Ietvaru salīdzinājums
Uztur: Aether365 komanda Auditorija: Drošības administratori un atbilstības speciālisti Tvērums: CIS, EIDSCA, CISA SCuBA un NIS2 ietvaru salīdzinājums līdzās
Aether365 atbalstīto četru drošības ietvaru salīdzinājums līdzās.
Pārskats
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Pilnais nosaukums | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | ES Tīklu un informācijas sistēmu direktīva 2 |
| Izdevējs | Center for Internet Security | Microsoft (atvērtais pirmkods) | CISA (ASV federālā aģentūra) | Eiropas Savienība |
| Galvenā auditorija | Komercorganizācijas visā pasaulē | Organizācijas, kas izmanto Entra ID | ASV federālās aģentūras | ES būtiskās/svarīgās organizācijas |
| Fokusa joma | Plaša M365 konfigurācija | Entra ID identitātes drošība | M365 produkts pa produktam | Kiberdrošības risku pārvaldība |
| Pārbaužu skaits | ~100 | ~80 | ~150 | ~50 |
| Atjaunināšanas ritms | Lielie laidieni ik pēc 12-18 mēnešiem | Nepārtraukti (GitHub) | Lielie laidieni reizi gadā | Likumdošanas cikls |
| Licencēšana | Bezmaksas lietošanai | Atvērtais pirmkods (MIT) | Publiskais īpašums | ES regulējums |
CIS Microsoft 365 Foundations Benchmark
Vislabāk piemērots: Organizācijām, kuras vēlas komerciāli atzītu un auditoriem ērti pārbaudāmu bāzlīniju.
CIS bāzlīnijas ir de facto standarts komerciālajās drošības programmās. M365 bāzlīnija aptver:
- Kontus un autentifikāciju - MFA, mantotā autentifikācija, paroļu politikas
- Microsoft 365 administrēšanas centra iestatījumus - viesu piekļuve, koplietošana, ārējā sadarbība
- Exchange Online - e-pasta autentifikāciju (SPF, DKIM, DMARC), pasta plūsmas noteikumus, aizsardzību pret pikšķerēšanu
- SharePoint Online un OneDrive - koplietošanas iestatījumus, ārējās piekļuves vadīklas
- Microsoft Teams - sapulču politikas, viesu piekļuvi, ārējo federāciju
- Entra ID - nosacījumpiekļuvi, lomu piešķiršanu, drošības noklusējumus
Profila līmeņi:
| Līmenis | Apraksts |
|---|---|
| L1 | Pamata vadīklas. Ieviesiet vispirms. Mazāks traucējumu risks. |
| L2 | Augstāka drošība. Var prasīt plānošanu un saziņu ar lietotājiem. |
Aether365 pārbaudes iekļauj profila līmeni katrā rezultātā, lai jūs varētu prioritizēt vispirms L1.
EIDSCA (Entra ID Security Config Analyzer)
Vislabāk piemērots: Organizācijām, kuras vēlas dziļu identitātes drošības pārklājumu, kas pārsniedz CIS aptverto.
EIDSCA tika izstrādāts kopā ar Microsoft inženieriem, un tas ir vērsts tieši uz Entra ID konfigurāciju. Tas aptver jomas, kuras CIS vai nu neaptver, vai aptver tikai daļēji:
- Privileģēto identitāšu pārvaldību (PIM) - piekļuvi tieši laikā, lomu aktivizēšanas iestatījumus
- Autentifikācijas metodes - FIDO2, autentifikatora lietotnes iestatījumus, Windows Hello
- Nosacījumpiekļuves politikas - ierīces atbilstību, pieteikšanās risku, lietotāja risku
- Lietojumprogrammu pārvaldību - OAuth lietotņu atļaujas, piekrišanas politikas
- Drošības noklusējumus un bāzlīniju - Microsoft pašas bāzlīnijas ieteikumus
- Identitātes aizsardzību - riska politikas, kompromitēto akreditācijas datu noteikšanu
EIDSCA pārbaudes atbilst Secure Score kategorijām Microsoft Entra un papildina CIS pārbaudes ar smalkāku Entra ID pārklājumu.
CISA SCuBA M365 drošības bāzlīnija
Vislabāk piemērots: ASV federālajām aģentūrām, uz kurām attiecas CISA vadlīnijas; organizācijām, kuras vēlas visaptverošu pārklājumu produktu līmenī.
SCuBA (Secure Cloud Business Applications) ir strukturēts pēc M365 produkta, nevis pēc drošības kategorijas:
| Produkta bāzlīnija | Pārklājums |
|---|---|
| AAD (Azure Active Directory) | Identitāte, MFA, nosacījumpiekļuve |
| Exchange Online | E-pasta drošība, aizsardzība pret pikšķerēšanu, pasta plūsma |
| Teams | Sapulču drošība, viesu piekļuve, datu noplūde |
| SharePoint un OneDrive | Koplietošana, ārējā piekļuve, DLP |
| Power Platform | Lietotņu izveides politikas, viesu piekļuve |
| Defender for Office 365 | ATP politikas, drošās saites, drošie pielikumi |
Katra produkta sadaļa satur obligātās un neobligātās politikas. Aether365 rezultāta detaļās skaidri atzīmē neobligātās politikas.
SCuBA tehniski ir vērsts uz ASV federālajām aģentūrām (FISMA pārklātās sistēmas), taču politikas ir plaši piemērojamas jebkurai organizācijai.
NIS2 (ES Tīklu un informācijas sistēmu direktīva 2)
Vislabāk piemērots: ES bāzētām organizācijām, kuras sniedz būtiskus vai svarīgus pakalpojumus un kurām jāapliecina atbilstība NIS2.
NIS2 ir regulatīvs ietvars, nevis tehniska bāzlīnija. Tas nosaka vadīklu kategorijas, kuras organizācijām jāievieš, taču neparedz precīzas konfigurācijas vērtības. Aether365 NIS2 pārbaudes saista M365 konfigurāciju ar NIS2 pantu prasībām:
| NIS2 pants | Vadīklu kategorija | M365 pārbaužu piemēri |
|---|---|---|
| 21(2)(a) p. | Risku pārvaldība | Drošības politikas, audita reģistrēšana |
| 21(2)(b) p. | Incidentu apstrāde | Brīdinājumu politikas, audita žurnāla glabāšana |
| 21(2)(c) p. | Darbības nepārtrauktība | Dublēšana, datu glabāšanas iestatījumi |
| 21(2)(d) p. | Piegādes ķēdes drošība | Trešo pušu lietotņu atļaujas |
| 21(2)(e) p. | Iegādes drošība | Lietojumprogrammu piekrišanas politikas |
| 21(2)(f) p. | Piekļuves kontrole | MFA, privileģētā piekļuve, PIM |
| 21(2)(g) p. | Kriptogrāfija | Šifrēšanas iestatījumi, TLS politika |
| 21(2)(h) p. | Personāla drošība | Darbinieku aiziešana, viesu kontu pārskate |
| 21(2)(i) p. | Autentifikācija | MFA, paroļu politikas, mantotā autentifikācija |
Svarīgi: NIS2 pārbaužu izpilde Aether365 nesertificē atbilstību NIS2. NIS2 atbilstībai nepieciešami organizatoriskie procesi, juridiskie novērtējumi un ziņošanas pienākumi, kas pārsniedz tehnisko konfigurāciju. Aether365 NIS2 pārbaudes sniedz pārliecību, ka jūsu M365 konfigurācija nav pretrunā ar NIS2 prasībām.
Kuru ietvaru man izmantot?
Jums nav jāizvēlas tikai viens. Aether365 izpilda visus ietvarus un rāda rezultātus kopā. Starp ietvariem ir būtiska pārklāšanās: vienu un to pašu konfigurācijas iestatījumu var pārbaudīt CIS, EIDSCA un CISA. Aether365 novērš pārklājošos pārbaužu dublikātus un rāda katru atklājumu vienreiz ar mijatsaucēm uz katru ietvaru, kas to aptver.
Ieteikumi, ar ko sākt:
| Situācija | Sāciet ar |
|---|---|
| Nav iepriekšējas pieredzes ar ietvariem | CIS L1 - pamata un plaši saprasts |
| Fokuss uz identitātes drošību | EIDSCA - dziļākais Entra ID pārklājums |
| ASV federālā vai valdībai pietuvinātā | CISA SCuBA |
| ES regulatīvā prasība | NIS2, pēc tam aizpildiet robus ar CIS |
| Jāiztur drošības audits | CIS - ārējo auditoru visatzītākais |
| Vēlaties visaptverošu pārklājumu | Izpildiet visus četrus ietvarus vienlaikus |
Pārbaužu skaits pa ietvariem
Pārbaužu skaits mainās, ietvariem atjauninoties. Pašreizējie aptuvenie skaitļi Aether365:
| Ietvars | Pārbaužu kopskaits | Tipiskais izpildes rādītājs (MVU) | Tipiskais izpildes rādītājs (uzņēmums) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
Izpildes rādītāji ir ilustratīvas aplēses. Jūsu rādītājs lielā mērā atkarīgs no esošās konfigurācijas, licencēm un tā, vai esat izvietojis nosacījumpiekļuves politikas.