Primerjava okvirov
Vzdržuje: ekipa Aether365 Občinstvo: varnostni skrbniki in odgovorni za skladnost Obseg: vzporedna primerjava okvirov CIS, EIDSCA, CISA SCuBA in NIS2
Vzporedna primerjava štirih varnostnih okvirov, ki jih podpira Aether365.
Pregled
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Polno ime | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU Network and Information Systems Directive 2 |
| Izdajatelj | Center for Internet Security | Microsoft (odprtokodni) | CISA (zvezna agencija ZDA) | Evropska unija |
| Glavno občinstvo | komercialne organizacije po vsem svetu | organizacije, ki uporabljajo Entra ID | zvezne agencije ZDA | bistveni/pomembni subjekti v EU |
| Področje fokusa | široka konfiguracija M365 | varnost identitete v Entra ID | M365 izdelek za izdelkom | obvladovanje kibernetskih tveganj |
| Število preverb | ~100 | ~80 | ~150 | ~50 |
| Ritem posodobitev | večje izdaje vsakih 12-18 mesecev | neprekinjeno (GitHub) | večje izdaje vsako leto | zakonodajni cikel |
| Licenciranje | brezplačna uporaba | odprtokodno (MIT) | javna domena | uredba EU |
CIS Microsoft 365 Foundations Benchmark
Najprimernejši za: organizacije, ki želijo komercialno priznano, revizorjem prijazno izhodišče.
Merila CIS so dejanski standard v komercialnih varnostnih programih. Merilo M365 zajema:
- Račun in preverjanje pristnosti - MFA, zastareli načini prijave, pravilniki gesel
- Nastavitve središča za skrbništvo Microsoft 365 - dostop gostov, deljenje, zunanje sodelovanje
- Exchange Online - preverjanje pristnosti e-pošte (SPF, DKIM, DMARC), pravila pretoka pošte, zaščita pred lažnim predstavljanjem
- SharePoint Online in OneDrive - nastavitve deljenja, nadzor zunanjega dostopa
- Microsoft Teams - pravilniki za sestanke, dostop gostov, zunanja federacija
- Entra ID - pogojni dostop, dodelitve vlog, varnostne privzete nastavitve
Ravni profila:
| Raven | Opis |
|---|---|
| L1 | Temeljne kontrole. Uvedite jih najprej. Manjše tveganje motenj. |
| L2 | Višja varnost. Lahko zahteva načrtovanje in obveščanje uporabnikov. |
Preverbe Aether365 v vsakem rezultatu vključujejo raven profila, tako da lahko najprej daste prednost L1.
EIDSCA (Entra ID Security Config Analyzer)
Najprimernejši za: organizacije, ki želijo globoko pokritost varnosti identitete, ki presega tisto, kar zajema CIS.
EIDSCA je bil sorazvit z Microsoftovimi inženirji in je usmerjen posebej v konfiguracijo Entra ID. Zajema področja, ki jih CIS bodisi izpušča bodisi pokriva le delno:
- Privileged Identity Management (PIM) - pravočasni dostop, nastavitve aktivacije vlog
- Načini preverjanja pristnosti - FIDO2, nastavitve aplikacije za preverjanje pristnosti, Windows Hello
- Pravilniki pogojnega dostopa - skladnost naprav, tveganje prijave, tveganje uporabnika
- Upravljanje aplikacij - dovoljenja aplikacij OAuth, pravilniki soglasja
- Varnostne privzete nastavitve in izhodišče - Microsoftova lastna priporočena izhodišča
- Zaščita identitete - pravilniki tveganja, zaznavanje vdrtih poverilnic
Preverbe EIDSCA se preslikajo v kategorije Secure Score v Microsoft Entra in dopolnjujejo preverbe CIS s podrobnejšo pokritostjo Entra ID.
CISA SCuBA M365 Security Baseline
Najprimernejši za: zvezne agencije ZDA, za katere veljajo smernice CISA; organizacije, ki želijo celovito pokritost na ravni izdelkov.
SCuBA (Secure Cloud Business Applications) je strukturiran po izdelku M365 in ne po varnostni kategoriji:
| Izhodišče izdelka | Pokritost |
|---|---|
| AAD (Azure Active Directory) | identiteta, MFA, pogojni dostop |
| Exchange Online | varnost e-pošte, zaščita pred lažnim predstavljanjem, pretok pošte |
| Teams | varnost sestankov, dostop gostov, izguba podatkov |
| SharePoint in OneDrive | deljenje, zunanji dostop, DLP |
| Power Platform | pravilniki za ustvarjanje aplikacij, dostop gostov |
| Defender for Office 365 | pravilniki ATP, varne povezave, varne priloge |
Vsak razdelek izdelka vsebuje obvezne in neobvezne pravilnike. Aether365 neobvezne pravilnike jasno označi v podrobnostih rezultata.
SCuBA je tehnično usmerjen v zvezne agencije ZDA (sistemi, zajeti s FISMA), vendar so pravilniki na splošno uporabni za vsako organizacijo.
NIS2 (EU Network and Information Systems Directive 2)
Najprimernejši za: organizacije s sedežem v EU, ki opravljajo bistvene ali pomembne storitve in morajo izkazati skladnost z NIS2.
NIS2 je regulativni okvir, ne tehnično merilo. Določa kategorije kontrol, ki jih morajo organizacije uvesti - ne predpisuje pa natančnih konfiguracijskih vrednosti. Preverbe NIS2 v Aether365 preslikajo konfiguracijo M365 v zahteve členov NIS2:
| Člen NIS2 | Kategorija kontrol | Primer preverb M365 |
|---|---|---|
| Čl. 21(2)(a) | obvladovanje tveganj | varnostni pravilniki, revizijsko beleženje |
| Čl. 21(2)(b) | obravnava incidentov | pravilniki opozoril, hramba revizijskega dnevnika |
| Čl. 21(2)(c) | neprekinjeno poslovanje | varnostno kopiranje, nastavitve hrambe podatkov |
| Čl. 21(2)(d) | varnost dobavne verige | dovoljenja aplikacij tretjih oseb |
| Čl. 21(2)(e) | varnost nabave | pravilniki soglasja aplikacij |
| Čl. 21(2)(f) | nadzor dostopa | MFA, privilegiran dostop, PIM |
| Čl. 21(2)(g) | kriptografija | nastavitve šifriranja, pravilnik TLS |
| Čl. 21(2)(h) | varnost kadrov | odjava zaposlenih, pregled računov gostov |
| Čl. 21(2)(i) | preverjanje pristnosti | MFA, pravilniki gesel, zastareli načini prijave |
Pomembno: uspešno opravljene preverbe NIS2 v Aether365 ne potrjujejo skladnosti z NIS2. Skladnost z NIS2 zahteva organizacijske procese, pravne ocene in obveznosti poročanja, ki presegajo tehnično konfiguracijo. Preverbe NIS2 v Aether365 vam dajejo zagotovilo, da vaša konfiguracija M365 ni v nasprotju z zahtevami NIS2.
Kateri okvir naj uporabim?
Ni vam treba izbrati le enega. Aether365 zažene vse okvire in rezultate predstavi skupaj. Med okviri obstaja precejšnje prekrivanje - eno samo konfiguracijsko nastavitev lahko preverjajo CIS, EIDSCA in CISA. Aether365 prekrivajoče se preverbe poenoti in vsako ugotovitev prikaže enkrat, s sklicevanjem na vsak okvir, ki jo pokriva.
Priporočila za izhodišče:
| Situacija | Začnite z |
|---|---|
| brez predhodnih izkušenj z okviri | CIS L1 - temeljni in širše razumljen |
| poudarek na varnosti identitete | EIDSCA - najgloblja pokritost Entra ID |
| zvezna uprava ZDA ali sorodno | CISA SCuBA |
| regulativna zahteva EU | NIS2, nato vrzeli zapolnite s CIS |
| potreba po uspešni varnostni reviziji | CIS - najbolj priznan pri zunanjih revizorjih |
| želja po celoviti pokritosti | hkratni zagon vseh štirih okvirov |
Število preverb po okviru
Število preverb se spreminja, ko se okviri posodabljajo. Trenutne približne vrednosti v Aether365:
| Okvir | Skupaj preverb | Običajna stopnja uspešnosti (MSP) | Običajna stopnja uspešnosti (veliko podjetje) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
Stopnje uspešnosti so okvirne ocene. Vaša stopnja je močno odvisna od obstoječe konfiguracije, licenc in tega, ali ste uvedli pravilnike pogojnega dostopa.