Säkerhetsramverk CIS20 – Grundläggande kontroller: Fler och fler verksamheter ökar investeringarna i cybersäkerhet på grund av den nuvarande ökningen av cyberhot, men de får inte alltid ut det värde och den riskreducering de tror. Kanske köper de bara mer av vad de har (som inte fungerade), eller så agerar de baserat på fel prioriteringar och utan tillräcklig kunskap om fienden, vem det är, vad hen är ute efter och hur hen arbetar (känn din fiende).
Detta har lett till ett ökat intresse för ett mer organiserat tillvägagångssätt, med strukturerade säkerhetsramverk, kontrollprogram och riskbedömningar.
CIS20 är av många anledningar ett bra säkerhetsramverk för många:
- Den enkla operationaliseringen av säkerhetskontrollerna gör dem praktiska att arbeta med över hela säkerhets- och IT-verksamheten,
- Den passar ihop med det större säkerhetsramverket och deras kontroller,
- Dess fortsatta förbättringar genom många verksamheters kontinuerliga bidrag från vardagliga verkliga attacker
- Sist men inte minst är det prioriteringen av kontroller.
En god säkerhetspraxis vore att prioritera kontrollerna utifrån en rejäl hot- och riskbedömning för att säkerställa att verksamheten får en maximal skyddseffekt och riskreducering för pengarna. Detta givet att ingen har råd att skaffa alla ”prylar” som krävs för att täcka alla kontroller.
Men….
Det finns några åtgärder i detta säkerhetsramverk som är så grundläggande för god säkerhet eller cyberhygien (CSC # 1 – CSC # 6) – att de inte bör ifrågasättas eller utvärderas mot en riskanalys – CIS Basic Controls. Förresten är CSC # 3 i alla händelser nödvändig för att göra en riskanalys.
Dessa bör vara prioritet nr 1 och en utgångspunkt för alla cybersäkerhetsinitiativ …
Så låt oss ta en närmare titt på dessa 6.
# 1, # 2, # 3, # 4 och # 5 är grundläggande för god cybersäkerhet, nämligen att:
- veta vilka hård- och mjukvarutillgångar du har (# 1 och # 2)
- känna till dina sårbarheter, (# 3)
- veta vilka privilegiekonton och servicekonton du har och (# 4)
- känna till dina konfigurationer (# 5)
Hur kan du annars styra vad du inte vet att du har.
En intressant detalj är att redan i CSC # 2 så hittar du det första omnämnandet av segmentering – att separera system som medför en högre verksamhetsrisk. Många letar efter detta i CIS CSC # 14, men det inkluderas faktiskt som en grundläggande kontroll vilket understryker dess betydelse. Skyddet bör utgå från dina kronjuveler – inte din perimeter (CSC # 12) för maximal riskreducering. Just nu leder konventionellt tänkande ofta till det motsatta på de flesta ställen.
Att fysiskt eller logiskt separera applikationer med hög risk
Fysiskt eller logiskt segmenterade system bör användas för att isolera och köra programvara som krävs för den löpande verksamheten men medför en högre risk för organisationen.
CIS CSC # 3 handlar om sårbarheter i systemet, både hårdvara, mjukvara och konfiguration. Sårbarheter är angriparens väg till att röra sig obemärkt i och kunna stanna kvar i det interna nätverket, men det är också en avgörande komponent för att definiera risken.
RISK = (sårbarhet) x (sannolikhet för attack) x (påverkan)
CIS CSC # 5 gäller att ha en säker, mobilt konfigurerad klient. Återigen grundläggande cyberhygien, att göra dina konfigurationer på ett säkert sätt borde vara grundläggande för alla, och det kostar inte mycket.
Sedan lägger man till CSC # 6 – att samla in loggar från ditt nätverk, att övervaka och analysera dem för att upptäcka om något händer i det interna nätverket. Traditionella säkerhetskontroller penetreras konsekvent av angripare, så ta det för givet att din säkerhet äventyrats – du vet bara inte om det ännu. Detta är en grundläggande förmåga du bör ha på plats innan du adderar ytterligare säkerhetskontroller. Du kör inte bil med vindrutan och instrumentbrädan skymda – du behöver fri sikt för att styra och köra bilen och se vad som händer för att reagera. Tyvärr är detta ofta en av de sista funktionerna som organisationer tenderar att bygga efter att ha spenderat alla sina pengar på de senaste och bästa tekniska kontrollerna…
Erfarenheten visar förresten att organisationer ofta har många kontroller och datapunkter på plats som inte används, men som redan levererar mycket data för att upptäcka vad som faktiskt händer i nätverket.
Bara för att nämna några som kan leverera värdefullt innehåll som upptäcker hot:
- Active directory (inget nätverk kan köras utan det)
- DNS / DHCP (inget nätverk kan köras utan det)
- Nätverksswitchar med loggar och flödesdata
- Brandvägg
- Antivirusmjukvara
- Kanske e-postsäkerhet
- Windows-loggfiler på klienter och servrar
Så precis som det är naturligt att vi bekämpar virus och influensa genom att tvätta händerna regelbundet och hålla oss rena, borde vi bekämpa cyberbrott genom en ordentlig grundhygien utan större riskbedömningar – det är en självklarhet.
När du är klar med CIS CSC # 1– # 6 är du redo för resten av din säkerhetskontrollresa i vetskapen om att du har ett solitt skydd och övervakning på plats som i många fall ger en riskreducering på 80–85% – du har kontroll.
Riskreducering: organisationer som bara använder de 5 första CIS-kontrollerna kan minska risken för cyberattacker med cirka 85 procent. Genom att implementera alla 20 CIS-kontroller minskar risken till cirka 94 procent. (CISecurity.org)
…… Håll koll på nästa kapitel, där jag tar en titt på de grundläggande kontrollerna och tittar på prioriteringar kontra senaste attacker, arkitekturer etc.
Har du frågor eller är det dags för en IT-säkerhetsanalys? CIS20 är ett av de säkerhetsramverk Conscia använder.
Med tillåtelse återpublicerad från Linkedin.
