Sistemų palyginimas
Prižiūri: Aether365 komanda Auditorija: Saugumo administratoriai ir atitikties specialistai Apimtis: CIS, EIDSCA, CISA SCuBA ir NIS2 sistemų palyginimas greta vienas kito
Keturių saugumo sistemų, kurias palaiko Aether365, palyginimas greta vienas kito.
Apžvalga
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Pilnas pavadinimas | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU Network and Information Systems Directive 2 |
| Išleido | Center for Internet Security | Microsoft (atvirojo kodo) | CISA (JAV federalinė agentūra) | Europos Sąjunga |
| Pagrindinė auditorija | Komercinės organizacijos visame pasaulyje | Organizacijos, naudojančios Entra ID | JAV federalinės agentūros | ES esminiai ir svarbūs subjektai |
| Dėmesio sritis | Plati M365 konfigūracija | Entra ID tapatybės saugumas | M365 produktas po produkto | Kibernetinio saugumo rizikos valdymas |
| Patikrų skaičius | ~100 | ~80 | ~150 | ~50 |
| Atnaujinimo dažnumas | Stambios laidos kas 12-18 mėnesių | Nuolatinis (GitHub) | Stambios laidos kasmet | Teisėkūros ciklas |
| Licencijavimas | Nemokama naudoti | Atvirojo kodo (MIT) | Viešasis domenas | ES reglamentas |
CIS Microsoft 365 Foundations Benchmark
Tinka geriausiai: Organizacijoms, kurioms reikia komerciškai pripažinto, auditoriams patogaus pagrindo.
CIS etalonai yra faktinis standartas komercinėse saugumo programose. M365 etalonas apima:
- Paskyros ir autentifikavimas - MFA, pasenęs autentifikavimas, slaptažodžių politikos
- Microsoft 365 administravimo centro nuostatos - svečių prieiga, dalijimasis, išorinis bendradarbiavimas
- Exchange Online - el. pašto autentifikavimas (SPF, DKIM, DMARC), pašto srauto taisyklės, apsauga nuo sukčiavimo
- SharePoint Online ir OneDrive - dalijimosi nuostatos, išorinės prieigos valdikliai
- Microsoft Teams - susitikimų politikos, svečių prieiga, išorinė federacija
- Entra ID - sąlyginė prieiga, rolių priskyrimai, saugumo numatytosios nuostatos
Profilio lygiai:
| Lygis | Aprašymas |
|---|---|
| L1 | Pamatiniai valdikliai. Įdiekite pirmiausia. Mažesnė trikdžių rizika. |
| L2 | Aukštesnis saugumas. Gali prireikti planavimo ir naudotojų informavimo. |
Aether365 patikros kiekviename rezultate pateikia profilio lygį, kad galėtumėte pirmiausia teikti pirmenybę L1.
EIDSCA (Entra ID Security Config Analyzer)
Tinka geriausiai: Organizacijoms, kurioms reikia gilios tapatybės saugumo aprėpties, viršijančios tai, ką apima CIS.
EIDSCA buvo sukurta kartu su Microsoft inžinieriais ir skirta būtent Entra ID konfigūracijai. Ji apima sritis, kurias CIS arba praleidžia, arba apima tik iš dalies:
- Privilegijuotos tapatybės valdymas (PIM) - prieiga tiksliai laiku, rolių aktyvinimo nuostatos
- Autentifikavimo metodai - FIDO2, autentifikatoriaus programėlės nuostatos, Windows Hello
- Sąlyginės prieigos politikos - įrenginio atitiktis, prisijungimo rizika, naudotojo rizika
- Programų valdysena - OAuth programų leidimai, sutikimo politikos
- Saugumo numatytosios nuostatos ir pagrindas - paties Microsoft pagrindinės rekomendacijos
- Tapatybės apsauga - rizikos politikos, pažeistų prisijungimo duomenų aptikimas
EIDSCA patikros susiejamos su Secure Score kategorijomis Microsoft Entra ir papildo CIS patikras smulkesne Entra ID aprėptimi.
CISA SCuBA M365 saugumo pagrindas
Tinka geriausiai: JAV federalinėms agentūroms, kurioms taikomos CISA gairės; organizacijoms, kurioms reikia išsamios produktų lygmens aprėpties.
SCuBA (Secure Cloud Business Applications) struktūruojama pagal M365 produktą, o ne pagal saugumo kategoriją:
| Produkto pagrindas | Aprėptis |
|---|---|
| AAD (Azure Active Directory) | Tapatybė, MFA, sąlyginė prieiga |
| Exchange Online | El. pašto saugumas, apsauga nuo sukčiavimo, pašto srautas |
| Teams | Susitikimų saugumas, svečių prieiga, duomenų praradimas |
| SharePoint ir OneDrive | Dalijimasis, išorinė prieiga, DLP |
| Power Platform | Programų kūrimo politikos, svečių prieiga |
| Defender for Office 365 | ATP politikos, saugios nuorodos, saugūs priedai |
Kiekviename produkto skyriuje yra privalomos ir pasirenkamos politikos. Aether365 rezultato detalėse aiškiai pažymi pasirenkamas politikas.
SCuBA techniškai skirta JAV federalinėms agentūroms (FISMA apimamos sistemos), tačiau politikos plačiai taikomos bet kuriai organizacijai.
NIS2 (EU Network and Information Systems Directive 2)
Tinka geriausiai: ES įsikūrusioms organizacijoms, teikiančioms esmines ar svarbias paslaugas ir turinčioms įrodyti NIS2 atitiktį.
NIS2 yra reguliavimo sistema, o ne techninis etalonas. Joje nurodomos valdiklių kategorijos, kurias organizacijos turi įdiegti - ji nenustato tikslių konfigūracijos verčių. Aether365 NIS2 patikros susieja M365 konfigūraciją su NIS2 straipsnių reikalavimais:
| NIS2 straipsnis | Valdiklio kategorija | M365 patikrų pavyzdžiai |
|---|---|---|
| 21(2)(a) str. | Rizikos valdymas | Saugumo politikos, audito žurnalai |
| 21(2)(b) str. | Incidentų tvarkymas | Įspėjimų politikos, audito žurnalų saugojimas |
| 21(2)(c) str. | Veiklos tęstinumas | Atsarginės kopijos, duomenų saugojimo nuostatos |
| 21(2)(d) str. | Tiekimo grandinės saugumas | Trečiųjų šalių programų leidimai |
| 21(2)(e) str. | Įsigijimų saugumas | Programų sutikimo politikos |
| 21(2)(f) str. | Prieigos valdymas | MFA, privilegijuota prieiga, PIM |
| 21(2)(g) str. | Kriptografija | Šifravimo nuostatos, TLS politika |
| 21(2)(h) str. | Personalo saugumas | Atleidimas, svečių paskyrų peržiūra |
| 21(2)(i) str. | Autentifikavimas | MFA, slaptažodžių politikos, pasenęs autentifikavimas |
Svarbu: NIS2 patikrų atitiktis Aether365 nesertifikuoja NIS2 atitikties. NIS2 atitikčiai reikia organizacinių procesų, teisinių vertinimų ir ataskaitų teikimo prievolių, viršijančių techninę konfigūraciją. Aether365 NIS2 patikros suteikia užtikrintumo, kad jūsų M365 konfigūracija neprieštarauja NIS2 reikalavimams.
Kurią sistemą turėčiau naudoti?
Jums nereikia rinktis vienos. Aether365 paleidžia visas sistemas ir pateikia rezultatus kartu. Tarp sistemų yra didelis persidengimas - tą pačią konfigūracijos nuostatą gali tikrinti CIS, EIDSCA ir CISA. Aether365 pašalina persidengiančias patikras ir kiekvieną radinį parodo vieną kartą su nuorodomis į kiekvieną jį apimančią sistemą.
Pradžios taško rekomendacijos:
| Situacija | Pradėkite nuo |
|---|---|
| Nėra ankstesnės patirties su sistemomis | CIS L1 - pamatinė ir plačiai suprantama |
| Dėmesys tapatybės saugumui | EIDSCA - giliausia Entra ID aprėptis |
| JAV federalinė ar gretima vyriausybei | CISA SCuBA |
| ES reguliavimo reikalavimas | NIS2, paskui užpildykite spragas su CIS |
| Reikia praeiti saugumo auditą | CIS - labiausiai pripažinta išorinių auditorių |
| Norite išsamios aprėpties | Paleiskite visas keturias sistemas vienu metu |
Patikrų skaičius pagal sistemą
Patikrų skaičius kinta atnaujinant sistemas. Dabartinis apytikslis skaičius Aether365:
| Sistema | Patikrų skaičius | Paprastai praeinama (SMB) | Paprastai praeinama (įmonė) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
Praėjimo dažniai yra iliustraciniai įverčiai. Jūsų dažnis labai priklauso nuo esamos konfigūracijos, licencijų ir nuo to, ar įdiegėte sąlyginės prieigos politikas.