Med nya Center for Internet Security, CIS Controls version 8 har stora förändringar och omprioriteringar av kontrollerna genomförts i ramverket. Dessa återspeglar i hög grad förändringarna på cybersäkerhetsområdet och särskilt taktiken, teknikerna och processerna hos dagens angripare.
Stora förändringar har gjorts kring dataskydd, åtkomst- och kontokontroll samt segmentering av kritiska resurser inom organisationen. Vissa grundläggande kontroller behåller sin höga prioritet- visibilitet samt hantering av hård- och mjukvarutillgångar.
CIS Controls version 8 är faktiskt ännu mer i linje med grundprinciperna i Zero Trust-nätverksstrategin än den tidigare versionen.
Låt mig ta upp lite försäkringsstatistik för att motivera förändringarna i CIS version 8 samt bekräfta hur den följer grundprinciperna för Zero Trust från 2010.
Figur 1: Det totala antalet gånger en CIS-kontroll kunde ha förhindrat ett cyberintrång: Källa: Tower Insurance, ”An empirical Analysis of Cyber Insurance Risk Assesment”.
Det är tydligt i rapporten av försäkringsanspråk att kontrollerna nr 13 (dataskydd), 14 (åtkomstkontroll) och 16 (kontokontroll) tillsammans med 17 (säkerhetsmedvetenhet) och 18 (applikationssäkerhet) har högst skyddspotential.
Med undantag för nr 17 och 18 som i stort sett är oförändrade i prioriteringen i nya CIS V.8 har de andra flyttats upp, så att de nu är nr 3, 5 och 6, vilket ger dem topprioritet i den nya versionen av CIS-kontrollerna.
Detta stämmer väl med grundprinciperna i Zero Trust Network-strategin. Även om Zero Trust står för många saker, och med eXtended-ekosystemet har utvidgat sitt omfång, finns det några grundläggande principer:
NOLL TILLIT – förtroende är en mänsklig sårbarhet som utnyttjas av angripare varje dag, så lita inte på dina användare och bygg din säkerhet utifrån att ingen går att lita på. Zero Trust-strategins huvudmål är inte att bygga något som man kan lita på, utan att alltid bygga utifrån antagandet att inget kan tas för givet – NÅGONSIN.
Nedanstående figur är en sammanfattning av principerna för Zero Trust mappade mot CIS v.8-kontroller:
Figuren visar en starkare korrelation mellan Zero Trust Network och CIS-kontroll v. 8 än den tidigare versionen av CIS (v. 7.x).
Även om Zero Trust publicerades första gången 2010 av den dåvarande säkerhetsanalytikern på Forrester John Kindervag, är det inte förrän nyligen som frågan om tillit och vikten av en strategi som fundamentalt ändrar på tillvägagångssättet och mentaliteten kring att skapa en säker IT-infrastruktur genom Zero Trust återspeglas i större ramverk, som i detta fall CIS-ramverket.
Vita huset har nu instruerat amerikanska offentliga organisationer att implementera en Zero Trust-strategi baserad på de senaste attackerna och på samma sätt har NIST publicerat dokumentet NIST.SP.800-207_Zero-trust_architecture som motiverar övergången till en Zero Trust-strategi.
Med de senaste ändringarna i prioriteringen av CIS kontroller är Zero Trust och CIS mycket väl synkroniserade. Detta bör påskynda antagandet av en Zero Trust-strategi samt CIS Controls som en praktisk och prioriterad färdplan för cybersäkerhetsarbetet i de flesta organisationer.
Har du frågor eller är det dags för en IT-säkerhetsanalys? CIS är ett av de ramverk Conscia använder vid en säkerhetsbedömning.
Med tillåtelse återpublicerad från Linkedin.
