Comparație framework-uri
Comparație directă a celor patru framework-uri de securitate suportate de Aether365.
Prezentare generală
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Denumire completă | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU Network and Information Systems Directive 2 |
| Publicat de | Center for Internet Security | Microsoft (open-source) | CISA (agenție federală SUA) | Uniunea Europeană |
| Audiența principală | Organizații comerciale la nivel mondial | Organizații care folosesc Entra ID | Agenții federale SUA | Entități esențiale/importante din UE |
| Domeniu de focus | Configurare M365 generală | Securitate identitate Entra ID | Per produs M365 | Gestionarea riscurilor de securitate cibernetică |
| Număr de verificări | ~100 | ~80 | ~150 | ~50 |
| Cadența actualizărilor | Lansări majore la fiecare 12-18 luni | Continuu (GitHub) | Lansări majore anual | Ciclu legislativ |
| Licențiere | Gratuit | Open-source (MIT) | Domeniu public | Regulament UE |
CIS Microsoft 365 Foundations Benchmark
Cel mai potrivit pentru: Organizații care doresc un baseline recunoscut comercial, prietenos cu auditorii.
Benchmark-urile CIS sunt standardul de facto în programele comerciale de securitate. Benchmark-ul M365 acoperă:
- Cont și autentificare - MFA, autentificare moștenită, politici de parole
- Setări Microsoft 365 Admin Center - acces invitați, partajare, colaborare externă
- Exchange Online - autentificare email (SPF, DKIM, DMARC), reguli de flux email, anti-phishing
- SharePoint Online și OneDrive - setări de partajare, controale de acces extern
- Microsoft Teams - politici de întâlniri, acces invitați, federație externă
- Entra ID - acces condiționat, atribuiri de roluri, security defaults
Niveluri de profil:
| Nivel | Descriere |
|---|---|
| L1 | Controale fundamentale. Implementați mai întâi. Risc mai mic de perturbare. |
| L2 | Securitate superioară. Poate necesita planificare și comunicare cu utilizatorii. |
Verificările Aether365 includ nivelul de profil în fiecare rezultat pentru a putea prioritiza L1 mai întâi.
EIDSCA (Entra ID Security Config Analyzer)
Cel mai potrivit pentru: Organizații care doresc acoperire profundă a securității identităților dincolo de ceea ce acoperă CIS.
EIDSCA a fost co-dezvoltat cu ingineri Microsoft și vizează configurarea Entra ID în mod specific. Acoperă domenii pe care CIS le omite sau le acoperă doar parțial:
- Privileged Identity Management (PIM) - acces just-in-time, setări de activare a rolurilor
- Metode de autentificare - FIDO2, setări aplicație authenticator, Windows Hello
- Politici de acces condiționat - conformitatea dispozitivelor, risc de autentificare, risc utilizator
- Guvernanța aplicațiilor - permisiuni aplicații OAuth, politici de consimțământ
- Security defaults și baseline - recomandările proprii de baseline Microsoft
- Identity protection - politici de risc, detectarea credențialelor compromise
Verificările EIDSCA se mapează la categoriile Secure Score din Microsoft Entra și completează verificările CIS cu acoperire mai granulară pentru Entra ID.
CISA SCuBA M365 Security Baseline
Cel mai potrivit pentru: Agenții federale SUA supuse ghidului CISA; organizații care doresc acoperire comprehensivă la nivel de produs.
SCuBA (Secure Cloud Business Applications) este structurat pe produs M365, nu pe categorie de securitate:
| Baseline produs | Acoperire |
|---|---|
| AAD (Azure Active Directory) | Identitate, MFA, acces condiționat |
| Exchange Online | Securitate email, anti-phishing, flux email |
| Teams | Securitate întâlniri, acces invitați, prevenirea pierderii datelor |
| SharePoint și OneDrive | Partajare, acces extern, DLP |
| Power Platform | Politici de creare aplicații, acces invitați |
| Defender for Office 365 | Politici ATP, safe links, safe attachments |
Fiecare secțiune de produs conține politici obligatorii și opționale. Aether365 marchează clar politicile opționale în detaliul rezultatului.
SCuBA este tehnic destinat agențiilor federale SUA (sisteme acoperite de FISMA) dar politicile sunt aplicabile pe scară largă oricărei organizații.
NIS2 (EU Network and Information Systems Directive 2)
Cel mai potrivit pentru: Organizații din UE care operează servicii esențiale sau importante și trebuie să demonstreze conformitatea NIS2.
NIS2 este un framework de reglementare, nu un benchmark tehnic. Specifică categorii de controale pe care organizațiile trebuie să le implementeze - nu prescrie valori exacte de configurare. Verificările NIS2 ale Aether365 mapează configurarea M365 la cerințele articolelor NIS2:
| Articol NIS2 | Categorie de control | Exemple de verificări M365 |
|---|---|---|
| Art. 21(2)(a) | Gestionarea riscurilor | Politici de securitate, audit logging |
| Art. 21(2)(b) | Gestionarea incidentelor | Politici de alertare, retenție audit log |
| Art. 21(2)(c) | Continuitatea activității | Backup, setări de retenție a datelor |
| Art. 21(2)(d) | Securitatea lanțului de aprovizionare | Permisiuni aplicații terțe |
| Art. 21(2)(e) | Securitatea achiziției | Politici de consimțământ pentru aplicații |
| Art. 21(2)(f) | Controlul accesului | MFA, acces privilegiat, PIM |
| Art. 21(2)(g) | Criptografie | Setări de criptare, politică TLS |
| Art. 21(2)(h) | Securitatea resurselor umane | Offboarding, revizuirea conturilor de invitați |
| Art. 21(2)(i) | Autentificare | MFA, politici de parole, autentificare moștenită |
Important: Trecerea verificărilor NIS2 în Aether365 nu certifică conformitatea NIS2. Conformitatea NIS2 necesită procese organizaționale, evaluări juridice și obligații de raportare dincolo de configurarea tehnică. Verificările NIS2 ale Aether365 vă oferă încrederea că configurarea M365 nu contrazice cerințele NIS2.
Ce framework ar trebui să folosesc?
Nu trebuie să alegeți unul singur. Aether365 rulează toate framework-urile și prezintă rezultatele împreună. Există o suprapunere semnificativă între framework-uri - o singură setare de configurare poate fi verificată de CIS, EIDSCA și CISA. Aether365 deduplică verificările care se suprapun și afișează fiecare constatare o singură dată cu referințe încrucișate la fiecare framework care o acoperă.
Recomandări pentru punctul de pornire:
| SituaÈie | Începeți cu |
|---|---|
| FÄrÄ expunere anterioarÄ la framework-uri | CIS L1 - fundamental Èi înțeles pe scarÄ largÄ |
| Focus pe securitatea identității | EIDSCA - cea mai profundă acoperire Entra ID |
| Agenție federală SUA sau adiacentă guvernului | CISA SCuBA |
| Cerință de reglementare UE | NIS2, apoi completați lacunele cu CIS |
| Trebuie să treceți un audit de securitate | CIS - cel mai recunoscut de auditori externi |
| Doriți acoperire comprehensivă | Rulați toate cele patru framework-uri simultan |
Număr de verificări per framework
Numărul de verificări variază pe măsură ce framework-urile sunt actualizate. Număr aproximativ curent în Aether365:
| Framework | Total verificări | Rată tipică de trecere (IMM) | Rată tipică de trecere (Enterprise) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
Ratele de trecere sunt estimări ilustrative. Rata dvs. depinde în mare măsură de configurarea existentă, licențele deținute și dacă ați implementat politici de acces condiționat.