Med det nye Center for Internet Security, CIS Controls version 8 er der implementeret store forandringer og omprioriteringer af kontrollerne inden for rammeværket. Disse ændringer afspejler i høj grad ændringerne inden for cybersikkerhed og især taktikker, teknikker og processerne for nutidens angribere.
Der er sket store forandringer omkring specielt databeskyttelse, adgangskontrol og accountkontrol, samt segmentering af kritiske ressourcer i organisationen. Visse andre grundlæggende kontroller bevarer deres høje prioritet – synlighed samt administration af Enterprise hardware og software aktiver.
Faktisk er CIS Controls version 8 endnu mere i overensstemmelse med de grundlæggende principper for Zero Trust-netværksstrategien end den tidligere version.
Lad mig belyse nogle forsikringsstatistikker for at begrunde ændringerne i CIS version 8 og bekræfte, hvordan de følger de grundlæggende principper for Zero Trust fra 2010.
Figur 1: Det totale antal gange, en CIS-kontrol kunne have forhindret en cyberindtrængen. Kilde: Tower Insurance, ”An Empirical Analysis of Cyber Insurance Risk Assessment”.
Det fremgår tydeligt i rapporten om forsikringskrav, at kontrol nr. 13 (databeskyttelse), 14 (adgangskontrol) og 16 (accountkontrol) sammen med 17 (sikkerhedsbevidsthed) og 18 (applikationssikkerhed) udviser signifikant udslag i data over databrud.
Med undtagelse af nr. 17 og 18, som stort set er uændrede i prioriteringen i det nye CIS V.8, er de andre flyttet op, så de nu er nr. 3, 5 og 6, hvilket gør dem til topprioriteter i den nye version af CIS-kontrollerne.
Dette er i overensstemmelse med de grundlæggende principper i Zero Trust Network-strategien. Selvom Zero Trust står for mange ting, og med eXtended-økosystemet har udvidet sit omfang, eksisterer der nogle grundlæggende principper:
NEVER TRUST – tillid er en menneskelig sårbarhed, der udnyttes af angribere hver dag. Stol ikke på dine brugere og opbyg din sikkerhed ud fra, at ingen kan stoles på. Hovedmålet med Zero Trust-strategien er ikke at bygge noget, du kan stole på, men eliminere TRUST men altid at bygge på antagelsen om, at intet kan tages for givet – NOGENSINDE.
Nedenstående figur er en opsummering af principperne for Zero Trust, der er kortlagt mod CIS v. 8-kontroller:
Figur 2: Figuren viser en stærkere korrelation mellem Zero Trust Network og CIS-kontrol v. 8 end den tidligere version af CIS (v.7.x).
Selvom Zero Trust blev offentliggjort første gang i 2010 af daværende senior sikkerhedsanalytiker fra Forrester, John Kindervag, er det først fornyelig, at spørgsmålet om tillid og vigtigheden af en strategi, der fundamentalt ændrer tilgang og mentalitet ved at skabe en sikker IT-infrastruktur gennem Zero Trust, afspejles i større rammer, som f.eks. CIS-rammerne.
Det Hvide Hus har nu instrueret amerikanske offentlige organisationer om at implementere en Zero Trust-strategi baseret på de seneste angreb, og på samme vis har NIST publiceret dokumentet NIST.SP.800-207_Zero-trust_architechture, der understøtter overgangen til en Zero Trust-strategi.
Med de seneste ændringer i prioriteringen af CIS-kontroller, er Zero Trust og CIS meget vel synkroniseret. Dette bør fremskynde adopteringen af en Zero Trust-strategi samt CIS-kontroller som en praktisk og prioriteret køreplan for cybersikkerhedsarbejde i de fleste organisationer.
Har du spørgsmål eller er det tid til en IT-sikkerhedsanalyse? CIS er et af de rammeværktøjer, som Conscia anvender i en sikkerhedsvurdering.