Kehysvertailu
Ylläpitäjä: Aether365-tiimi Kohderyhmä: Tietoturvavastaavat ja vaatimustenmukaisuusvastaavat Laajuus: CIS-, EIDSCA-, CISA SCuBA- ja NIS2-kehysten rinnakkainen vertailu
Aether365:n tukemien neljän tietoturvakehyksen rinnakkainen vertailu.
Yleiskatsaus
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Koko nimi | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU:n verkko- ja tietojärjestelmädirektiivi 2 |
| Julkaisija | Center for Internet Security | Microsoft (avoin lähdekoodi) | CISA (Yhdysvaltain liittovaltion virasto) | Euroopan unioni |
| Ensisijainen kohderyhmä | Kaupalliset organisaatiot maailmanlaajuisesti | Entra ID:tä käyttävät organisaatiot | Yhdysvaltain liittovaltion virastot | EU:n keskeiset ja tärkeät toimijat |
| Painopistealue | Laaja M365-konfiguraatio | Entra ID -identiteettiturva | M365 tuotteittain | Kyberturvallisuusriskien hallinta |
| Tarkistusten määrä | ~100 | ~80 | ~150 | ~50 |
| Päivitystahti | Suuret julkaisut 12-18 kuukauden välein | Jatkuva (GitHub) | Suuret julkaisut vuosittain | Lainsäädäntösykli |
| Lisensointi | Maksuton käyttö | Avoin lähdekoodi (MIT) | Vapaasti käytettävissä (public domain) | EU-asetus |
CIS Microsoft 365 Foundations Benchmark
Sopii parhaiten: Organisaatioille, jotka haluavat kaupallisesti tunnustetun, tarkastajaystävällisen perustason.
CIS-vertailuarvot ovat käytännön standardi kaupallisissa tietoturvaohjelmissa. M365-vertailuarvo kattaa seuraavat alueet:
- Tilit ja todennus - MFA, vanhentunut todennus, salasanakäytännöt
- Microsoft 365 -hallintakeskuksen asetukset - vieraskäyttö, jakaminen, ulkoinen yhteistyö
- Exchange Online - sähköpostin todennus (SPF, DKIM, DMARC), sähköpostin kulkusäännöt, tietojenkalastelun esto
- SharePoint Online ja OneDrive - jakamisasetukset, ulkoisen käytön hallinta
- Microsoft Teams - kokouskäytännöt, vieraskäyttö, ulkoinen federaatio
- Entra ID - ehdollinen käyttö, rooliasetukset, tietoturvan oletusasetukset
Profiilitasot:
| Taso | Kuvaus |
|---|---|
| L1 | Perustason hallintakeinot. Toteuta ensin. Pienempi häiriöriski. |
| L2 | Korkeampi tietoturvataso. Voi vaatia suunnittelua ja käyttäjäviestintää. |
Aether365:n tarkistukset sisältävät profiilitason jokaisessa tuloksessa, joten voit priorisoida L1-tason ensin.
EIDSCA (Entra ID Security Config Analyzer)
Sopii parhaiten: Organisaatioille, jotka haluavat syvällisen identiteettiturvan kattavuuden CIS:n ulkopuolelta.
EIDSCA on kehitetty yhdessä Microsoftin insinöörien kanssa, ja se on suunnattu nimenomaan Entra ID -konfiguraatioon. Se kattaa alueita, jotka CIS joko sivuuttaa tai kattaa vain osittain:
- Privileged Identity Management (PIM) - juuri oikeaan aikaan myönnettävä käyttöoikeus, roolien aktivointiasetukset
- Todennusmenetelmät - FIDO2, authenticator-sovelluksen asetukset, Windows Hello
- Ehdollisen käytön käytännöt - laitteiden vaatimustenmukaisuus, kirjautumisen riski, käyttäjäriski
- Sovellushallinto - OAuth-sovellusten käyttöoikeudet, suostumuskäytännöt
- Tietoturvan oletusasetukset ja perustaso - Microsoftin omat perustason suositukset
- Identiteetin suojaus - riskikäytännöt, vuotaneiden tunnistetietojen havaitseminen
EIDSCA-tarkistukset kytkeytyvät Microsoft Entran Secure Score -kategorioihin ja täydentävät CIS-tarkistuksia tarkemmalla Entra ID -kattavuudella.
CISA SCuBA M365 -tietoturvaperustaso
Sopii parhaiten: Yhdysvaltain liittovaltion virastoille, joita CISA:n ohjeistus koskee; organisaatioille, jotka haluavat kattavan tuotetason kattavuuden.
SCuBA (Secure Cloud Business Applications) on jäsennelty M365-tuotteen mukaan eikä tietoturvakategorian mukaan:
| Tuoteperustaso | Kattavuus |
|---|---|
| AAD (Azure Active Directory) | Identiteetti, MFA, ehdollinen käyttö |
| Exchange Online | Sähköpostin tietoturva, tietojenkalastelun esto, sähköpostin kulku |
| Teams | Kokousten tietoturva, vieraskäyttö, tietovuodot |
| SharePoint ja OneDrive | Jakaminen, ulkoinen käyttö, DLP |
| Power Platform | Sovellusten luontikäytännöt, vieraskäyttö |
| Defender for Office 365 | ATP-käytännöt, turvalliset linkit, turvalliset liitteet |
Jokainen tuoteosio sisältää pakollisia ja valinnaisia käytäntöjä. Aether365 merkitsee valinnaiset käytännöt selkeästi tulosten yksityiskohdissa.
SCuBA on teknisesti suunnattu Yhdysvaltain liittovaltion virastoille (FISMA:n piiriin kuuluvat järjestelmät), mutta käytännöt soveltuvat laajalti mihin tahansa organisaatioon.
NIS2 (EU:n verkko- ja tietojärjestelmädirektiivi 2)
Sopii parhaiten: EU:ssa toimiville organisaatioille, jotka tarjoavat keskeisiä tai tärkeitä palveluja ja joiden on osoitettava NIS2-vaatimustenmukaisuus.
NIS2 on sääntelykehys, ei tekninen vertailuarvo. Se määrittelee hallintakeinojen kategoriat, jotka organisaatioiden on toteutettava - se ei määrää tarkkoja konfiguraatioarvoja. Aether365:n NIS2-tarkistukset kytkevät M365-konfiguraation NIS2:n artiklavaatimuksiin:
| NIS2-artikla | Hallintakeinojen kategoria | Esimerkkejä M365-tarkistuksista |
|---|---|---|
| Art. 21(2)(a) | Riskienhallinta | Tietoturvakäytännöt, valvontalokitus |
| Art. 21(2)(b) | Häiriöiden käsittely | Hälytyskäytännöt, valvontalokin säilytys |
| Art. 21(2)(c) | Toiminnan jatkuvuus | Varmuuskopiointi, tietojen säilytysasetukset |
| Art. 21(2)(d) | Toimitusketjun turvallisuus | Kolmannen osapuolen sovellusten käyttöoikeudet |
| Art. 21(2)(e) | Hankintojen turvallisuus | Sovellusten suostumuskäytännöt |
| Art. 21(2)(f) | Pääsynhallinta | MFA, etuoikeutettu käyttö, PIM |
| Art. 21(2)(g) | Salaus | Salausasetukset, TLS-käytäntö |
| Art. 21(2)(h) | Henkilöstöturvallisuus | Poislähtöprosessi, vieraskäyttöjen tarkistus |
| Art. 21(2)(i) | Todennus | MFA, salasanakäytännöt, vanhentunut todennus |
Tärkeää: NIS2-tarkistusten läpäiseminen Aether365:ssä ei sertifioi NIS2-vaatimustenmukaisuutta. NIS2-vaatimustenmukaisuus edellyttää organisatorisia prosesseja, oikeudellisia arviointeja ja raportointivelvoitteita, jotka ulottuvat teknistä konfiguraatiota laajemmalle. Aether365:n NIS2-tarkistukset antavat varmuuden siitä, ettei M365-konfiguraatiosi ole ristiriidassa NIS2-vaatimusten kanssa.
Mitä kehystä minun tulisi käyttää?
Sinun ei tarvitse valita vain yhtä. Aether365 ajaa kaikki kehykset ja esittää tulokset yhdessä. Kehysten välillä on merkittävää päällekkäisyyttä - yhtä konfiguraatioasetusta voi tarkistaa sekä CIS, EIDSCA että CISA. Aether365 poistaa päällekkäiset tarkistukset ja näyttää jokaisen havainnon kerran sekä viittaa jokaiseen kehykseen, joka sen kattaa.
Aloituspistesuositukset:
| Tilanne | Aloita tästä |
|---|---|
| Ei aiempaa kokemusta kehyksistä | CIS L1 - perustason ja laajalti ymmärretty |
| Painopiste identiteettiturvassa | EIDSCA - syvällisin Entra ID -kattavuus |
| Yhdysvaltain liittovaltio tai siihen liittyvä | CISA SCuBA |
| EU:n sääntelyvaatimus | NIS2, sitten täydennä aukot CIS:llä |
| Tarve läpäistä tietoturvatarkastus | CIS - tunnetuin ulkoisten tarkastajien keskuudessa |
| Kattavin mahdollinen kattavuus | Aja kaikki neljä kehystä samanaikaisesti |
Tarkistusten määrä kehyksittäin
Tarkistusten määrät vaihtelevat kehysten päivittyessä. Nykyiset likimääräiset määrät Aether365:ssä:
| Kehys | Tarkistuksia yhteensä | Tyypillinen läpäisyaste (pk-yritys) | Tyypillinen läpäisyaste (suuryritys) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
Läpäisyasteet ovat havainnollistavia arvioita. Oma läpäisyasteesi riippuu vahvasti olemassa olevasta konfiguraatiostasi, lisensseistäsi sekä siitä, oletko ottanut käyttöön ehdollisen käytön käytäntöjä.