Vi stiller skarpt på CIS-kontroller

I 2008 gik det op for NSA, at der manglede en fundamental gentænkning af den bedste praksis for cybersikkerhed, og de nedsatte derfor en arbejdsgruppe, der formulerede 20 prioriterede emner, der i dag danner baggrund for et fællesskabsbaseret rammeværk kaldet CIS-kontrollerne.

CIS-kontrollerne består af 20 praktiske, pragmatiske kontroller, som er målbare, og som samtidig kommer med direkte henvisninger til, hvordan de implementeres, og forslag til, hvilke KPI’er der bør opstilles for målinger.

En af forskellene på CIS-kontrollerne og fx ISO27001 er, at du ikke kan blive certificeret efter CIS, men til gengæld opdateres CIS-kontrollerne løbende, og de indeholder prioriterede lister over, hvad du i praksis skal gøre for at øge din cybersikkerhed.

CIS-kontrollerne er både intuitive og nemme at anvende i praksis, hvorfor vi også har valgt at udvikle en GAP-analyse, som bygger på selvsamme CIS-kontroller, kaldet IT-Sikkerhedsbarometeret. Over de næste måneder stiller vi derfor også skarpt på de 20 CIS-kontroller, hvordan de anvendes, og hvilke vigtige subkontroller de indeholder.

Administrative rettigheder

I dette nyhedsbrev stiller vi skarpt på CIS-kontrol nr. 4, som handler om kontrolleret brug af administrative rettigheder, som også er denne måneds cyberemne.

CIS-kontrol nummer 4 har ni sub-kontroller hvoraf to sub-kontroller tilhører implementeringsgruppe (IG) 1, de 7 resterende tilhører implementeringsgruppe 2, mens ingen er specifikke for implementeringsgruppe nummer 3. Dette betyder, at stort set alle mellemstore og større danske virksomheder bør efterleve ALLE subkontroller under administrative privilegier.

CIS-kontrol nummer 4 samt subkontrollerne gennemgås her nedenfor. Du kan høre mere og om kontrollerne og deres anvendelse på vores webinar om administrative rettigheder, som afholdes 25. juni fra 10-11:30. Her gennemgår vi også vores Cybersnacks, som er en intuitiv og let anvendelig tjekliste til anvendelse af nedenstående kontroller i praksis.

CIS-kontrol nummer 4 samt sub-kontroller

• CIS-kontrol 4.1: Lav en inventarliste med administrative konti (IG2)
  Brug automatiserede værktøjer til at lave en liste over alle administrative konti, inklusive domæne- og lokale konti, for at sikre, at kun autoriserede personer har forhøjede privilegier.
  
  Tip: Du kan bruge værktøjer som fx ManageEngine Password Manager Pro til at opdage alle service-konti og liste dem for dig.
  
  
• CIS-kontrol 4.2: Skift alle standard passwords (IG1)
  Før du implementerer et nyt aktiv, skal du ændre alle standardadgangskoder for at have værdier, der er i overensstemmelse med konti på administrativt niveau.
  
  Tip: Brug en sårbarhedsscanner som fx Tenable.IO/.SC til at finde systemer, hvor der er brugt standardpasswords. Se eksempler på systemer der bruger standardpasswords, og som derfor er synlige for alle på internettet.
  
  
• CIS-kontrol 4.3: Sørg for brug af dedikerede administrative konti (IG1)
  Sørg for, at alle brugere med administrativ kontotilgang bruger en dedikeret eller sekundær konto til forhøjede aktiviteter. Denne konto skal kun bruges til administrative aktiviteter og ikke internet-browsing, e-mail eller lignende aktiviteter.
  
  Tip: Se på Microsoft Tiering-model, som er et godt eksempel på, hvordan du griber det mest effektivt an.

• CIS-kontrol 4.4: Brug unikke adgangskoder (IG2)
  Hvor multifaktorgodkendelse ikke understøttes (fx lokale administrator-, root- eller servicekonti), skal der bruges adgangskoder, der er unikke for det pågældende system. 
  
  Tip: Tænk over, om brugeren af adgangen til et aktiv behøver at kende adgangskoden? Du kan fx bruge et system som ManageEngine Password Manager Pro eller Thycotic Secret Server til at give bestemte brugere adgang til specifikke systemer, uden at de kender adgangskoden til systemet. Hvorvidt det er genbrugte adgangskoder, kan du fx finde ud af ved at bruge en metode til at dumpe SAM-databasen (Security Account Manager) og køre hashes igennem et password cracking-system (MEN søg om godkendelse, før du kaster dig ud i dette!).
  
• CIS-kontrol 4.5: Brug multifaktorgodkendelse til al administrativ adgang (IG2)
  Brug multifaktorgodkendelse og krypterede kanaler til al administrativ kontotilgang.
  
  Tip: Se mere på Cisco DUO Security eller LastPass for at se eksempler på systemer, der håndterer 2-Factor Authenticatiuon (2FA)/Multi-Factor Authentication (MFA) for dig.
  
• CIS-kontrol 4.6: Brug dedikerede arbejdsstationer til alle administrative opgaver (IG2)
  Sørg for, at administratorer bruger en dedikeret computer til alle administrative opgaver eller opgaver, der kræver administrativ adgang. Denne computer bliver segmenteret fra organisatio-nens primære netværk og ikke tilladt internetadgang. Den dedikerede computer bør ikke bruges til at læse e-mail, udarbejde dokumenter eller surfe på internette.
  
  Tip: Du kan også bruge jump stations eller systemer, som håndterer privilegerede sessioner som fx Thycotics     Connections Manager.

• CIS-kontrol 4.7: Begræns adgang til script-værktøjer (IG2)
  Begræns adgangen til scripting-værktøjer (fx Microsoft® PowerShell og Python) til kun administrator- eller udviklingsbrugere med behov for at få adgang til disse funktioner.
  
  Tip: Brug systemer som Thycotics Privilege Manager til at styre dette (inklusive lokale admin-rettigheder) på en struktureret måde. Find evt. inspiration i e-bogen ”Privileged Account Management for Dummies”.
  
• CIS-kontrol 4.8: Log og alarmer om ændringer i administrativt gruppemedlemskab (IG2)
  Konfigurer systemer til at logge og alarmere, når en konto tilføjes eller fjernes fra en gruppe, der er tildelt administrative rettigheder.
  
  Tip: Brug en genvej til logning af systemer ved at implementere Audit-systemer, der ikke indsamler rå logge, men hændelser baseret på specifikke, udvalgte event-ID’er. Resultatet får du med det samme, og disse løsninger, som fx ManageEngine ADAudit og O365, er hurtige at implementere.
  
  
• CIS-kontrol 4.9: Log og advarsel ved mislykket administrativ konto-login (IG2)
  Konfigurer systemer til at lave logge og advare om mislykkede login til en administrativ konto.
  
  Tip: Også her kan du med fordel bruge et audit-system som fx ManageEngine ADAudit