Was sind CIS-Benchmarks?

Tools wie die CIS-Benchmarks sind wichtig, da sie von Sicherheitsexperten und Fachleuten entwickelte bewährte Methoden für die Bereitstellung von über 25 verschiedenen Herstellerprodukten enthalten. Diese bewährten Methoden sind ein guter Ausgangspunkt für die Erstellung eines Plans zur Einführung eines neuen Produkts oder Services oder für die Überprüfung der Sicherheit bestehender Installationen.

Wenn Sie CIS Benchmarks implementieren, können Sie Ihre Legacy-Systeme besser gegen gängige und neu auftretende Risiken absichern, indem Sie Schritte wie die folgenden unternehmen: 

• Deaktivieren ungenutzter Ports
• Entfernen von unnötigen App-Berechtigungen
• Einschränkung der administrativen Berechtigungen

IT-Systeme und Anwendungen funktionieren auch besser, wenn Sie unnötige Services deaktivieren. 

Beispiel für CIS-Benchmarks

Administratoren können zum Beispiel die CIS-AWS-Foundations-Benchmark-Richtlinien schrittweise befolgen, um eine starke Passwortrichtlinie für AWS Identity and Access Management (IAM) einzurichten. Die Durchsetzung von Passwortrichtlinien, die Verwendung der Multi-Faktor-Authentifizierung (MFA), die Deaktivierung von Root, die Sicherstellung, dass Zugriffsschlüssel alle 90 Tage rotiert werden, und andere Maßnahmen sind unterschiedliche, aber verwandte Identitätsrichtlinien zur Verbesserung der Sicherheit eines AWS-Kontos.

Durch die Übernahme der CIS-Benchmarks kann Ihr Unternehmen von mehreren Vorteilen im Bereich der Cybersicherheit profitieren, z. B. von den folgenden:

Richtlinien für Cybersicherheit von Experten

Die CIS-Benchmarks bieten Unternehmen einen Rahmen für von Experten geprüfte und bewährte Sicherheitskonfigurationen. Unternehmen können Trial-and-Error-Szenarien vermeiden, die die Sicherheit gefährden, und von der Expertise einer vielfältigen IT- und Cybersicherheits-Community profitieren.

Weltweit anerkannte Sicherheitsstandards

Die CIS-Benchmarks sind die einzigen bewährten Methoden, die weltweit von Behörden, Unternehmen, Forschungs- und akademischen Einrichtungen gleichermaßen anerkannt und akzeptiert werden. Dank der globalen und vielfältigen Community, die nach einem konsensbasierten Entscheidungsmodell arbeitet, haben die CIS-Benchmarks eine weitaus größere Anwendbarkeit und Akzeptanz als regionale Gesetze und Sicherheitsstandards. 

Kostengünstige Bedrohungsprävention

Die CIS-Benchmark-Dokumentation kann von jeder Person kostenlos heruntergeladen und implementiert werden. Ihr Unternehmen kann kostenlos aktuelle, schrittweise Anleitungen für alle Arten von IT-Systemen erhalten. Sie können IT-Governance erreichen und Finanz- und Reputationsverluste durch vermeidbare Cyberbedrohungen abwenden.

Gesetzliche Vorschriften

Die CIS-Benchmarks orientieren sich an den wichtigsten Frameworks für Sicherheit und Datenschutz wie diesen:

• National Institute of Standards and Technology (NIST) Cybersecurity Framework 
• Health Insurance Portability and Accountability Act (HIPAA)
• Payment Card Industry Data Security Standard (PCI DSS)

Die Implementierung von CIS-Benchmarks ist ein großer Schritt in Richtung Compliance für Unternehmen, die in stark regulierten Branchen tätig sind. Sie können verhindern, dass Vorschriften aufgrund von falsch konfigurierten IT-Systemen nicht eingehalten werden.

Um Unternehmen dabei zu helfen, ihre individuellen Sicherheitsziele zu erreichen, ordnet das CIS jeder CIS-Benchmark-Richtlinie eine Profilebene zu. Jedes CIS-Profil enthält Empfehlungen, die ein unterschiedliches Maß an Sicherheit bieten. Unternehmen können ein Profil wählen, das ihren Sicherheits- und Compliance-Anforderungen entspricht. 

Profil der Ebene 1

Die Konfigurationsempfehlungen für das Profil der Ebene 1 sind grundlegende Sicherheitsempfehlungen für die Konfiguration von IT-Systemen. Sie sind einfach zu befolgen und beeinträchtigen weder die Geschäftsfunktionen noch die Betriebszeit. Diese Empfehlungen reduzieren die Anzahl der Einstiegspunkte in Ihre IT-Systeme und verringern so Ihre Cybersicherheitsrisiken.

Profil der Ebene 2

Die Empfehlungen für die Konfiguration von Profilen der Ebene 2 eignen sich am besten für hochsensible Daten, bei denen die Sicherheit eine Priorität ist. Die Umsetzung dieser Empfehlungen erfordert professionelles Fachwissen und eine sorgfältige Planung, um umfassende Sicherheit bei minimalen Unterbrechungen zu erreichen. Die Umsetzung der Empfehlungen für Profile der Ebene 2 hilft auch bei der Einhaltung gesetzlicher Vorschriften. 

STIG-Profil

Der Security Technical Implementation Guide (STIG) ist ein Satz von Konfigurationsgrundlagen der Defense Information Systems Agency (DISA). Das US-Verteidigungsministerium veröffentlicht und pflegt diese Sicherheitsstandards. STIGs werden speziell für die Anforderungen der US-Behörden geschrieben. 

Die CIS-Benchmarks enthalten auch ein STIG-Profil der Ebene 3, das Unternehmen bei der Einhaltung der STIG helfen soll. Das STIG-Profil enthält Empfehlungen für Profile der Ebenen 1 und 2, die STIG-spezifisch sind, und bietet weitere Empfehlungen, die von den anderen beiden Profilen nicht abgedeckt werden, die aber von den STIGs der DISA benötigt werden. 

Wenn Sie Ihre Systeme gemäß den CIS-STIG-Benchmarks konfigurieren, wird Ihre IT-Umgebung sowohl CIS- als auch STIG-konform sein.

Jede CIS-Benchmark enthält eine Beschreibung der Empfehlung, den Grund für die Empfehlung und Anweisungen, die Systemadministratoren befolgen können, um die Empfehlung korrekt umzusetzen. Jede Benchmark kann mehrere hundert Seiten umfassen, da sie jeden Bereich des Ziel-IT-Systems abdeckt.  

Die Implementierung von CIS-Benchmarks und die Einhaltung aller Versionsveröffentlichungen wird kompliziert, wenn man versucht, dies manuell zu tun. Aus diesem Grund verwenden viele Unternehmen automatisierte Tools zur Überwachung der CIS-Compliance. Das CIS bietet auch kostenlose und Premium-Tools an, mit denen Sie IT-Systeme scannen und CIS-Compliance-Berichte erstellen können. Diese Tools warnen Systemadministratoren, wenn die vorhandenen Konfigurationen nicht den CIS-Benchmark-Empfehlungen entsprechen.

CIS ist ein unabhängiger Softwareanbieter (ISV) bei AWS und AWS ist ein Mitgliedsunternehmen von CIS Security Benchmarks. Die CIS-Benchmarks enthalten Richtlinien für sichere Konfigurationen für eine Teilmenge der AWS-Cloud-Services und Einstellungen auf Kontoebene. 

In den AWS in CIS-Benchmarks beschreibt CIS zum Beispiel die besten Konfigurationseinstellungen für AWS, wie zum Beispiel diese:

• CIS AWS Foundations Benchmark
• CIS Amazon Linux 2 Benchmark
• CIS Amazon Elastic Kubernetes Service (EKS) Benchmark 
• AWS End User Compute Benchmark

Sie können auch auf CIS-gehärtete Amazon Elastic Compute Cloud-Images (EC2) im AWS Marketplace zugreifen, damit Sie sicher sein können, dass Ihre Amazon-EC2-Images die CIS-Benchmarks erfüllen.

Ebenso können Sie die Checks automatisieren, um sicherzustellen, dass Ihre AWS-Bereitstellung die Empfehlungen des CIS-AWS-Foundations-Benchmark-Standards erfüllt. AWS Security Hub unterstützt den CIS-AWS-Foundations-Benchmark-Standard, der aus 43 Kontrollen und 32 Anforderungen des Payment Card Industry Data Security Standard (PCI DSS) für 14 AWS-Services besteht. Sobald AWS Security Hub aktiviert ist, beginnt er sofort mit kontinuierlichen und automatisierten Sicherheitsprüfungen für jede Kontrolle und jede relevante Ressource, die mit der Kontrolle verbunden ist.

Stellen Sie die CIS-Compliance für Ihre Cloud-Infrastruktur sicher und beginnen Sie mit AWS, indem Sie noch heute ein kostenloses AWS-Konto anlegen.