Comparação de Frameworks
Comparação lado a lado dos quatro frameworks de segurança suportados pelo Aether365.
Visão Geral
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Nome completo | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | Diretiva da UE relativa a Segurança das Redes e da Informação 2 |
| Publicado por | Center for Internet Security | Microsoft (código aberto) | CISA (agência federal dos EUA) | União Europeia |
| Público principal | Organizações comerciais mundiais | Organizações que utilizam Entra ID | Agências federais dos EUA | Entidades essenciais/importantes da UE |
| Area de foco | Configuração M365 abrangente | Segurança de identidade Entra ID | M365 produto a produto | Gestão de risco de cibersegurança |
| Número de verificações | ~100 | ~80 | ~150 | ~50 |
| Cadência de atualização | Versões principais a cada 12-18 meses | Continuo (GitHub) | Versões principais anualmente | Ciclo legislativo |
| Licenciamento | Utilização gratuita | Código aberto (MIT) | Domínio público | Regulamento da UE |
CIS Microsoft 365 Foundations Benchmark
Melhor para: Organizações que pretendem uma linha de base comercialmente reconhecida e amigável para auditores.
Os benchmarks CIS são o padrão de facto em programas de segurança comerciais. O benchmark M365 abrange:
- Conta e autenticação - MFA, autenticação legada, políticas de palavras-passe
- Definições do Centro de Administração Microsoft 365 - acesso de convidados, partilha, colaboração externa
- Exchange Online - autenticação de email (SPF, DKIM, DMARC), regras de fluxo de email, anti-phishing
- SharePoint Online e OneDrive - definições de partilha, controlos de acesso externo
- Microsoft Teams - políticas de reuniões, acesso de convidados, federação externa
- Entra ID - acesso condicional, atribuições de funções, predefinições de segurança
Niveis de perfil:
| Nível | Descrição |
|---|---|
| L1 | Controlos fundamentais. Implementar primeiro. Menor risco de perturbação. |
| L2 | Segurança superior. Pode exigir planeamento e comunicação com utilizadores. |
As verificações do Aether365 incluem o nível de perfil em cada resultado para que possa priorizar L1 primeiro.
EIDSCA (Entra ID Security Config Analyzer)
Melhor para: Organizações que pretendem cobertura profunda de segurança de identidade para além do que o CIS abrange.
O EIDSCA foi co-desenvolvido com engenheiros da Microsoft e visa especificamente a configuração do Entra ID. Abrange areas que o CIS omite ou abrange apenas parcialmente:
- Privileged Identity Management (PIM) - acesso just-in-time, definições de ativação de funções
- Métodos de autenticação - FIDO2, definições de aplicação de autenticação, Windows Hello
- Políticas de acesso condicional - conformidade de dispositivos, risco de início de sessão, risco de utilizador
- Governação de aplicações - permissões de aplicações OAuth, políticas de consentimento
- Predefinições e linha de base de segurança - recomendações de linha de base próprias da Microsoft
- Proteção de identidade - políticas de risco, deteção de credenciais violadas
As verificações EIDSCA mapeiam para as categorias Secure Score no Microsoft Entra e complementam as verificações CIS com cobertura mais granular do Entra ID.
CISA SCuBA M365 Security Baseline
Melhor para: Agências federais dos EUA sujeitas a orientação da CISA; organizações que pretendem cobertura abrangente ao nível do produto.
O SCuBA (Secure Cloud Business Applications) está estruturado por produto M365 em vez de por categoria de segurança:
| Linha de base do produto | Cobertura |
|---|---|
| AAD (Azure Active Directory) | Identidade, MFA, acesso condicional |
| Exchange Online | Segurança de email, anti-phishing, fluxo de email |
| Teams | Segurança de reuniões, acesso de convidados, perda de dados |
| SharePoint e OneDrive | Partilha, acesso externo, DLP |
| Power Platform | Políticas de criação de aplicações, acesso de convidados |
| Defender para Office 365 | Políticas ATP, safe links, safe attachments |
Cada secção de produto contem políticas obrigatórias e opcionais. O Aether365 marca claramente as políticas opcionais no detalhe do resultado.
O SCuBA e tecnicamente dirigido a agências federais dos EUA (sistemas cobertos pela FISMA) mas as políticas são amplamente aplicáveis a qualquer organização.
NIS2 (Diretiva da UE relativa a Segurança das Redes e da Informação 2)
Melhor para: Organizações sediadas na UE que operam serviços essenciais ou importantes e devem demonstrar conformidade com NIS2.
NIS2 e um framework regulatório, não um benchmark técnico. Especifica categorias de controlos que as organizações devem implementar - não prescreve valores de configuração exatos. As verificações NIS2 do Aether365 mapeiam a configuração M365 para requisitos dos artigos NIS2:
| Artigo NIS2 | Categoria de controlo | Exemplos de verificações M365 |
|---|---|---|
| Art. 21(2)(a) | Gestão de risco | Políticas de segurança, registo de auditoria |
| Art. 21(2)(b) | Tratamento de incidentes | Políticas de alertas, retenção de registos de auditoria |
| Art. 21(2)(c) | Continuidade de negócio | Copia de segurança, definições de retenção de dados |
| Art. 21(2)(d) | Segurança da cadeia de fornecimento | Permissões de aplicações de terceiros |
| Art. 21(2)(e) | Segurança na aquisição | Políticas de consentimento de aplicações |
| Art. 21(2)(f) | Controlo de acesso | MFA, acesso privilegiado, PIM |
| Art. 21(2)(g) | Criptografia | Definições de encriptação, política TLS |
| Art. 21(2)(h) | Segurança de RH | Offboarding, revisão de contas de convidados |
| Art. 21(2)(i) | Autenticação | MFA, políticas de palavras-passe, autenticação legada |
Importante: Aprovar verificações NIS2 no Aether365 não certifica conformidade com NIS2. A conformidade com NIS2 requer processos organizacionais, avaliações jurídicas e obrigações de reporte para além da configuração técnica. As verificações NIS2 do Aether365 dão-lhe confiança de que a sua configuração M365 não contradiz os requisitos NIS2.
Que Framework Devo Utilizar?
Não precisa de escolher apenas um. O Aether365 executa todos os frameworks e apresenta os resultados em conjunto. Ha sobreposição significativa entre frameworks - uma única definição de configuração pode ser verificada pelo CIS, EIDSCA e CISA. O Aether365 desduplica verificações sobrepostas e mostra cada resultado uma vez com referências cruzadas para todos os frameworks que o cobrem.
Recomendações de ponto de partida:
| Situação | Começar com |
|---|---|
| Sem exposição previa a frameworks | CIS L1 - fundamental e amplamente compreendido |
| Foco em segurança de identidade | EIDSCA - cobertura mais profunda do Entra ID |
| EUA federal ou adjacente ao governo | CISA SCuBA |
| Requisito regulatório da UE | NIS2, depois preencher lacunas com CIS |
| Necessidade de passar auditoria de segurança | CIS - mais reconhecido por auditores externos |
| Pretende cobertura abrangente | Executar os quatro frameworks simultaneamente |
Contagem de Verificações por Framework
As contagens de verificações variam conforme os frameworks são atualizados. Contagens aproximadas atuais no Aether365:
| Framework | Total de verificações | Taxa de aprovação tipica (PME) | Taxa de aprovação tipica (Empresa) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
As taxas de aprovação são estimativas ilustrativas. A sua taxa depende fortemente da sua configuração existente, licenças e se implementou políticas de acesso condicional.