Ramverksjamforelse
Underhalls av: Aether365 Team Malgrupp: Sakerhetsadministratorer och complianceansvariga Omfattning: Jamforelse sida vid sida av CIS, EIDSCA, CISA SCuBA och NIS2
Jamforelse sida vid sida av de fyra sakerhetsramverk som stods av Aether365.
Oversikt
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Fullstandigt namn | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU:s direktiv om natverks- och informationssystem 2 |
| Publicerat av | Center for Internet Security | Microsoft (oppen kallkod) | CISA (amerikansk federal myndighet) | Europeiska unionen |
| Primar malgrupp | Kommersiella organisationer varldsover | Organisationer som anvander Entra ID | Amerikanska federala myndigheter | EU:s vasentliga/viktiga enheter |
| Fokusomrade | Bred M365-konfiguration | Entra ID-identitetssakerhet | M365 produkt-for-produkt | Riskhantering for cybersakerhet |
| Antal kontroller | ~100 | ~80 | ~150 | ~50 |
| Uppdateringsfrekvens | Stora releaser var 12-18:e manad | Kontinuerligt (GitHub) | Stora releaser arligen | Lagstiftningscykel |
| Licensiering | Fri att anvanda | Oppen kallkod (MIT) | Publik doman | EU-forordning |
CIS Microsoft 365 Foundations Benchmark
Bast for: Organisationer som vill ha en kommersiellt erkand, revisorsvanlig baslinje.
CIS-benchmarks ar de facto-standarden i kommersiella sakerhetsprogram. M365-benchmarket tacker:
- Konto och autentisering - MFA, aldre autentisering, losenordspolicyer
- Microsoft 365 Administrationscenter-installningar - gastatkomst, delning, externt samarbete
- Exchange Online - e-postautentisering (SPF, DKIM, DMARC), e-postflodesregler, natlofiskeskydd
- SharePoint Online och OneDrive - delningsinstellningar, kontroller for extern atkomst
- Microsoft Teams - motespolicyer, gastatkomst, extern federation
- Entra ID - villkorsstyrd atkomst, rolltilldelningar, sakerhetsstandard
Profilnivaer:
| Niva | Beskrivning |
|---|---|
| L1 | Grundlaggande kontroller. Implementera forst. Lagre risk for storningar. |
| L2 | Hogre sakerhet. Kan krava planering och anvandarkommunikation. |
Aether365-kontroller inkluderar profilnivan i varje resultat sa att du kan prioritera L1 forst.
EIDSCA (Entra ID Security Config Analyzer)
Bast for: Organisationer som vill ha djupare identitetssakerhetstackning an vad CIS erbjuder.
EIDSCA samutvecklades med Microsofts ingenjorer och riktar sig specifikt mot Entra ID-konfiguration. Det tacker omraden som CIS antingen utelamnar eller bara delvis tacker:
- Privileged Identity Management (PIM) - just-in-time-atkomst, rollaktiveringsinstallningar
- Autentiseringsmetoder - FIDO2, autentiseringsappinstallningar, Windows Hello
- Policyer for villkorsstyrd atkomst - enhetsefterlevnad, inloggningsrisk, anvandarrisk
- Applikationsstyrning - OAuth-appbehorigheter, samtykespolicyer
- Sakerhetsstandard och baslinje - Microsofts egna basrekommendationer
- Identity Protection - riskpolicyer, detektering av lickta uppgifter
EIDSCA-kontroller mappar till kategorierna i Secure Score i Microsoft Entra och kompletterar CIS-kontroller med mer detaljerad Entra ID-tackning.
CISA SCuBA M365 Security Baseline
Bast for: Amerikanska federala myndigheter som lyder under CISA-vagledning; organisationer som vill ha omfattande tackning pa produktniva.
SCuBA (Secure Cloud Business Applications) ar strukturerat per M365-produkt snarare an per sakerhetskategori:
| Produktbaslinje | Tackning |
|---|---|
| AAD (Azure Active Directory) | Identitet, MFA, villkorsstyrd atkomst |
| Exchange Online | E-postsakerhet, natlofiskeskydd, e-postflode |
| Teams | Motessakerhet, gastatkomst, dataforlust |
| SharePoint och OneDrive | Delning, extern atkomst, DLP |
| Power Platform | Policyer for appskapande, gastatkomst |
| Defender for Office 365 | ATP-policyer, sakra lankar, sakra bilagor |
Varje produktsektion innehaller obligatoriska och valfria policyer. Aether365 marker tydligt valfria policyer i resultatdetaljen.
SCuBA riktar sig tekniskt mot amerikanska federala myndigheter (FISMA-omfattade system) men policyerna ar brett tillampliga pa alla organisationer.
NIS2 (EU:s direktiv om natverks- och informationssystem 2)
Bast for: EU-baserade organisationer som driver vasentliga eller viktiga tjanster och maste pavisa NIS2-efterlevnad.
NIS2 ar ett regulatoriskt ramverk, inte ett tekniskt benchmark. Det specificerar kategorier av kontroller som organisationer maste implementera - det foreskriver inte exakta konfigurationsvarden. Aether365:s NIS2-kontroller mappar M365-konfiguration till NIS2-artikelkrav:
| NIS2-artikel | Kontrollkategori | Exempel pa M365-kontroller |
|---|---|---|
| Art. 21(2)(a) | Riskhantering | Sakerhetspolicyer, granskningsloggning |
| Art. 21(2)(b) | Incidenthantering | Varningspolicyer, lagring av granskningslogg |
| Art. 21(2)(c) | Verksamhetskontinuitet | Backup, installningar for datalagring |
| Art. 21(2)(d) | Leveranskedjesakerhet | Tredjepartsappbehorigheter |
| Art. 21(2)(e) | Anskaffningssakerhet | Policyer for applikationssamtycke |
| Art. 21(2)(f) | Atkomstkontroll | MFA, privilegierad atkomst, PIM |
| Art. 21(2)(g) | Kryptografi | Krypteringsinstallningar, TLS-policy |
| Art. 21(2)(h) | HR-sakerhet | Offboarding, granskning av gastkonton |
| Art. 21(2)(i) | Autentisering | MFA, losenordspolicyer, aldre autentisering |
Viktigt: Att klara NIS2-kontroller i Aether365 certifierar inte NIS2-efterlevnad. NIS2-efterlevnad kraver organisatoriska processer, juridiska bedomningar och rapporteringsskyldigheter utover teknisk konfiguration. Aether365:s NIS2-kontroller ger dig trygghet att din M365-konfiguration inte motstrider NIS2-kraven.
Vilket ramverk ska jag anvanda?
Du behover inte valja ett. Aether365 kor alla ramverk och presenterar resultat tillsammans. Det finns avsevard overlappning mellan ramverken - en enda konfigurationsinstallning kan kontrolleras av CIS, EIDSCA och CISA. Aether365 deduplicerar overlappande kontroller och visar varje fynd en gang med korsreferenser till varje ramverk som tacker det.
Rekommenderade startpunkter:
| Situation | Borja med |
|---|---|
| Ingen tidigare erfarenhet av ramverk | CIS L1 - grundlaggande och brett forstadd |
| Fokus pa identitetssakerhet | EIDSCA - djupaste Entra ID-tackningen |
| Amerikansk federal eller statlig nar | CISA SCuBA |
| EU-regulatoriskt krav | NIS2, fyll sedan luckor med CIS |
| Behover klara en sakerhetsrevision | CIS - mest erkand av externa revisorer |
| Vill ha omfattande tackning | Kor alla fyra ramverken samtidigt |
Antal kontroller per ramverk
Antalet kontroller varierar allt eftersom ramverk uppdateras. Aktuella ungefärliga antal i Aether365:
| Ramverk | Totalt antal kontroller | Typisk godkannandegrad (SMB) | Typisk godkannandegrad (Enterprise) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
Godkannandegrader ar illustrativa uppskattningar. Din grad beror i hog grad pa din befintliga konfiguration, licenser och huruvida du har driftsatt policyer for villkorsstyrd atkomst.