Insight
Vi stiller skarpt på CIS-kontroller
I 2008 gik det op for NSA, at der manglede en fundamental gentænkning af den bedste praksis for cybersikkerhed, og de nedsatte derfor en arbejdsgruppe, der formulerede 20 prioriterede emner, der i dag danner baggrund for et fællesskabsbaseret rammeværk, kaldet CIS-kontrollerne.
CIS-kontrollerne består af 20 praktiske, pragmatiske kontroller, som er målbare og med direkte henvisning til, hvordan de implementeres samt forslag til, hvilke KPI’er der bør opstilles for målinger.
Forskellen på CIS-kontrollerne og fx ISO27001 er, at du ikke kan blive certificeret efter CIS, men til gengæld opdateres CIS-kontrollerne løbende, og de indeholder prioriterede lister af, hvad du i praksis skal gøre for din cybersikkerhed. Det australske forsvar har fx vist, at hvis man implementerer de første fire kontroller fuldt ud, kan man mitigere op mod 90+% af alt malware.
CIS-kontrollerne er både intuitive og nemme at anvende i praksis, hvorfor vi også har valgt at udvikle en GAP-analyse, som bygger på selvsamme CIS-kontroller, kaldet it-Sikkerhedsbarometeret. Over de næste måneder stiller vi derfor også skarpt på de 20 CIS-kontroller, hvordan de anvendes, og hvilke vigtige subkontroller de indeholder.
I dette nyhedsbrev stiller vi skarpt på kontrol 1, 2 og 18, der også relaterer sig til denne Måneds Cyberemne: Inventarstyring
- Inventar og kontrol af hardwareaktiver
- Inventar og kontrol af softwareaktiver
- Applikationssoftwaresikkerhed.
CIS-kontrol nr.1: Inventar og kontrol af hardwareaktiviteter
Du skal vide, hvad der er og må være på dit netværk af hardware, og det indebærer en liste med autoriseret hardware, som skal vedligeholdes og overholdes. Alt uautoriseret hardware skal fjernes, og det skal forhindres, at uautoriseret hardware tilsluttes netværket.
Vigtige kontroller er:
- Aktiv og passiv scanning af netværket
- Logning af DHCP-adresser
- Vedligehold én samlet liste af aktiver for hardware og software og dokumenter den korrekt
- Fjern uautoriserede aktiver (hardware og software)
- Brug adgangskontrol på portniveau og certifikater.
CIS-kontrol nr. 2: Inventar og kontrol af softwareaktiver
Du skal vide, hvilket software der er og må være på dit netværk (inklusive hvilke versioner), hvilket indebærer en liste med autoriseret software, som skal vedligeholdes og overholdes. Alt uautoriseret software skal fjernes, og uautoriseret software skal forhindres i at blive eksekveret.
Vigtige kontroller er:
- Vedligehold en liste med autoriseret software
- Vær sikker på, at softwaren er understøttet af leverandøren (fokus på OOM- og EOL-software)
- Brug software asset management-værktøjer, og saml software- og hardwareaktiver i samme system/liste
- Fjern uautoriseret software
- Brug Application Whitelisting inklusive softwarebiblioteker og scripts
- Sørg for fysisk eller logisk adskillelse af systemer, som kører software med høj risiko.
CIS-kontrol nr. 18: Applikationssoftwaresikkerhed
Egenudviklet software skal håndteres efter bedste praksis og udvikles efter principperne om sikker softwareudvikling. Det skal sårbarhedsscannes og rettes, og specielt på nedenstående områder har dette relevans for næsten alle virksomheder – også for dem, der ikke udvikler software selv:
- Der skal være aktiv maintenance på alt software, hvor det er muligt.
Ellers skal software fjernes eller isoleres på netværket. - Der skal bruges webapplikation firewalls til at beskytte kritiske applikationer
- Produktionssystemer skal adskilles fra test/udviklingssystemer
(PAS PÅ MED PERSONDATA HER) - Scan software for sårbarheder og ret sårbarhederne – det kræver ofte en speciel applikationsscanner at udføre dette
- Brug benchmarks for sikker opsætning af databaser, som danner grundlag for mange applikationer.
I vores næste nyhedsbrev stiller vi skarpt på CIS-kontrol nr. 4, 14 og 16, som er udgangspunkt for arbejdet med at minimere de administrative rettigheder til et minimum og overvåge administrative rettigheder efter bedste praksis.