I den siste versjonen (v.8) av CIS Controls fra Center for Internet Security er det gjennomført store endringer og omprioriteringer av kontrollene innenfor rammeverket. Disse endringene avspeiler i stor grad endringene innen cybersikkerhet, og spesielt taktikkene, teknikkene og prosessene nåtidens angriperer faktisk bruker. Peter Koch går her gjennom endringene som er gjort og hvordan de stemmer overens med prinsippene i Zero Trust.
Det er gjort store endringer spesielt rundt databeskyttelse, tilgangskontroll og kontokontroll, samt segmentering av kritiske ressurser i organisasjonen. Enkelte andre grunnleggende kontroller beholder sin høye prioritet, synlighet. Faktisk er versjon 8 av CIS Controls enda mer i tråd med de grunnleggende prinsippene for Zero Trust enn den forrige versjonen.
La meg belyse noen statistikker for å rettferdiggjøre endringene i CIS Controls versjon 8 og bekrefte hvordan de følger de grunnleggende prinsippene i 2010 Zero Trust.
Figur 1: Det totale antallet ganger en CIS-kontroll kunne ha forhindret et angrep. Kilde: Tower Insurance, «An Empirical Analysis of Cyber Insurance Risk Assessment».
Det fremgår av figuren at spesielt kontrollene nr. 13 (databeskyttelse) og 14 (tilgangskontroll), men også 16 (kontokontroll), 17 (sikkerhetsbevissthet) og 18 (applikasjonssikkerhet) viser betydelige effekter mot datainnbrudd.
Med unntak av nr. 17 og 18, som stort sett er uendret i prioriteringen i nye CIS v.8, er de øvrige flyttet opp, slik at de nå er nr. 3, 5 og 6, noe som gjør dem til topp-prioriteringer i ny versjon av CIS Controls. Dette er i tråd med de grunnleggende prinsippene i Zero Trust-strategien. Zero Trust står for mange ting, men likevel eksisterer noen grunnleggende prinsipper:
NEVER TRUST – tillit er en menneskelig sårbarhet som utnyttes av angripere hver dag. Ikke stol på brukerne dine og bygg sikkerheten din på grunnlag av at ingen kan stoles på. Hovedmålet med Zero Trust-strategien er ikke å bygge noe du kan stole på, men å eliminere TILLITEN – alltid å bygge på antakelsen om at ingenting kan tas for gitt – NOENSINNE.
Figuren nedenfor er et sammendrag av prinsippene til Zero Trust, kartlagt mot CIS Controls v.8:
Figur 2: Figuren viser en sterkere korrelasjon mellom Zero Trust og CIS Controls v.8 enn forrige versjon av CIS Controls.
Zero Trust ble først publisert i 2010 av daværende senior sikkerhetsanalytiker fra Forrester, John Kindervag. Likevel er det kun nylig at viktigheten av en strategi som skaper en sikker IT-infrastruktur gjennom Zero Trust, gjenspeiles i større rammeverk, som f.eks CIS Controls.
Det hvite hus har nå instruert amerikanske offentlige organisasjoner om å implementere en Zero Trust-strategi, basert på nylige angrep. På samme måte har NIST publisert dokumentet NIST.SP.800-207_Zero-trust_architechture, som støtter overgangen til en Zero Trust-strategi. Med de siste endringene i prioriteringen av CIS Controls er Zero Trust og CIS veldig godt synkronisert. Dette bør fremskynde vedtakelsen av en Zero Trust-strategi, med CIS Controls som et praktisk og prioritert veikart for arbeidet med cybersikkerhet i de fleste organisasjoner.
Har du spørsmål eller er det på tide med en IT-sikkerhetsanalyse? Kontakt oss i Conscia for en prat om IT-sikkerhet.
Peter Koch er opprinnelig ingeniør og siviløkonom, fokusert på digitalisering. I løpet av flere tiår har han hatt stor fremgang med sitt arbeid med strategi innen IT, ikke minst da han grunnla og drev IT-sikkerhetsselskapet Credocom. I dag fokuserer Peter på alt relatert til IT-sikkerhetsløsninger, knyttet til ISO27001/CIS-Controls og Managed Detection and Response.