Raamistike võrdlus
Haldab: Aether365 meeskond Sihtrühm: turvaadministraatorid ja vastavusspetsialistid Ulatus: CIS, EIDSCA, CISA SCuBA ja NIS2 raamistike kõrvutav võrdlus
Aether365 toetatud nelja turvaraamistiku kõrvutav võrdlus.
Ülevaade
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Täisnimi | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU Network and Information Systems Directive 2 |
| Avaldaja | Center for Internet Security | Microsoft (avatud lähtekood) | CISA (USA föderaalamet) | Euroopa Liit |
| Peamine sihtrühm | kommertsorganisatsioonid üle maailma | Entra ID-d kasutavad organisatsioonid | USA föderaalametid | EL-i olulised ja tähtsad üksused |
| Fookusvaldkond | lai M365 konfiguratsioon | Entra ID identiteediturve | M365 toodete kaupa | küberturvariski juhtimine |
| Kontrollide arv | ~100 | ~80 | ~150 | ~50 |
| Uuendamise sagedus | suuremad väljalasked iga 12-18 kuu tagant | pidev (GitHub) | suuremad väljalasked igal aastal | seadusandlik tsükkel |
| Litsentsimine | tasuta kasutatav | avatud lähtekood (MIT) | avalik omand | EL-i määrus |
CIS Microsoft 365 Foundations Benchmark
Sobib kõige paremini: organisatsioonidele, kes soovivad kommertsmaailmas tunnustatud ja audiitorisõbralikku lähtetaset.
CIS-i etalonid on kommertsturbe valdkonnas de facto standard. M365 etalon hõlmab järgmist:
- Kontod ja autentimine - MFA, vananenud autentimine, paroolipoliitikad
- Microsoft 365 halduskeskuse sätted - külalisligipääs, jagamine, väline koostöö
- Exchange Online - e-posti autentimine (SPF, DKIM, DMARC), kirjavoo reeglid, andmepüügivastane kaitse
- SharePoint Online ja OneDrive - jagamissätted, välise juurdepääsu kontrollid
- Microsoft Teams - koosolekupoliitikad, külalisligipääs, väline föderatsioon
- Entra ID - tingimuslik juurdepääs, rollimäärangud, turvavaikesätted
Profiilitasemed:
| Tase | Kirjeldus |
|---|---|
| L1 | Põhikontrollid. Rakenda esmajärjekorras. Madalam häireriski. |
| L2 | Tugevam turve. Võib vajada planeerimist ja kasutajate teavitamist. |
Aether365 kontrollid sisaldavad profiilitaset igas tulemuses, et saaksid L1 prioriteediks seada.
EIDSCA (Entra ID Security Config Analyzer)
Sobib kõige paremini: organisatsioonidele, kes soovivad identiteediturbe põhjalikumat katet, kui CIS pakub.
EIDSCA arendati koos Microsofti inseneridega ja keskendub konkreetselt Entra ID konfiguratsioonile. See katab valdkonnad, mille CIS kas jätab vahele või katab vaid osaliselt:
- Privileged Identity Management (PIM) - õigeaegse juurdepääsu ja rolli aktiveerimise sätted
- Autentimismeetodid - FIDO2, autentimisrakenduse sätted, Windows Hello
- Tingimusliku juurdepääsu poliitikad - seadme vastavus, sisselogimise risk, kasutajarisk
- Rakenduste haldus - OAuth-rakenduste õigused, nõusolekupoliitikad
- Turvavaikesätted ja lähtetase - Microsofti enda lähtetaseme soovitused
- Identiteedikaitse - riskipoliitikad, lekkinud mandaatide tuvastamine
EIDSCA kontrollid vastavad Microsoft Entra Secure Score kategooriatele ning täiendavad CIS-i kontrolle peenema Entra ID katvusega.
CISA SCuBA M365 Security Baseline
Sobib kõige paremini: CISA juhistele alluvatele USA föderaalametitele; organisatsioonidele, kes soovivad põhjalikku tootepõhist katet.
SCuBA (Secure Cloud Business Applications) on üles ehitatud M365 toodete, mitte turvakategooriate järgi:
| Toote lähtetase | Katvus |
|---|---|
| AAD (Azure Active Directory) | identiteet, MFA, tingimuslik juurdepääs |
| Exchange Online | e-posti turve, andmepüügivastane kaitse, kirjavoog |
| Teams | koosolekuturve, külalisligipääs, andmekadu |
| SharePoint ja OneDrive | jagamine, väline juurdepääs, DLP |
| Power Platform | rakenduste loomise poliitikad, külalisligipääs |
| Defender for Office 365 | ATP-poliitikad, turvalised lingid, turvalised manused |
Iga tootejaotis sisaldab kohustuslikke ja valikulisi poliitikaid. Aether365 märgib valikulised poliitikad tulemuse detailides selgelt ära.
SCuBA on tehniliselt suunatud USA föderaalametitele (FISMA-ga hõlmatud süsteemid), kuid poliitikad on laialdaselt rakendatavad igale organisatsioonile.
NIS2 (EU Network and Information Systems Directive 2)
Sobib kõige paremini: EL-is asuvatele organisatsioonidele, kes osutavad olulisi või tähtsaid teenuseid ja peavad tõendama NIS2 vastavust.
NIS2 on regulatiivne raamistik, mitte tehniline etalon. See määratleb kontrollikategooriad, mida organisatsioonid peavad rakendama: see ei näe ette täpseid konfiguratsiooniväärtusi. Aether365 NIS2 kontrollid seovad M365 konfiguratsiooni NIS2 artiklite nõuetega:
| NIS2 artikkel | Kontrollikategooria | Näited M365 kontrollidest |
|---|---|---|
| Art. 21(2)(a) | riskijuhtimine | turvapoliitikad, auditilogimine |
| Art. 21(2)(b) | intsidentide käsitlemine | hoiatuspoliitikad, auditilogi säilitamine |
| Art. 21(2)(c) | talitluspidevus | varundamine, andmete säilitamise sätted |
| Art. 21(2)(d) | tarneahela turve | kolmandate osapoolte rakenduste õigused |
| Art. 21(2)(e) | hangete turve | rakenduste nõusolekupoliitikad |
| Art. 21(2)(f) | juurdepääsu kontroll | MFA, privilegeeritud juurdepääs, PIM |
| Art. 21(2)(g) | krüptograafia | krüpteerimissätted, TLS-poliitika |
| Art. 21(2)(h) | personaliturve | lahkumisprotsess, külaliskontode ülevaatus |
| Art. 21(2)(i) | autentimine | MFA, paroolipoliitikad, vananenud autentimine |
Oluline: NIS2 kontrollide läbimine Aether365-s ei sertifitseeri NIS2 vastavust. NIS2 vastavus nõuab organisatsioonilisi protsesse, õiguslikke hindamisi ja aruandluskohustusi, mis ulatuvad tehnilisest konfiguratsioonist kaugemale. Aether365 NIS2 kontrollid annavad sulle kindluse, et sinu M365 konfiguratsioon ei ole NIS2 nõuetega vastuolus.
Millist raamistikku peaksin kasutama?
Sa ei pea valima üht. Aether365 käivitab kõik raamistikud ja esitab tulemused koos. Raamistike vahel on märkimisväärne kattuvus: ühte konfiguratsioonisätet võivad kontrollida nii CIS, EIDSCA kui ka CISA. Aether365 eemaldab kattuvad kontrollid ja näitab iga leidu üks kord, koos ristviidetega kõigile seda katvatele raamistikele.
Soovitused alustamiseks:
| Olukord | Alusta sellest |
|---|---|
| pole varasemat kokkupuudet raamistikega | CIS L1 - põhiline ja laialt mõistetav |
| fookus identiteediturbel | EIDSCA - kõige põhjalikum Entra ID katvus |
| USA föderaal- või valitsuslähedane | CISA SCuBA |
| EL-i regulatiivne nõue | NIS2, seejärel täida lüngad CIS-iga |
| pead läbima turvaauditi | CIS - väliste audiitorite poolt enim tunnustatud |
| soovid põhjalikku katet | käivita kõik neli raamistikku korraga |
Kontrollide arv raamistike kaupa
Kontrollide arv muutub raamistike uuendamisel. Praegused ligikaudsed arvud Aether365-s:
| Raamistik | Kontrolle kokku | Tüüpiline läbimismäär (VKE) | Tüüpiline läbimismäär (ettevõte) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
Läbimismäärad on illustratiivsed hinnangud. Sinu määr sõltub suuresti olemasolevast konfiguratsioonist, litsentsidest ja sellest, kas oled juurutanud tingimusliku juurdepääsu poliitikad.