Porównanie frameworków
Autor: Zespół Aether365 Odbiorcy: Administratorzy bezpieczeństwa i specjaliści ds. zgodności Zakres: Porównanie obok siebie frameworków CIS, EIDSCA, CISA SCuBA i NIS2
Porównanie obok siebie czterech frameworków bezpieczeństwa obsługiwanych przez Aether365.
Przegląd
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Pełna nazwa | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU Network and Information Systems Directive 2 |
| Wydawca | Center for Internet Security | Microsoft (open-source) | CISA (agencja federalna USA) | Unia Europejska |
| Główni odbiorcy | Organizacje komercyjne na całym świecie | Organizacje korzystające z Entra ID | Agencje federalne USA | Podmioty kluczowe/ważne w UE |
| Obszar | Szeroka konfiguracja M365 | Bezpieczeństwo tożsamości Entra ID | Produkt po produkcie M365 | Zarządzanie ryzykiem cyberbezpieczeństwa |
| Liczba kontroli | ok. 100 | ok. 80 | ok. 150 | ok. 50 |
| Częstotliwość aktualizacji | Główne wydania co 12-18 miesięcy | Ciągłe (GitHub) | Główne wydania corocznie | Cykl legislacyjny |
| Licencja | Bezpłatny | Open-source (MIT) | Domena publiczna | Rozporządzenie UE |
CIS Microsoft 365 Foundations Benchmark
Najlepszy dla: Organizacji, które chcą komercyjnie uznanej, przyjaznej dla audytorów bazy.
Benchmarki CIS są de facto standardem w komercyjnych programach bezpieczeństwa. Benchmark M365 obejmuje:
- Konto i uwierzytelnianie - MFA, starsze uwierzytelnianie, zasady haseł
- Ustawienia centrum administracyjnego Microsoft 365 - dostęp gości, udostępnianie, współpraca zewnętrzna
- Exchange Online - uwierzytelnianie e-mail (SPF, DKIM, DMARC), reguły przepływu poczty, ochrona przed phishingiem
- SharePoint Online i OneDrive - ustawienia udostępniania, kontrole dostępu zewnętrznego
- Microsoft Teams - zasady spotkań, dostęp gości, federacja zewnętrzna
- Entra ID - dostęp warunkowy, przypisania ról, ustawienia domyślne bezpieczeństwa
Poziomy profilu:
| Poziom | Opis |
|---|---|
| L1 | Kontrole podstawowe. Wdróż w pierwszej kolejności. Niższe ryzyko zakłóceń. |
| L2 | Wyższe bezpieczeństwo. Może wymagać planowania i komunikacji z użytkownikami. |
Kontrole Aether365 zawierają poziom profilu w każdym wyniku, dzięki czemu możesz priorytetyzować najpierw L1.
EIDSCA (Entra ID Security Config Analyzer)
Najlepszy dla: Organizacji, które chcą głębokiego pokrycia bezpieczeństwa tożsamości wykraczającego poza to, co obejmuje CIS.
EIDSCA został współtworzony z inżynierami Microsoft i celuje konkretnie w konfigurację Entra ID. Obejmuje obszary, które CIS pomija lub obejmuje tylko częściowo:
- Privileged Identity Management (PIM) - dostęp just-in-time, ustawienia aktywacji ról
- Metody uwierzytelniania - FIDO2, ustawienia aplikacji uwierzytelniającej, Windows Hello
- Zasady dostępu warunkowego - zgodność urządzeń, ryzyko logowania, ryzyko użytkownika
- Zarządzanie aplikacjami - uprawnienia aplikacji OAuth, zasady zgody
- Ustawienia domyślne i baza bezpieczeństwa - własne rekomendacje bazowe Microsoft
- Ochrona tożsamości - zasady ryzyka, wykrywanie naruszonych poświadczeń
Kontrole EIDSCA mapują się na kategorie Secure Score w Microsoft Entra i uzupełniają kontrole CIS bardziej szczegółowym pokryciem Entra ID.
CISA SCuBA M365 Security Baseline
Najlepszy dla: Agencji federalnych USA podlegających wytycznym CISA; organizacji, które chcą kompleksowego pokrycia na poziomie produktu.
SCuBA (Secure Cloud Business Applications) jest ustrukturyzowany według produktu M365, a nie według kategorii bezpieczeństwa:
| Baza produktu | Pokrycie |
|---|---|
| AAD (Azure Active Directory) | Tożsamość, MFA, dostęp warunkowy |
| Exchange Online | Bezpieczeństwo e-mail, ochrona przed phishingiem, przepływ poczty |
| Teams | Bezpieczeństwo spotkań, dostęp gości, ochrona przed utratą danych |
| SharePoint i OneDrive | Udostępnianie, dostęp zewnętrzny, DLP |
| Power Platform | Zasady tworzenia aplikacji, dostęp gości |
| Defender for Office 365 | Zasady ATP, bezpieczne linki, bezpieczne załączniki |
Każda sekcja produktu zawiera zasady wymagane i opcjonalne. Aether365 wyraźnie oznacza opcjonalne zasady w szczegółach wyniku.
SCuBA jest technicznie skierowany do agencji federalnych USA (systemy objęte FISMA), ale zasady mają szerokie zastosowanie w każdej organizacji.
NIS2 (EU Network and Information Systems Directive 2)
Najlepszy dla: Organizacji z siedzibą w UE, które obsługują usługi kluczowe lub ważne i muszą wykazać zgodność z NIS2.
NIS2 jest frameworkiem regulacyjnym, nie technicznym benchmarkiem. Określa kategorie kontroli, które organizacje muszą wdrożyć - nie narzuca konkretnych wartości konfiguracji. Kontrole NIS2 w Aether365 mapują konfigurację M365 na wymogi artykułów NIS2:
| Artykuł NIS2 | Kategoria kontroli | Przykładowe kontrole M365 |
|---|---|---|
| Art. 21(2)(a) | Zarządzanie ryzykiem | Zasady bezpieczeństwa, rejestrowanie audytu |
| Art. 21(2)(b) | Obsługa incydentów | Zasady alertów, retencja dziennika audytu |
| Art. 21(2)(c) | Ciągłość działania | Kopie zapasowe, ustawienia retencji danych |
| Art. 21(2)(d) | Bezpieczeństwo łańcucha dostaw | Uprawnienia aplikacji firm trzecich |
| Art. 21(2)(e) | Bezpieczeństwo nabywania | Zasady zgody na aplikacje |
| Art. 21(2)(f) | Kontrola dostępu | MFA, dostęp uprzywilejowany, PIM |
| Art. 21(2)(g) | Kryptografia | Ustawienia szyfrowania, zasady TLS |
| Art. 21(2)(h) | Bezpieczeństwo HR | Offboarding, przegląd kont gości |
| Art. 21(2)(i) | Uwierzytelnianie | MFA, zasady haseł, starsze uwierzytelnianie |
Ważne: Zaliczenie kontroli NIS2 w Aether365 nie oznacza certyfikacji zgodności z NIS2. Zgodność z NIS2 wymaga procesów organizacyjnych, ocen prawnych i obowiązków raportowania wykraczających poza konfigurację techniczną. Kontrole NIS2 w Aether365 dają pewność, że konfiguracja M365 nie jest sprzeczna z wymogami NIS2.
Który framework wybrać?
Nie musisz wybierać jednego. Aether365 uruchamia wszystkie frameworki i prezentuje wyniki razem. Frameworki znacząco się pokrywają - jedno ustawienie konfiguracji może być sprawdzane przez CIS, EIDSCA i CISA. Aether365 deduplikuje pokrywające się kontrole i wyświetla każde znalezisko raz z odniesieniami krzyżowymi do każdego frameworku, który je obejmuje.
Rekomendacje na początek:
| Sytuacja | Zacznij od |
|---|---|
| Brak wcześniejszego doświadczenia z frameworkami | CIS L1 - podstawowy i powszechnie rozumiany |
| Nacisk na bezpieczeństwo tożsamości | EIDSCA - najgłębsze pokrycie Entra ID |
| Agencja federalna USA lub pokrewna | CISA SCuBA |
| Wymóg regulacyjny UE | NIS2, następnie uzupełnienie braków przez CIS |
| Konieczność przejścia audytu bezpieczeństwa | CIS - najbardziej uznawany przez zewnętrznych audytorów |
| Kompleksowe pokrycie | Uruchom wszystkie cztery frameworki jednocześnie |
Liczba kontroli według frameworku
Liczba kontroli zmienia się w miarę aktualizacji frameworków. Przybliżone bieżące wartości w Aether365:
| Framework | Łączna liczba kontroli | Typowy wskaźnik zaliczalności (MŚP) | Typowy wskaźnik zaliczalności (Enterprise) |
|---|---|---|---|
| CIS (L1) | ok. 60 | 55-70% | 70-85% |
| CIS (L1+L2) | ok. 100 | 45-65% | 65-80% |
| EIDSCA | ok. 80 | 50-65% | 65-80% |
| CISA SCuBA | ok. 150 | 40-60% | 60-75% |
| NIS2 | ok. 50 | 55-70% | 70-85% |
Wskaźniki zaliczalności mają charakter poglądowy. Twój wynik zależy w dużej mierze od istniejącej konfiguracji, licencji i tego, czy wdrożyłeś zasady dostępu warunkowego.