CIS
CIS 18 Kontroller
CIS – Pragmatisk, prioriteret og målbar cybersikkerhed
CIS-kontrollerne udgør et prioriteret sæt af tiltag udviklet i et globalt ikke-kommercielt fællesskab. I version 8 fra maj 2021 er kontrollerne ikke længere opdelt som i v7.1 men CIS henholder sig mest til implementeringsgrupperne, som kort er beskrevet herunder.
Implementeringsgruppe 1: Består af 56 cybersikkerhedstiltag for mindre virksomheder, der har relativt få medarbejdere og ikke er geografisk eller regionalt spredt. IG1 virksomheder har ikke selv den store cybersikkerhedsekspertise og opererer under et generelt trusselsbillede. Nedetid er meget kritisk og er et hovedfokus for IG1 virksomheder. Implementering af IG1 udgør basal cyberhygiejne, der er minimumgrundlaget i alle virksomheder uanset størrelse og kompleksitet.
Implementeringsgruppe 2: Yderligere 74 cybersikkerhedstiltag (i tillæg til implementeringsgruppe 1). Denne gruppe er beregnet til mellemstore og store virksomheder med op til flere tusinde medarbejdere, en mere kompleks infrastruktur og nogle interne ressourcer til håndtering af cyberrisiko. De fleste danske virksomheder og offentlige institutioner falder i denne implementeringsgruppe.
Implementeringsgruppe 3: Yderligere 23 cybersikkerhedstiltag (i tillæg til implementeringsgruppe 2) beregnet til beskyttelse af enterprise virksomheder eller organisationer med en særlig høj risiko – f.eks. for tab af sensitive data – herunder sensitive persondata. Disse tiltag er beregnet til at kunne håndtere sofistikerede og ofte målrettede cyberangreb.
Jeg vil gerne vide mere om CIS 18 Kontroller
E-mails med følgende domæner besvares ikke: hotmail.com, gmail.com, yahoo.com og lign.
CIS 18 kontrolgennemgang
Du finder en komplet online gennemgang af CIS 18 kontrollerne på engelsk, som du navigerer i og evt. downloade/redigere via git-hub på dette link.
CIS eget værktøj CSAT kan også tilgås online eller hentes i en gratis version.
Implementeringsgruppe videoer
CIS 18 kontroloversigt
CIS #1: Implementering og kontrol med alle enterprise aktiver
CIS #2: Implementering og kontrol med alt enterprise software
CIS #4: Sikker konfiguration af enterprise aktiver og software
CIS #5: Kontostyring og -kontrol
CIS #7: Kontinuerlig sårbarhedsadministration og -mitigering
CIS #12: Administration af netværksinfrastruktur
CIS #13: Netværksovervågning og -forsvar
CIS #14: Cybersikkerhedstræning og -kompetenceopgradering
CIS #15: Administration af serviceudbydere (MSSP)
CIS #16: Sikker udvikling af applikationssoftware
CIS #1: Implementering og kontrol med alle enterprise aktiver
Administrér (vurder, spor og korriger) alle virksomhedens aktiver proaktivt (slutbruger enheder, inklusive bærbare og mobile, netværksenheder, Internet of Things enheder og servere) der er forbundet til infrastrukturen fysisk, virtuelt, eksternt og i cloud-miljøer for præcist at kende alle aktiver, der skal overvåges og beskyttes inden for virksomheden. Dette vil også understøtte forberedelse til uautoriserede og ikke-administrerede aktiver, der skal fjernes eller afhjælpes. (Se video).
Software
Lansweeper
ME Asset Explorer
SentinelOne Ranger
CIS #2: Implementering og kontrol med alt enterprise software
Aktiv administration (vurdering, sporing og korrigering) af al software (operativsystemer og applikationer) på netværket, således at kun autoriseret software installeres og kan eksekveres. Fjern uautoriseret og ikke-administreret software og indfør application whitelisting. (Se video).
Software
Lansweeper
ME Application Control
ME Endpoint Central
Software
ForcePoint DLP
ME Data Security Plus
NetWrix Auditor
Lepide Auditor
Varonis
Proofpoint DLP
Forklaring på CIS #3: Det er vigtigt for en virksomhed at udvikle en datahåndteringsproces, der bl.a en datastyringsramme, retningslinjer for dataklassificering og krav til beskyttelse, håndtering, opbevaring og bortskaffelse af data. Der skal også være en data brudproces, der tilsluttes hændelsesresponsplanen, og overholdelse og kommunikationsplaner. For at udlede datafølsomhedsniveauer skal virksomheder katalogisere deres nøgletyper af data og den overordnede kritikalitet (påvirkning af deres tab eller korruption) for virksomhed. Denne analyse vil blive brugt til at skabe et overordnet dataklassifikationssystem for virksomheden. Virksomheder kan bruge etiketter, såsom “Følsom”, “Fortroligt” og “Offentlig” og klassificere deres data i henhold til disse etiketter.
Når følsomheden af dataene er blevet defineret, en dataopgørelse eller kortlægning bør udvikles, der identificerer software, der får adgang til data med forskellig følsomhed niveauer og de virksomhedsaktiver, der rummer disse applikationer. Ideelt set netværket adskilles således, at virksomhedsaktiver med samme følsomhedsniveau er på samme netværk og adskilt fra virksomhedsaktiver med forskellige følsomhedsniveauer. Hvis muligt, skal firewalls kontrollere adgangen til hvert segment og have brugeradgangsregler anvendes til kun at tillade dem med et forretningsbehov at få adgang til dataene.
Software
Tenable.IO (+ CIS Benchmarks)
Tenable.AD
ME Endpoint Central
Semperis AD Services Protector
SentinelOne Ranger AD
Software
ME AD360
NetWrix Auditor
Lepide Auditor
Proofpoint DLP
Semperis AD Services Protector
ME ADManager
ME ADAudit
Software
Thycotic Secret Server
ME PAM360
NetWrix Auditor
Lepide Auditor
Proofpoint DLP
AdminByRequest
ME ADManager
ME ADAudit
Forklaring på CIS #6: Der bør være en proces, hvor privilegier tildeles og tilbagekaldes for brugerkonti. Dette er ideelt baseret på virksomhedens rolle og behov gennem rollebaseret adgang. Rollebaseret adgang er en teknik til at definere og administrere adgangskrav for hver enkelt konto baseret på: behov for at vide, mindst privilegium, krav til beskyttelse af personlige oplysninger og/eller adskillelse af opgaver. Der er teknologiske værktøjer til at hjælpe med at styre denne proces. Imidlertid, der kan være mere detaljeret eller midlertidig adgang baseret på omstændighederne.
MFA bør være universel for alle privilegerede konti eller administratorkonti. Der er mange værktøjer, der har smartphone-applikationer til at udføre denne funktion, og som er nemme at bruge indsætte. Det er mere sikkert at bruge nummergeneratoren end blot at sende en SMS-besked (Short Messaging Service) med en engangskode eller beder om en “push” advarsel for en bruger at acceptere. Ingen af dem anbefales dog til privilegerede konto MFA. PAM-værktøjer er tilgængelige til privilegeret kontokontrol og giver en engangsadgangskode, der skal tjekkes ud for hver brug. For yderligere sikkerhed i systemadministration, ved hjælp af “jump-bokse” eller out of band terminalforbindelser er anbefalede.
Omfattende de-provisionering af kontoen er vigtig. Mange virksomheder har gentagelige konsekvente processer til at fjerne adgang, når medarbejdere forlader virksomhed. Den proces er dog ikke altid konsistent for entreprenører og skal være det inkluderet i standard de-provisioning-processen. Virksomheder bør også inventar og spor servicekonti, da en almindelig fejl er at efterlade tydelige tekst-tokens eller adgangskoder kode og udstationering til offentlige skybaserede kodelagre.
Højprivilegerede konti bør ikke bruges til daglig brug, såsom websurfing og læsning af mail. Administratorer bør have separate konti, der ikke har forhøjede privilegier til daglig kontorbrug og bør kun logge på administratorkonti når du udfører administratorfunktioner, der kræver det autorisationsniveau. Sikkerhed personale bør med jævne mellemrum samle en liste over kørende processer for at afgøre, om alle browsere eller e-mail-læsere kører med høje privilegier.
CIS #7: Kontinuerlig sårbarhedsadministration og -mitigering
Udvikl en plan for løbende at vurdere og spore sårbarheder på alle virksomhedsaktiver i virksomhedens infrastruktur for at afhjælpe og minimere sårbarheder for angribere. Overvåg offentlige og private industrikilder for nye trussels- og sårbarhedsoplysninger. (Se video).
Software
Tenable.IO / Tenable.SC
ME Vulnerability manager
ME Endpoint Central
Software
ME Eventlog Analyzer
Netsurion EventTracker
Eksterne services
Software
Proofpoint e-mail gateway
ME Endpoint Central
ME Browser Security Plus
Software
SentinelOne Singularity
Sophos InterceptX
Cybereason
CIS #11: Genskabelse af data
Etabler og vedligehold en data-genskabelsespraksis, der er tilstrækkelig til at genoprette virksomhedsaktiver inden for de rammer, virksomheden har sat for den tålte nedetid og muligheden for genoprettelse. Se fx “CIA” modellen, oversat til Fortrolighed, Integritet og Tilgængelighed (FIT). Se fx https://bp.veeam.com/vbr/ og https://da.wikipedia.org/wiki/Informationssikkerhed, (Se video).Software
ME RecoveryManager Plus
Semperis AD Forest Recovery
Veeam
Software
Sophos Firewall
Fortinet Firewall
ImmuniWeb
Software
ME EventLogAnayzer
ME Firewall Analyzer
ME NetflowAnalyzer
ExtraHop
ME OpManager
CIS #14: Cybersikkerhedstræning og -kompetenceopgradering
Etabler og vedligehold et awareness træningsprogram for at påvirke adfærden blandt medarbejderne til at være sikkerhedsbevidst. Opgrader brugernes kompetencer for at kvalificere dem til at reducere cybersikkerhedsrisici i virksomheden. (Et eksempel på bedste praksis er beskrevet i kurset SANS MGT 433). (Se video).Software
Proofpoint PSAT
KnowBe4
Inspired eLearning
NIST® SP 800-50 Infosec Awareness Training – https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-50.pdf
National Cyber Security Centre (UK) – https://www.ncsc.gov.uk/guidance/10-steps-user-education-and-awareness
National Cyber Security Alliance (NCSA) – https://staysafeonline.org/
Software
Lansweeper
ME Cloud Security Plus
NetWrix Auditor
Software
Tenable App Scanner
SAFECode
sSDLC
SAFECode Application Security Addendum – https://safecode.org/cis-controls/
OWASP® – https://owasp.org/
Software
Resolver.com
Incident.io
Eksterne services
Council of Registered Security Testers (CREST) Cyber Security Incident Response Guide – https://www.crest-approved.org/wp-content/uploads/2022/04/CSIR-Procurement-Guide-1.pdf
Software
ImmuniWeb
Intruder.IO
Crashtest Security
Tenable.IO
Ekstern Service
Cymulate
OWASP Penetration Testing Methodologies – https://www.owasp.org/index.php/Penetration_testing_methodologies
PCI Security Standards Council – https://www.pcisecuritystandards.org/documents/Penetration-Testing-Guidance-v1_1.pdf