CIS-kontrollerne – opskrift på at implementere kontrollerne og forhindre malware

Vi sætter strøm til teorien, når vi stiller skarpt på, hvordan branchespecialister tænker it-sikkerhed. CIS-kontrollerne består af 20 praktiske og målbare kontroller, som tilsammen udgør et rammeværk for cybersikkerhed, og som har hjemme hos Center for Internet Security.

CIS-kontrollerne er nemme at anvende i praksis, fordi de kommer med direkte henvisninger til, hvordan de implementeres, og forslag til, hvilke KPI’er der bør opstilles for målinger. Det er også derfor, vi har valgt at udvikle en GAP-analyse, som bygger på selvsamme CIS-kontroller, kaldet IT-Sikkerhedsbarometeret. Over de næste måneder stiller vi derfor også skarpt på de 20 CIS-kontroller, hvordan de anvendes, og hvilke vigtige subkontroller de indeholder.

CIS-kontrollernes første seks tiltag kaldet cyberhygiejne-kontrollerne har – når de er fuldt implementeret – en meget stor beskyttende effekt mod malware. Men hvad består de egentlig af, hvordan implementeres de, og hvor effektive er de?

Det nævnes ofte, at der ikke findes én specifik løsning, som kan forhindre malware. Dette er et princip kaldet lagdelt forsvar, og som netop understreger, at det er kombinationen af en virksomheds mitigerende tiltag, som udgør den samlede styrke.

CIS påpeger selv, at cyberhygiejne-kontrollerne er effektive mod 83% af MITRE ATT&CK-angrebsteknikkerne, og navnlig tiltag fra implementeringsgruppe 1 kan forhindre de fleste former for ransomware. De fire mest anvendte angrebsteknikker er beskrevet i Verizon DBIR 2019. 

De første seks CIS-kontroller kan sammenskrives og implementeres som følger:

1. Sørg for, at kun autoriserede devices har adgang til netværket, og vid, hvilke devices der er på netværket via aktiv og passiv scanning, samt brug af agenten.
   1. Brug Lansweeper til at scanne netværket og lave listen med autoriserede devices.
   2. Indfør 802.1x , så kun bestemte devices (inklusive mobile devices) med et certifikat kan få adgang til netværket. Uautoriserede devices isoleres og kan kun få adgang til internettet (eller ingen adgang). Husk at være opmærksom på devices såsom IoT, OT (produktions-devices) og devices, som er af og på netværket (transiente devices) samt templates til fx servere og klienter.  
2. Sørg for, at kun autoriseret software findes på netværket og kan udføres. Dette sikres ved at scanne netværket for uautoriseret software (som fjernes aktivt) og derefter indføre application whitelisting, så kun autoriseret software kan eksekveres. Dette SKAL kombineres med at fjerne lokale admin-rettigheder for brugerne.
   1. Brug Lansweeper til at scanne netværket for al software, inklusive typer af operativsystemer.
   2. Fjern al uautoriseret software, og sørg for, at autoriseret software kun findes i autoriserede versioner, inklusive autoriserede versioner af operativsystemer (som ikke er End-of-Life ller Out-of-Maintenance). Dette kan tilsikres, fx med ManageEngine Desktop Central. Her kan også tilføjes et softwarebibliotek, som brugerne kan tilvælge yderligere autoriseret software fra.
   3. Indfør også Application Whitelisting via ManageEngine Desktop Central eller ManageEngine Application Control, så kun autoriseret software eksekveres.  
3. Mitiger sårbarheder rettidigt baseret på risiko. Dette gælder både operativsystemer, Microsoft-applikationer og tredjepartssoftware på ALLE servere og klienter. Der skal bruges en sårbarhedsscanner (som ikke er det samme som resultatet af ”røde sårbarheder” i dit patch management-system), som scanner netværket for sårbarheder og inddeler dem efter kritikalitet (typisk efter CVSS) og efter risiko baseret på kontekst for det device, de er på, samt sårbarhedens nuværende status.
   1. Brug en sårbarhedsscanner, fx Tenable.IO eller ManageEngine Vulnerability Manager/Desktop Central, til at finde alle sårbarheder, og læg en plan for afhjælpning af sårbarhederne i en kontinuerlig proces.
   2. Systemer, hvor sårbarhederne ikke kan rettes, SKAL isoleres helt fra internettet og resten af virksomhedens netværk.
   3. Brug et ”rigtigt” patch management-værktøj, som automatisk henter alle patches og distribuerer dem kontrolleret efter dine anvisninger til både serverne og klienterne – fx ManageEngine Desktop Central/Patch Manager. Der er stor forskel på at bruge et software- udrulningsværktøj, som også kan udrulle patches (fx Microsoft SCCM® eller Capa System®) og et ægte patch management-værktøj – både hvad angår effektivitet og dækning af sårbarheder. 
4. Implementer brugen af mindste rettighed (på engelsk ”The principle of least privilege”), og administrer sikkert og ved brug af 2FA/MFA. Dette er en større opgave, som kan tage lang tid at implementere fuldt ud, men herunder har vi listet nogle af de vigtigste tiltag.
   1. Lav en test af AD og Azure AD for sikker opsætning. Dette kan vi tilbyde som en Deloitte-service, så du kan få et indblik i de nødvendige tiltag. Kontakt Christian Schmidt for at høre nærmere.
   2. Oprydning i AD med særligt fokus på grupperne Enterprise Admins og Domain Admins. Til håndtering af AD anbefales ManageEngine ADManager og ADAudit – gerne kombineret i den samlede løsning AD360. 
   3. Indfør et PAM-system (Privileged Access Management) til at understøtte korrekt brug af rettigheder. Her kan du eksempelvis vælge Thycotic Secret Server eller ManageEngine PasswordManager. 
   4. Brug PAM-systemet til at sikre, at alle admin-, konsulent- og servicekonti er dokumenteret, og at ingen konti er sat til ”Password never expires”. Passwords roteres automatisk for alle servicekonti.
   5. Alle konti skal have et udløb (ikke kun passwords).
   6. Alle administratorkonti skal være unikke og roteres (her kan du bruge PAM-systemet eller Microsoft LAPS).
   7. Fjern lokale admin-rettigheder for brugerne. De må ikke selv kunne tilegne sig disse rettigheder (uovervåget). Dette kan eksempelvis gøres med Thycotic Privilege Manager.
   8. Sørg for at bruge sikre, unikke passwords ledsaget af 2FA overalt, hvor det er muligt og relevant. Dette gælder især ved webmail, administrative opgaver og fjernforbindelser såsom RDP og VPN. Her kan du for eksempel bruge LastPass, Dashlane og Cisco DUO. For den mere modne organisation kan zero-trust-modellen være et mål. 
   9. Policies, som understøtter brugen af sikre passwords, skal indføres og implementeres efter CIS’ guidelines.
   10. Overvej at indføre Microsofts 3-tier-model vedr. brug af administrative rettigheder.  
5. Indfør sikre konfigurationer for alle virksomhedens (vigtigste) systemer såsom OS, M365, browsere, databaser mv. Vær opmærksom på skabeloner og systemer, som er ”transient” på netværket. Dette kan gøres ved at gennemføre følgende tiltag (kan være tidskrævende): 
   1. Brug din sårbarhedsscanner og informationerne fra Lansweeper til at teste systemerne mod CIS Benchmarks. Ret alle de sårbarheder (forkerte opsætninger), som listes.
   2. Mål kontinuerligt, om systemerne bevæger sig væk fra den sikre konfiguration. Brug eksempelvis SolarWinds Access Rights Manager (ARM) og Server Configuration Monitor (SCM) til dette.  
6. Indfør logning og gennemgang af logge for at finde tegn på angreb (Indicators of Compromise (IOC) og taktikker, teknikker og procedurer (TTP) relateret til fx CIS og MITRE ATT&CK). Dette kan gøres gennem følgende tiltag:
   1. Sørg for, at alle devices og systemer har samme tids stempel (NTP-server).
   2. Overvej, om logning i et omfang kan suppleres eller erstattes med auditing, som er nemmere, hurtigere og billigere at indføre med en hurtig ROI. Her kan løsninger som ManageEngine ADAudit, Exchange Reporter, M365 og Lepide være gode muligheder.
   3. Sørg for, at der logges til ét centralt system for alle systemer og devices. Vælg et logsystem, som også kan fungere som et SIEM-system, fx LogRhythm.
   4. Gennemgå logge for anormaliteter. Dette kræver indsigt og det rigtige beredskab og kan med fordel outsources til eksempelvis Deloitte eller en anden ekstern udbyder af denne type service. 

Ovenstående tiltag kan med fordel startes med en GAP-analyse, hvor din virksomheds specifikke behov, omkostninger og ressourceforbrug til opgaven vil blive vurderet. Deloitte kan tilbyde en 1-dags og en 3-dags analyse med en efterfølgende rapport, som kan fremlægges for ledelsen/bestyrelsen, der er de egentlige ejere af den accepterede risiko for konsekvensen af et cyberangreb. 

Kontakt Christian Schmidt på e-mail eller telefon: 3093 6009 for at høre nærmere om denne effektive og velgennemprøvede service. Mange af de nævnte emner og produkter er dækket af vores webinarer, som du finder her.

 
Yderligere information om programmerne kan fås ved at sende en e-mail til Christian Schmidt.