Confronto dei framework
Gestito da: Team Aether365 Destinatari: Amministratori della sicurezza e responsabili della conformità Ambito: Confronto diretto dei framework CIS, EIDSCA, CISA SCuBA e NIS2
Confronto diretto dei quattro framework di sicurezza supportati da Aether365.
Panoramica
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Nome completo | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU Network and Information Systems Directive 2 |
| Pubblicato da | Center for Internet Security | Microsoft (open-source) | CISA (agenzia federale USA) | Unione Europea |
| Destinatari principali | Organizzazioni commerciali globali | Organizzazioni che usano Entra ID | Agenzie federali statunitensi | Entità essenziali/importanti nell'UE |
| Area di focus | Configurazione M365 ad ampio spettro | Sicurezza delle identità Entra ID | Prodotto per prodotto M365 | Gestione del rischio di cybersicurezza |
| Numero di controlli | ~100 | ~80 | ~150 | ~50 |
| Frequenza aggiornamento | Release principali ogni 12-18 mesi | Continuo (GitHub) | Release principali annuali | Ciclo legislativo |
| Licenza | Uso gratuito | Open-source (MIT) | Dominio pubblico | Regolamento UE |
CIS Microsoft 365 Foundations Benchmark
Ideale per: Organizzazioni che desiderano una baseline commercialmente riconosciuta e adatta agli audit.
I benchmark CIS sono lo standard de facto nei programmi di sicurezza commerciali. Il benchmark M365 copre:
- Account e autenticazione - MFA, legacy auth, criteri per le password
- Impostazioni del Microsoft 365 Admin Center - accesso guest, condivisione, collaborazione esterna
- Exchange Online - autenticazione email (SPF, DKIM, DMARC), regole del flusso di posta, anti-phishing
- SharePoint Online e OneDrive - impostazioni di condivisione, controlli dell'accesso esterno
- Microsoft Teams - criteri per le riunioni, accesso guest, federazione esterna
- Entra ID - Conditional Access, assegnazione dei ruoli, impostazioni di sicurezza predefinite
Livelli di profilo:
| Livello | Descrizione |
|---|---|
| L1 | Controlli fondamentali. Da implementare per primi. Basso rischio di impatto. |
| L2 | Sicurezza superiore. Può richiedere pianificazione e comunicazione agli utenti. |
Aether365 include il livello di profilo in ogni risultato per consentirti di dare priorità al L1.
EIDSCA (Entra ID Security Config Analyzer)
Ideale per: Organizzazioni che desiderano una copertura approfondita della sicurezza delle identità oltre a quanto offerto dal CIS.
EIDSCA è stato co-sviluppato con ingegneri Microsoft e si concentra specificamente sulla configurazione di Entra ID. Copre aree che CIS omette o tratta solo parzialmente:
- Privileged Identity Management (PIM) - accesso just-in-time, impostazioni di attivazione dei ruoli
- Metodi di autenticazione - FIDO2, app di autenticazione, Windows Hello
- Criteri di Conditional Access - conformità del dispositivo, rischio di accesso, rischio utente
- Governance delle applicazioni - autorizzazioni delle app OAuth, criteri di consenso
- Impostazioni di sicurezza predefinite e baseline - raccomandazioni baseline di Microsoft
- Protezione delle identità - criteri di rischio, rilevamento credenziali compromesse
I controlli EIDSCA si mappano alle categorie Secure Score in Microsoft Entra e completano i controlli CIS con una copertura più granulare di Entra ID.
CISA SCuBA M365 Security Baseline
Ideale per: Agenzie federali statunitensi soggette alle linee guida CISA; organizzazioni che desiderano una copertura completa a livello di prodotto.
SCuBA (Secure Cloud Business Applications) è strutturato per prodotto M365 anziché per categoria di sicurezza:
| Baseline del prodotto | Copertura |
|---|---|
| AAD (Azure Active Directory) | Identità, MFA, Conditional Access |
| Exchange Online | Sicurezza email, anti-phishing, flusso di posta |
| Teams | Sicurezza delle riunioni, accesso guest, prevenzione della perdita di dati |
| SharePoint e OneDrive | Condivisione, accesso esterno, DLP |
| Power Platform | Criteri di creazione app, accesso guest |
| Defender for Office 365 | Criteri ATP, safe links, safe attachments |
Ogni sezione di prodotto contiene criteri obbligatori e facoltativi. Aether365 contrassegna chiaramente i criteri facoltativi nei dettagli del risultato.
SCuBA è tecnicamente destinato alle agenzie federali statunitensi (sistemi soggetti a FISMA), ma i criteri sono ampiamente applicabili a qualsiasi organizzazione.
NIS2 (Direttiva UE sulle reti e i sistemi informativi 2)
Ideale per: Organizzazioni con sede nell'UE che gestiscono servizi essenziali o importanti e devono dimostrare la conformità NIS2.
NIS2 è un framework normativo, non un benchmark tecnico. Specifica categorie di controlli che le organizzazioni devono implementare, senza prescrivere valori di configurazione esatti. I controlli NIS2 di Aether365 mappano la configurazione M365 ai requisiti degli articoli NIS2:
| Articolo NIS2 | Categoria di controllo | Esempi di controlli M365 |
|---|---|---|
| Art. 21(2)(a) | Gestione del rischio | Criteri di sicurezza, audit logging |
| Art. 21(2)(b) | Gestione degli incidenti | Criteri di avviso, conservazione dei log di audit |
| Art. 21(2)(c) | Continuità operativa | Backup, impostazioni di conservazione dei dati |
| Art. 21(2)(d) | Sicurezza della supply chain | Autorizzazioni delle app di terze parti |
| Art. 21(2)(e) | Sicurezza degli acquisti | Criteri di consenso delle applicazioni |
| Art. 21(2)(f) | Controllo degli accessi | MFA, accesso privilegiato, PIM |
| Art. 21(2)(g) | Crittografia | Impostazioni di cifratura, criteri TLS |
| Art. 21(2)(h) | Sicurezza delle risorse umane | Offboarding, revisione account guest |
| Art. 21(2)(i) | Autenticazione | MFA, criteri per le password, legacy auth |
Importante: Il superamento dei controlli NIS2 in Aether365 non certifica la conformità NIS2. La conformità NIS2 richiede processi organizzativi, valutazioni legali e obblighi di segnalazione che vanno oltre la configurazione tecnica. I controlli NIS2 di Aether365 ti danno la certezza che la configurazione M365 non contraddica i requisiti NIS2.
Quale framework utilizzare?
Non è necessario sceglierne uno solo. Aether365 esegue tutti i framework e presenta i risultati insieme. C'è una sovrapposizione significativa tra i framework - un singolo parametro di configurazione può essere controllato da CIS, EIDSCA e CISA. Aether365 deduplica i controlli sovrapposti e mostra ogni anomalia una sola volta con riferimenti incrociati a ogni framework che la copre.
Raccomandazioni per iniziare:
| Situazione | Inizia con |
|---|---|
| Nessuna esperienza precedente con framework | CIS L1 - fondamentale e ampiamente riconosciuto |
| Focus sulla sicurezza delle identità | EIDSCA - copertura Entra ID più approfondita |
| Agenzia federale USA o settore adiacente | CISA SCuBA |
| Requisito normativo UE | NIS2, poi colma le lacune con CIS |
| Necessità di superare un audit di sicurezza | CIS - il più riconosciuto dagli auditor esterni |
| Copertura completa desiderata | Esegui tutti e quattro i framework contemporaneamente |
Conteggio controlli per framework
Il numero di controlli varia con l'aggiornamento dei framework. Conteggi approssimativi attuali in Aether365:
| Framework | Controlli totali | Tasso di superamento tipico (PMI) | Tasso di superamento tipico (Enterprise) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
I tassi di superamento sono stime indicative. Il risultato effettivo dipende dalla configurazione esistente, dalle licenze e dall'eventuale implementazione di criteri di Conditional Access.