Frameworksammenligning
Side-om-side-sammenligning af de fire sikkerhedsframeworks, som Aether365 understoetter.
Oversigt
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Fulde navn | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU-direktivet om net- og informationssikkerhed 2 |
| Udgivet af | Center for Internet Security | Microsoft (open source) | CISA (amerikansk forbundsagentur) | Den Europaeiske Union |
| Primaer maalgruppe | Kommercielle organisationer globalt | Organisationer, der bruger Entra ID | Amerikanske forbundsagenturer | EU-vaesentlige/vigtige enheder |
| Fokusomraade | Bred M365-konfiguration | Entra ID-identitetssikkerhed | M365 produkt-for-produkt | Cybersikkerhedsrisikostyring |
| Antal kontroller | ~100 | ~80 | ~150 | ~50 |
| Opdateringskadence | Store udgivelser hver 12-18 maaneder | Lbende (GitHub) | Store udgivelser aarligt | Lovgivningscyklus |
| Licensering | Gratis at bruge | Open source (MIT) | Offentligt domaene | EU-forordning |
CIS Microsoft 365 Foundations Benchmark
Bedst til: Organisationer, der oensker en kommercielt anerkendt, revisionsvenlig baseline.
CIS-benchmarks er de facto-standarden i kommercielle sikkerhedsprogrammer. M365-benchmarket daekker:
- Konto og autentificering - MFA, legacy-autentificering, adgangskodepolitikker
- Microsoft 365 Admin Center-indstillinger - gaesteadgang, deling, eksternt samarbejde
- Exchange Online - e-mailautentificering (SPF, DKIM, DMARC), mailflowregler, anti-phishing
- SharePoint Online og OneDrive - delingsindstillinger, kontrol af ekstern adgang
- Microsoft Teams - moedepolitikker, gaesteadgang, ekstern foederation
- Entra ID - betinget adgang, rolletildelinger, sikkerhedsstandarder
Profilniveauer:
| Niveau | Beskrivelse |
|---|---|
| L1 | Grundlaeggende kontroller. Implementér foerst. Lavere afbrydelsesrisiko. |
| L2 | Hoejere sikkerhed. Kan kraeve planlaegning og brugerkommunikation. |
Aether365-kontroller inkluderer profilniveauet i hvert resultat, saa du kan prioritere L1 foerst.
EIDSCA (Entra ID Security Config Analyzer)
Bedst til: Organisationer, der oensker dyb identitetssikkerhedsdaekning ud over, hvad CIS daekker.
EIDSCA blev samudviklet med Microsoft-ingenioerer og fokuserer specifikt paa Entra ID-konfiguration. Det daekker omraader, som CIS enten udelader eller kun daekker delvist:
- Privileged Identity Management (PIM) - just-in-time-adgang, rolleaktiveringsindstillinger
- Autentificeringsmetoder - FIDO2, autentificeringsappindstillinger, Windows Hello
- Betingede adgangspolitikker - enhedsoverhold, loginrisiko, brugerrisiko
- Applikationsstyring - OAuth-apptilladelser, samtykkepolitikker
- Sikkerhedsstandarder og baseline - Microsofts egne baselineanbefalinger
- Identitetsbeskyttelse - risikopolitikker, detektering af laekke credentials
EIDSCA-kontroller mapper til Secure Score-kategorierne i Microsoft Entra og supplerer CIS-kontroller med finkornede Entra ID-daekninger.
CISA SCuBA M365 Security Baseline
Bedst til: Amerikanske forbundsagenturer underlagt CISA-vejledning; organisationer, der oensker omfattende daekning paa produktniveau.
SCuBA (Secure Cloud Business Applications) er struktureret efter M365-produkt i stedet for efter sikkerhedskategori:
| Produktbaseline | Daekning |
|---|---|
| AAD (Azure Active Directory) | Identitet, MFA, betinget adgang |
| Exchange Online | E-mailsikkerhed, anti-phishing, mailflow |
| Teams | Moedesikkerhed, gaesteadgang, datatab |
| SharePoint og OneDrive | Deling, ekstern adgang, DLP |
| Power Platform | Appoprettelsespolitikker, gaesteadgang |
| Defender for Office 365 | ATP-politikker, sikre links, sikre vedhaeftninger |
Hver produktsektion indeholder paakraevede og valgfrie politikker. Aether365 markerer valgfrie politikker tydeligt i resultatdetaljerne.
SCuBA er teknisk rettet mod amerikanske forbundsagenturer (FISMA-daekke systemer), men politikkerne er bredt anvendelige for enhver organisation.
NIS2 (EU-direktivet om net- og informationssikkerhed 2)
Bedst til: EU-baserede organisationer, der driver vaesentlige eller vigtige tjenester og skal demonstrere NIS2-overholdelse.
NIS2 er et reguleringsframework, ikke et teknisk benchmark. Det specificerer kategorier af kontroller, som organisationer skal implementere - det foreskriver ikke praecise konfigurationsvaerdier. Aether365's NIS2-kontroller mapper M365-konfiguration til NIS2-artikelkrav:
| NIS2-artikel | Kontrolkategori | Eksempler paa M365-kontroller |
|---|---|---|
| Art. 21(2)(a) | Risikostyring | Sikkerhedspolitikker, revisionslogning |
| Art. 21(2)(b) | Haendelseshaandtering | Advarselspolitikker, opbevaring af revisionslog |
| Art. 21(2)(c) | Forretningskontinuitet | Backup, dataopbevaringsindstillinger |
| Art. 21(2)(d) | Forsyningskaekdesikkerhed | Tredjepartsapptilladelser |
| Art. 21(2)(e) | Anskaffelsessikkerhed | Applikationssamtykkepolitikker |
| Art. 21(2)(f) | Adgangskontrol | MFA, privilegeret adgang, PIM |
| Art. 21(2)(g) | Kryptografi | Krypteringsindstillinger, TLS-politik |
| Art. 21(2)(h) | HR-sikkerhed | Offboarding, genaemgang af gaestekonti |
| Art. 21(2)(i) | Autentificering | MFA, adgangskodepolitikker, legacy-autentificering |
Vigtigt: At bestaa NIS2-kontroller i Aether365 certificerer ikke NIS2-overholdelse. NIS2-overholdelse kraever organisatoriske processer, juridiske vurderinger og rapporteringsforpligtelser ud over teknisk konfiguration. Aether365's NIS2-kontroller giver dig tillid til, at din M365-konfiguration ikke modsiger NIS2-krav.
Hvilket framework skal jeg bruge?
Du behoever ikke at vaelge ét. Aether365 koerer alle frameworks og praesenterer resultaterne samlet. Der er betydelig overlapning mellem frameworks - en enkelt konfigurationsindstilling kan kontrolleres af CIS, EIDSCA og CISA. Aether365 deduplikerer overlappende kontroller og viser hvert fund én gang med krydsreferencer til hvert framework, der daekker det.
Anbefalinger til startpunkt:
| Situation | Start med |
|---|---|
| Ingen tidligere frameworkerfaring | CIS L1 - grundlaeggende og bredt forstaaet |
| Fokus paa identitetssikkerhed | EIDSCA - dybeste Entra ID-daekning |
| Amerikansk forbund eller tilgraensende | CISA SCuBA |
| EU-regulatorisk krav | NIS2, udfyld derefter huller med CIS |
| Skal bestaa en sikkerhedsrevision | CIS - mest anerkendt af eksterne revisorer |
| Oensker omfattende daekning | Koer alle fire frameworks samtidigt |
Antal kontroller pr. framework
Antal kontroller varierer, efterhaanden som frameworks opdateres. Aktuelle omtrentlige tal i Aether365:
| Framework | Samlet antal kontroller | Typisk bestaelsesrate (SMB) | Typisk bestaelsesrate (Enterprise) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
Bestaelsesrater er vejledende estimater. Din rate afhaenger i hoej grad af din eksisterende konfiguration, licenser, og om du har udrullet betingede adgangspolitikker.