Сравнение на рамки
Сравнение една до друга на четирите рамки за сигурност, поддържани от Aether365.
Обзор
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Пълно име | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU Network and Information Systems Directive 2 |
| Публикувано от | Center for Internet Security | Microsoft (отворен код) | CISA (федерална агенция на САЩ) | Европейски съюз |
| Основна аудитория | Комерсиални организации по света | Организации, използващи Entra ID | Федерални агенции на САЩ | Съществени/важни субекти в ЕС |
| Фокус | Обща конфигурация на M365 | Сигурност на идентичността в Entra ID | Продукт по продукт в M365 | Управление на киберсигурностния риск |
| Брой проверки | ~100 | ~80 | ~150 | ~50 |
| Честота на обновяване | Основни версии на 12-18 месеца | Непрекъснато (GitHub) | Основни версии ежегодно | Законодателен цикъл |
| Лицензиране | Безплатно за използване | Отворен код (MIT) | Обществено достояние | Регламент на ЕС |
CIS Microsoft 365 Foundations Benchmark
Най-подходящ за: Организации, които искат комерсиално признат, удобен за одитори baseline.
CIS стандартите са де факто стандарт в комерсиалните програми за сигурност. M365 стандартът обхваща:
- Акаунт и удостоверяване - MFA, наследено удостоверяване, политики за пароли
- Настройки на Microsoft 365 Admin Center - достъп за гости, споделяне, външно сътрудничество
- Exchange Online - удостоверяване на имейли (SPF, DKIM, DMARC), правила за пощенски поток, антифишинг
- SharePoint Online и OneDrive - настройки за споделяне, контроли за външен достъп
- Microsoft Teams - политики за срещи, достъп за гости, външна федерация
- Entra ID - условен достъп, присвояване на роли, настройки за сигурност по подразбиране
Нива на профил:
| Ниво | Описание |
|---|---|
| L1 | Основополагащи контроли. Внедрете първо. По-нисък риск от смущения. |
| L2 | По-висока сигурност. Може да изисква планиране и комуникация с потребителите. |
Проверките на Aether365 включват нивото на профила във всеки резултат, за да можете да приоритизирате L1 първо.
EIDSCA (Entra ID Security Config Analyzer)
Най-подходящ за: Организации, които искат задълбочено покритие на сигурността на идентичността отвъд това, което CIS обхваща.
EIDSCA е съразработен с инженери на Microsoft и е насочен конкретно към конфигурацията на Entra ID. Обхваща области, които CIS пропуска или покрива само частично:
- Privileged Identity Management (PIM) - достъп точно навреме, настройки за активиране на роли
- Методи за удостоверяване - FIDO2, настройки на приложение за удостоверяване, Windows Hello
- Политики за условен достъп - съответствие на устройството, риск при влизане, риск за потребителя
- Управление на приложения - OAuth разрешения на приложения, политики за съгласие
- Настройки за сигурност по подразбиране и baseline - собствените препоръки на Microsoft за baseline
- Защита на идентичността - политики за риск, засичане на компрометирани удостоверения
Проверките на EIDSCA се съпоставят с категориите на Secure Score в Microsoft Entra и допълват проверките на CIS с по-детайлно покритие на Entra ID.
CISA SCuBA M365 Security Baseline
Най-подходящ за: Федерални агенции на САЩ, обект на насоките на CISA; организации, които искат изчерпателно покритие на ниво продукт.
SCuBA (Secure Cloud Business Applications) е структуриран по M365 продукт, а не по категория сигурност:
| Baseline по продукт | Покритие |
|---|---|
| AAD (Azure Active Directory) | Идентичност, MFA, условен достъп |
| Exchange Online | Имейл сигурност, антифишинг, пощенски поток |
| Teams | Сигурност на срещи, достъп за гости, загуба на данни |
| SharePoint и OneDrive | Споделяне, външен достъп, DLP |
| Power Platform | Политики за създаване на приложения, достъп за гости |
| Defender for Office 365 | ATP политики, Safe Links, Safe Attachments |
Всеки продуктов раздел съдържа задължителни и незадължителни политики. Aether365 ясно маркира незадължителните политики в детайлите на резултата.
SCuBA е технически насочен към федералните агенции на САЩ (системи, обхванати от FISMA), но политиките са широко приложими за всяка организация.
NIS2 (EU Network and Information Systems Directive 2)
Най-подходящ за: Организации, базирани в ЕС, които оперират съществени или важни услуги и трябва да демонстрират съответствие с NIS2.
NIS2 е регулаторна рамка, не технически benchmark. Тя определя категории контроли, които организациите трябва да внедрят - не предписва точни конфигурационни стойности. Проверките на Aether365 за NIS2 съпоставят конфигурацията на M365 с изискванията по членовете на NIS2:
| Член на NIS2 | Категория контрол | Примерни M365 проверки |
|---|---|---|
| Чл. 21(2)(а) | Управление на риска | Политики за сигурност, одитен журнал |
| Чл. 21(2)(б) | Обработка на инциденти | Политики за предупреждения, съхранение на одитния журнал |
| Чл. 21(2)(в) | Непрекъсваемост на бизнеса | Архивиране, настройки за съхранение на данни |
| Чл. 21(2)(г) | Сигурност на веригата на доставки | Разрешения на приложения на трети страни |
| Чл. 21(2)(д) | Сигурност при придобиване | Политики за съгласие за приложения |
| Чл. 21(2)(е) | Контрол на достъпа | MFA, привилегирован достъп, PIM |
| Чл. 21(2)(ж) | Криптография | Настройки за криптиране, TLS политика |
| Чл. 21(2)(з) | Сигурност на човешките ресурси | Offboarding, преглед на акаунти за гости |
| Чл. 21(2)(и) | Удостоверяване | MFA, политики за пароли, наследено удостоверяване |
Важно: Преминаването на проверките за NIS2 в Aether365 не сертифицира съответствие с NIS2. Съответствието с NIS2 изисква организационни процеси, правни оценки и задължения за отчитане отвъд техническата конфигурация. Проверките на Aether365 за NIS2 ви дават увереност, че конфигурацията на вашия M365 не противоречи на изискванията на NIS2.
Коя рамка да използвам?
Не е нужно да избирате само една. Aether365 изпълнява всички рамки и представя резултатите заедно. Има значително припокриване между рамките - една конфигурационна настройка може да бъде проверена от CIS, EIDSCA и CISA. Aether365 дедуплицира припокриващите се проверки и показва всяка констатация веднъж с препратки към всяка рамка, която я обхваща.
Препоръки за начална точка:
| Ситуация | Започнете с |
|---|---|
| Без предишен опит с рамки | CIS L1 - основополагащ и широко разбираем |
| Фокус върху сигурността на идентичността | EIDSCA - най-задълбочено покритие на Entra ID |
| Федерална агенция на САЩ или свързана с правителството | CISA SCuBA |
| Регулаторно изискване на ЕС | NIS2, след това запълнете пропуските с CIS |
| Необходимост да преминете одит за сигурност | CIS - най-признат от външни одитори |
| Искате изчерпателно покритие | Изпълнете и четирите рамки едновременно |
Брой проверки по рамка
Броят на проверките варира с актуализирането на рамките. Приблизителен текущ брой в Aether365:
| Рамка | Общо проверки | Типичен процент преминаване (SMB) | Типичен процент преминаване (Enterprise) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
Процентите на преминаване са ориентировъчни оценки. Вашият процент зависи значително от текущата ви конфигурация, лицензи и дали сте внедрили политики за условен достъп.