Porovnanie rámcov
Spravuje: tím Aether365 Publikum: správcovia bezpečnosti a pracovníci pre súlad s predpismi Rozsah: priame porovnanie rámcov CIS, EIDSCA, CISA SCuBA a NIS2
Priame porovnanie štyroch bezpečnostných rámcov, ktoré Aether365 podporuje.
Prehľad
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Celý názov | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU Network and Information Systems Directive 2 |
| Vydáva | Center for Internet Security | Microsoft (open-source) | CISA (federálna agentúra USA) | Európska únia |
| Hlavné publikum | Komerčné organizácie na celom svete | Organizácie využívajúce Entra ID | Federálne agentúry USA | Kľúčové a dôležité subjekty v EÚ |
| Oblasť zamerania | Široká konfigurácia M365 | Bezpečnosť identít v Entra ID | M365 produkt po produkte | Riadenie kybernetických rizík |
| Počet kontrol | ~100 | ~80 | ~150 | ~50 |
| Frekvencia aktualizácií | Veľké vydania každých 12-18 mesiacov | Priebežne (GitHub) | Veľké vydania raz ročne | Legislatívny cyklus |
| Licencovanie | Bezplatné použitie | Open-source (MIT) | Verejná doména | Nariadenie EÚ |
CIS Microsoft 365 Foundations Benchmark
Najvhodnejšie pre: organizácie, ktoré chcú komerčne uznávaný a audítorsky prívetivý základ.
Benchmarky CIS sú de facto štandardom v komerčných bezpečnostných programoch. Benchmark pre M365 pokrýva:
- Účty a autentifikáciu - MFA, staršie metódy overovania, zásady hesiel
- Nastavenia Microsoft 365 Admin Center - prístup hostí, zdieľanie, externá spolupráca
- Exchange Online - autentifikáciu e-mailov (SPF, DKIM, DMARC), pravidlá toku pošty, ochranu pred phishingom
- SharePoint Online a OneDrive - nastavenia zdieľania, riadenie externého prístupu
- Microsoft Teams - zásady schôdzí, prístup hostí, externú federáciu
- Entra ID - podmienený prístup, priradenie rolí, predvolené nastavenia zabezpečenia
Úrovne profilov:
| Úroveň | Popis |
|---|---|
| L1 | Základné kontroly. Zaveďte ich ako prvé. Nižšie riziko narušenia. |
| L2 | Vyššia úroveň zabezpečenia. Môže si vyžadovať plánovanie a komunikáciu s používateľmi. |
Kontroly v Aether365 obsahujú úroveň profilu pri každom výsledku, takže si môžete prioritne zvoliť najprv L1.
EIDSCA (Entra ID Security Config Analyzer)
Najvhodnejšie pre: organizácie, ktoré chcú hĺbkové pokrytie bezpečnosti identít nad rámec toho, čo pokrýva CIS.
EIDSCA vznikol v spolupráci s inžiniermi Microsoftu a zameriava sa špecificky na konfiguráciu Entra ID. Pokrýva oblasti, ktoré CIS buď vynecháva, alebo pokrýva len čiastočne:
- Privileged Identity Management (PIM) - prístup just-in-time, nastavenia aktivácie rolí
- Metódy autentifikácie - FIDO2, nastavenia aplikácie autentifikátora, Windows Hello
- Zásady podmieneného prístupu - súlad zariadení, riziko prihlásenia, riziko používateľa
- Správa aplikácií - oprávnenia OAuth aplikácií, zásady súhlasu
- Predvolené nastavenia a základná úroveň zabezpečenia - vlastné odporúčania Microsoftu
- Ochranu identity - zásady rizík, detekcia uniknutých prihlasovacích údajov
Kontroly EIDSCA sú namapované na kategórie Secure Score v Microsoft Entra a dopĺňajú kontroly CIS o jemnejšie členené pokrytie Entra ID.
CISA SCuBA M365 Security Baseline
Najvhodnejšie pre: federálne agentúry USA, na ktoré sa vzťahujú pokyny CISA; organizácie, ktoré chcú komplexné pokrytie na úrovni produktov.
SCuBA (Secure Cloud Business Applications) je štruktúrovaný podľa produktov M365, a nie podľa bezpečnostných kategórií:
| Produktový základ | Pokrytie |
|---|---|
| AAD (Azure Active Directory) | Identita, MFA, podmienený prístup |
| Exchange Online | Zabezpečenie e-mailov, ochrana pred phishingom, tok pošty |
| Teams | Zabezpečenie schôdzí, prístup hostí, strata dát |
| SharePoint a OneDrive | Zdieľanie, externý prístup, DLP |
| Power Platform | Zásady vytvárania aplikácií, prístup hostí |
| Defender for Office 365 | Zásady ATP, bezpečné odkazy, bezpečné prílohy |
Každá produktová sekcia obsahuje povinné a voliteľné zásady. Aether365 voliteľné zásady jasne označuje v detaile výsledku.
SCuBA je technicky zameraný na federálne agentúry USA (systémy spadajúce pod FISMA), no jeho zásady sú vo všeobecnosti použiteľné pre akúkoľvek organizáciu.
NIS2 (EU Network and Information Systems Directive 2)
Najvhodnejšie pre: organizácie so sídlom v EÚ, ktoré prevádzkujú kľúčové alebo dôležité služby a musia preukázať súlad s NIS2.
NIS2 je regulačný rámec, nie technický benchmark. Stanovuje kategórie kontrol, ktoré organizácie musia zaviesť - nepredpisuje presné konfiguračné hodnoty. Kontroly NIS2 v Aether365 mapujú konfiguráciu M365 na požiadavky článkov NIS2:
| Článok NIS2 | Kategória kontroly | Príklad kontrol M365 |
|---|---|---|
| Čl. 21(2)(a) | Riadenie rizík | Bezpečnostné zásady, auditné protokolovanie |
| Čl. 21(2)(b) | Riešenie incidentov | Zásady upozornení, uchovávanie auditných logov |
| Čl. 21(2)(c) | Kontinuita činnosti | Zálohovanie, nastavenia uchovávania dát |
| Čl. 21(2)(d) | Bezpečnosť dodávateľského reťazca | Oprávnenia aplikácií tretích strán |
| Čl. 21(2)(e) | Bezpečnosť obstarávania | Zásady súhlasu aplikácií |
| Čl. 21(2)(f) | Riadenie prístupu | MFA, privilegovaný prístup, PIM |
| Čl. 21(2)(g) | Kryptografia | Nastavenia šifrovania, zásady TLS |
| Čl. 21(2)(h) | Bezpečnosť ľudských zdrojov | Offboarding, kontrola hosťovských účtov |
| Čl. 21(2)(i) | Autentifikácia | MFA, zásady hesiel, staršie overovanie |
Dôležité: Úspešné absolvovanie kontrol NIS2 v Aether365 necertifikuje súlad s NIS2. Súlad s NIS2 si vyžaduje organizačné procesy, právne posúdenia a ohlasovacie povinnosti nad rámec technickej konfigurácie. Kontroly NIS2 v Aether365 vám dávajú istotu, že vaša konfigurácia M365 neodporuje požiadavkám NIS2.
Ktorý rámec mám použiť?
Nemusíte si vyberať len jeden. Aether365 spúšťa všetky rámce a výsledky prezentuje spoločne. Medzi rámcami existuje výrazné prekrývanie - jedno konfiguračné nastavenie môže kontrolovať CIS, EIDSCA aj CISA. Aether365 prekrývajúce sa kontroly zlučuje a každé zistenie zobrazuje raz s krížovými odkazmi na každý rámec, ktorý ho pokrýva.
Odporúčania, odkiaľ začať:
| Situácia | Začnite s |
|---|---|
| Žiadna predchádzajúca skúsenosť s rámcami | CIS L1 - základná a všeobecne zrozumiteľná |
| Zameranie na bezpečnosť identít | EIDSCA - najhlbšie pokrytie Entra ID |
| Federálne alebo vládne prostredie v USA | CISA SCuBA |
| Regulačná požiadavka v EÚ | NIS2, potom doplňte medzery pomocou CIS |
| Potreba prejsť bezpečnostným auditom | CIS - najuznávanejší externými audítormi |
| Potreba komplexného pokrytia | Spustite súčasne všetky štyri rámce |
Počet kontrol podľa rámca
Počty kontrol sa menia, ako sa rámce aktualizujú. Aktuálne približné počty v Aether365:
| Rámec | Celkový počet kontrol | Typická miera úspešnosti (SMB) | Typická miera úspešnosti (Enterprise) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70 % | 70-85 % |
| CIS (L1+L2) | ~100 | 45-65 % | 65-80 % |
| EIDSCA | ~80 | 50-65 % | 65-80 % |
| CISA SCuBA | ~150 | 40-60 % | 60-75 % |
| NIS2 | ~50 | 55-70 % | 70-85 % |
Miery úspešnosti sú ilustratívne odhady. Vaša miera závisí výrazne od existujúcej konfigurácie, licencií a od toho, či máte nasadené zásady podmieneného prístupu.