Försvar Offensivt Underrättelser

CIS Controls Version 8 - Introduktion

Sunday, May 23, 2021

FörsvarVägledningCIS Version 8.0

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se
23 minuter att läsa.

Nyckelinsikter

  • Börja med att inventera din verksamhet om vilka åtgärder som redan har införts.
  • Inför därefter åtgärderna enligt föreslagen prioriteringsordning från inventeringsdokumentet, se nätverksbaseradan.
  • Betrakta inte ordningen på de 18 förmågorna som en prioritering för hur de ska införas.
  • Ramverket innehåller många åtgärder, men långt ifrån alla är vettiga ur perspektivet vad skyddar mig mot ett angrepp imorgon.
  • Underskatta inte omfattningen på åtgärderna, det krävs mycket jobb för varje enskild åtgärd. Vissa är enklare än andra, men en majoritet är stora förändringsjobb.

CIS Controls Version 8 är en förflyttning och viss renodling av förmågor och åtgärder, men mycket arbete kvarstår för att skapa ett tydligt och icke-luddigt ramverk. Och där är vi definitivt inte ännu. Den ursprungliga listan på förmågor och åtgärder (från 2009) undrar man om den inte ibland genomgått någon form av viskningslek. Exempelvis skulle jag vilja betrakta i stort sett hela förmågan Data Protection (förmåga 3) som vidervärdig.

I den här vägledningen av CIS8 har jag försökt att bidra till renodling av förmågor och åtgärder så att du slipper. Jag ha exempelvis skapat ett dokument du kan använda för att inventera vilka åtgärder du har infört och samtidigt se vilken prioritering jag anser att åtgärderna har. Jag kommer, till skillnad från CIS, motivera och förklara varför åtgärderna jag prioriterar ska betraktas som… prioriterade.

Nog om det. Jag lämnar med varm hand över dig till genomläsning av den här vägledningen av CIS Controls Version 8. Mycket nöje!

Nej, vänta… PS: Den här artikeln och övriga artiklar uppdateras löpande. Och när allting är klart kommer jag foga samman allting i en PDF-version också.

Börja läsa här

Välkommen till en svensk vägledning av CIS-förmågorna version 8. Detta är en ganska lång vägledning, med flera avsnitt och kapitel. Därför skulle jag först vilja beskriva för dig hur vägledningen är strukturerad för att du på bästa sätt ska kunna använda dig utav den.

Och skulle det uppstå minsta tveksamhet kontakta mig och berätta vilka bekymmer du har så ska vi nog lyckas lösa dom tillsammans.

Helt ny till ramverket?

WOHO! Vägledning för bättre cybersäkerhet. Inga silverkulor men ett relativt tillgängligt ramverk och alternativ till ISO27000-serien.

Den här vägledningen består av TRE övergripande delar:

  1. Introduktion
  2. CIS-förmågorna
  3. Mäta och följa upp

Varje del består sedan i sin tur av ett antal kapitel. För dig som är helt ny och endast mycket övergripande hört talas om CIS tidigare bör rimligen börja på kapitel 1 som kort introducerar dig till ramverket och därefter följer du kapitelindelningen så som den är ordnad.

Inte ny, men samtidigt inte erfaren?

Börja med att läsa kapitel 3 om förändringarna från tidigare versioner och därefter kapitel 2 om hur vägledningen bör användas. Därefter skulle jag föreslå första kapitlet i DEL II som beskriver den ordning av förmågorna som jag förespråkar.

Erfaren CIS-användare?

Läs kapitel 3 om förändringarna i ramverket jämfört med tidigare versioner. Därefter föreslår jag att du helt enkelt läser de delar du är intresserad av. Eventuellt läser du det inledande kapitlet i DEL II som förklarar den ordning JAG anser att förmågorna bör byggas och införas.

Annars kanske DEL III kan utgöra lite inspiration för att mäta effekterna av förmågorna.

Innehållsförteckning

Vägledningen är uppdelad i följande delar och kapitel:

  • Del I - Introduktion

    • Kapitel 0x01 - Övergripande om CIS Controls Version 8
      • Här beskriver jag lite om vad CIS8 är och varför du bör fundera över att använda det. Men jag skriver även lite om varför du INTE bör använda det.
    • Kapitel 0x02 - Om den här vägledningen
      • Jag går igenom syftet och målsättning med väglednigen, och förklarar hur jag ser framför mig att du använder den.
    • Kapitel 0x03 - Förändringar från föregående versioner
      • Kort genomgång av de huvudsakliga förändringarna från CIS Controls Version 7.1 och tidigare versioner.

  • Del II - CIS-Förmågorna

    • I den här delen redogör jag översiktligt kring varje enskild förmåga, och då i den ordning jag anser att de bör prioriteras. Det är alltså INTE en direkt översättning eller genomgång av respektive förmåga och tillhörande åtgärder.

  • Del III - Mäta och följa upp

    • I den sista och avslutande delen gör jag några försök att hjälpa till med mätningar kring effekterna av att införa säkerhetsåtgärderna från de olika förmågorna.

  • Del IV - Avslutande kommentarer

    • I skrivande stund endast ett avsnitt där jag specifikt nämner de personer som lämnat feedback och synpunkter på innehållet.

DEL I - Introduktion

I den här delen läser du om vad CIS8 är och varför du bör fundera över att använda det. Jag förklarar även hur min vägledning är strukturerad. Och så gör jag en kortare genomgång av förändringarna gentemot tidigare versioner.

Kapitel 0x01 - Övergripande om CIS Controls Version 8

Vad är CIS Controls?

CIS Controls är i sin enkelhet en uppsättning av säkerhetsåtgärder som är fördelade över 18 övergripande förmågor. Förmågorna är tänkta att representera essensen av god cyberhygien för att kunna stoppa, begränsa, upptäcka och åtgärda cyberangrepp. Åtgärderna under varje förmåga delas vidare upp i tre implementationsgrupper (IGs) med målsättningen om att förenkla vilka åtgärder som ska införas utifrån din verksamhets mognad och storlek.

CIS-förmågorna har en lång historia som sträcker sig tillbaka till 2008 men då under namnet Concensus Audit Guidelines (CAG). Arbetet var initierat som en del av många och stora dataförluster i USAs försvarsindustri. Ramverket utvecklades till stor del av amerikanska myndigheter vilka omfattade bland andra National Security Agency (NSA), Department of Defense (DoD), US-CERT osv.

Förmågorna har förändrats över tid och i vissa fall förlorat sin koppling till verkligheten. Exempelvis är förmågan “Data Protection” ett stort misslyckande som med många gånger omöjliga åtgärder som att du t.ex. ska dokumentera samtliga dataflöden mellan applikationer, tjänster, användare osv. Många som har arbetat i en någorlunda komplex organisation vet hur otroligt snabbt dataflöden förändras och hur svårt det är att hålla sådan information uppdaterad.

Det var först 2015 som ägarskapet av ramverket överfördes till nuvarande ägare Center for Internet Security (CIS). Och därav namnet CIS Controls.

Varför CIS Controls?

Hur och vad du ska göra för att uppnå tillräckligt bra säkerhet i er verksamhet är en klurig fråga utan definitiva svar. Det finns en uppsjö av åsikter och experter som predikar minst lika många metoder, ramverk och vägar till “säkerhet”. CIS8 är egentligen ingenting annat än ytterligare en åsikt, men den har åtminstone någorlunda vettig grund.

Det som tilltalar mig med CIS8 är rötterna genom vilka det skapades. CIS8 är sprungen från grundorsakerna till varför angripare har lyckats med sina angrepp och hur du på bästa sätt kan skydda dig. Förmågorna och tillhörande åtgärder är alltså ett försök att abstrahera bort tekniska detaljer utan att nödvändigtvis gör avkalla på essensen om varför angreppen lyckades.

Det finns flera anledningar. ISO27000-serien är redan relativt väldokumenterad, och där skulle jag “tävla” mot MSB som publicerar informationssäkerhet.se och så även SIS/TK-318 . Samtidigt tycker jag det är viktigt att bredda synen på cybersäkerhet, det finns fler ramverk värda att utforska. CIS8 är ett av dessa ramverk.

Argumenten för att inte använda?

Sådana finns det definitivt också.

Nu vill jag samtidigt göra klart att CIS8 inte på något sätt är magiskt. Förmågorna är som tidigare nämnt i stort oförändrade sedan 2008. Kopplingarna till varför åtgärderna och genom det förmågorna är nödvändiga för att skydda mot angrepp är faktiskt ganska svaga. Det finns inga referenser som hänvisar till statistik eller andra källor, utan det är mest historiken av förmågorna som ger den auktoritet.

Det är enligt mig en stor brist som, om den åtgärdades, skulle göra mycket för att ramverket ska kunna bibehålla sin relevans och framförallt ge den styrka i sitt argument. Detta är något jag försöker åtgärda i den här vägledningen genom att hänvisa till relevanta källor och underlag som ger stöd till varför en given åtgärd är vettig att införa.

Ramverket lämnar också en hel del att önska. Tittar jag tillbaka på ramverket hur det var utformat 2009 kan jag ibland tycka att det var tydligare och faktiskt bättre än nuvarande version. Genom åren har textmassor bearbetats och abstraherats bort från sin tidigare relativt tekniska grund. Det blandas fortfarande alldeles för mycket med mycket specifika åtgärder (ex. låsa skärmar efter 2 minuter) och att du ska … dokumentera dataflöden.

Kapitel 0x02 - Om den här vägledningen

Inledning

Den 18 maj 2021 uppdaterades CIS-kontrollerna till version 8. Och om jag utifrån antalet besökare på tidigare vägledning skulle bedömma intresset för CIS-förmågorna får jag nog ändå säga att det är relativt stort. Därför bestämde jag mig för att skriva en ny och uppdaterad vägledning för CIS Controls Version 8.

Syfte och målsättning

Det övergripande syftet med vägledningen är att hjälpa dig uppnå bättre cybersäkerhet och således mer och bättre motståndskraft mot cyberangrepp.

Min målsättning är att uppnå detta genom att ge en konkret, och kanske framförallt prioriterad lista på vilka åtgärder och genom det vilka förmågor du bör prioritera för att få mest skyddseffekt. Jag gör denna prioritering utifrån två huvusakliga grunder:

  1. Hänvisning till relevanta studier, rapport och källor
  2. Personliga erfarenhet från omvärldsbevakning , underrättelser om cyberangrepp

Jag vill samtidigt inte endast presentera en översättning av ramverket eftersom det lika gärna kan göras av Google Translate. Jag hoppas istället kunna ge lite mer handfasta råd om hur du kan använda ramverket genom personliga reflektioner och anekdoter kring införande av diverse åtgärder.

Hur använder jag den här vägledningen?

Alla verksamheter är i princip unika. Vissa kanske är mer “klassiska” och har egen datahallar, få molntjänster och har en egen it-avdelning. Andra kanske har börjat migrera till en IT-leverantör samtidigt som andra kör allt i molnet och är väldigt flexibla i sin IT-användning.

Många som väljer att följa ett ramverk gör det för att de vill jobba systematisk och möjliggöra någon form av kontroll av hur säkerheten över tid blir bättre. Och vissa kanske rentav endast nyfikna på alternativen till ISO-27000-serien.

Som en utgångspunkt för att använda den här vägledningen skulle jag vilja föreslå följande:

  1. Inventering av nuläge
    • Som ett första steg kan det vara vettigt att göra en översiktlig inventering av era nuvarande förmågor och åtgärder. Jag har skapat ett dokument som du kan använda för detta. Tanken är att du använder dokumentet för att lista vilka åtgärder ni har, och vilka ni inte har.
  2. Etablera grundläge
    • Efter inventeringen noterar du ett utgångsläge för var ni står idag. Detta kommer vara viktigt för att senare kunna uppvisa och demonstrera faktiskt förändring gentemot diverse styrgrupper, ledningsgrupper osv.
  3. Prioriterade åtgärder
    • Därefter kollar ni kolumnen för vilka åtgärder som anses vara prioriterade. Antingen väljer ni enligt CIS, eller enligt den prioritering jag har gjort.
  4. Periodisk avstämning
    • Vid regelbundna intervall gör ni en kontroll mot ert grundläge, noterar förändringarna som är gjorda och redogör för detta gentemot ledningen och förklarar konkret på vilket sätt detta bidragit till ökad säkerhet och således minskad risk.

Givetvis kan det vara så att det pågår många samtidiga säkerhetspåverkande projekt, eller införanden av säkerhetsåtgärder. Så är det. Bara att driva på som vanligt och försöka hålla er uppdaterade om vad som sker och hur dessa initiativ påverkar säkerheten.

Den periodiska avstämningen kräver många gånger, för att du konkret ska kunna påvisa effekterna, att ni har eller använder er utav en Security Operations Center (SOC). Det finns flera företag som erbjuder dessa tjänster och även om det inte är strikt sett nödvändigt för att bygga grundläggande förmåga är det svårt att motivera att en verksamhet inte har en säkerhetsövervakning.

Mätning av effekt kräver sensorer som kan mäta och ge dig mätvärden på vilka angrepp som stoppats i vilken fas. Och när jag pratar om fas menar jag exempelvis faserna i Cyber Kill Chain eller de olika taktikerna inom MITRE ATT&CK .

Terminologi

Inom ramen för CIS används begreppet Controls, men att översätta detta direkt till kontroll passar inte. Jag har därför valt att för den här vägledningen använda begreppet Förmåga istället vilket jag anser är en bättre översättning särskilt när vi beaktar vad det faktiskt handlar om.

Så istället för att säga CIS-Kontrollerna eller CIS-Åtgärderna säger jag CIS-Förmågorna. Och inom varje förmåga säger jag att det finns åtgärder vi kan vidta för att öka motståndskraft och stärka en eller flera förmågor.

I övrigt tror jag inte att den terminologi jag använder är särskilt anmärkningsvärd. Jag har i viss utsträckning kanske freestylat lite kring översättningar.

Kapitel 0x03 - Förändringar från föregående versioner

Förändringar avseende förmågor

Vad skiljer då version 8 från tidigare version 7.1? Skillnaden mellan 7.0 och 7.1 var i huvudsak Implementation Groups, eller IGs. Introduceringen av IGs var, och är antar jag, tänkt att försöka prioritera vilka åtgärder från varje förmåga som bör implementeras utifrån företagets mognad och storlek.

Tidigare fanns det 20 förmågor, men nu finns det istället 18.

Version 8 Version 7
Förmåga 1 - Inventering och hantering av hårdvarutillgångar Samma
Förmåga 2 - Inventering och hantering av mjukvarutillgågnar Samma
Förmåga 3 - Skydd av data Tidigare åtgärd 13
Förmåga 4 - Säker konfiguration av datorenheter och mjukvara Sammanslagning av Åtgärd 5 och 11
Förmåga 5 - Kontohantering Tidigare Åtgärd 16
Förmåga 6 - Åtkomstkontroll Sammanslagning av Åtgärd 4 och 14
Förmåga 7 - Kontinuerlig sårbarhetshantering Tidigare åtgärd 3
Förmåga 8 - Logghantering Tidigare åtgärd 6
Förmåga 9 - Skydd av e-post och webbläsare Tidigare åtgärd 7
Förmåga 10 - Skydd mot skadlig kod Tidigare åtgärd 8
Förmåga 11 - Dataåterställning Tidigare åtgärd 10
Förmåga 12 - Hantering av nätverksinfrastruktur NY
Förmåga 13 - Nätverksövervakning och försvar NY
Förmåga 14 - Program för ökad säkerhetsmedvetenhet Tidigare åtgärd 17
Förmåga 15 - Hantering av tjänsteleverantörer NY
Förmåga 16 - Säkerhet i mjukvaruutveckling Tidigare åtgärd 18
Förmåga 17 - Incidenthantering Tidigare åtgärd 19
Förmåga 18 - Penetrationstestning Tidigare åtgärd 20

Varför de har rört runt i grytan och flyttat på åtgärder vet jag inte, men kanske för att ange någon form av prioriterad ordning? I don’t know, men det irriterar eftersom det inte verkar finnas någon motivering till flytten.

Förmågan 15 är något slags försök att börja rama in hela “cloud”-härket som onekligen komplicerar saker och ting med att skydda verksamhetens data och tillgångar. Jag skulle inte säga att Förmåga 15 ger några särskilt anmärkningsvärda åtgärder utöver klassiska “åtgärder” som att övervaka och utvärdera tjänsteleverantörerna, eller att krav på säkerhet finns med i avtalen.

DEL II - Förmågorna

Varje förmåga består av ett antal åtgärder. Dessa har renodlats i version 8 och förändringar är gjorda inom princip samtliga förmågor. Med renodlat menar jag att flera förmågor har minskat den totala mängden åtgärder. Förändringarna är, anser jag, nödvändiga och lämpliga. Inom många förmågor fanns det tidigare åtgärder som var helt felplacerade vilket nu, överlag, verkar vara korrigerat och uppstädat. Men som jag tidigare nämn lämnar en del åtgärder en del att önska och “nivåerna” är ibland löjligt olika.

Jag beskriver varje förmåga så här:

  • Namnet på förmågan
    • Engelska namnet på kontrollen eftersom jag freestylar på översättningen.
    • Hur många åtgärder som finns inom förmågan. Parantesen anger implementeringsgrupperna (IG1-3) och hur många åtgärder som “tillhör” vilken grupp. (4/5/6) skulle innebära att 4 till hör IG1, 5 tillhör IG2 och 6 tillhör IG3.
    • Status:

Jag använder mig utav ett antal kategorier för Status och dessa är Ej uppdaterad, Ej klar och Klar.

Ej uppdaterad betyder att jag ännu inte gått igenom förmågan jämfört med tidigare versioner för att utreda eventuella skillnader. Generellt sett är förändringarna få.

Ej klar betyder att jag ännu inte skrivit artikeln som behandlar förmågan.

Klar betyder att artikeln som behandlar förmågan är uppdaterad och kan betraktas som klar.

Här nedan ser du en sammanställning av vilka förmågor som finns och hur många åtgärder som finns under respektive förmåga.

  1. Inventering och hantering av hårdvarutillgångar
    • Eng: Inventory and Control of Enterprise Assets
    • 5 åtgärder (2/4/5)
    • Status: Ej uppdaterad
  2. Inventering och hantering av mjukvarutillgångar
    • Eng: Inventory and Control of Software Assets
    • 7 åtgärder (3/6/7)
    • Status: Ej uppdaterad
  3. Skydd av data
    • Eng: Data Protection
    • 14 åtgärder (6/12/14)
    • Status: Ej klar
  4. Säker konfiguration av hårdvarutillgångar och mjukvarutillgångar
    • Eng: Secure Configuration of Enterprise Assets and Software
    • 12 åtgärder (7/11/12)
    • Status: Ej klar
  5. Kontohantering
    • Eng: Account Management
    • 6 åtgärder (4/6/6)
    • Ej uppdaterad
  6. Hantering av åtkomstkontroll
    • Eng: Access Control Management
    • 8 åtgärder (5/7/8)
    • Status: Ej klar
  7. Kontinuerlig sårbarhetshantering
    • Eng: Continuous Vulnerability Management
    • 7 åtgärder (4/7/7)
    • Status: Ej uppdaterad
  8. Logghantering
    • Eng: Audit Log Management
    • 12 åtgärder (3/11/12)
    • Status: Ej uppdaterad
  9. Skydd av e-post och webbläsare
    • Eng: Email and Web Browser Protections
    • 7 åtgärder (2/6/7)
    • Status: Ej uppdaterad
  10. Skydd mot skadlig kod
    • Eng: Malware Defenses
    • 7 åtgärder (3/7/7)
    • Status: Ej uppdaterad
  11. Återställning av data
    • Eng: Data Recovery
    • 5 åtgärder (4/5/5)
    • Status: Ej uppdaterad
  12. Hantering av nätverksinfrastruktur
    • Eng: Network Infrastructure Management
    • 8 åtgärder (1/7/8)
  13. Nätverksövervakning och försvar
    • Eng: Network Monitoring and Defense
    • 11 åtgärder (0/6/11)
  14. Säkerhetsmedvetande och träning
    • Eng: Security Awareness and Skills Training
    • 9 åtgärder (8/9/9)
    • Status: Ej klar
  15. Hantering av tjänsteleverantörer
    • Eng: Service Provider Management
    • 7 åtgärder (1/4/7)
    • Status: Ej klar
  16. Säkerhet i mjukvaruutveckling
    • Eng: Application Software Security
    • 14 åtgärder (0/11/14)
    • Status: Ej klar
  17. Incidenthantering
    • Eng: Incident Response Management
    • 9 åtgärder (3/8/9)
    • Status: Ej klar
  18. Penetrationstestning
    • Eng: Penetration testing
    • 5 åtgärder (0/3/5)
    • Status: Ej klar

Totalt 18 förmågor med 146 enskilda åtgärder.

Kapitel 0x04 - Förmåga 1: Inventering och hantering av hårdvarutillgångar

Namn: Inventering och hantering av hårdvarutillgångar
Antal åtgärder: 5
IG1: 2
    - (I) Upprätta och underhåll en detaljerad inventering över tillgångar i verksamheten.
    - (R) Hantera icke-auktoriserade tillgångar.
IG2: 4
    - (D) Använd ett verktyg för att aktivt upptäcka tillgångar.
    - (I) Använd DHCP loggning för att uppdatera inventeringen.
IG3: 5
    - (D) Använd ett verktyg för att passivt upptäcka tillgångar.

Beskrivning

Målsättningen med den här förmågan är att du ska veta vilka enheter som finns inom verksamheten och är anslutna till det företagets nätverk. Klienter, servrar, mobila enheter, nätverksinfrastruktur, IoT-enheter, virtuellt och fysiskt allt ska du ha koll på.

Motiveringen, enligt CIS8, är att angripare kontinuerligt utnyttjar nytillkomna enheter anslutna till nätverket som kanske ännu inte härdats.

Du ska bland annat kunna identifiera nya enheter, men också agera på nya och icke-godkända enheter. Alla typer av enheter ska inventeras och kontinuerligt uppdateras.

Notera att inventering av hårdvarutillgångar i viss mån går emot principen om Zero Trust Network/Architecture . Enligt ZT[AN]-principerna utgår vi ifrån att nätverket innehåller fientliga enheter och att nätverksperimetern inte skall antas vara en “säker zon”. Istället hänger vi upp säkerheten på en kombination vilken enhet, användare som ansluter från vilken plats vid vilken tidpunkt mot vilken tjänst. Kombinationen ger vilken åtkomst som skall medges och då spelar det ingen roll om det finns icke-godkända enheter på nätverket.

Kapitel 0x05 - Förmåga 2: Inventering och hantering av mjukvarutillgångar

Namn: Inventering och hantering av mjukvarutillgångar.
Antal åtgärder: 7
IG1: 3
    - (I) Upprätta och underhåll en katalog över mjukvaror.
    - (I) Försäkra dig om att tillåten mjukvara är supporterad.
    - (R) Hantera icke-auktoriserade tillgångar.
IG2: 6
    - (D) Använd ett verktyg för inventering av mjukvara.
    - (P) Använd vitlistning för godkänd mjukvara.
    - (P) Använd vitlistning för godkända mjukvarubibliotek.
IG3: 7
    - (P) Använd vitlistning för godkända skript.

Beskrivning

Målsättningen med förmågan är att få kontroll på vilka programvaror som kör i era system.

Kapitel 0x06 - Förmåga 3: Skydd av data

Namn: Skydd av data
Antal åtgärder: 14
IG1: 6
    - (I) Upprätta och underhåll en process för datahantering
    - (I) Upprätta och underhåll en datainventering.
    - (P) Konfigurera listor för kontroll vid dataåtkomst.
    - (P) Upprätthåll riktlinjer för databevarande
    - (P) Förstör data på ett säkert sätt
    - (P) Kryptera data på klientenheter.
IG2: 12
    - (I) Upprätta och underhåll riktlinjer för dataklassificering
    - (I) Upprätta och underhåll riktlinjer för dataklassificering
    - (P) Kryptera data på löstagbara medier.
    - (P) Kryptera känsliga data vid transport.
    - (P) Kryptera känsliga data vid vila.
    - (P) Segmentera datahantering från lagring baserat på känslighetsgrad.
IG3: 14
    - (P) Inför en DLP-lösning
    - (D) Logga åtkomst till känsliga data.

Kapitel 0x07 - Förmåga 4: Säker konfiguration av verksamhetens hård- och mjukvarutillgångar

Namn: Säker konfiguration av verksamhetens hård- och mjukvarutillgångar.
Antal åtgärder: 12
IG1: 7
    - (P) Upprätta och underhåll en process för säker konfiguration av nätverksinfrastruktur.
    - (P) Upprätta och underhåll en process för säker konfiguration av nätverksinfrastruktur.
    - (P) Konfigurera automatisk låsning av hårdvarutillgångar (klienter)
    - (P) Implementera och hantera brandväggar på servrar.
    - (P) Implementera och hantera brandväggar på klienter.
    - (P) Administrera och hantera hård- och mjukvarutillgångar på ett säkert sätt.
    - (P) Hantera default-konton på hård- och mjukvarutillgångar.
IG2: 11
    - (P) Avinstallera eller stäng av onödiga tjänster på hård- och mjukvarutillgångar.
    - (P) Konfigurera användning av betrodda DNS-servrar på hårdvarutillgångar.
    - (R) Tvinga användning av automatisk utlåsning på mobila enheter.
    - (P) Tvinga fjärrtömning av mobila enheter.
IG3: 12
    - (P) Separera användningen mellan arbete och privata data på klienter.

Kapitel 0x08 - Förmåga 5: Kontohantering

Namn: Kontohantering
Antal åtgärder: 6
IG1: 4
    - (I) Upprätta och underhåll en inventering av konton.
    - (P) Använd unika lösenord.
    - (R) Stäng av konton som inte används.
    - (P) Begränsa administrativa rättigheter till ett fåtal dedikerade konton.
IG2: 6
    - (I) Upprätta och underhåll en inventering av tjänstekonton.
    - (P) Centralisera kontohantering. 
IG3: 6
    - Inga utöver IG2.

Kapitel 0x09 - Förmåga 6: Åtkomstkontroll

Namn: Åtkomstkontroll
Antal åtgärder: 8
IG1: 5
    - (P) Upprätta en process för att tilldela behörigheter.
    - (P) Upprätta en process för att revokera behörigheter.
    - (P) Kräv flerfaktors-autentisering för externt tillgängliga applikationer.
    - (P) Kräv flerfaktors-autentisering för åtkomst över nätverket.
    - (P) Kräv flerfaktors-autentisering för administratörsåtkomst.
IG2: 7
    - (I) Upprätta och underhåll ett inventarie av verksamhetens samtliga autentisering och behörighetssystem.
    - (P) Centralisera åtkomstkontroll.
IG3: 8
    - (P) Definiera och underhåll roll-baserad åtkomstkontroll.

Kapitel 0x0A - Förmåga 7: Kontinuerligt sårbarhetshantering

Namn: Kontinuerligt sårbarhetshantering
Antal åtgärder: 7
IG1: 4
    - (P) Upprätta och underhåll en process för sårbarhetshantering.
    - (R) Upprätta och underhåll en process för åtgärdshantering.
    - (P) Utför automatiskt uppdatering av operativsystem.
    - (P) Utför automatisk uppdatering av applikationer.
IG2: 6
    - (I) Utför automatisk sårbarhetsscanning av interna system.
    - (I) Utför automatisk sårbarhetsscanning av externt tillgängliga system. 
    - (R) Åtgärda identifierade sårbarheter.
IG3: 6
    - Inga utöver IG2.

Kapitel 0x0B - Förmåga 8: Logghantering

Namn: 8. Logghantering
Antal åtgärder: 12
IG1: 3
    - (P) Upprätta och underhåll en process för logghantering.
    - (D) Samla in loggar.
    - (P) Försäkra dig om att det finns tillräckligt med lagringsutrymme för loggarna.
IG2: 11
    - (P) Standardisera tidssynkronisering
    - (P) Samla in detaljerade loggar.
    - (D) Samla in loggar från DNS-förfrågningar.
    - (D) Samla in loggar från URL-förfrågningar.
    - (D) Samla in loggar från cmdline.
    - (D) Centralisera logghanteringen.
    - (P) Behåll loggar i minst 90 dagar.
    - (D) Analysera loggar.
IG3: 12
    - (D) Samla in loggar från tjänsteleverantörer.

Kapitel 0x0C - Förmåga 9: Skydd av e-post och webbläsare

Namn: Skydd av e-post och webbläsare
Antal åtgärder: 7
IG1: 2
    - (P) Använd endast godkända webbläsare och e-postklienter.
    - (P) Använd DNS-filtrering.
IG2: 6
    - (P) Underhåll och tvinga filtrering av URL.
    - (P) Begränsa onödiga eller icke-godkända webbläsare och e-postklient tillägg.
    - (P) Implementera DMARC
    - (P) Blockera onödiga filttyper.
IG3: 7
    - (P) Installera och underhåll ett antivirus på epost-servern.

Kapitel 0x0D - Förmåga 10: Skydd mot skadlig kod

Namn: Skydd mot skadlig kod
Antal åtgärder: 7
IG1: 3
    - (P) Installera och underhåll programvara för antivirus.
    - (P) Konfigurera automatiskt uppdatering av antivirus-signaturer.
    - (P) Stäng av automatisk körning av löstagbara medier.
IG2: 7
    - (D) Konfigurera automatisk antivirusscanning av löstagbara medier.
    - (P) Slå på anti-exploateringsfunktioner.
    - (P) Centralisera styrning av antivirus-programvara.
    - (D) Använd programvara för beteende-baserad antivirus.
IG3: 7
    - Inga utöver IG2.

Kapitel 0x0E - Förmåga 11: Dataåterställnig

Namn: Dataåterställning
Antal åtgärder: 5
IG1: 4
    - (R) Upprätta och underhåll en process för dataåterställning.
    - (R) Genomför automatiska backuper.
    - (P) Skydda backuper.
    - (R) Upprätta och underhåll isolerade kopior av backuper.
IG2: 5
    - (R) Testa rutiner för dataåterställning.
IG3: 5
    - Inga utöver IG2.

Kapitel 0x0F - Förmåga 12: Hantering av nätverksinfrastruktur

Namn: Hantering av nätverksinfrastruktur
Antal åtgärder: 8
IG1: 1
    - (P) Försäkra dig om att nätverksinfrastrukturen är uppdaterad.
IG2: 7
    - (P) Upprätta och underhåll en säker nätverksarkitektur.
    - (P) Hantera på ett säkert sätt nätverksinfrastrukturen.
    - (I) Upprätta och underhåll diagram för arkitekturen.
    - (P) Centralisera nätverksbaserad autentisering, behörighetskontroll och läggning. (AAA)
    - (P) Använd säkra protokoll för nätverks- hantering och kommunikation.
    - (P) Försäkra dig om att fjärrenheter använder ett VPN och är anslutna till verksamhetens AAA-system.
IG3: 8
    - (P) Upprätta och underhåll dedikerade klienter för administrativa arbetsuppgifter.

Kapitel 0x10 - Förmåga 13: Övervakning och skydd av nätverk

Namn: Övervakning och skydd av nätverk
Antal åtgärder: 11
IG1: 0
    - Inga åtgärder.
IG2: 6
    - (D) Centralisera loggning av säkerhetsrelevanta händelser.
    - (D) Installera en lösning för klient-baserad intrångsdetektering. (HIDS)
    - (D) Installera en lösning för nätverksbaserad intrångsdetektering. (IDS)
    - (P) Filtrera trafik mellan nätverkssegment.
    - (P) Hantera åtkomstkontroll för fjärråtkomst.
    - (D) Samla in loggar avseende nätverkstrafik.
IG3: 11
    - (P) Installera en lösning för klient-baserad intrångsskydd. (HIPS)
    - (P) Installera en lösning för nätverksbaserad intrångsskydd. (IPS)
    - (P) Använd åtkomstkontroll på port-nivå.
    - (P) Använd filtrering på applikations-nivå.
    - (D) Anpassa och justera tröskelvärden för säkerhetshändelser.

Kapitel 0x11 - Förmåga 14: Program för ökad säkerhetsmedvetenhet

Namn: Program för ökad säkerhetsmedvetenhet
Antal åtgärder: 9
IG1: 8
    - (P) Upprätta och underhåll ett program för säkerhetsmedvetenhet.
    - (P) Utbilda anställda i att identifiera angrepp genom social engineering.
    - (P) Utbilda anställda i användning av god autentiseringssed.
    - (P) Utbilda anställda i hantering av data.
    - (P) Utbilda anställda om orsakerna till ofrivillig dataexponering.
    - (P) Utbilda anställda i att identifiera och rapportera säkerhetsrelevanta händelser.
    - (P) Utbilda anställda i att identifiera om deras klieter saknar säkerhetsuppdateringar.
    - (P) Utbilda anställda i farorna med att ansluta och skicka data över osäkra nätverk.
IG2: 9
    - (P) Genomför rollspecifik utbildning för säkerhetsmedvetenhet och kompetens.
IG3: 9
    - Inga utöver IG2.

Kapitel 0x12 - Förmåga 15: Hantering av tjänsteleverantörer.

Namn: Hantering av tjänsteleverantörer
Antal åtgärder: 7
IG1: 1
    - (I) Upprätta och underhåll en inventering av tjänsteleverantörer.
IG2: 4
    - (I) Upprätta och underhåll en policy för hantering av tjänsteleverantörer.
    - (I) Klassificera tjänsteleverantörer.
    - (P) Försäkra dig om att avtal med tjänsteleverantörer innehåller säkerhetskrav.
IG3: 7
    - (I) Utvärdera tjänsteleverantörer.
    - (D) Övervaka tjänsteleverantörer.
    - (P) Avveckla på ett säkert sätt tjänsteleverantörer.

Kapitel 0x13 - Förmåga 16: Säkerhet i applikationer

Namn: Säkerhet i applikationer
Antal åtgärder: 14
IG1: 0
    - Inga åtgärder.
IG2: 11
    - (P) Upprätta och underhåll en process för säker utveckling.
    - (P) Upprätta och underhåll en process för att acceptera och adressera sårbarheter.
    - (P) Genomföra rot-orsaksanalys för sårbarheter.
    - (P) Upprätta och hantera en inventering av tredje-parts komponenter för mjukvara.
    - (P) Använd uppdaterade och betrodda tredjeparts komponenter för mjukvara.
    - (P) Upprätta och underhåll ett system för värdering av säkerhetsbrister och en process för sårbarheter i applikationer.  
    - (P) Använd standardiserade härdningsmallar för applikationsinfrastrukturer.
    - (P) Separera produktion och icke-produktionssystem.
    - (P) Utbilda utvecklare i applikationssäkerhet och säker utveckling.
    - (P) Tillämpa principer för säkerkod i applikationsarkitekturer.
    - (P) Använd granskade moduler eller tjänster för applikationssäkerhet
IG3: 14
    - (P) Implementera kontroller och granskning av kod.
    - (P) Genomför penetrationstestning av applikationer.
    - (P) Genomför hotmodellering.

Kapitel 0x14 - Förmåga 17: Incidenthantering

Namn: Incidenthantering
Antal åtgärder: 9
IG1: 3
    - (R) Dedikera personal för att hantera incidenter.
    - (R) Upprätta och underhåll kontaktinformation för att rapportera säkerhetsincidenter.
    - (R) Upprätta och underhåll en process för att rapportera incidenter.
IG2: 8
    - (R) Upprätta och underhåll en process för incidenthantering.
    - (R) Tilldela nyckelroller och ansvar.
    - (R) Definiera mekanismer för att kommunicera under en incidentutredning.
    - (RV) Genomför rutinmässiga övningar för incidenthantering.
    - (RV) Genomför post-incident genomgångar.
IG3: 9
    - (RV) Upprätta och underhåll normvärden för säkerhetsincidenter.

Kapitel 0x15 - Förmåga 18: Penetrationstester

Namn: Penetrationstester
Antal åtgärder: 5
IG1: 0
    - Inga åtgärder.
IG2: 3
    - (I) Upprätta och underhåll ett program för penetrationstestning.
    - (I) Genomför periodvis externa penetrationstester.
    - (P) Brister som identifieras vid ett penetrationstest ska åtgärdas.
IG3: 5
    - (P) Validera säkerhetsåtgärder.
    - (I) Genomför periodvis interna penetrationstester.

DEL III - Mäta och följa upp

EJ KLAR!

DEL IV - Avslutande kommentarer

Detta är en avslutande kommentar. Tack för ditt tålamod att läsa hela vägen hit… och om du scrollade och letade efter en TL;DR kan jag tyvärr inte erbjuda dig någon sådan.

Tack till

Detta är en tämligen omfattande produktion och det introduceras, tyvärr, ofrånkomligen språkliga tokigheter. Men lyckligtvis finns det många som läser med förstoringsglas och med en vilja att uppnå perfektion.

Jag skulle vilja tacka följande person(er) som bidragit med synpunkter och kommentarer på innehållet:

FörsvarVägledningCIS Version 8.0

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Mitt system för personlig kunskapshantering

Introduktion till Payment Card Industry Data Security Standard (PCI DSS)