksitet og fleksibilitet og deres direkte interaktion med brugere og med andre systemer og websites. Indhold kan designes til at lokke falske brugere til at foretage handlinger, der i høj grad øger risikoen og tillader, at ondsindet kode introduceres, at værdifulde data mistes og at andre angreb kan forekomme. Organisationer bør minimere angrebsfladen og de cyber kriminelles muligheder for at manipulere menneskelig adfærd gennem deres interaktion med webbrowsers og e-mail systemer.

Forklaring på CIS #8: Ondsindet software er et integreret og farligt aspekt af internet trusler. Det er målrettet slutbrugere og organisationer via web browsing, e-mail vedhæftelser, mobile devices og andre vektorer. Ondsindet kode kan ødelægget et systems indhold, indfange sensitive data og sprede sig til andre systemer. Når effektive organisationer vil sikre sig, at deres anti-virus signaturer er opdaterede, benytter de sig af automatisering. De bruger indbyggede, administrative funktioner i professionelle endpoint sikkerhedssuiter til at verificere, at anti-virus, anti-spyware og host-baserede Intrusion Detection Systems (IDS) funktioner er aktive på alle administrerede systemer. De kører endvidere dagligt automatiserede evalueringer og gennemgår resultaterne for at finde og foretage afhjælpning på systemer, der har deaktiveret en sådan beskyttelse eller ikke har de seneste malware definitioner. Systemet skal kunne identificere eventuelt ondsindet software, der enten er installeret, forsøgt installeret, afviklet eller forsøgt afviklet på et computer system. Ved den periodiske evaluering af implementation af Kontrol 8 bør evalueringsteamet installere et sikkert software test program, der udgiver sig for at være malware, på et system og sikre sig, at det bliver opdaget og udbedret.

Forklaring på CIS #9: Cyber kriminelle søger efter afsides tilgængelige netværks services, der er sårbare overfor udnyttelse. Mange software pakker installerer services automatisk og aktiverer dem som en del af installationen af den primære software. Når det sker, informerer softwaren sjældent brugeren om, at disse services er blevet aktiveret. Portscanningsværktøjer bruges til at afgøre, hvilke services, der lytter med på netværket for en række systemer i målgruppen. Ud over at afgøre, hvilke porte, der er åbne, kan effektive port scannere konfigureres til at identificere den version af protokol og service, der lytter med på hver enkelt åben port, der findes. Systemet skal kunne identificere alle nye, uautoriserede, åbne netværksporte, der er forbundet til netværket. Ved den periodiske evaluering af implementeringen af Kontrol 9 skal evalueringsteamet installere sikre test services med netværksanalysefunktioner på ti steder på netværket, herunder en række subnets tilknyttet DMZs, arbejdsstationer og servere.

Forklaring på CIS #10: Når cyber kriminelle kompromitter maskiner, foretager de ofte signifikante ændringer i konfigurationer og software. Nogle gange laver de også diskrete ændringer i data, der er lagret på de kompromitterede maskiner og forringer dermed potentielt organisationens effektivitet med forurenet information. Et test team bør en gang i kvartalet evaluere et tilfældigt udvalg af system backups ved at forsøge at restore dem i et test bed miljø. De genoprettede systemer bør verificeres for at sikre, at operativsystemet, applikationen og dataoen fra backup'en alle er intakte og funktionelle.

Forklaring på CIS #11: Cyber kriminelle trænger igennem forsvarsmekanismer ved at søge efter elektroniske huller i firewalls, routere og switches. Når disse netværks devices først er blevet kompromitteret, kan de cyber kriminelle få adgang til de netværk, de har udset sig som mål, og omdirigere trafikken på disse netværk (til et ondsindet system, der udgiver sig for at være et pålideligt system) og opsnappe og ændre informationer, mens de overføres. Organisationer kan benytte kommercielle værktøjer, der evaluerer regelsættet for netværksfiltrerings devices og afgør, om de er i overensstemmelse med eller i konflikt hermed og foretager et automatisk check af netværksfiltrene. Derudover søger disse kommercielle værktøjer efter fejl i regelsæt. Disse værktøjer bør køres hver gang, der foretages signifikante ændringer i firewall regelsæt, router ACLs eller andre filtreringsteknologier. Ved den periodiske evaluring af implementationen af Kontrol 11 bør et evalueringsteam foretage en ændring i alle de typer af netværksdevices, der er tilknyttet netværket. Som minumum bør routere, switches og firewalls testes. Og hvis de findes, skal IPS, IDS og andre netværksdevices inkluderes.

Forklaring på CIS #12: Ved at angribe systemer, der vender sig mod internettet, kan cyber kriminelle oprette et angrebet endpoint hvorfra de kan bryde ind i andre netværk eller interne systemer. De kan benytte automatiserede værktøjer til at udnytte sårbare indgangssteder i et netværk. Hvis man vil kontrollere trafikflowet gennem netværks grænser og se efter angreb og tegn på kompromitterede maskiner, skal forsvaret af kanten af netværket være i flere lag. Disse grænser bør bestå af firewalls, proxies, DMZ perimeter netværk og netværksbaserede intrusion prevention systemer og intrusion detection systemer. Organisationer bør regelmæssigt teste disse sensorer ved at køre vulnerability-scannings værktøjer. Disse værktøjer verificerer, at scanner trafikken udløser en passende alarm. De pakker, der indfanges af Intrusion Detection Systems (IDS) sensorerene bør gennemgås af et automatiseret script hver dag, hvilket sikrer, at log-mængderne er inden for de forventede parametre er formatteret ordenligt og ikke er ødelagt. Ved den periodiske evaluering af implementationen af Kontrol 12 skal evalueringsteamet teste firewalls og lignende devices. Dette gøres ved at sende pakker fra et sted uden for et pålideligt netværk, hvilket sikrer, at det kun er autoriserede pakker, der lukkes gennem den pågældende grænse. Alle andre pakker skal afvises.

Forklaring på CIS #13: Tabet af beskyttede og følsomme data er en alvorlig trussel mod virksomhedens drift og - potentielt - den nationale sikkerhed. Selv om nogle data lækkes eller går tabt som resultat af tyveri eller spionage, kommer den store majoritet af disse problemer fra dårligt foreståede datarelaterede retningslinjer. Disse inkluderer - men er ikke begrænset til - en mangel på effektive policy arkitekturer og brugerfejl. Udtrykket "Data Loss Prevention" (DLP) refererer til en omfattende fremgangsmåde, der omfatter mennesker, processer og systemer, der identificerer, overvåger og beskytter data, der er i brug (fx node handlinger), data i bevægelse (fx netværkshandlinger) og data i hvile (fx lagrede data) ved hjælp af dyb inspektion af indhold og med en centraliseret administrativ struktur. Der findes kommercielle DLP løsninger, man kan bruge til at søge efter forsøg på datatyveri og til at opdage andre mistænkelige aktiviteter i forbindelse med et beskyttet netværk, der indeholder følsomme informationer. Systemet skal være i stand til at identificere uautoriseret data der forlader organisationens systemer enten via filoverførsler på netværket eller via flytbare medier. Ved den periodiske evaluering af implementeringen af Kontrol 13 må evalueringsteamet forsøge at installere test datasæt (der trigger DLP systemet men indeholder sensitive data) uden for det pålidelige computermiljø både via filoverførsler over netværket og via flytbare medier.

Forklaring på CIS #14: Nogle organisationer identificerer og separerer ikke omhyggeligt følsomme data fra mindre følsom information, der er offentligt tilgængelig inden for det interne netværk. I mange miljøer har interne brugere adgang til alle eller de fleste informationer på netværket. Når først de cyber kriminelle har fået adgang til sådan et netværk, kan de nemt og uden den store modstand finde og udtrække vigtig information. Denne kontrol er ofte implementeret ved hjælp af den indbyggede adskillelse af administrator konti fra non-administrator konti. Systemet skal være i stand til at opdage alle forsøg fra brugere på at få adgang til filer uden for de relevante privilegier og skal generere en alarm eller e-mail meddelelse hos det administrative personale. Dette inkluderer information på lokale systemer eller fildelinger, der er tilgængelige over netværket. Ved den periodiske evaluering af Kontrol 14 skal evalueringsteamet oprette testkonti med begrænset adgang og verificere, at kontoen er ude af stand til at få adgang til kontrolleret information.

Forklaring på CIS #15: Cyber kriminelle, der har opnået wireless adgang til en organisation fra nærtliggende parkeringspladser, har begået alvorlige datatyverier. På denne måde har de cyber kriminelle kunnet få adgang til en organisation og har kunnet bibeholde adgangen til målet i længere tid. Effektive organisationer benytter kommercielle, trådløse scannings-, detection og discovery værktøjer og derudover kommercielle wireless intrusion detection systemer. Systemet skal kunne identificere uautoriserede trådløse devices eller konfigurationer, når de er inden for organisationens systemers rækkevidde eller forbundet til dets netværk. Ved den periodiske evaluering af Kontrol 15 må evaluringsteamet konfigurere uautoriserede men sikre wireless klienter og wireless access points til organisationens netværk. Teamet må også forsøge at forbinde dem til organisationens trådløse netværk. Disse access points skal findes og udbedres på bedste mulige måde.

Forklaring på CIS #16: Cyber kriminelle giver sig tit ud for at være legitime brugere ved hjælp af inaktive brugerkonti. Denne metode gør det svært for netværksansvarlige at identificere de cyber kriminelles adfærd. Selv om de fleste operativsystemer indeholder funktioner til logning af information om kontobrugen, er disse funktioner nogle gange deaktiveret by default. Sikkerhedsansvarlige kan konfigurere systemerne til at registrere mere detaljeret information om kontoadgangen og bruge hjemmelavede scripts eller tredjeparts loganalyseværktøjer til at analysere denne information. Systemet skal kunne identificere uautoriserede brugerkonti, når de er til stede i systemet. Ved den periodiske evaluering af implementationen af Kontrol 16 skal evaluateringsteamet verificere, at listen over låste konti, deaktiverede konti, konti med passwords, der er ældre end reglerne tilskriver, og konti med passwords, der aldrig udløber, er gennemført succesfuldt hver dag.