Allmählich entwickelt sich das Verständnis über die Notwendigkeit eines robusten IT-Security Programms an allen Fronten. Die Regierungen, Branchen-Verbände und Unabhängige veröffentlichen und verfeinern ihre Standards und Guidelines, wie man seine eigenen IT Infrastruktur gegen die mannigfaltigen Bedrohungen schützen soll, respektive muss. Das Verständnis allein reicht aber bekanntlich nicht aus, effektive Taten müssen folgen.

Doch damit beginnt ein schwieriger Prozess. Es muss investiert werden, unter Umständen in Hardware, Software, Personal und Fachwissen. Wurde über mehrere Jahre hinweg die IT-Security vernachlässigt, lässt sich dies nicht innert Monaten wieder aufholen. Also sind Strukturen nötig, die einem während der Implementation von Security-Kontrollen begleiten und auf dem richtigen Pfad halten. Dann muss das Management entsprechende Ressourcen sprechen und dies (idealerweise) über Jahre. Der neue Budgetposten sollte daher in einem guten Licht dastehen, der Fortschritt muss sichtbar sein, ansonsten wird die Anfangseuphorie schnell durch das Daily Business abgelöst.

Unterstützung dazu erhalten nun jene, welche sich nach den CIS Critical Controls richten oder richten möchten. CIS hat vor wenigen Wochen ein neues gratis Online Tool namens CIS CSAT veröffentlicht, welches das Erheben und Verwalten der CIS Critical Controls vereinfacht – Aber vor allem durch den schlanken Webauftritt zur effektiven Nutzung attraktiver macht.

CIS Critical Controls

Die CIS Controls bestehen aus 20 Controls mit je zwischen 5-13 Sub-Controls, aktuell in der Version 7.

Mehr Informationen dazu können auf der Webseite gefunden werden.

Aufbau von CSAT

Das Tool bietet ein minimales Set von Funktionen. Diese reichen aber absolut aus, um ein IT Security Framework aufzubauen und zu betrieben. Zu den wichtigen Funktionen gehören:

• Das Assessment-Formular über alle 20 CIS Controls und deren Sub-Controls
• Ein Validierungs-Workflow per Sub-Control. Damit kann durch mehrere Personen verifiziert werden, dass die erhobenen Daten pro Sub-Control legitim respektive korrekt sind.
• Dashboard mit ausreichenden Grafiken zur Visualisierung, z.B. der Maturität und dem Implementations-Stand der Controls
• Datenexport Funktionen in Excel und PowerPoint

Review von CIS CSAT

Was als Erstes geklärt werden sollte, bevor eine Unternehmung das Tool nutzen möchte, ist die Frage, ob denn effektiv der Stand der eigenen IT-Security in der Cloud abgelegt werden soll.

Dies ist eine Vertrauensfrage, wobei hier CIS als Betreiber sowie Amazon (AWS US East Region) als Provider vertraut werden muss. Wer sichergehen will, kann die Plattform möglichst anonym nutzen, keine identifizierenden Informationen hochladen und doch von den Management- und Visualisierung-Features profitieren. Dies scheint nach einem ersten Review auch problemlos möglich zu sein.

Walkthrough

Nach dem Sign-Up landet man auf dem Dashboard des aktuellen Assessments, was initial noch leer ist. Das Dashboard bietet einige Informationen und Grafiken, wirkt aber trotzdem nicht überladen.

Mit einem Klick auf einen der Controls (blaue Buttons) gelangt man zum Dashboard einer Control mit wiederum einigen Zahlen wie Scoring- und Completeness-Status sowie der Liste der Sub-Controls.

Mit einem weiteren Klick gelangt man schlussendlich in das Assessment-Formular der Sub-Control.

Ein kurzer Einleitungstext gib Auskunft über die gewählte Sub-Control, gefolgt von Referenzen zu den entsprechenden Controls von PCI DSS und NIST, was gelegen für weiter Prüfungen der Controls und Compliance-Reports nützlich sein kann. Die Beantwortung der vier Fragen mittels Drop-Down-Menü entspricht dem effektiven Assessment, welches anschliessend durch den Complete Sub-Control Button abgeschlossen wird. Danach kann die Sub-Control mit einem zusätzlichen Klick validiert oder zur nochmaligen Bearbeitung zurückgesandt werden. Das vorhandene Benutzer-Management lässt die Validierung auch durch weitere Benutzer durchführen.

Der ganze Assessment-Prozess wird schön mit einem Audit-Trail festgehalten.

Das Ausfüllen der Total 171 Sub-Controls beansprucht etwas Zeit. Der entsprechende Workflow dazu ist noch etwas umständlich gehalten: Es muss viel gescrollt und geklickt werden. Hier wäre es wünschenswert, einen etwas flüssigeren Prozess zu erhalten.

Sind einmal alle Controls beurteilt, bekommt das Dashboard etwas mehr Farbe und man erhält den gewünschten Überblick. CSAT bewertet alle Controls mit einem Scoring und stellt diese entsprechend grafisch dar.

So könnte ein Scoring für ein Unternehmen aussehen, welches ihr erstes Assessment ohne IT Security Program ausgefüllt hat.

Und gerade diese Grafiken lassen sich per Klick in ein PowerPoint exportieren. Diese können für das Reporting an die Stakeholder sofort verwendet werden.

Nun ist eine Assessment Run abgeschlossen und ein aktueller Stand der IT-Security ist erhoben.

Damit kann effektiv sehr genau definiert werden, in welchem Bereich (Control und Sub-Control) zu welchen Themen (Policy, Implementation, Automatisierung und Reporting) Massnahmen ergriffen werden sollen und müssen. Entsprechende Projekte können aufgesetzt werden und ein IT-Security Framework nach den CIS Critical Controls ist in Betrieb.

Nach einer sinnvollen Zeitperiode sollte erneut beurteilt werden, um die Fortschritte im Bereich IT Security messen und darzustellen zu können. Dazu kann im Dashboard ein neues Assessment gestartet werden.

Oops – hier weist CSAT noch eine unschöne Lücke auf. Wer denkt, in einem neuen Assessment werden die Daten aus dem vorhergehenden Assessment geladen, liegt falsch. Leider werden einem bei allen Controls leere Formulare präsentiert. Das heisst: Alles muss nochmals ausgefüllt werden. Dass bei jedem Assessment-Run erneut alle 170 Sub-Controls ausgefüllt werden müssen, ist sehr mühsam und nicht praktikabel. Man hätte erwartet, dass nur genau jene Controls/Sub-Controls angepasst werden können, wo eine Fortschritt stattgefunden hat und alle anderen bleiben auf ihrem Stand bestehen.

Eine entsprechende Feature-Request wurde dazu durch uns bei CIS platziert. Aktuell ist nicht klar ob und wann eine Pre-Population von vorhergehenden Assessment-Runs implementiert wird.

Fazit

CSAT von CIS bemüht sich das Management der CIS Critical Controls zu vereinfachen und damit attraktiver zu machen. Dies gelingt mit dem grundsätzlichen Aufbau und Feature-Set der Web-Applikation ganz gut. Jedoch sollte CIS in einen flüssigeren Workflow für den Assessment-Run investieren.

Leider ist durch das Fehlen der Pre-Population der vorhergehenden Assessment-Daten das Tool noch sehr aufwändig zu bedienen, vor allem wenn einige Aktivitäten im Bereich IT-Security stattfinden und zum Beispiel quartalsweise beurteilt werden sollen. Es bleibt zu hoffen, dass CIS dieses Feature implementiert, um effektiv von einem sehr einfachen und attraktiven Security Management Tool sprechen zu können.

Zudem wäre natürlich eine offline Version wünschenswert, damit nicht der Umweg der Anonymisierung der hochgeladenen Daten gegangen werden muss.

Über den Autor

Dominik Altermatt arbeitet seit 2003 in der IT-Branche. Unter anderem hat er sich mehrere Jahre mit Data Leakage Prevention bei einer Grossbank beschäftigt. Heute liegen seine Schwerpunkte neben klassischen Penetration Tests bei der Einführung und der Weiterentwicklung von IT-Security-Management-Prozessen. (ORCID 0000-0003-4575-4597)

Links

• https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
• https://www.cisecurity.org/blog/cis-csat-free-tool-assessing-implementation-of-cis-controls/
• https://www.cisecurity.org/controls/
• https://www.defcon-switzerland.org/
• https://www.hotelleriesuisse.ch/cybersicherheit
• https://www.nist.gov/cyberframework
• https://www.pcisecuritystandards.org/