Keretrendszer-összehasonlítás
Az Aether365 által támogatott négy biztonsági keretrendszer összehasonlítása egymás mellett.
Áttekintés
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Teljes név | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU Network and Information Systems Directive 2 |
| Kiadó | Center for Internet Security | Microsoft (nyílt forráskódú) | CISA (amerikai szövetségi ügynökség) | Európai Unió |
| Elsődleges célközönség | Kereskedelmi szervezetek világszerte | Entra ID-t használó szervezetek | Amerikai szövetségi ügynökségek | EU alapvető/fontos szervezetek |
| Fókuszterület | Átfogó M365 konfiguráció | Entra ID identitásbiztonság | M365 termékenként | Kiberbiztonsági kockázatkezelés |
| Ellenőrzések száma | ~100 | ~80 | ~150 | ~50 |
| Frissítési gyakoriság | Főbb kiadások 12-18 havonta | Folyamatos (GitHub) | Főbb kiadások évente | Jogalkotási ciklus |
| Licenc | Ingyenesen használható | Nyílt forráskódú (MIT) | Közkincs | EU rendelet |
CIS Microsoft 365 Foundations Benchmark
Ideális: Szervezetek számára, amelyek kereskedelmileg elismert, auditorbarát alapvonalat keresnek.
A CIS benchmark-ok a kereskedelmi biztonsági programok tényleges szabványai. Az M365 benchmark a következőkre terjed ki:
- Fiók és hitelesítés - MFA, örökölt hitelesítés, jelszóházirendek
- Microsoft 365 felügyeleti központ beállításai - vendég hozzáférés, megosztás, külső együttműködés
- Exchange Online - e-mail hitelesítés (SPF, DKIM, DMARC), levélfolyam-szabályok, adathalászat elleni védelem
- SharePoint Online és OneDrive - megosztási beállítások, külső hozzáférés-szabályozás
- Microsoft Teams - értekezlet-házirendek, vendég hozzáférés, külső föderáció
- Entra ID - feltételes hozzáférés, szerepkör-hozzárendelések, biztonsági alapértelmezések
Profilszintek:
| Szint | Leírás |
|---|---|
| L1 | Alapvető ellenőrzések. Ezeket vezesd be először. Alacsonyabb megszakítási kockázat. |
| L2 | Magasabb biztonság. Tervezést és felhasználói kommunikációt igényelhet. |
Az Aether365 ellenőrzések minden eredményben tartalmazzák a profilszintet, így először az L1-re összpontosíthatsz.
EIDSCA (Entra ID Security Config Analyzer)
Ideális: Szervezetek számára, amelyek a CIS által lefedetten túlmutató, mélyebb identitásbiztonsági lefedettséget keresnek.
Az EIDSCA-t a Microsoft mérnökeivel közösen fejlesztették, és kifejezetten az Entra ID konfigurációját célozza meg. Olyan területeket fed le, amelyeket a CIS kihagy vagy csak részben érint:
- Privileged Identity Management (PIM) - időben korlátozott hozzáférés, szerepkör-aktiválási beállítások
- Hitelesítési módszerek - FIDO2, hitelesítő alkalmazás beállításai, Windows Hello
- Feltételes hozzáférési házirendek - eszközmegfelelőség, bejelentkezési kockázat, felhasználói kockázat
- Alkalmazás-irányítás - OAuth alkalmazásengedélyek, consent házirendek
- Biztonsági alapértelmezések és alapvonal - a Microsoft saját alapvonal ajánlásai
- Identitásvédelem - kockázati házirendek, kiszivárgott hitelesítő adatok felismerése
Az EIDSCA ellenőrzések a Microsoft Entra Secure Score kategóriáihoz kapcsolódnak, és a CIS ellenőrzéseket finomabb Entra ID lefedettséggel egészítik ki.
CISA SCuBA M365 biztonsági alapvonal
Ideális: CISA iránymutatás alá eső amerikai szövetségi ügynökségek; szervezetek, amelyek átfogó termékszintű lefedettséget keresnek.
A SCuBA (Secure Cloud Business Applications) M365 termékenként van strukturálva, nem biztonsági kategóriánként:
| Termék alapvonal | Lefedettség |
|---|---|
| AAD (Azure Active Directory) | Identitás, MFA, feltételes hozzáférés |
| Exchange Online | E-mail biztonság, adathalászat elleni védelem, levélfolyam |
| Teams | Értekezletbiztonság, vendég hozzáférés, adatvesztés |
| SharePoint és OneDrive | Megosztás, külső hozzáférés, DLP |
| Power Platform | Alkalmazáslétrehozási házirendek, vendég hozzáférés |
| Defender for Office 365 | ATP házirendek, biztonságos hivatkozások, biztonságos mellékletek |
Minden termékszekció kötelező és opcionális házirendeket tartalmaz. Az Aether365 az eredmény részleteiben egyértelműen jelöli az opcionális házirendeket.
A SCuBA technikailag az amerikai szövetségi ügynökségekre irányul (FISMA-hatálya alá eső rendszerek), de a házirendek széles körben alkalmazhatók bármely szervezetre.
NIS2 (EU Network and Information Systems Directive 2)
Ideális: Az EU-ban alapvető vagy fontos szolgáltatásokat működtető szervezetek számára, amelyeknek igazolniuk kell a NIS2 megfelelőséget.
A NIS2 szabályozási keretrendszer, nem technikai benchmark. Meghatározza az ellenőrzési kategóriákat, amelyeket a szervezeteknek be kell vezetniük - nem ír elő pontos konfigurációs értékeket. Az Aether365 NIS2 ellenőrzései az M365 konfigurációt a NIS2 cikkek követelményeihez rendelik:
| NIS2 cikk | Ellenőrzési kategória | Példa M365 ellenőrzések |
|---|---|---|
| 21(2)(a) | Kockázatkezelés | Biztonsági házirendek, auditnaplózás |
| 21(2)(b) | Incidenskezelés | Riasztási házirendek, auditnapló megőrzés |
| 21(2)(c) | Üzletmenet-folytonosság | Biztonsági mentés, adatmegőrzési beállítások |
| 21(2)(d) | Ellátásilánc-biztonság | Harmadik féltől származó alkalmazásengedélyek |
| 21(2)(e) | Beszerzésbiztonság | Alkalmazás consent házirendek |
| 21(2)(f) | Hozzáférés-szabályozás | MFA, kiemelt hozzáférés, PIM |
| 21(2)(g) | Kriptográfia | Titkosítási beállítások, TLS házirend |
| 21(2)(h) | HR biztonság | Kiléptetés, vendégfiók felülvizsgálat |
| 21(2)(i) | Hitelesítés | MFA, jelszóházirendek, örökölt hitelesítés |
Fontos: Az Aether365 NIS2 ellenőrzéseinek teljesítése nem jelenti a NIS2 megfelelőség tanúsítását. A NIS2 megfelelőséghez szervezeti folyamatok, jogi értékelések és a technikai konfiguráción túlmutató jelentéstételi kötelezettségek szükségesek. Az Aether365 NIS2 ellenőrzései bizalmat adnak, hogy az M365 konfigurációd nem mond ellent a NIS2 követelményeknek.
Melyik keretrendszert válasszam?
Nem kell választanod. Az Aether365 minden keretrendszert futtat és az eredményeket együtt jeleníti meg. Jelentős átfedés van a keretrendszerek között - egyetlen konfigurációs beállítást a CIS, az EIDSCA és a CISA is ellenőrizhet. Az Aether365 deduplikálja az átfedő ellenőrzéseket, és minden találatot egyszer jelenít meg, kereszthivatkozásokkal minden érintett keretrendszerre.
Kiindulási pont ajánlások:
| Helyzet | Kezdd ezzel |
|---|---|
| Nincs korábbi keretrendszer tapasztalat | CIS L1 - alapvető és széles körben elismert |
| Identitásbiztonság fókusz | EIDSCA - a legmélyebb Entra ID lefedettség |
| Amerikai szövetségi vagy kormányzati | CISA SCuBA |
| EU szabályozási követelmény | NIS2, majd a hiányok pótlása CIS-szel |
| Biztonsági auditot kell teljesíteni | CIS - a külső auditorok által leginkább elismert |
| Átfogó lefedettséget keresel | Futtasd mind a négy keretrendszert egyszerre |
Ellenőrzések száma keretrendszerenként
Az ellenőrzések száma változik a keretrendszerek frissítésével. Aktuális megközelítő számok az Aether365-ben:
| Keretrendszer | Összes ellenőrzés | Jellemző átmenési arány (KKV) | Jellemző átmenési arány (Enterprise) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
Az átmenési arányok szemléltető becslések. A te arányod nagymértékben függ a meglévő konfigurációdtól, licenceidtől és attól, hogy bevezettél-e feltételes hozzáférési házirendeket.