¿Sabes qué es la Matriz de Controles CIS de seguridad?

Wissen Sie, was die CIS Security Controls Matrix ist?

19. Februar 2025 Iñigo Ladrón Morales

Aufgrund der Zunahme von Cyberbedrohungen, die immer komplexer und ausgeklügelter werden, ist es unerlässlich, über einen robusten Rahmen zu verfügen, um digitale Vermögenswerte vor möglichen Cyberangriffen und Cyberintrusionen zu schützen. Die CIS-Kontrollmatrix ist eine davon.

Es handelt sich um ein Werkzeug, das vom Centre for Internet Security (CIS) (eine gemeinnützige Organisation, die sich der Verbesserung der Cybersicherheit weltweit widmet, indem sie Standards, Ressourcen und praktische Leitfäden zur Minderung der mit Cyberrisiken verbundenen Cyberbedrohungen bereitstellt) entwickelt wurde, das eine enorme Sammlung von Empfehlungen, Richtlinien und Best Practices bündelt, damit Unternehmen ihre Cybersicherheit stärken.

Die CIS-Kontrollen dienen als praktische Anleitung, um Unternehmen zu helfen, effektive Cybersicherheitsmaßnahmen zu identifizieren, umzusetzen und aufrechtzuerhalten. Durch die Befolgung dieser Richtlinien können Organisationen ihre Exposition gegenüber Cyberrisiken erheblich reduzieren und ihre Fähigkeit verbessern, Bedrohungen zu erkennen und darauf zu reagieren.

Diese Kontrollen basieren auf einem Ansatz der "Cybersicherheit in Schichten", der verschiedene Aspekte der Informationssicherheit anspricht, wie den Datenschutz, das Zugangsmanagement und die Ereignisüberwachung. Jede Kontrolle ist darauf ausgelegt, ein bestimmtes Cyberrisiko zu mindern, und zusammen bilden sie einen umfassenden Rahmen, der vor einer Vielzahl von Cyberbedrohungen schützt.

Die CIS-Kontrollmatrix besteht aus mehreren Hundert Kontrollen, von denen jede darauf ausgelegt ist, einen spezifischen Aspekt der Cybersicherheit zu adressieren. Diese sind auf eine Vielzahl von Unternehmensumgebungen und Sektoren aller Art von Aktivitäten und Eigenschaften anwendbar.

Unter Berücksichtigung, dass es sich um einen ziemlich flexiblen Rahmen handelt, können die CIS-Kontrollen an die spezifischen oder einzigartigen Bedürfnisse jeder Organisation und Art von Organisation angepasst werden.

Die Implementierung der CIS-Kontrollen beginnt mit einer umfassenden Bewertung der Cyberrisiken, denen eine Organisation gegenübersteht.

Aus dieser Bewertung ergibt sich die Aufgabe der Identifizierung der relevanten Kontrollen, die implementiert werden müssen, um die festgestellten Cyberrisiken zu mindern.

Sobald sie implementiert sind, ist es wichtig, die Kontrollen regelmäßig aufrechtzuerhalten und zu überprüfen, um ihre kontinuierliche Wirksamkeit gegenüber der ständigen Entwicklung von Cyberbedrohungen und neu auftretenden Bedrohungen sicherzustellen.

Mit der Anwendung dieses Frameworks stärken Organisationen ihre Haltung zur Cybersicherheit und schützen ihre digitalen Vermögenswerte gegen eine Vielzahl von Cyberbedrohungen. Die Implementierung der CIS-Kontrollen könnte den Unterschied zwischen Cybersicherheit und Verwundbarkeit ausmachen.

Die CIS-Kontrollen werden von einer Gemeinschaft von Technologie- und Cybersicherheits-Experten definiert und entwickelt, die ihre enorme Erfahrung nutzen, um die besten weltweit anerkannten Cybersicherheits-Praktiken zu schaffen. Diese stammen aus einer Vielzahl von Geschäftssektoren, die sich voneinander unterscheiden und Intelligenz und Cyberintelligenz (Informationen über Cyberangriffe und Cyberangreifer) teilen, dokumentieren und Werkzeuge austauschen, verfolgen Cyberbedrohungen, Cyberkriminelle und Angriffsvektoren und ordnen die CIS-Kontrollen den normativen, regulatorischen und Compliance-Rahmenwerken zu, unter anderem als Teil ihrer Verantwortlichkeiten.

Für ihre Arbeit basieren sie auf den Prinzipien eines robusten Systems der Cyberverteidigung:

Die Intelligenz und Cyberintelligenz. Die darauf abzielt, Informationen über Cyberangriffe zu sammeln. Das Ziel ist es, kontinuierlich aus ihnen zu lernen, um bessere Cyberverteidigungen aufzubauen.
Priorisierung. Durch die mehr Bedeutung den Kontrollen gegeben wird, die die meisten Cyberrisiken haben.
Messungen und Metriken. Festlegung von Variablen, Größen, Werten und Messbereichen von Situationen, die von allen Beteiligten, sowohl von technisch versierten Personen als auch von solchen ohne technischen Hintergrund, interpretiert werden können.
Diagnose und Minderung. Regelmäßige Messungen zur Überprüfung der Kontrollen und der festgelegten Maßnahmen, die es ermöglichen, in einem Modell der kontinuierlichen Verbesserung zu arbeiten.
Automatisierung. Mechanisierung der Cyberverteidigung.

Der tatsächliche Wert dieses Modells und der CIS-Kontrollen besteht nicht in einer bloßen und umfangreichen Liste von Aufgaben, die von den Organisationen zu erledigen sind, sondern darin, die Erfahrung einer Gemeinschaft von Menschen und Unternehmen zu nutzen, die zusammenarbeiten, um Verbesserungen in der Cybersicherheit durch den Austausch von Wissen zu erzielen.

Die CIS-Kontrollmatrix gruppiert die Sicherheitskontrollen in verschiedene Arten von Ebenen:

Stufe 1: Grundlegend (Basic). Einfachstes Set von Kontrollen, das alle Unternehmen implementieren sollten, um eine solide Grundlage für die Cybersicherheit zu schaffen.
Stufe 2: Hybrid (Grundlegend). Es sind zusätzliche Kontrollen, die, wenn sie angewendet werden, die Cybersicherheit eines Unternehmens über die vorherigen grundlegenden Anforderungen hinaus erhöhen und sich an Umgebungen mit höherem Cyberrisiko anpassen.
Stufe 3: Fortgeschritten (Organisatorisch). Bezieht sich auf eine umfassendere und vollständigere Gruppe von Kontrollen, die speziell für Unternehmen mit sehr anspruchsvollen Cybersecurity-Bedürfnissen (Regierungen, öffentliche Verwaltung, kritische Dienste, Militärsektor usw.) entwickelt wurden.

Im Folgenden beschreiben wir sie detailliert:

1. Grundlegende Kontrollen (Wesentlich)

Diese Kontrollen sind die kritischsten und grundlegendsten für jede Organisation.

Inventar und Kontrolle von Unternehmensvermögen: Halten Sie ein aktuelles Inventar von physischen und virtuellen Vermögenswerten.
Inventar und Kontrolle von Software-Assets: Software in den Systemen steuern und autorisieren, um die Ausführung unerwünschter Programme zu verhindern.
Datenschutz: Maßnahmen implementieren, um sensible Daten im Ruhezustand und während der Übertragung zu schützen.
Sichere Konfiguration von Unternehmensressourcen und Software: Sichere Konfigurationen auf Hardware und Software anwenden, um Schwachstellen zu reduzieren.
Kontoverwaltung: Benutzerkonten und Berechtigungen verwalten, um das Risiko unbefugter Zugriffe zu minimieren.
Zugriffskontrollmanagement: Implementierung von rollenbasiertem Zugriff und minimal notwendigen Rechten.
Kontinuierliches Schwachstellenmanagement: Kontinuierlich Sicherheitsanfälligkeiten identifizieren, priorisieren und beheben.

2. Fundamentale Kontrollen (Foundational)

Es sind wesentliche Praktiken zur Reduzierung von Cyberrisiken.

Audit-Protokollverwaltung: Aktivieren, Schützen und Überprüfen von Protokollen über Sicherheitsereignisse.
E-Mail- und Webbrowser-Schutz: Sicherheitskontrollen in Webbrowsern und E-Mails konfigurieren.
Malware-Abwehr: Mechanismen implementieren, um Malware in Systemen und Netzwerken zu verhindern und zu erkennen.
Datenwiederherstellung: Prozesse zur Sicherung und Wiederherstellung von Daten einrichten und testen.
Netzwerkinfrastrukturmanagement: Sichere Konfigurationen und Segmentierung in der Netzwerkinfrastruktur anwenden.
Sicherheitsbewusstsein und Fähigkeiten Training: Das Personal über Bedrohungen und bewährte Praktiken der Cybersicherheit schulen.

3. Organisatorische Kontrollen (Organizational)

Diese Kontrollen helfen, die Resilienz der Organisation zu stärken.

Service Provider Management: Externe Anbieter bewerten und deren Sicherheit verwalten.

Anwendungssicherheitssoftware: Sichere Entwicklungsprinzipien und Sicherheitsüberprüfungen in Anwendungen anwenden.

Incident Response Management: Pläne zur Reaktion auf Vorfälle erstellen und deren Wirksamkeit durch Übungen verbessern.

Penetration Testing: Durchführung von Penetrationstests zur Identifizierung und Behebung von Schwachstellen.

Sicherheitsbewusstsein und Fähigkeiten Training: (Verstärkt) Verbesserung der Sicherheits- und Bewusstseinsbildung des Personals.

Innerhalb jeder dieser Kategorien oder Ebenen wird es konkrete Kontrollen (und Unterkontrollen) geben, die anzuwenden sind.

Es kann weitere Informationen zur CIS-Kontrollmatrix eingesehen werden, indem das offizielle öffentliche Dokument des CIS konsultiert wird, in dem für jede der Kontrollen angegeben wird:

Seine Beschreibung, Definition und Ziel.
Die Gründe, warum diese Kontrolle als relevant angesehen wird.
Die Tabelle mit jedem der Unterkontrollen, die ihn bilden, und ihren Beschreibungen.
Die Verfahren und Mittel, die an dieser Kontrolle beteiligt sind.
Andere mögliche Rahmenbedingungen, die mit ähnlichen Kontrollen kompatibel sind, auf die jede Kontrolle abgebildet werden kann (NIST, OWASP, usw.).
Das Entitätsbeziehungsdiagramm des Systems.

Im Fall des Dienstkatalogs von Zerolynx basieren sie nicht nur auf NIST CSF (NIST Cybersecurity Framework) des NIST (National Institute of Standards and Technology der USA), sondern sie stimmen auch mit der CIS Controls Matrix überein.

Ein Beispiel dafür ist der Service “Fast Review de Ciberseguridad para PYMEs”, bei dem wir den Zustand der Cybersicherheit jeder KMU überprüfen, indem wir die Einhaltung der prioritären Kontrollen der CIS-Matrix prüfen: