Порівняння фреймворків
Супроводжує: команда Aether365 Аудиторія: адміністратори безпеки та фахівці з комплаєнсу Обсяг: порівняння фреймворків CIS, EIDSCA, CISA SCuBA та NIS2 пліч-о-пліч
Порівняння чотирьох фреймворків безпеки, які підтримує Aether365, пліч-о-пліч.
Огляд
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Повна назва | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU Network and Information Systems Directive 2 |
| Видавець | Center for Internet Security | Microsoft (відкритий код) | CISA (федеральне агентство США) | Європейський Союз |
| Цільова аудиторія | комерційні організації по всьому світу | організації, що використовують Entra ID | федеральні агентства США | основні та важливі суб'єкти ЄС |
| Сфера фокусу | широка конфігурація M365 | безпека ідентичності Entra ID | M365 продукт за продуктом | управління кіберризиками |
| Кількість перевірок | ~100 | ~80 | ~150 | ~50 |
| Періодичність оновлень | мажорні релізи кожні 12-18 місяців | безперервно (GitHub) | мажорні релізи щороку | законодавчий цикл |
| Ліцензування | безкоштовне використання | відкритий код (MIT) | суспільне надбання | регламент ЄС |
CIS Microsoft 365 Foundations Benchmark
Найкраще підходить для: організацій, яким потрібен комерційно визнаний, зручний для аудиторів базовий рівень.
Бенчмарки CIS є фактичним стандартом у комерційних програмах безпеки. Бенчмарк M365 охоплює:
- Облікові записи та автентифікація - MFA, застарілі методи автентифікації, парольні політики
- Налаштування центру адміністрування Microsoft 365 - гостьовий доступ, спільний доступ, зовнішня співпраця
- Exchange Online - автентифікація електронної пошти (SPF, DKIM, DMARC), правила потоку пошти, захист від фішингу
- SharePoint Online та OneDrive - налаштування спільного доступу, контроль зовнішнього доступу
- Microsoft Teams - політики нарад, гостьовий доступ, зовнішня федерація
- Entra ID - умовний доступ, призначення ролей, типові параметри безпеки
Рівні профілів:
| Рівень | Опис |
|---|---|
| L1 | Базові засоби контролю. Впроваджуйте першими. Менший ризик збоїв. |
| L2 | Вищий рівень безпеки. Може потребувати планування та комунікації з користувачами. |
Перевірки Aether365 включають рівень профілю в кожен результат, тож ви можете надати пріоритет L1.
EIDSCA (Entra ID Security Config Analyzer)
Найкраще підходить для: організацій, яким потрібне глибоке покриття безпеки ідентичності понад те, що охоплює CIS.
EIDSCA був розроблений спільно з інженерами Microsoft і націлений саме на конфігурацію Entra ID. Він охоплює області, які CIS або пропускає, або охоплює лише частково:
- Privileged Identity Management (PIM) - доступ за принципом just-in-time, налаштування активації ролей
- Методи автентифікації - FIDO2, налаштування застосунку автентифікації, Windows Hello
- Політики умовного доступу - відповідність пристроїв, ризик входу, ризик користувача
- Управління застосунками - дозволи застосунків OAuth, політики згоди
- Типові параметри та базовий рівень безпеки - власні базові рекомендації Microsoft
- Захист ідентичності - політики ризиків, виявлення скомпрометованих облікових даних
Перевірки EIDSCA відповідають категоріям Secure Score у Microsoft Entra та доповнюють перевірки CIS більш деталізованим покриттям Entra ID.
CISA SCuBA M365 Security Baseline
Найкраще підходить для: федеральних агентств США, на які поширюються вказівки CISA; організацій, яким потрібне всеохопне покриття на рівні продуктів.
SCuBA (Secure Cloud Business Applications) структурований за продуктами M365, а не за категоріями безпеки:
| Базовий рівень продукту | Покриття |
|---|---|
| AAD (Azure Active Directory) | ідентичність, MFA, умовний доступ |
| Exchange Online | безпека пошти, захист від фішингу, потік пошти |
| Teams | безпека нарад, гостьовий доступ, втрата даних |
| SharePoint та OneDrive | спільний доступ, зовнішній доступ, DLP |
| Power Platform | політики створення застосунків, гостьовий доступ |
| Defender for Office 365 | політики ATP, безпечні посилання, безпечні вкладення |
Кожен розділ продукту містить обов'язкові та необов'язкові політики. Aether365 чітко позначає необов'язкові політики в деталях результату.
Технічно SCuBA націлений на федеральні агентства США (системи, що підпадають під FISMA), але політики широко застосовні до будь-якої організації.
NIS2 (EU Network and Information Systems Directive 2)
Найкраще підходить для: організацій з ЄС, які надають основні чи важливі послуги та мають продемонструвати відповідність NIS2.
NIS2 - це регуляторний фреймворк, а не технічний бенчмарк. Він визначає категорії засобів контролю, які організації мають впровадити: він не приписує точних значень конфігурації. Перевірки NIS2 у Aether365 зіставляють конфігурацію M365 з вимогами статей NIS2:
| Стаття NIS2 | Категорія контролю | Приклади перевірок M365 |
|---|---|---|
| Art. 21(2)(a) | управління ризиками | політики безпеки, журналювання аудиту |
| Art. 21(2)(b) | реагування на інциденти | політики сповіщень, зберігання журналів аудиту |
| Art. 21(2)(c) | безперервність бізнесу | резервне копіювання, налаштування зберігання даних |
| Art. 21(2)(d) | безпека ланцюга постачання | дозволи сторонніх застосунків |
| Art. 21(2)(e) | безпека придбання | політики згоди застосунків |
| Art. 21(2)(f) | контроль доступу | MFA, привілейований доступ, PIM |
| Art. 21(2)(g) | криптографія | налаштування шифрування, політика TLS |
| Art. 21(2)(h) | безпека персоналу | звільнення, перегляд гостьових облікових записів |
| Art. 21(2)(i) | автентифікація | MFA, парольні політики, застарілі методи автентифікації |
Важливо: проходження перевірок NIS2 у Aether365 не сертифікує відповідність NIS2. Відповідність NIS2 вимагає організаційних процесів, юридичних оцінок та зобов'язань зі звітності, що виходять за межі технічної конфігурації. Перевірки NIS2 у Aether365 дають упевненість, що конфігурація M365 не суперечить вимогам NIS2.
Який фреймворк мені обрати?
Вам не потрібно обирати один. Aether365 запускає всі фреймворки та подає результати разом. Між фреймворками є значне перекриття: одне налаштування конфігурації може перевірятися CIS, EIDSCA та CISA. Aether365 усуває дублювання перевірок, що перетинаються, і показує кожну знахідку один раз із перехресними посиланнями на кожен фреймворк, який її охоплює.
Рекомендації щодо відправної точки:
| Ситуація | Почніть з |
|---|---|
| Немає попереднього досвіду з фреймворками | CIS L1 - базовий і широко зрозумілий |
| Фокус на безпеці ідентичності | EIDSCA - найглибше покриття Entra ID |
| Федеральний рівень США або суміжний з урядом | CISA SCuBA |
| Регуляторна вимога ЄС | NIS2, потім заповнити прогалини за допомогою CIS |
| Потрібно пройти аудит безпеки | CIS - найбільш визнаний зовнішніми аудиторами |
| Потрібне всеохопне покриття | запустіть усі чотири фреймворки одночасно |
Кількість перевірок за фреймворком
Кількість перевірок змінюється в міру оновлення фреймворків. Поточні приблизні значення в Aether365:
| Фреймворк | Усього перевірок | Типовий відсоток проходження (SMB) | Типовий відсоток проходження (Enterprise) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
Відсотки проходження - це орієнтовні оцінки. Ваш показник значною мірою залежить від наявної конфігурації, ліцензій і того, чи розгорнули ви політики умовного доступу.