Rammeverksammenligning
Vedlikeholdt av: Aether365 Team Målgruppe: Sikkerhetsadministratorer og samsvarsansvarlige Omfang: Sammenligning av CIS, EIDSCA, CISA SCuBA og NIS2 side om side
Sammenligning av de fire sikkerhetsrammeverkene som støttes av Aether365.
Oversikt
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Fullt navn | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU Network and Information Systems Directive 2 |
| Utgitt av | Center for Internet Security | Microsoft (åpen kildekode) | CISA (amerikansk føderalt byrå) | Den europeiske union |
| Primær målgruppe | Kommersielle organisasjoner globalt | Organisasjoner som bruker Entra ID | Amerikanske føderale byråer | Vesentlige/viktige enheter i EU |
| Fokusområde | Bred M365-konfigurasjon | Entra ID-identitetssikkerhet | M365 produkt for produkt | Risikostyring innen cybersikkerhet |
| Antall sjekker | ~100 | ~80 | ~150 | ~50 |
| Oppdateringsfrekvens | Store utgivelser hver 12-18. måned | Kontinuerlig (GitHub) | Store utgivelser årlig | Lovgivningssyklus |
| Lisensiering | Gratis å bruke | Åpen kildekode (MIT) | Offentlig eiendom | EU-regulering |
CIS Microsoft 365 Foundations Benchmark
Best egnet for: Organisasjoner som ønsker en kommersielt anerkjent, revisjonsvennlig grunnlinje.
CIS-referanser er de-facto-standarden i kommersielle sikkerhetsprogrammer. M365-referansen dekker:
- Konto og autentisering - MFA, eldre autentisering, passordpolicyer
- Microsoft 365 Admin Center-innstillinger - gjestetilgang, deling, eksternt samarbeid
- Exchange Online - e-postautentisering (SPF, DKIM, DMARC), e-postflytregler, anti-phishing
- SharePoint Online og OneDrive - delingsinnstillinger, kontroller for ekstern tilgang
- Microsoft Teams - møtepolicyer, gjestetilgang, ekstern federasjon
- Entra ID - betinget tilgang, rolletildelinger, sikkerhetsstandarder
Profilnivåer:
| Nivå | Beskrivelse |
|---|---|
| L1 | Grunnleggende kontroller. Implementer først. Lavere forstyrrelsesrisiko. |
| L2 | Høyere sikkerhet. Kan kreve planlegging og brukerkommunikasjon. |
Aether365-sjekker inkluderer profilnivået i hvert resultat slik at du kan prioritere L1 først.
EIDSCA (Entra ID Security Config Analyzer)
Best egnet for: Organisasjoner som ønsker dyp identitetssikkerhetsdekning utover det CIS dekker.
EIDSCA ble samutviklet med Microsoft-ingeniører og retter seg spesifikt mot Entra ID-konfigurasjon. Det dekker områder som CIS enten utelater eller kun dekker delvis:
- Privileged Identity Management (PIM) - just-in-time-tilgang, rolleaktiveringsinnstillinger
- Autentiseringsmetoder - FIDO2, autentiseringsappinnstillinger, Windows Hello
- Policyer for betinget tilgang - enhetssamsvar, påloggingsrisiko, brukerrisiko
- Applikasjonsstyring - OAuth-apptillatelser, samtykkepolicyer
- Sikkerhetsstandarder og grunnlinje - Microsofts egne grunnlinjeanbefalinger
- Identitetsbeskyttelse - risikopolicyer, deteksjon av kompromitterte legitimasjoner
EIDSCA-sjekker kartlegges til Secure Score-kategoriene i Microsoft Entra og utfyller CIS-sjekker med mer finkornet Entra ID-dekning.
CISA SCuBA M365 Security Baseline
Best egnet for: Amerikanske føderale byråer underlagt CISA-veiledning; organisasjoner som ønsker omfattende dekning på produktnivå.
SCuBA (Secure Cloud Business Applications) er strukturert etter M365-produkt i stedet for etter sikkerhetskategori:
| Produktgrunnlinje | Dekning |
|---|---|
| AAD (Azure Active Directory) | Identitet, MFA, betinget tilgang |
| Exchange Online | E-postsikkerhet, anti-phishing, e-postflyt |
| Teams | Møtesikkerhet, gjestetilgang, datatap |
| SharePoint og OneDrive | Deling, ekstern tilgang, DLP |
| Power Platform | Retningslinjer for appoppretting, gjestetilgang |
| Defender for Office 365 | ATP-policyer, trygge koblinger, trygge vedlegg |
Hver produktseksjon inneholder påkrevde og valgfrie policyer. Aether365 merker valgfrie policyer tydelig i resultatdetaljene.
SCuBA er teknisk rettet mot amerikanske føderale byråer (FISMA-dekkede systemer), men policyene er bredt anvendbare for enhver organisasjon.
NIS2 (EUs direktiv om nettverks- og informasjonssystemer 2)
Best egnet for: EU-baserte organisasjoner som driver vesentlige eller viktige tjenester og må demonstrere NIS2-samsvar.
NIS2 er et regulatorisk rammeverk, ikke en teknisk referanse. Det spesifiserer kategorier av kontroller som organisasjoner må implementere - det foreskriver ikke eksakte konfigurasjonsverdier. Aether365 sine NIS2-sjekker kartlegger M365-konfigurasjon til NIS2-artikkelkrav:
| NIS2-artikkel | Kontrollkategori | Eksempler på M365-sjekker |
|---|---|---|
| Art. 21(2)(a) | Risikostyring | Sikkerhetspolicyer, revisjonslogging |
| Art. 21(2)(b) | Hendelseshåndtering | Varslingspolicyer, oppbevaring av revisjonslogg |
| Art. 21(2)(c) | Forretningskontinuitet | Sikkerhetskopiering, innstillinger for dataoppbevaring |
| Art. 21(2)(d) | Forsyningskjedesikkerhet | Tredjepartsapptillatelser |
| Art. 21(2)(e) | Anskaffelsessikkerhet | Policyer for applikasjonssamtykke |
| Art. 21(2)(f) | Tilgangskontroll | MFA, privilegert tilgang, PIM |
| Art. 21(2)(g) | Kryptografi | Krypteringsinnstillinger, TLS-policy |
| Art. 21(2)(h) | HR-sikkerhet | Offboarding, gjennomgang av gjestekontoer |
| Art. 21(2)(i) | Autentisering | MFA, passordpolicyer, eldre autentisering |
Viktig: Å bestå NIS2-sjekker i Aether365 sertifiserer ikke NIS2-samsvar. NIS2-samsvar krever organisatoriske prosesser, juridiske vurderinger og rapporteringsforpliktelser utover teknisk konfigurasjon. Aether365 sine NIS2-sjekker gir deg trygghet for at M365-konfigurasjonen din ikke motstrider NIS2-kravene.
Hvilket rammeverk bør jeg bruke?
Du trenger ikke velge bare ett. Aether365 kjører alle rammeverk og presenterer resultatene samlet. Det er betydelig overlapping mellom rammeverkene - en enkelt konfigurasjonsinnstilling kan sjekkes av CIS, EIDSCA og CISA. Aether365 dedupliserer overlappende sjekker og viser hvert funn en gang med kryssreferanser til alle rammeverk som dekker det.
Anbefalte utgangspunkt:
| Situasjon | Start med |
|---|---|
| Ingen tidligere rammeverkerfaring | CIS L1 - grunnleggende og bredt forstått |
| Fokus på identitetssikkerhet | EIDSCA - dypest Entra ID-dekning |
| Amerikansk føderalt eller statsnært | CISA SCuBA |
| EU-regulatorisk krav | NIS2, fyll deretter hull med CIS |
| Trenger å bestå en sikkerhetsrevisjon | CIS - mest anerkjent av eksterne revisorer |
| Ønsker omfattende dekning | Kjør alle fire rammeverkene samtidig |
Antall sjekker per rammeverk
Antall sjekker varierer ettersom rammeverkene oppdateres. Gjeldende omtrentlige tall i Aether365:
| Rammeverk | Totalt antall sjekker | Typisk beståttprosent (SMB) | Typisk beståttprosent (Enterprise) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70 % | 70-85 % |
| CIS (L1+L2) | ~100 | 45-65 % | 65-80 % |
| EIDSCA | ~80 | 50-65 % | 65-80 % |
| CISA SCuBA | ~150 | 40-60 % | 60-75 % |
| NIS2 | ~50 | 55-70 % | 70-85 % |
Beståttprosenter er illustrative estimater. Din prosent avhenger i stor grad av eksisterende konfigurasjon, lisenser og om du har utrullet policyer for betinget tilgang.