Porovnání frameworků
Spravuje: tým Aether365 Určeno pro: správce zabezpečení a compliance specialisty Rozsah: přímé porovnání frameworků CIS, EIDSCA, CISA SCuBA a NIS2
Přímé porovnání čtyř bezpečnostních frameworků, které Aether365 podporuje.
Přehled
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Celý název | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU Network and Information Systems Directive 2 |
| Vydavatel | Center for Internet Security | Microsoft (open-source) | CISA (federální agentura USA) | Evropská unie |
| Hlavní cílová skupina | komerční organizace po celém světě | organizace používající Entra ID | federální agentury USA | klíčové a důležité subjekty v EU |
| Oblast zaměření | široká konfigurace M365 | zabezpečení identit v Entra ID | M365 produkt po produktu | řízení kybernetických rizik |
| Počet kontrol | ~100 | ~80 | ~150 | ~50 |
| Frekvence aktualizací | velká vydání každých 12-18 měsíců | průběžně (GitHub) | velká vydání jednou ročně | legislativní cyklus |
| Licencování | k volnému použití | open-source (MIT) | public domain | nařízení EU |
CIS Microsoft 365 Foundations Benchmark
Vhodné pro: organizace, které chtějí komerčně uznávaný základ vstřícný k auditorům.
CIS benchmarky jsou de facto standardem komerčních bezpečnostních programů. Benchmark pro M365 pokrývá:
- Účty a ověřování - MFA, starší způsoby ověřování, zásady pro hesla
- Nastavení centra pro správu Microsoft 365 - přístup hostů, sdílení, externí spolupráce
- Exchange Online - ověřování e-mailů (SPF, DKIM, DMARC), pravidla toku pošty, ochrana před phishingem
- SharePoint Online a OneDrive - nastavení sdílení, řízení externího přístupu
- Microsoft Teams - zásady schůzek, přístup hostů, externí federace
- Entra ID - podmíněný přístup, přiřazení rolí, výchozí zabezpečení
Úrovně profilů:
| Úroveň | Popis |
|---|---|
| L1 | Základní opatření. Zaveďte nejdříve. Nižší riziko narušení. |
| L2 | Vyšší zabezpečení. Může vyžadovat plánování a komunikaci s uživateli. |
Aether365 uvádí úroveň profilu u každého výsledku kontroly, abyste mohli přednostně řešit L1.
EIDSCA (Entra ID Security Config Analyzer)
Vhodné pro: organizace, které chtějí hloubkové pokrytí zabezpečení identit nad rámec toho, co nabízí CIS.
EIDSCA vznikl ve spolupráci s inženýry Microsoftu a cílí konkrétně na konfiguraci Entra ID. Pokrývá oblasti, které CIS buď vynechává, nebo řeší jen částečně:
- Privileged Identity Management (PIM) - přístup typu just-in-time, nastavení aktivace rolí
- Metody ověřování - FIDO2, nastavení authenticator aplikace, Windows Hello
- Zásady podmíněného přístupu - shoda zařízení, riziko přihlášení, riziko uživatele
- Správa aplikací - oprávnění OAuth aplikací, zásady souhlasu
- Výchozí zabezpečení a baseline - vlastní doporučení Microsoftu pro baseline
- Ochrana identit - rizikové zásady, detekce kompromitovaných přihlašovacích údajů
Kontroly EIDSCA odpovídají kategoriím Secure Score v Microsoft Entra a doplňují kontroly CIS o jemnější pokrytí Entra ID.
CISA SCuBA M365 Security Baseline
Vhodné pro: federální agentury USA podléhající pokynům CISA; organizace, které chtějí komplexní pokrytí na úrovni produktů.
SCuBA (Secure Cloud Business Applications) je strukturovaná podle produktů M365, nikoli podle bezpečnostních kategorií:
| Produktová baseline | Pokrytí |
|---|---|
| AAD (Azure Active Directory) | identita, MFA, podmíněný přístup |
| Exchange Online | zabezpečení e-mailů, ochrana před phishingem, tok pošty |
| Teams | zabezpečení schůzek, přístup hostů, ztráta dat |
| SharePoint a OneDrive | sdílení, externí přístup, DLP |
| Power Platform | zásady vytváření aplikací, přístup hostů |
| Defender for Office 365 | zásady ATP, bezpečné odkazy, bezpečné přílohy |
Každá produktová sekce obsahuje povinné a volitelné zásady. Aether365 ve výsledcích jasně označuje volitelné zásady.
SCuBA technicky cílí na federální agentury USA (systémy spadající pod FISMA), ale její zásady jsou široce použitelné v jakékoli organizaci.
NIS2 (EU Network and Information Systems Directive 2)
Vhodné pro: organizace se sídlem v EU, které provozují klíčové nebo důležité služby a musí prokázat soulad s NIS2.
NIS2 je regulační rámec, nikoli technický benchmark. Stanovuje kategorie opatření, které organizace musí zavést - nepředepisuje přesné konfigurační hodnoty. Kontroly NIS2 v Aether365 mapují konfiguraci M365 na požadavky jednotlivých článků NIS2:
| Článek NIS2 | Kategorie opatření | Příklady kontrol M365 |
|---|---|---|
| Art. 21(2)(a) | řízení rizik | bezpečnostní zásady, auditní protokoly |
| Art. 21(2)(b) | řešení incidentů | zásady upozornění, uchovávání auditních protokolů |
| Art. 21(2)(c) | kontinuita provozu | zálohování, nastavení uchovávání dat |
| Art. 21(2)(d) | zabezpečení dodavatelského řetězce | oprávnění aplikací třetích stran |
| Art. 21(2)(e) | zabezpečení při pořizování | zásady souhlasu s aplikacemi |
| Art. 21(2)(f) | řízení přístupu | MFA, privilegovaný přístup, PIM |
| Art. 21(2)(g) | kryptografie | nastavení šifrování, zásady TLS |
| Art. 21(2)(h) | personální bezpečnost | odchod zaměstnanců, revize hostujících účtů |
| Art. 21(2)(i) | ověřování | MFA, zásady pro hesla, starší ověřování |
Důležité: Úspěšné absolvování kontrol NIS2 v Aether365 nepotvrzuje soulad s NIS2. Soulad s NIS2 vyžaduje organizační procesy, právní posouzení a ohlašovací povinnosti, které přesahují technickou konfiguraci. Kontroly NIS2 v Aether365 vám dávají jistotu, že vaše konfigurace M365 není v rozporu s požadavky NIS2.
Který framework mám použít?
Nemusíte si vybírat jen jeden. Aether365 spouští všechny frameworky a výsledky zobrazuje pohromadě. Mezi frameworky existuje výrazný překryv - jediné konfigurační nastavení může kontrolovat CIS, EIDSCA i CISA zároveň. Aether365 překrývající se kontroly sjednocuje a každé zjištění zobrazuje jednou s odkazy na všechny frameworky, které jej pokrývají.
Doporučení, kde začít:
| Situace | Začněte s |
|---|---|
| žádná předchozí zkušenost s frameworky | CIS L1 - základní a obecně srozumitelný |
| zaměření na zabezpečení identit | EIDSCA - nejhlubší pokrytí Entra ID |
| federální nebo vládní sektor USA | CISA SCuBA |
| regulační požadavek EU | NIS2, poté doplňte mezery pomocí CIS |
| potřeba projít bezpečnostním auditem | CIS - nejuznávanější externími auditory |
| zájem o komplexní pokrytí | spusťte všechny čtyři frameworky najednou |
Počet kontrol podle frameworku
Počty kontrol se mění s aktualizacemi frameworků. Aktuální přibližné počty v Aether365:
| Framework | Celkem kontrol | Obvyklá míra úspěšnosti (SMB) | Obvyklá míra úspěšnosti (Enterprise) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70 % | 70-85 % |
| CIS (L1+L2) | ~100 | 45-65 % | 65-80 % |
| EIDSCA | ~80 | 50-65 % | 65-80 % |
| CISA SCuBA | ~150 | 40-60 % | 60-75 % |
| NIS2 | ~50 | 55-70 % | 70-85 % |
Míry úspěšnosti jsou ilustrativní odhady. Vaše skutečná míra silně závisí na stávající konfiguraci, licencích a na tom, zda máte nasazené zásady podmíněného přístupu.