CIS Critical Security Controls 8.1 - Vägledningen - Introduktion

Detta är en vägledning med rötterna i CIS Critical Security Controls version 8.1. Målsättningen är att hjälpa dig som läsare ta ett första, och gärna fler, steg mot förbättrad cybersäkerhet. Jag upplever att många mindre och medelstora företag utmanas i att ta de här första stegen. Friktionen är alltid som störst när vi ska börja röra oss framåt.

Jag vill hjälpa fler företag att lyckas ta de här första stegen. Desto fler svenska företagare som tar ett första steg gör att vi tillsammans ökar Sveriges gemensamma motståndskraft till cyberangrepp.

Under den sena hösten 2018 skrev jag en uppskattad vägledning för ramverket CIS Critical Security Controls version 7.0 . Ramverket finns nu i version 8.1 och du läser introduktionen till min uppdaterade vägledning.

I motsats till sin föregångare är den här vägledningen utformad för att du så snabbt som möjligt ska komma igång med att förbättra din cybersäkerhet. Genom att jag prioriterar och väljer vilka åtgärder du ska införa, genom att jag förklarar i relativt god detaljrikedom hur du kan införa föreslagna åtgärder, och genom att du gör jobbet kommer vi förhoppningsvis tillsammans göra reell skillnad i er motståndskraft för cyberangrepp.

Om du är ivrig att börja direkt, utan att överhuvudtaget först förstå hur jag resonerar kring varför jag gjort vilka prioriteringar, så kan du börja här med DNS-filtrering vilket är den första föreslagna och således prioriterade åtgärden.

Inledning

Målsättningar

Den här nya vägledningen skiljer sig i vissa avseenden från sin föregångare. Först och främst har jag givit mig själv en övergripande målsättning, eller kanske mer av en princip. Jag vill att du ska komma igång, ta ett första steg så snabbt som möjligt. Det är så lätt att … vänta på det perfekta tillfället att börja, istället för att … bara börja. Därför låter jag mig själv vägledas av principen att vägledningen ska hjälpa dig att komma igång, gärna idag.

Prioritera, genomföra och mäta

Utöver denna överordnade princip har jag introducerat några ytterligare målsättningar för vägledningen. Självklart vill jag att den ska uppfattas som användbar och välskriven men jag vill även hjälpa dig med att:

1. Prioritera - Jag beskriver vilka åtgärder som ska införas och i vilken ordning.
2. Genomföra - Jag beskriver mer ingående om HUR föreslagna åtgärder kan införas.
3. Mäta - Jag beskriver hur du kan mäta effekten av införda åtgärder.

Prioriteringen skulle jag vilja säga är den viktigaste målsättningen. Det är relativt enkelt att berätta om allt du skulle kunna göra, men det är desto svårare att välja vad du ska göra först och varför. Det försöker jag hjälpa dig med i den här vägledningen.

Genomförandet är något som oftast lämnas till läsaren själv att lösa. Och precis här i genomförandet upplever jag att många fastnar. Därför kommer jag spendera betydligt mer energi och tid på att mer ingående förklara hur du kan gå tillväga för att införa den föreslagna åtgärden, eller åtgärderna, med konkreta rekommendationer på tjänster och produkter.

Effekten av en åtgärd SKA vara en naturlig del av införandet och därför kommer jag försöka i möjligaste mån även lämna förslag på hur du kan mäta och följa upp införda åtgärder. Jag vill att du alltid ska tänka mäta, mäta och mäta.

Sammantaget innebär detta att vägledningen har fått en annan struktur, men med en förhoppning om en tydligare väg genom ramverket. Du vill skydda ditt företag från cyberangrepp, och jag vill hjälpa dig göra det.

Målgrupp

Jag föreställer mig att du är någon som vill göra skillnad. Du har samtidigt inte oceaner av tid, och du har kanske troligen begränsat med pengar att spendera på säkerhet. Du behöver prioritera det som ger effekt här och nu, utan krussiduller.

Jag föreställer mig vidare att du troligen jobbar själv med ansvaret för cybersäkerhet på ett mindre till medelstort företag, kanske har du flera hattar. Jag skriver med utgångspunkten i att du inte har möjlighet att lägga all din vakna tid på cybersäkerhet. Jag skriver således ibland lite mer ingående förklaringar av grundläggande koncept och principer.

Om du är anställd på ett större nationellt, eller multi-nationellt, företag kommer du troligen inte få samma behållning av vägledningen även om du också självklart är välkommen att läsa och plocka eventuella russin ur kakan.

Användning

Min intention och således din instruktion är att läsa vägledningen från start till slut. Den är organiserad i den ordning som jag anser att åtgärder ska införas. Detta är ett avsteg från min föregående vägledningen där jag gick igenom varje enskilt åtgärdsområde.

Om du aldrig tidigare arbetat med ramverket kan du med fördel läsa avsnittet som heter Ramverkets 18 åtgärdsområden där jag kort introducerar varje åtgärdsområde.

Terminologi

Det finns några centrala begrepp som vi behöver vara överens om. Ramverket talar om “Controls” vilket jag översätter till åtgärdsområden. Och varje område innehåller en rad “Safeguards”, vilka jag väljer att kalla åtgärder.

Varje åtgärdsområde är vidare uppdelat i Implementations Groups (implementationsgrupper), ramverkets prioritering för respektive område. Jag delar inte dessa prioriteringar och de känns tämligen godtyckliga.

Feedback

Jag skriver den här vägledningen till och för dig, hjälp mig förbättra. Jag tar tacksamt emot alla former av feedback på innehållet, ris såväl som ros. Dra iväg ett mejl till cis81@cstromblad.com om du har något du skulle vilja se förbättras.

Ramverkets 18 åtgärdsområden

Jag har gjort enklare översättningar av åtgärdsområdena och en enklare översättning av ramverkets egna beskrivningar av åtgärdsområdet. Följande åtgärdsområden finns definierade i ramverket.

Observera att detta är ordningen enligt ramverket, vilket kanske skulle kunna antas antyda någon slags prioritering. Det är dock långt ifrån den prioritering jag gör. Nedan endast för att i sin helhet visa på ramverkets omfattning och innehåll.

Notera vidare att varje åtgärdsområde sedan är följt av flertalet åtgärder vilket totalt ger dig ett hundratal åtgärder som skulle kunna införas, och det … är många att hantera, prioritera och jobba med.

Ramverkets 18 åtgärdsområden

Jag har gjort enklare översättningar av åtgärdsområdena och en enklare översättning av ramverkets egna beskrivningar av åtgärdsområdet. Följande åtgärdsområden finns definierade i ramverket.

Observera att detta är ordningen enligt ramverket, vilket kanske skulle kunna antas antyda någon slags prioritering. Det är dock långt ifrån den prioritering jag gör. Nedan endast för att i sin helhet visa på ramverkets omfattning och innehåll.

1. Control 1 - Inventory and Control of Enterprise Assets - Inventering och hantering av företagets tillgångar.
   • Du ska aktivt hantera alla av företagets tillgångar (klient-, nätverks-, IoT-enheter samt servrar) som är anslutna till företagets infrastruktur fysiskt, virtuellt, fjärr och de tillgångar som finns i molnet.
2. Control 2 - Inventory and Control of Software Assets - Inventering och av hantering av mjukvara.
   • Du ska aktivt hantera alla av företagets mjukvara (operativsystem och applikationer) som finns på nätverket så att endast godkänd programvara kan installeras och exekvera och förhindra att icke-godkänd programvara installeras och exekveras.
3. Control 3 - Data Protection - Skydd av data.
   • Du ska utveckla processer och införa tekniska åtgärder som kan identifiera, klassificera, säkert hantera, bevara och ta bort data.
4. Control 4 - Secure Configuration of Enterprise Assets and Software - Säker konfiguration för företagets tillgångar och mjukvara.
   • Du ska etablera och underhålla säkra konfigurationer för företagets alla tillgångar och mjukvara.
5. Control 5 - Account Management - Kontohantering
   • Du ska använda processer och verktyg för att tilldela och hantera rättigheter och åtkomst till företagets tillgångar och mjukvara.
6. Control 6 - Access Control Management - Hantering av åtkomstkontroll
   • Du ska använda processer och verktyg för att skapa, tilldela, hantera och ta bort rättigheter för åtkomst och andra privilegier för användare, administratörer och tjänstekonton till företagets tillgångar och mjukvaror.
7. Control 7 - Continuous Vulnerability Management - Kontinuerlig hantering av sårbarheter
   • Du ska utveckla en plan för att kontinuerligt utvärdera och följa sårbarheter för företagets samtliga tillgångar med målet om att åtgärda, och minimera, möjligheten för angripare att utnyttja sårbarheterna. Övervaka publika och privata sektors källor för nya hot och sårbarhetsinformation.
8. Control 8 - Audit Log Management - Logghantering
   • Du ska inhämta, analysera och spara loggar för att kunna upptäcka, förstå och återhämta er från ett angrepp.
9. Control 9 - Email and Web Browser Protections - Skydd av e-post och webbläsare
   • Du ska förbättra skydd och upptäckt av hot som använder e-post och webb som vektor.
10. Control 10 - Malware Defenses - Skydd mot skadlig kod
    • Du ska förhindra och begränsa installation, spridning och exekvering av skadliga applikationer, kod och script på företagets tillgångar.
11. Control 11 - Data Recovery - Dataåterställning
    • Du ska etablera och underhålla tillräckliga rutiner för dataåterställning för företagets tillgångar och applikationer till ett tidigare säkert tillstånd.
12. Control 12 - Network Infrastructure Management - Hantering av nätverksinfrastruktur
    • Du ska etablera och aktivt hantera (övervaka, rapportera, korrigera) nätverksenheter med mål om att förhindra angripare från att utnyttja sårbara nätverkstjänster och åtkomstpunkter.
13. Control 13 - Network Monitoring and Defense - Försvar och övervakning av nätverk
    • Du ska etablera processer och verktyg för att möjliggöra omfattande övervakning och försvar av nätverk från hot som kommer från hela företagets infrastruktur och användare.
14. Control 14 - Security Awareness and Skills Training - Program för ökad säkerhetsmedvetenhet
    • Du ska etablera och underhålla ett program för säkerhetsmedvetenhet för att påverka beteendet hos anställda så att de blir mer säkerhetsmedvetna och ges färdigheter att begränsa cybersäkerhetsrisker i företaget.
15. Control 15 - Service Provider Management - Hantering av tjänsteleverantörer
    • Du ska utveckla en process för att utvärdera tjänsteleverantörer som hanterar känsliga data, eller är ansvariga för företagets kritiska IT-system eller processer, med mål om att säkerställa att dessa leverantörer skyddar IT-system och data på ett tillräckligt sätt.
16. Control 16 - Application Software Security - Säkerhet i mjukvaruutveckling
    • Du ska hantera hela livscykeln för säkerhet i mjukvara som utvecklas inom företaget, hostas av extern leverantör, eller köps för att kunna förhindra, upptäcka och åtgärda säkerhetsbrister innan de kan utnyttjas och skapa konsekvenser för företaget.
17. Control 17 - Incident Response Management - Incidenthantering
    • Du ska etablera ett program för att utveckla och underhålla en incidenthanteringsförmåga (policies, planer, rutiner, roller, utbildning och kommunikation) för att kunna förbereda, upptäcka och snabbt hantera ett angrepp.
18. Control 18 - Penetration Testing - Penetrationstestning
    • Du ska testa hur effektivt och resilient företagets tillgångar är genom att identifiera och utnyttja sårbarheter i åtgärder (för människor, processer och teknik), genom att simulera mål och agerande från en angripare. [[CIS81 - Översättning och inventering av samtliga åtgärdsområden och tillhörande åtgärder]]

Vad ska du börja med?

Och med föregående avsnitt som bakgrund, vad börjar du med? Av alla dessa åtgärder, vad gör du först?

Det finns som du säkert redan förstått mängder med saker du skulle kunna göra. Det kanske viktigaste du kan göra är att komma igång. Och givetvis spelar det roll vad vi börjar med eftersom vi behöver visa effekterna av vad vi har gjort. Du kommer behöva genom handling och effekt visa för dina chefer, dina anställda att det du vill göra har en reell effekt för verksamheten och dess skydd från cyberangrepp.

Många företag tänker på cybersäkerhet, men har inte riktigt kommit igång av olika anledningar. Oftast handlar det om en slags analysis-paralysis. Vi läser, studerar och rådfrågar de kunniga om vad vi ska göra först men vi lyckas aldrig riktigt komma vidare.

Därför vill jag argumentera att du behöver komma igång med något enkelt, men som också har potential att omedelbart börja skydda företaget från angrepp.

Ditt företag, likt många andra, har användare som trycker på länkar som de får till sin e-post, och de besöker hemsidor i sitt surfande. Angripare vet självklart detta och försöker därför luras på alla tänkbara sätt och vis så att användare istället trycker på deras skadliga länkar, och besöker deras skadliga hemsidor.

Redan införda säkerhetsåtgärder

Likt tidigare vägledning föreslog jag enklare sätt att mäta din nuvarande förmåga inom åtgärdsområdet. Och även om jag skulle vilja rekommendera att ni börjar med en inventering är det något som kommer att ta tid, och ändå inte förbättra det reella skyddet mot angrepp.

Jag ser detta som ett utvecklingsområde där jag gärna samarbetar med någon som har bra idéer på hur en “inventering” av existerande åtgärder kan genomföras, dokumenteras och framförallt användas. Hör av dig om du har bra tankar på området!

7 prioriterade åtgärder att börja med

Nedan följer 7 åtgärder jag rekommenderar och kommer över de kommande veckorna länka till respektive artikel för en mer detaljerad genomgång och vägledning för införande.

1. Använd tjänster för DNS-filtrering - Åtgärd 9.2.
2. Tvinga MFA för fjärråtkomst - Åtgärd 6.4.
3. Genomför automatisk applikations uppdatering - Åtgärd 7.4 (variant av)
4. Genomför Automatiserade Backuper - Åtgärd 11.2.
5. Använd ett aktivt inventeringsverktyg - Åtgärd 1.3 (variant av)
6. Säkerställ att alla enheter använder ett VPN och ansluter till företagets AAA infrastruktur - Åtgärd 12.7.
7. Implementera DMARC - Åtgärd 9.5.

Många ställer sig frågan, varför de här åtgärderna och inget X och Y? Det är en kombination av åsikt, erfarenhet och “balans”. Balans mellan enkelhet att införa, tillämplighet oavsett storlek på företag, effekten för att skapa högre resiliens och kostnad för införande samt hantering över tid.

Det finns åtgärder jag skulle vilja rekommendera som att t.ex. införa en Endpoint Detection and Response (EDR). Dessa är fantastiska, under vissa omständigheter. Den här typen av säkerhetsprodukt behöver aktivt övervakas, dygnet runt med aktiv åtgärd vid larm. Jag har vid flertalet tillfällen, tyvärr, erfarit att verktygen larmat (alltså upptäckt pågående intrång) men ingen har agerat och angreppet har lyckats.

Det genomsnittliga företaget (vilket i praktiken egentligen innebär små och medelstora företag) anser jag bör börja med ovan föreslagna åtgärder eftersom de oftast har en direkt och osynlig effekt på skyddet.