¿Sabes qué es la Matriz de Controles CIS de seguridad?

Wissen Sie, was die CIS Security Controls Matrix ist?

19. Februar 2025 Iñigo Ladrón Morales

Aufgrund der zunehmenden Verbreitung immer komplexerer und ausgefeilterer Cyber-Bedrohungen ist ein robuster Rahmen zum Schutz digitaler Vermögenswerte vor möglichen Cyber-Angriffen und Cyber-Eingriffen unerlässlich. Die CIS Controls Matrix ist eine davon.

Es handelt sich um ein Tool, das vom Center for Internet Security (CIS) (einer gemeinnützigen Organisation, die sich der Verbesserung der Cybersicherheit auf der ganzen Welt widmet und Standards, Ressourcen und praktische Anleitungen zur Minderung von Cyberrisiken im Zusammenhang mit Cyberbedrohungen bereitstellt) entwickelt wurde und Folgendes zusammenbringt: Umfangreiche Sammlung von Empfehlungen, Richtlinien und Best Practices für Unternehmen zur Stärkung ihrer Cybersicherheit .

Die CIS-Kontrollen dienen als praktischer Leitfaden zur Unterstützung von Unternehmen wirksame Cybersicherheitsmaßnahmen identifizieren, implementieren und aufrechterhalten. Durch die Befolgung dieser Richtlinien können Unternehmen ihre Gefährdung durch Cyber-Risiken erheblich reduzieren und ihre Fähigkeiten verbessern um mögliche zu erkennen und darauf zu reagieren > Cyber-Bedrohungen.

Diese Steuerelemente basieren auf einem „Cybersicherheit nach Schichten“, das sich mit verschiedenen Aspekten von Informationssicherheit, wie zum Beispiel Datenschutz, Zugriffsverwaltung und Ereignisüberwachung. Jede Kontrolle soll ein bestimmtes Cyber-Risiko mindern und alle zusammen bilden ein umfassendes Framework, das vor einer Vielzahl von Cyberbedrohungen.

Die CIS Controls Matrix besteht aus mehreren hundert Steuerelemente, die jeweils für einen bestimmten Aspekt des Cybersicherheit. Diese gelten für ein breites Spektrum von Geschäftsumgebungen und Sektoren aller Arten von Aktivitäten und Merkmalen.

Da es sich hierbei um ein recht flexibles Framework handelt, können die CIS-Steuerelemente an die Anforderungen angepasst werden spezifische oder einzigartige Bedürfnisse jeder Organisation und Art von Organisation.

Die Implementierung von CIS-Kontrollen beginnt mit einem umfassende Auswertung der spezifischen Cyber-Risiken, denen ein Unternehmen ausgesetzt ist.

Basierend auf dieser Bewertung besteht die Aufgabe darin, die relevanten Kontrollen zu identifizieren, die implementiert werden müssen um die erkannten Cyberrisiken zu mindern.

Nach der Implementierung ist es wichtig, das zu pflegen und zu überprüfen ="1">Kontrollen, um die kontinuierliche Wirksamkeit angesichts der ständigen Weiterentwicklung von Cyber-Bedrohungen und neue Bedrohungen.

Durch die Anwendung dieses Frameworks stärken Unternehmen ihre Cybersicherheit und schützen ihre digitale Assets gegen eine breite Palette von Cyberbedrohungen. Die Implementierung von CIS-Kontrollen könnte den Unterschied zwischen Cybersicherheit und Sicherheitslücke.

CIS-Steuerelemente werden von einer Community aus Technologie- und Datenexperten definiert und entwickelt. fragment="1">Cybersicherheit, die ihre enorme Erfahrung einsetzen, um Cybersicherheitweltweit akzeptiert. Diese kommen aus einem breiten Spektrum unterschiedlicher Geschäftsbereiche, die Intelligenz teilen und Cyber Intelligence (Informationen über Cyberangriffe und Cyberangreifer), Tools dokumentieren und teilen, Cyber-Bedrohungen verfolgen, Cyberkriminelle und Angriffsvektoren und Zuordnung der CIS-Kontrollen< b /> zu den regulatorischen, behördlichen und Compliance-Rahmenwerken, unter anderem deine Verantwortungen.

Für ihre Arbeit stützen sie sich auf die Prinzipien eines robusten Cyber-Abwehrsystems:

Intelligenz und Cyber-Intelligenz. Ziel ist es, Informationen im Zusammenhang mit Cyberangriffen bereitzustellen. Ziel ist es, kontinuierlich daraus zu lernen in der Lage sein, bessere Cyber-Abwehrmaßnahmen aufzubauen.

Priorisierung. Dadurch wird den Kontrollen mehr Bedeutung beigemessen, die mehr Cyberrisiken

Messungen und Metriken. Ermittlung von Variablen, Größen, Werten und Messbereichen von Situationen, die von allen Beteiligten, sowohl Personen mit technischem Profil als auch ohne, interpretiert werden können.

Diagnose und Schadensbegrenzung. Regelmäßige Messungen zur Prüfung der Kontrollen und der etablierten Maßnahmen, die die Arbeit an einem Kontrollmodell ermöglichen . ständige Verbesserung.

Automatisierung. Mechanisierung der Cyberabwehr.

Der wahre Wert dieses Modells und der CIS-Kontrollen besteht nicht nur in einer bloßen und umfassenden Liste der Aufgaben, die von Organisationen ausgeführt werden müssen, sondern die Nutzung der Erfahrung einer Gemeinschaft von Menschen und Unternehmen, die zusammenarbeiten, um Verbesserungen an Cybersicherheitdurch Wissensaustausch.

Die CIS Controls Matrix gruppiert die Sicherheitskontrollen auf verschiedenen Ebenen:

Stufe 1: Basic (Basic). Einfachster Satz von Kontrollen, den alle Unternehmen implementieren sollten, um eine starke Grundlage für Cybersicherheit zu schaffen.

Ebene 2: Hybrid (Grundlagen). Dabei handelt es sich um zusätzliche Steuerelemente, die bei Anwendung das Cybersicherheit eines Unternehmens über die bisherigen Grundanforderungen hinaus, Anpassung an höhere Cyberrisiko.

Stufe 3: Fortgeschritten (Organisation). Dabei handelt es sich um eine größere und vollständigere Gruppe von Kontrollen, die speziell für Unternehmen entwickelt wurden, die Sicherheit benötigen Anforderungen. Sehr anspruchsvolle Cybersicherheit (Regierungen, öffentliche Verwaltung, kritische Dienste, Militärsektor usw.) .) .

Los Kontrollen von Stufe 1, o Basic, o Basic, Sohn der Korrespondenten zu den folgenden digitalen Aktivitäten:

Hardware (Bestandsaufnahme autorisierter und nicht autorisierter Geräte).

Software (Dienste und Anwendungen).

Kontinuierliche Bewertung und Verwaltung von Schwachstellen.

Kontrollierte Nutzung von Administratorrechten.

Sichere Konfiguration von Hardware und Software verschiedener Mobilgeräte, Laptops, Workstations und Server.

Pflege, Überwachung und Analyse von Aufzeichnungen, Protokollen oder Audit-Trails.

Los Kontrollen von Stufe 2, o Híbridos, o Foundational, Sohn der Korrespondenten zu den folgenden digitalen Aktivitäten:

Schutz von E-Mail und Webbrowser.
Verteidigung gegen Malware.
Einschränkung und Kontrolle von Netzwerkports, Protokollen und Diensten.
Funktionen für die Datenwiederherstellung.
Sichere Konfiguration von Netzwerkgeräten und -geräten, wie Firewalls, Router und Switches.
Schutz und Verteidigung des Unternehmensbereichs.
Schutz von Daten.
Zugriffskontrolle, basierend auf dem „müssen wissen/wissen “.
Zugriffskontrolle auf drahtlose Netzwerke (WiFi, Wireless, WLAN, Access Points).
Überwachung, Verfolgung und Kontrolle von Benutzerkonten.

Die Level-3-Steuerelemente oder Erweitert oder Organisation b> sind diejenigen, die den folgenden digitalen Assets entsprechen:

Implementierung von Programmen und Diensten zur Sensibilisierung für Cybersicherheit, Schulung und Bildung.
Sicherheit der Software.
Management und Reaktion auf Vorfälle.
Penetrationstests und Auswürfe des Red Teams.

Innerhalb jeder dieser Kategorien oder Ebenen gibt es Kontrollen (und Untersteuerelemente), die angewendet werden sollen.

Weitere Informationen zur CIS-Kontrollmatrix erhalten Sie im offiziellen öffentlichen Dokument des CIS , in dem für jede der Kontrollen Folgendes angegeben ist:

Seine Beschreibung, Definition und Zielsetzung.
Die Gründe, warum diese Kontrolle als relevant angesehen wird.
Die Tabelle mit jedem der Untersteuerelemente, aus denen sie besteht, und deren Beschreibungen.
Die an dieser Kontrolle beteiligten Verfahren und Ressourcen.
Andere mögliche Frameworks, kompatibel mit ähnlichen Steuerelementen, auf denen jedes Steuerelement abgebildet werden kann (NIST , OWASP usw.).
Das System-Entity-Relationship-Diagramm.

Im Fall des Zerolynx -Dienstkatalogs basieren sie nicht nur auf dem NIST CSF (NIST Cybersecurity Framework) des NIST (US National Institute of Standards and Technologies) , sondern sind auch auf die CIS Controls Matrix abgestimmt.

Ein Beispiel hierfür ist der Dienst „ Cybersecurity Fast Review for SMEs “, bei dem wir den Cybersicherheitsstatus jedes KMU überprüfen und die Einhaltung der Prioritätskontrollen der CIS-Matrix überprüfen: