Security Testing
Tomaso Vasella
Das sind die Neuerungen der CIS Controls v8
Diese Entwicklungen führen auch zu einer zunehmenden Vielfalt von Sicherheitsstandards, Regulativen, Richtlinien und Hilfsmitteln, die Organisationen aller Grössen dabei helfen sollen, Risiken richtig einzuschätzen und wirksame Massnahmen für einen angemessenen Schutz zu ergreifen. Einerseits ist dies begrüssenswert, andererseits existieren inzwischen fast schon zu viele Sicherheitsstandards, so dass es gerade kleineren Organisationen schwerfallen kann, die essenziellen oder minimal nötigen Vorkehrungen herauszuschälen (zur Illustration können die referenzierten Standards im Secure Controls Framework dienen).
Es ist eines der Hauptziele der CIS-Kontrollen, genau hier anzusetzen und für alle Organisationsgrössen und verschiedene Sicherheitsbedürfnisse eine Hilfestellung zur Verfügung zu stellen. Die CIS-Kontrollen sind eine Sammlung konkreter, priorisierter Sicherheitsmassnahmen (sogenannte Safeguards), die der Abwehr der häufigsten Cyberangriffe auf Systeme und Netzwerke dienen. Vor allem für Organisationen, die noch nicht über ein Sicherheitsprogramm verfügen, bieten sie eine wertvolle Orientierungs- und Starthilfe. Die CIS-Kontrollen referenzieren verschiedene anerkannte Frameworks wie das NIST CSF, ISO 27000, PCI DSS und weitere und bestehen aus konkreten, pragmatisch umsetzbaren Massnahmen. Die CIS-Kontrollen gibt es seit vielen Jahren und sie werden laufen weiterentwickelt und neuen Entwicklungen und Erkenntnissen angepasst.
Die CIS-Kontrollen in der aktuellen Version 8 (früher: CIS Critical Security Controls oder CIS Top 20) wurden im Mai 2021 veröffentlicht. Sie wurden angepasst, um besser mit modernen Systemen und aktueller Software Schritt zu halten. Die fortschreitende Umstellung auf Cloud Computing, zunehmende Mobilität, Telearbeit und Home-Office und auch veränderte Angriffstaktiken waren der Anlass für die Aktualisierung. Die nachfolgende Abbildung zeigt eine Übersicht über alle 18 CIS-Kontrollen.
Seit Version 7.1 definieren die CIS-Kontrollen drei aufeinander aufbauende, sogenannte Implementation Groups (IG). Diese Gruppen dienen vor allem der Priorisierung der Sicherheitsmassnahmen, richten sich aber auch an verschiedene Sicherheitsbedürfnisse. So fasst die IG1 diejenigen Massnahmen zusammen, die zu Erreichung eines grundlegenden Sicherheitsniveaus umgesetzt werden sollten und auch mit eingeschränkten Ressourcen und wenig Expertise erreicht werden können.
Welche weiteren Implementation Groups umgesetzt werden sollen, muss eine Organisation für sich selbst entscheiden. Diese Entscheidung sollte die folgenden Gesichtspunkte berücksichtigen:
Die IG1 umfasst 56 Massnahmen zur Erreichung eines Minimalniveaus an Informationssicherheit. Diese Massnahmen beinhalten grundsätzliche Themen und Vorkehrungen wie Inventar, sichere Konfigurationen, Zugriffskontrollen, Backup usw. Sie stellen das absolute Minimum an Sicherheitsmassnahmen dar, die jede Organisation implementieren sollte und werden dementsprechend auch als Basic Cyber Hygiene bezeichnet.
Die IG2 umfasst 74 weitere Massnahmen und baut auf der IG1 auf. Ziel dieser Implementation Group ist die Unterstützung von etwas grösseren Organisationen, die möglicherweise aus mehreren Abteilungen mit unterschiedlichen Risikoprofilen bestehen und etwas grössere Komplexität aufweisen. Einige der Massnahmen setzen Lösungen und Werkzeuge voraus, die eher in grossen Umgebungen eingesetzt werden und Spezialisten für die Konfiguration und den Betrieb erfordern können. Beispiele sind automatisierte Lösungen für die Inventarisierung von Hard- und Software, Lösungen für das Schwachstellenmanagement oder zentralisiertes Logging und Monitoring.
Die IG3 umfasst 23 zusätzliche Massnahmen und baut auf der IG2 auf. Sie sind darauf ausgerichtet, auch grössere Organisationen mit mehr Ressourcen und Sicherheitsexpertise zu einem besseren Schutz auch gegen höher entwickelte Angriffe zu verhelfen. Themen dieser Gruppe sind unter anderem verbesserte Detektionsmöglichkeiten für sicherheitsrelevante Ereignisse und umfassenderes Security Testing.
Die offensichtlichste Änderung gegenüber der Vorgängerversion ist die Reduktion auf insgesamt 18 Kontrollen mit 153 Massnahmen (Version 7.1: 20 Kontrollen und 171 Massnahmen). Dies ist einerseits einer stärkeren Fokussierung auf das heute wesentliche geschuldet, andererseits sind Themen teilweise zusammengefasst worden.
Neu ist das Service Provider Management (Kontrolle 15) hinzugekommen, was der immer noch zunehmenden Bedeutung des Cloud Computing und dem hohen Stellenwert der Sicherheit von Versorgungsketten Rechnung trägt. Auffallend, aber einleuchtend, ist auch die Verschiebung der Kontrolle “Data Protection” nach vorne auf Stelle 3 und die Erhöhung der Prioritäten der Themen “Account Management” und “Access Control Management”. Die Änderungen auf der Ebene der Kontrollen sind somit recht übersichtlich ausgefallen. Hingegen wurden auf der Ebene der Massnahmen über 200 Änderungen vorgenommen. Organisationen, die bereits die CIS-Kontrollen einsetzen, sollten sich deshalb im Detail mit den Neuerungen auseinandersetzen. Eine umfassende Zusammenstellung aller Änderungen seit der letzten Version stellt CIS auf ihrer Website zur Verfügung.
Die jüngsten CIS-Kontrollen wurden um aktuelle Themen und Arbeitsweisen ergänzt und setzen die aus früheren Versionen bekannten Grundsätze konsequent fort. Es wurde noch mehr auf die Konzentration auf das Wesentliche und auf den Einbezug von Organisationen aller Arten und Grössen geachtet. Das Konzept der Implementation Groups betont den Begriff der “Cyber Hygiene” in der Version 8 noch stärker und definiert einen Minimalstandard für Informationssicherheit, der auch für kleine Organisationen mit eingeschränktem Budget und Ressourcen erreichbar ist. Angesichts der wahrscheinlichen Entwicklungen darf man annehmen, dass heute als fortgeschritten bezeichnete Massahmen künftig nur noch zur Erreichung eines Minimalniveaus an Informationssicherheit ausreichen werden.
Unsere Spezialisten kontaktieren Sie gern!
Tomaso Vasella
Tomaso Vasella
Tomaso Vasella
Tomaso Vasella
Unsere Spezialisten kontaktieren Sie gern!