Die CIS Critical Security Controls (CIS Controls) sind ein Satz von Best-Practice-Richtlinien, der vom Center for Internet Security (CIS) erstellt wurde, um Organisationen dabei zu helfen, sich gegen Cyberbedrohungen zu schützen. CIS Controls bestehen seit 2008 und mit jeder neuen Version werden sie immer umfassender und effektiver. Die neueste Version der CIS Controls, Version 8, wurde 2021 veröffentlicht und enthält Updates und Änderungen im Vergleich zur vorherigen Version 7.

CIS Critical Security Controls v8

Bedeutung der CIS Controls

CIS Controls sind für Organisationen jeder Größe und jedes Sektors wichtig, da sie eine einfache, aber effektive Möglichkeit bieten, eine Reihe von Cybersecurity-Protokollen zu implementieren, die die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs erheblich reduzieren können. Dieser Artikel bietet eine Übersicht über CIS Controls, diskutiert, was in Version 8 neu ist, erläutert, wie CIS Controls implementiert werden können und wie Kiteworks Organisationen dabei helfen kann, die Richtlinien der CIS Controls einzuhalten.

Überblick über die CIS Critical Controls

CIS Controls sind dafür konzipiert, Organisationen bei der Abwehr der häufigsten und erfolgreichsten Cyberangriffe zu helfen. Es handelt sich um einen Satz von Best Practices und Empfehlungen, der über viele Jahre entwickelt wurde und auf den Erfahrungen von Cybersecurity-Experten aus der ganzen Welt basiert. Organisationen sollten sie in ihre breiteren Cybersecurity Risk Management-Strategien integrieren, um sicherzustellen, dass sie alles tun, um ihre Systeme und Daten zu schützen.

CIS Controls v8, released in October 2020, is the most recent version of the CIS Controls. The new version provides organizations with a comprehensive list of controls that can be used to reduce their cybersecurity risk. The controls are divided into three categories: Essential, Prioritized, and Foundational.

CybersicherheitsrisikomanagementStrategie.

CIS-Controls bieten Organisationen ein Cybersecurity-Framework, das die Wahrscheinlichkeit eines Cyberangriffs reduziert, der ihre Systeme kompromittiert. CIS-Controls werden in drei Kategorien unterteilt: Grundlegende Sicherheitskontrollen, Erweiterte Sicherheitskontrollen und Organisationssicherheitskontrollen.

Grundlegende Sicherheitskontrollen

Grundlegende Sicherheitskontrollen sind die wichtigsten Kontrollen, die Organisationen implementieren müssen, da sie dazu entwickelt wurden, die häufigsten und erfolgreichsten Cyberangriffe abzuwehren. Die Kontrollen konzentrieren sich auf proaktive und präventive Maßnahmen, wie Patch-Management, Benutzerzugriffskontrolle und sichere Konfiguration.

Erweiterte Sicherheitskontrollen

Erweiterte Sicherheitskontrollen sind dazu gedacht, Organisationen zusätzlichen Schutz zu bieten und sind normalerweise komplexer zu implementieren. Diese Kontrollen konzentrieren sich darauf, sich gegen erweiterte Cybersecurity-Bedrohungen zu schützen, und umfassen Themen wie die Abwehr von Malware und Malware-basierten Angriffen, die Implementierung einer Unternehmenssicherheitsarchitektur und die Einführung von Notfallmaßnahmen.

Organisationssicherheitskontrollen

Organisationssicherheitskontrollen sind dazu gedacht, die Wirksamkeit der anderen beiden Kategorien von Kontrollen sicherzustellen, und konzentrieren sich auf die Entwicklung, Implementierung und Überprüfung von Sicherheitsrichtlinien, verfahren, standards und richtlinien.

Welche sind die neuesten CIS Controls v8?

CIS Controls v8, die im Oktober 2020 veröffentlicht wurde, ist die neueste Version der CIS-Controls. Die neue Version bietet Organisationen eine umfassende Liste von Kontrollen, die zur Reduzierung des Cybersecurity-Risikos verwendet werden können. Die Kontrollen werden in drei Kategorien unterteilt: Essential, Priorität und Grundlage.

This control involves collecting, monitoring, and analyzing system and application log data in order to detect malicious activity.

CIS Controls sind in 18 Kontrollen organisiert, die die drei Kategorien abdecken. Die Kontrollen werden in Bezug auf Wichtigkeit und Wirksamkeit priorisiert, damit Organisationen ihre Ressourcen auf die wichtigsten Kontrollen zuerst konzentrieren können. Diese wurden aus den vorherigen Unterkontrollen neu geordnet und neu organisiert. Sie sind nach verschiedenen Cybersecurity-Aktivitäten gruppiert und umfassen:

1. Inventarisierung und Kontrolle von Hardware-Assets

Diese Kontrolle beinhaltet die Aufrechterhaltung eines genauen und aktuellen Inventars aller Hardware-Assets, einschließlich physischer und virtueller, im Netzwerk. Dies hilft Organisationen, die Einstiegsstellen für bösartige Akteure zu verstehen.

2. Inventarisierung und Kontrolle von Software-Assets

Diese Kontrolle beinhaltet die Aufrechterhaltung eines genauen und aktuellen Inventars aller Software-Assets, einschließlich sowohl Open-Source- als auch kommerzieller, im Netzwerk. Dies hilft Organisationen bei der Identifizierung bekannter schwachsteller Software-Komponenten.

3. Kontinuierliches Schwachstellenmanagement

Diese Kontrolle beinhaltet die Überwachung von Systemkonfigurationen und das Patchen von schwachstellenden Software- und Firmware-Komponenten.

4. Kontrollierter Gebrauch administrativer Berechtigungen

Diese Kontrolle beinhaltet die Einschränkung des administrativen Zugriffs auf privilegierte Konten auf nur diejenigen mit einem legitimen Bedarf an Zugriff. Konzepte wie Zero Trust sind in dieser Kontrolle sehr wichtig.

5. Sichere Konfiguration für Netzwerkgeräte

Diese Kontrolle beinhaltet die Konfiguration von Netzwerkgeräten, einschließlich Routern, Switches und Firewalls, entsprechend den Branchenstandards und den besten Praxen.

6. Grenzverteidigung

Diese Kontrolle beinhaltet die Festlegung einer Defense-in-Depth-Strategie zum Schutz des Netzwerks durch die Implementierung mehrerer Schutzschichten.

7. Wartung, Überwachung und Analyse von Audit-Protokollen

Diese Kontrolle beinhaltet das Sammeln, Überwachen und Analysieren von System- und Anwendungsprotokolldaten, um bösartiges Verhalten zu erkennen.

managing security incidents.

Diese Kontrolle beinhaltet das Erfassen und Analysieren von System und Benutzeraktivitätsprotokollen, um böswillige Aktivitäten und potenzielle Bedrohungen zu erkennen.

8. Schutz vor E-Mails und Webbrowsern

Diese Kontrolle beinhaltet die Verwendung von Anti-Malware- und Webfiltersolutions, um die Organisation vor bösartigen E-Mails und Websites zu schützen.

9. Malware-Verteidigung

Diese Kontrolle beinhaltet die Verwendung von Anti-Malware-Lösungen zur Erkennung, Verhinderung und Entfernung bösartiger Code aus dem Netzwerk.

10. Einschränkung und Kontrolle von Netzwerkports, Protokollen und Diensten

Diese Kontrolle beinhaltet die Einschränkung der Netzwerkkommunikation auf nur die Ports, Protokolle und Dienste, die für den Betrieb der Organisation erforderlich sind.

11. Datenschutz

Diese Kontrolle beinhaltet die Implementierung von Lösungen zum Schutz sensibler Daten vor unbefugtem Zugriff, Änderung oder Offenlegung.

12. Wireless Access Control

Diese Kontrolle beinhaltet die Implementierung von Lösungen zum Schutz des drahtlosen Netzwerks der Organisation vor unbefugtem Zugriff.

13. Kontrolle und Überwachung von Konten

Diese Kontrolle beinhaltet die Überwachung von Benutzerkonten auf verdächtige Aktivitäten und die Implementierung von Sperrrichtlinien für Konten.

14. Implementierung eines Sicherheitsbewusstseins- und Trainingsprogramms

Diese Kontrolle beinhaltet die Implementierung eines Sicherheitsbewusstseinsprogramms, um Benutzer über Sicherheitsbest Practices zu informieren.

15. Anwendungssoftware-Sicherheit

Diese Kontrolle beinhaltet die Absicherung von Anwendungen vor bekannten und neu aufkommenden Bedrohungen durch die Implementierung sicherer Codierungsverfahren, statischer und dynamischer Codeanalysetools und Anwendungs Whitelisting.

16. Reaktion und Management von Vorfallsfällen

Diese Kontrolle beinhaltet das Vorhandensein eines Plans zur Reaktion und Verwaltung von Sicherheitsvorfällen.

Teste die Implementierung von CIS-Steuerungen in einer kontrollierten Umgebung.

Was für Werkzeuge und Ressourcen werden benötigt, um CIS-Steuerungen zu implementieren?

Es stehen zahlreiche Werkzeuge und Ressourcen zur Verfügung, um Organisationen bei der Implementierung von CIS-Steuerungen zu unterstützen. Dazu gehören:

1. CIS-Steuerungsbewertungstool

Das CIS-Steuerungsbewertungstool hilft Organisationen dabei, ihren bestehenden Sicherheitsstatus zu bewerten und Lücken zu identifizieren.

2. CIS-Benchmark-Sicherheitsvalidierungstool

Das CIS-Benchmark-Sicherheitsvalidierungstool dient dazu, Organisationen bei der Gewährleistung der Konformität ihrer Systeme mit CIS-Steuerungen zu unterstützen.

3. CIS Critical Security Controls Implementation Toolkit

Das CIS Critical Security Controls Implementation Toolkit bietet Organisationen eine Schritt-für-Schritt-Anleitung zur Implementierung von CIS-Steuerungen.

4. CIS Controls Database

Die CIS Controls-Datenbank bietet Organisationen detaillierte Informationen zu jeder Steuerung, einschließlich detaillierter Schritte, Best Practices und Ressourcen.

5. Monitor

Überwachen Sie regelmäßig die Wirksamkeit der CIS-Steuerungen und aktualisieren Sie sie nach Bedarf.

Kiteworks Private Content Network und CIS Controls

CIS Controls sind ein wichtiger und effektiver Satz an Best Practices und Richtlinien für Organisationen, die sich vor Cyber-Bedrohungen schützen möchten. Die neueste Version, Version 8, enthält Aktualisierungen, mit denen Organisationen die neuesten Cyber-Bedrohungen und neuen Technologien bewältigen können.

with our experts to learn more.

CIS Controls sind für jede Organisation, die ihre eigene Cybersicherheit verbessern möchte, kostenlos. Das Kiteworks Private Content Network vereinheitlicht, verfolgt, kontrolliert und sichert Datei- und E-Mail-Datenkommunikation in einer Plattform, sodass Organisationen festlegen können, wer auf sensible Inhalte zugreifen kann, wer sie bearbeiten kann, an wen sie gesendet werden können und wo sie gesendet werden können. Kiteworks verkörpert Cybersecurity-Best Practices und -Frameworks wie CIS Controls, das National Institute of Standards and Technology Cybersecurity Framework (NIST CSF), NIST Privacy Framework, ISO 27001 und SOC 2.

Melden Sie sich für eine individuelle Demo bei unseren Experten an, um mehr zu erfahren.

Sehen Sie sich die Kiteworks an, um zu sehen, wie es mit globalen Cyber-Sicherheitsstandards wie CIS Controls übereinstimmt, und erfahren Sie mehr darüber, wie es das Rahmenwerk für Organisationen bietet, um ihre Daten im Transit und im Ruhezustand zu schützen.

 

Zurück zum Glossar Risiko & Compliance

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Teilen
Twittern
Teilen
Explore Kiteworks