اگر امنیت سایبری را یک ساختمان چندطبقه تصور کنیم، چارچوب‌هایی مثل ISO 27001 اسکلت این ساختمان هستند، NIST CSF مسیرهای اجرایی آن را مشخص می‌کند و کنترل‌های امنیتی CIS همان چک‌لیست عملیاتی است که تضمین می‌کند هیچ در و پنجره‌ای باز نماند.
چارچوب CIS Controls که بسیاری هنوز آن را با نام قدیمی‌ترش یعنی SANS Top 20 می‌شناسند، یکی از مهم‌ترین فهرست‌های اولویت‌دار کنترل‌های امنیتی در دنیاست؛ فهرستی که به‌صورت کاملاً عملی به شما می‌گوید:

«برای کاهش بیشترین ریسک سایبری چه کنترل‌هایی را باید به چه ترتیب و چگونه پیاده کنید؟»

در ادامه، عمیق‌ترین و کامل‌ترین مقاله‌ی فارسی درباره کنترل‌های امنیتی CIS v8 را می‌خوانید — مقاله‌ای که هم برای متخصصان امنیت و هم برای شرکت‌های در حال ساخت سیستم امنیت اطلاعات، ارزش کاربردی دارد.

---

نقش کنترل‌های امنیتی CIS در امنیت سایبری امروز

با سرعت گرفتن تهدیدات سایبری، دیگر کافی نیست که سازمان‌ها فقط سیاست امنیت اطلاعات داشته باشند.
نیاز به کنترل‌های اجرایی، قابل اندازه‌گیری و اولویت‌بندی‌شده داریم — چیزی که دقیقاً در چارچوب CIS ارائه شده است.

نقش CIS Controls در امنیت اطلاعات:

• تبدیل سیاست‌های امنیتی به «اقدام‌های واقعی»
• مشخص کردن «اولویت اجرای کنترل‌ها» (IG1، IG2، IG3)
• ایجاد حداقل سطح دفاعی برای سازمان‌ها
• کاهش مستقیم و قابل اندازه‌گیری ریسک
• هم‌ترازی با استانداردهای بزرگ‌تر مثل ISO و NIST

به همین دلیل است که بسیاری از سازمان‌ها، خصوصاً تیم‌های SOC و Blue Team، از CIS Controls به‌عنوان «نقطه شروع امنیت سایبری» استفاده می‌کنند.

---

کنترل‌های امنیتی CISچیست؟ شناخت کامل چارچوب

CIS Controls مجموعه‌ای از ۱۸ کنترل امنیت سایبری است که توسط Center for Internet Security منتشر شده است:

https://www.cisecurity.org/controls

این کنترل‌ها بر اساس تحلیل میلیون‌ها حمله‌ی واقعی و داده‌های فنی طراحی شده‌اند.
نسخه جدید (v8) بر سه اصل استوار است:

1. سادگی و عملیاتی بودن
2. اولویت‌بندی براساس ریسک
3. سازگاری با استانداردهای جهانی (ISO، NIST، SOC2)

نکته:
CIS Controls نسخه‌ی جدید SANS Top 20 است — یعنی همان چیزی که سال‌ها جامعه امنیت سایبری به‌عنوان فهرست ۲۰ کنترل حیاتی می‌شناخت.

---

معرفی گروه‌بندی‌ها (IG1، IG2، IG3)

یکی از مهم‌ترین بخش‌های CIS Controls، تقسیم‌بندی سازمان‌ها به سه گروه سطح بلوغ است:

🔹IG1 – حداقل کنترل‌های ضروری (Basic Cyber Hygiene)

کنترل‌های ضروری برای تمام سازمان‌ها.
اگر هیچ کاری نکرده‌اید، از اینجا شروع کنید.

🔹IG2 – سطح متوسط دفاع سایبری

برای سازمان‌هایی که داده حساس، مشتریان زیاد یا تیم امنیت محدود دارند.

🔹IG3 – سطح پیشرفته و حساس

برای بانک‌ها، سازمان‌های مالی، شرکت‌های دولتی و سازمان‌هایی که خطر حمله‌های هدفمند دارند.

این گروه‌بندی باعث می‌شود برخلاف NIST یا ISO، دقیقاً بدانید از کجا شروع کنید.

---

فهرست ۱۸ کنترل امنیتی CIS Controls v8

در ادامه، کنترل‌ها را کوتاه و کاربردی توضیح داده‌ام.

---

1. Inventory & Control of Enterprise Assets

شناسایی و مدیریت دارایی‌های سازمان

اولین و مهم‌ترین گام امنیت سایبری، دانستن این است که «چه چیزی در اختیار سازمان قرار دارد». منظور فقط لپ‌تاپ و سرور نیست؛ هر دستگاهی که به شبکه وصل می‌شود، یک دارایی محسوب می‌شود.
اگر ندانید چه دستگاه‌هایی وجود دارند، نمی‌توانید از آنها محافظت کنید.

مثال:
شناسایی لپ‌تاپ‌های کارکنان، سرورها، تجهیزات شبکه، دستگاه‌های IoT، سیستم‌های ابری و حتی موبایل‌های کاری.

اقدامات کلیدی:

• ساخت فهرست کامل دارایی‌ها
• استفاده از ابزارهای خودکار اسکن دارایی‌ها

🔹جدا کردن دارایی‌های مجاز و نامجاز

2. Inventory & Control of Software Assets

شناسایی و کنترل نرم‌افزارهای مجاز و غیرمجاز

حتی اگر سخت‌افزار ایمن باشد، نرم‌افزارهای غیرمجاز می‌توانند خطرات زیادی ایجاد کنند. هر نرم‌افزاری که نصب می‌شود باید شناسایی، تأیید و مدیریت شود.

مثال:
نصب ابزارهای ناشناخته روی سیستم کارمندان که ممکن است بدافزار باشد.

اقدامات کلیدی:

• فهرست نرم‌افزارهای مجاز
• جلوگیری خودکار از نصب برنامه‌های غیرمجاز

🔹مدیریت دقیق لایسنس‌ها

3. Data Protection

حفاظت از داده‌ها در زمان ذخیره، انتقال و استفاده

یکی از حیاتی‌ترین کنترل‌های امنیتی، محافظت از داده‌های حساس است. این کنترل شامل رمزنگاری، طبقه‌بندی داده‌ها، و جلوگیری از نشت اطلاعات است.

مثال:
رمزگذاری دیسک لپ‌تاپ‌های مدیران یا جلوگیری از خروج اطلاعات محرمانه از طریق USB.

اقدامات کلیدی:

• رمزنگاری End-to-End
• طبقه‌بندی داده‌ها

🔹DLP (Data Loss Prevention)

4. Secure Configuration of Enterprise Assets

پیکربندی امن سیستم‌ها

هر سیستم باید با تنظیمات امنیتی استاندارد روشن شود. بسیاری از حملات فقط به دلیل پیکربندی اشتباه انجام می‌شوند.

مثال:
غیرفعال نکردن سرویس‌های غیرضروری روی سرورهای ویندوز.

اقدامات کلیدی:

• استفاده از Baseline امنیتی
• بررسی دوره‌ای تنظیمات

🔹ابزارهایی مثل CIS Benchmarks

5. Account Management

مدیریت حساب‌های کاربری و دسترسی‌ها

هر کاربری باید فقط به منابعی دسترسی داشته باشد که واقعاً نیاز دارد. حساب‌های بلااستفاده یا پرخطر یکی از رایج‌ترین نقاط نفوذ مهاجمان هستند.

مثال:
وجود حساب‌های قدیمی کارمندان سابق.

اقدامات کلیدی:

• حذف حساب‌های غیر فعال
• کنترل سختگیرانه نقش‌ها

🔹فعالسازی MFA

6. Access Control Management

کنترل دسترسی و اجرای اصل کمترین دسترسی (Least Privilege)

کارمندان نباید بیش از حد لازم دسترسی داشته باشند. هر سطح دسترسی باید با دقت تعیین و کنترل شود.

مثال:
یک کارمند منابع انسانی نباید به سیستم‌های مالی یا دیتابیس فنی دسترسی داشته باشد.

اقدامات کلیدی:

• تعیین نقش‌ها (RBAC)

🔹ثبت و بررسی تغییرات دسترسی

7. Continuous Vulnerability Management

مدیریت مداوم آسیب‌پذیری‌ها

بزرگ‌ترین تهدید امنیتی، آسیب‌پذیری‌هایی است که وصله نشده‌اند. مهاجم فقط یک پورت باز یا یک نرم‌افزار قدیمی لازم دارد.

مثال:
آسیب‌پذیری Log4j که بسیاری از سازمان‌ها را فلج کرد.

اقدامات کلیدی:

• اسکن هفتگی
• Patch Management

🔹ارزیابی مستمر

8. Audit Log Management

جمع‌آوری، نگهداری و تحلیل لاگ‌ها

بدون لاگ، هیچ حادثه‌ای قابل تحلیل نیست. لاگ‌ها شواهد حملات‌اند.

مثال:
مشاهده ورودهای مشکوک با IPهای ناشناس.

اقدامات کلیدی:

• ذخیره‌سازی امن
• یکپارچه‌سازی در SIEM

🔹نگهداری لاگ‌ها حداقل ۱ سال

9. Email & Web Browser Protection

محافظت از ایمیل و مرورگر

بیش از ۹۰٪ حملات سایبری از طریق ایمیل یا مرورگر اتفاق می‌افتند.

مثال:
حمله فیشینگ به کارمند فروش.

اقدامات کلیدی:

• فیلتر هرزنامه
• جلوگیری از دانلودهای مخرب

🔹جداسازی محیط مرورگر (Browser Isolation)

10. Malware Defenses

دفاع در برابر بدافزار

مهاجمان از ویروس‌ها، باج‌افزار و تروجان‌ها استفاده می‌کنند. این کنترل دفاع چندلایه فراهم می‌کند.

مثال:
اجرای آنتی‌ویروس EDR روی تمام سیستم‌ها.

اقدامات کلیدی:

• EDR/XDR
• اسکن خودکار فایل‌ها

🔹تحلیل رفتار (Behavioral Analysis)

11. Data Recovery

پشتیبان‌گیری و بازیابی امن

بدون بکاپ، حمله باج‌افزار = پایان بازی. داشتن بکاپ کافی نیست؛ بازیابی‌اش مهم‌تر است.

مثال:
باج‌افزار فایل‌ها را قفل می‌کند، اما نسخه پشتیبانی سالم وجود دارد.

اقدامات کلیدی:

• بکاپ آفلاین
• تست دوره‌ای بازیابی

🔹نگهداری در چند محل

12. Network Infrastructure Management

مدیریت زیرساخت شبکه

شبکه قلب امنیت سازمان است. باید به‌صورت اصولی طراحی و محافظت شود.

مثال:
ایزوله کردن شبکه‌های کاربران از شبکه سرورها.

اقدامات کلیدی:

• VLAN بندی
• سخت‌گیری روی فایروال

🔹مانیتورینگ ترافیک

13. Network Monitoring & Defense

پایش شبکه و دفاع فعال

باید شبکه را همیشه زیر نظر داشت تا رفتارهای غیرعادی سریع شناسایی شود.

مثال:
شناسایی اسکن پورت از یک دستگاه ناشناس.

اقدامات کلیدی:

• IDS/IPS
• تحلیل رفتار شبکه

🔹هشدارهای بلادرنگ

14. Security Awareness & Training

آموزش امنیت سایبری به کارکنان

در ۸۰٪ حملات، انسان نقطه ورود است. آموزش درست، قوی‌ترین ابزار دفاعی شماست.

مثال:
آموزش تشخیص ایمیل فیشینگ.

اقدامات کلیدی:

• آموزش ماهانه
• آزمون‌های فیشینگ

🔹فرهنگ‌سازی امنیتی

15. Service Provider Management

مدیریت امنیت پیمانکاران و تامین‌کنندگان

سازمان فقط به اندازه ضعیف‌ترین پیمانکار خود امن است.

مثال:
نفوذ هکر از طریق شرکت پشتیبانی IT.

اقدامات کلیدی:

• بررسی امنیتی تامین‌کنندگان
• قرارداد سطح امنیت (SLA)

🔹کنترل دسترسی پیمانکار

16. Application Software Security

امنیت چرخه توسعه نرم‌افزار

نرم‌افزارهای سازمانی باید بر پایه اصول امن ساخته شوند (SSDLC).

مثال:
جلوگیری از آسیب‌پذیری SQL Injection در اپلیکیشن.

اقدامات کلیدی:

• Code Review
• تست امنیتی

🔹DevSecOps

17. Incident Response Management

مدیریت پاسخ به حوادث امنیتی

وقتی حمله اتفاق افتاد، سرعت مهم‌ترین چیز است. این کنترل نحوه واکنش سریع را مشخص می‌کند.

مثال:
قطع اتصال دستگاه آلوده ظرف ۲ دقیقه.

اقدامات کلیدی:

• ساخت IR Plan
• تیم واکنش سریع

🔹 گزارش‌دهی پس از حادثه

18. Penetration Testing

تست نفوذ برای ارزیابی امنیت

آخرین لایه امنیت، تست نفوذ است تا بفهمیم ضعف‌ها کجاست.

مثال:
تست نفوذ برای بررسی امنیت وب‌سایت، API و شبکه داخلی.

اقدامات کلیدی:

ارزیابی پس از اصلاح

تست دوره‌ای

تست Red Team

---

CIS vs NIST vs ISO: مقایسه‌ای که باید در مقاله باشد

چارچوب	تمرکز	نوع خروجی
CIS Controls	کنترل‌های اجرایی و اولویت‌دار	چک‌لیست عملیاتی
NIST CSF	مدیریت ریسک و عملکرد امنیت	چارچوب سطح بالا
ISO 27001	سیستم مدیریت امنیت اطلاعات	الزامات قابل ممیزی

این مقایسه برای سئو فوق‌العاده است چون کاربران زیاد آن را جست‌وجو می‌کنند.

---

مراحل پیاده‌سازی CIS Controls در سازمان (Roadmap اجرایی)

1. ارزیابی سطح بلوغ و انتخاب IG

IG1 → IG2 → IG3

2. شناسایی دارایی‌ها (Asset Inventory)

بدون این مرحله، هیچ کنترلی معنی ندارد.

3. نقشه‌برداری کنترل‌ها به وضعیت فعلی

Matrix ویژه تخمین شکاف‌ها (Gap Analysis)

4. اولویت‌بندی اقدام‌ها

مثلاً:
در IG1 فقط ۱۰ کنترل لازم است، نه ۱۸ کنترل.

5. اجرای کنترل‌ها با ابزار مناسب

EPP، SIEM، MFA، Backup و…

6. ارزیابی و تست نفوذ

برای سنجش عملی اثربخشی کنترل‌ها

---

ارتباط CIS Controls با SOC و تیم آبی (Blue Team)

تیم‌های SOC معمولاً از CIS Controls برای موارد زیر استفاده می‌کنند:

• ایجاد Playbook
• تعیین اولویت هشدارها
• آموزش نیروهای تازه‌وارد
• ارزیابی بلوغ امنیتی شرکت‌ها
• تشخیص حملات Phishing و Ransomware

---

اشتباهات رایج در پیاده‌سازی CIS Controls

• تلاش برای اجرای همه ۱۸ کنترل از ابتدا
• نادیده گرفتن IGها
• نبود Asset Inventory
• نبود فرهنگ امنیت سایبری
• محدود کردن اجرای کنترل‌ها فقط به تیم IT

---

نتیجه‌گیری: چرا CIS Controls بهترین نقطه شروع امنیت اطلاعات است؟

CIS Controls نسخه‌ی جدید، سریع و عملی استانداردهای امنیت سایبری است.
اگر ISO 27001 به شما می‌گوید «چه چیزی لازم است» و NIST CSF می‌گوید «چگونه ریسک را مدیریت کنید»، CIS Controls می‌گوید:

«از همین‌جا شروع کن و این کارها را انجام بده؛ همین امروز.»

به همین دلیل است که تقریباً تمام شرکت‌های موفق در حوزه امنیت سایبری، CIS Controls را پایه‌ی دفاع سایبری خود قرار می‌دهند.

---