Nyckelinsikter

  • Åtgärderna är uppdelade i totalt tre övergripande kategorier vilket underlättar planering och införande
  • De är fördelade över totalt 20 åtgärdsområden vilka innehåller mer specifika och konkreta åtgärder
  • Kan med fördel användas i kombination med NIST CSF

Det finns onekligen många åsikter om vad cybersäkerhet innebär och vilka åtgärder det bör innebära. Det finns också lagar, förordningar och föreskrifter som alla vill oss väl, men de är sällan särskilt konkreta. Du lämnas fortfarande att dra det stora lasset. Men så finns det CIS-åtgärderna, som nu nått version 7.

CIS-åtgärderna säger du? Menar du inte SANS Critical Security Controls (CSC)? Nej, jag menar CIS-åtgärderna och detta inlägg är det första av många. Tanken är att ägna ett inlägg åt varje kontroll, ge det ett sammanhang och förslag på hur aktuell åtgärd kan införas.

I detta första inlägg går vi övergripande igenom samtliga kontroller för att senare gräva ner oss lite djupare i varje åtgärd.

Cybersäkerhet genom 20 åtgärder

CIS-åtgärderna består av totalt 20 åtgärdsområden spritt över tre kategorier; grundläggande, utökade och organisatoriska åtgärder. För varje övergripande kategori finns det sedan ett antal åtgärdsområden, vilka i sin tur är uppdelade i mer specifika åtgärder för att uppnå målsättningen i åtgärdsområdet.

Låt oss göra en översiktlig genomgång av åtgärderna inom varje kategori, vi börjar med den grundläggande kategorin.

Grundläggande åtgärder

Inom de grundläggande åtgärderna finns det totalt sex åtgärdsområden:

  1. Inventering och hantering av hårdvara
    • Lär känna ditt nätverk och dina enheter, vet vad som finns och var det finns.
  2. Inventering och hantering av mjukvara
    • Samma som för (1) men istället avseende mjukvaror.
  3. Kontinuerlig hantering av sårbarheter
    • Skanna kontinuerligt alla dina enheter efter sårbarheter och hantera dessa enligt konstens alla regler.
  4. Hantering av administrativa rättigheter
    • Inför processer och verktyg för att genom kontrollerade former ha koll på vilka administrativa rättigheter som används var och av vem
  5. Säker konfiguration för hårdvara och mjukvara på mobila enheter, bärbara datorer, stationära datorer och servrar
    • Du ska veta vilka inställningar som finns på vilka enheter och använda rigorösa metoder för att säkerställa att ändringar görs kontrollerat
  6. Underhåll, övervakning och analys av loggar
    • Samla in, analysera och förstå vad som inte hör hemma i loggarna. Skapar förutsättningarna för att kunna täcka angriparna med olja och fjädrar… det ska synas att de trampar runt i dina system.

Utökade åtgärder

I den utökade åtgärdskategorin finns det totalt 10 åtgärdsområden:

  1. Skydd av e-post och webbläsare
    • Dessa två kommunikationsvägar måste hanteras ordentligt och genom omfattande kontroller. Exempelvis hantering av plugins i webbläsare, uppslag av domännamn (DNS) osv.
  2. Skydd mot skadlig kod
    • Du ska helt enkelt ha ett skydd mot skadlig kod på dina enheter vilket kan omfatta allt från DEP, ASLR till traditionella AV-produkter.
  3. Begränsning och hantering av nätverksportar, protokoll och tjänster
    • Säkerställ att du har koll på vilka tjänster som ska finnas på vilka maskiner.
  4. Förmåga om återläsning av data (backuper)
    • Förmåga att säkerhetskopiera data, och förmåga att återläsa dessa när de behövs.
  5. Säker konfiguration för nätverksenheter, e.g. brandväggar, routrar och switchar
    • Samma sak som säker konfiguration i åtgärd 5 hos de grundläggande kontrollerna, fast nu för nätverksenheter.
  6. Perimeterskydd
    • Du ska känna ditt nätverk, vilka zoner som finns och vad som finns i dessa zoner.
  7. Skydd av data
    • Säkerställ att du kan skydda data från att exfiltreras och garantera dess riktighet.
  8. Åtkomstkontroll baserat på ‘need-to-know’-principen
    • Kritisk information ska endast hanteras av de personer, system och applikationer som har behov av den.
  9. Skydd av trådlös kommunikation
    • Återigen ska du känna till dina trådlösa nätverk, var de finns, hur de är konfigurerade etc.
  10. Kontohantering
    • Processer och rutiner ska finnas för hela livslängden på ett konto oavsett om det tillhör en användare, system eller applikation.

Organisatoriska åtgärder

Och slutligen för den organisatoriska kategorin finns följande åtgärdsområden:

  1. Program för ökad säkerhetsmedvetenhet
    • Ja, se till att användarna förstår vikten av säkerhet och hur de ska agera på det stora nätet.
  2. Säker utveckling- och anskaffning av mjukvara
    • Oavsett om du utvecklar själv eller köper programvaror ska du säkerställa att dessa hanteras (kravställs inför upphandling/utveckling, uppdateras etc.)
  3. Incidenthantering
    • Etablera organisation och bygg förmåga att hantera incidenter. Förutsättning för att exempelvis snabbt identifiera planerade, pågående eller genomförda cyberangrepp.
  4. Penetrationstester och Red Team-övningar
    • Genomför penetrationstester och planerade övningar för att säkerställa och testa organisationens förmåga att stå emot ett cyberangrepp.

Sammanfattning

Detta var en introduktion till CIS-åtgärderna version 7. Åtgärderna är uppdelade i tre övergripande kategorier; grundläggande, utökade och organisatoriska. Kategorierna innehåller totalt 20 åtgärdsområden som tillsammans ska skapa en god cybersäkerhet.

I nästa inlägg i serien beskriver jag första åtgärden, inventering och hantering av hårdvara.