Cómo usar los puntos de referencia de CIS sin ser miembro de CIS

2

Estoy intentando auditar mis sistemas Linux con los puntos de referencia de seguridad de CIS . Existen herramientas del sistema operativo como OpenSCAP o Lynis que puede hacer puntos de referencia relacionados con la seguridad, y vienen con algunos puntos de referencia que podrían estar cerca de los puntos de referencia de la CEI pero no son los mismos.

¿Alguien ha pasado por la tarea de convertir los Puntos de referencia de libre acceso en formato PDF y los ha convertido en algo que se puede enviar a OpenSCAP o Lynis y ha puesto el resultado a disposición del público?

He buscado pero no pude encontrar algo, pero tal vez haya pasado por alto algo.

    
pregunta Isaac 19.10.2018 - 10:07
fuente

1 respuesta

3

Revisé el lado legal de las cosas, lo que básicamente explica por qué no encontré nada útil. En resumen: no puede utilizar los puntos de referencia de CIS y llamarlos puntos de referencia de CIS sin ser miembro.

Cotización de los "Términos de uso" de uno de los PDF que se proporcionan de forma gratuita:

  

Términos de uso   Este trabajo está licenciado bajo una licencia pública internacional de Creative Commons Attribution-NonCommercial-ShareAlike 4.0. El enlace a los términos de la licencia se puede encontrar en enlace   Para aclarar aún más la licencia de Creative Commons relacionada con el contenido de Benchmark CIS, está autorizado a copiar y redistribuir el contenido para que lo use, dentro de su organización y fuera de su organización solo para fines no comerciales, siempre que (i) se otorgue el crédito apropiado a CIS, (ii) se proporciona un enlace a la licencia. Además, si realiza remezclas, transformaciones o se basa en los puntos de referencia de CIS, solo puede distribuir los materiales modificados si están sujetos a los mismos términos de licencia que la licencia de punto de referencia original y su derivado ya no será un punto de referencia CIS . El uso comercial de los puntos de referencia CIS está sujeto a la aprobación previa del Centro de Seguridad de Internet.

[énfasis mío]

En resumen: si transformo ese PDF en algún tipo de script, ya no puedo llamarlo "un CIS Benchmark". Además, no tiene uso comercial.

Entonces, si realmente necesita que su activo sea un punto de referencia de CIS, no hay forma de evitar una membresía. Costos no es tan malo como pensaba, pero puede ser difícil para organizaciones muy pequeñas .

Tenable publica un formulario legible por máquina, sin embargo, también tiene una licencia restrictiva, por lo que una vez más, no hay forma de pagar.

Si es la seguridad "justa" en la que uno está interesado, hay, por supuesto, varias alternativas buenas (ver pregunta), y muchas de ellas parecen estar inspiradas en la CEI (o al revés). Pero en nuestro caso, nuestros clientes preguntaban sobre CIS, por lo que necesitamos obtener una membresía.

    
respondido por el Isaac 19.10.2018 - 10:58
fuente

Lea otras preguntas en las etiquetas