Cosa sono i benchmark CIS?

I benchmark CIS sono sviluppati attraverso un processo basato sul consenso che coinvolge comunità di professionisti di cybersecurity di tutto il mondo. Questi esperti identificano, perfezionano e convalidano continuamente le best practice di sicurezza nelle loro aree di interesse per aiutare le organizzazioni a proteggere i propri asset digitali dai rischi informatici.

Il CIS ha pubblicato oltre 100 benchmark CIS, che coprono 8 categorie tecnologiche di base e oltre 25 famiglie di prodotti di fornitori.¹ Sono disponibili tramite download gratuito in PDF per uso non commerciale.

I benchmark CIS aiutano le organizzazioni a migliorare il loro livello di sicurezza seguendo standard di sicurezza prescrittivi e riconosciuti a livello globale e linee guida per la difesa informatica. Inoltre, supportano anche casi d'uso aziendali come la conformità normativa, la governance IT e la politica di sicurezza.

Fondata nell'ottobre 2000, CIS è un'organizzazione senza scopo di lucro la cui missione è "rendere il mondo connesso un luogo più sicuro sviluppando, convalidando e promuovendo soluzioni tempestive di best practice che aiutino le persone, le aziende e i governi a proteggersi dalle minacce informatiche pervasive".²

Le CIS Benchmarks Communities, un gruppo di oltre 12.000 professionisti della sicurezza IT che contribuiscono allo sviluppo delle best practice CIS, sono aperte a chiunque voglia contribuire. Le community sono composte da volontari e comprendono esperti in materia, fornitori, redattori tecnici, tester e altri membri del CIS provenienti da tutto il mondo.

Il CIS è anche sede del Multi-State Information Sharing and Analysis Center (MS-ISAC), che fornisce risorse per la prevenzione, la protezione, la risposta e il recupero delle minacce informatiche per gli enti di governo statali, locali, tribali e territoriali (SLTT) degli Stati Uniti. È anche la sede dell'Elections Infrastructure Information Sharing and Analysis Center (EI-ISAC), che supporta le esigenze di cybersecurity degli uffici elettorali statunitensi.³

I livelli di profilo CIS si riferiscono a diversi livelli di raccomandazione per la sicurezza e contengono più configurazioni per prodotti diversi.

Il livello 1 riguarda configurazioni di base più facili da implementare e con un impatto minimo sulle funzionalità aziendali.

Il livello 2 si applica agli ambienti ad alta sicurezza che richiedono maggiore coordinamento e pianificazione per l'implementazione con interruzioni aziendali minime.

STIG è un insieme di linee di base di configurazione che affrontano la Security Technical Implementation Guide (STIG), standard di sicurezza pubblicati e gestiti dal Dipartimento della difesa degli Stati Uniti (DOD) per soddisfare i requisiti del governo degli statunitense.

Il profilo STIG del CIS aiuta le organizzazioni a conformarsi alle linee guida dello STIG. I sistemi di sicurezza configurati con STIG soddisfano i requisiti di conformità CIS e STIG.

Come accennato in precedenza, ci sono oltre 100 benchmark CIS raggruppati in 8 categorie di tecnologia IT, tra cui:

• Sistemi operativi

• Software server

• Fornitore cloud

• Dispositivo mobile

• Dispositivo di rete

• Software per desktop

• Dispositivo di stampa multifunzione

• Strumenti DevSecOps

Questa categoria riguarda le configurazioni di sicurezza dei sistemi operativi principali, come Microsoft Windows, Linux e macOS di Apple. Queste includono le linee guida sulle best practice per le restrizioni di accesso locale e accesso remoto, i profili utente, l'autenticazione, i protocolli di installazione driver e le configurazioni dei browser internet.

Questa categoria riguarda le configurazioni di sicurezza di software server ampiamente utilizzati, tra cui Microsoft Windows Server, SQL Server e VMware. Supporta anche piattaforme di containerizzazione open source, come Docker e Kubernetes.

I benchmark includono consigli per la configurazione dei certificati Kubernetes PKI (Public Key Infrastructure), delle impostazioni del server application programming interface (API), dei controlli di amministrazione del server, delle politiche di vNetwork e delle restrizioni di storage.

Questa categoria riguarda le configurazioni di sicurezza per Amazon Web Services (AWS), Microsoft Azure, Google, IBM® e altri ambienti cloud pubblici popolari. I benchmark includono linee guida sulla sicurezza cloud per la configurazione della gestione delle identità e degli accessi (IAM), i protocolli di registrazione del sistema, le configurazioni di rete e le garanzie di conformità normativa.

Questa categoria si rivolge ai sistemi operativi mobile, inclusi iOS e Android, e si concentra su aree come le opzioni e le impostazioni per gli sviluppatori, le configurazioni della privacy del sistema operativo, le impostazioni del browser e le autorizzazioni delle app.

Questa categoria offre linee guida generali e specifiche per la configurazione della sicurezza dei dispositivi di rete e dell'hardware applicabile di Cisco, Palo Alto Networks, Juniper e altri.

Questa categoria riguarda le configurazioni di sicurezza per alcune delle applicazioni più comunemente utilizzate, tra cui Microsoft Office e Exchange Server, Google Chrome, Mozilla Firefox e il browser Safari. Questi benchmark si concentrano sulla privacy delle email e sulle impostazioni del server, sul mobile device management, sulle impostazioni predefinite del browser e sul blocco di software di terze parti.

Questa categoria delinea le best practice di sicurezza per la configurazione delle stampanti multifunzione in ufficio. Riguarda l'aggiornamento del firmware, le configurazioni TCP/IP, la configurazione dell'accesso wireless, la gestione degli utenti, la condivisione di file e altro ancora.

Questa categoria riguarda la supply chain del software e aiuta i team a proteggere le pipeline DevSecOps. Offre best practice per i controlli di sicurezza durante tutto il ciclo di vita dello sviluppo del software, dalla progettazione iniziale all'integrazione, al test, alla consegna e all'implementazione.

Nel corso degli anni, il CIS ha prodotto e distribuito altri strumenti gratuiti e soluzioni a pagamento che supportano i benchmark CIS. Queste risorse aiutano le organizzazioni a rafforzare ulteriormente la propria preparazione in materia di cybersecurity.

Precedentemente nota come SANS Critical Security Controls (SANS Top 20 Controls), la CIS Critical Security Controls (CSC) è una guida completa di 18 misure di sicurezza e contromisure per una difesa informatica efficace. Chiamati anche CIS Controls, sono gratuiti e forniscono una lista di controllo prioritaria che le organizzazioni possono implementare per ridurre significativamente la superficie degli attacchi informatici.

I benchmark CIS fanno riferimento a queste best practices di cybersecurity quando si riferiscono alle raccomandazioni per configurazioni di sistema più sicure.

Il CIS offre anche immagini rinforzate preconfigurate che consentono alle aziende di eseguire operazioni informatiche in modo conveniente senza dover investire in hardware o software aggiuntivi. Le immagini rinforzate sono molto più sicure delle immagini virtuali standard e limitano in modo significativo le vulnerabilità di sicurezza che possono portare a un attacco informatico.

Le immagini con protezione avanzata CIS sono progettate e configurate in conformità ai benchmark CIS e ai controlli CIS e sono riconosciute come pienamente conformi a varie organizzazioni di conformità normativa. Le immagini protezione avanzata CIS sono disponibili in quasi tutte le principali piattaforme di cloud computing e sono facili da distribuire e gestire.

Il programma di affiliazione CIS SecureSuite fornisce alle organizzazioni strumenti e risorse per la cybersecurity. L'iscrizione è gratuita per il governo e le istituzioni accademiche SLTT (statali, locali, tribali e territoriali) statunitensi, mentre le opzioni di pagamento variano per gli utenti commerciali e gli enti governativi all'estero.

CIS WorkBench è una piattaforma centralizzata che riunisce CIS Controls e CIS benchmark Communities, consentendo la collaborazione per lo sviluppo continuo dei benchmark CIS.

Disponibile per i membri del CIS SecureSuite, il CIS SecureSuite Build Kit è costituito da risorse che forniscono l'automazione della sicurezza e la correzione dei sistemi secondo i benchmark CIS.

Il CIS Configuration Assessment Tool (CAT) fornisce scansioni automatiche delle impostazioni di configurazione di un sistema rispetto ai benchmark CIS. È disponibile per i membri CIS SecureSuite.

CIS-CAT Lite è uno strumento gratuito per la valutazione dei sistemi IT. Rispetto al CIS-Cat Pro, questa versione limitata offre valutazioni di livello base rispetto a un numero inferiore di benchmark CIS.

I benchmark CIS aiutano le organizzazioni con strategie di governance, rischio e conformità (GRC) a gestire la governance e i rischi mantenendo la conformità alle normative di governo e settori.

I benchmark CIS sono strettamente allineati o "mappati" ai framework di sicurezza e privacy dei dati. Di conseguenza, qualsiasi organizzazione che opera in un settore governato da questo tipo di normative può fare progressi significativi verso la conformità aderendo ai benchmark CIS. Questi enti di regolamentazione includono:

• Il Framework di cybersecurity del National Institute of Standards and Technology (NIST)  fornisce linee guida complete e best practice che le organizzazioni private possono seguire per migliorare la sicurezza delle informazioni e la gestione dei rischi di cybersecurity.

• Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di requisiti di sicurezza per proteggere i dati dei titolari di carta (PAN, numeri di conto primari), nomi, date di scadenza, codici di servizio e altre informazioni sensibili dei titolari di carta durante tutto il loro ciclo di vita.

• L'Health Insurance Portability and Accountability Act (HIPAA) stabilisce i requisiti per l'uso, la divulgazione e l'archiviazione sicura delle informazioni sanitarie protette (PHI).

• ISO/IEC 27001, noto anche come ISO 27001, è il principale standard di sicurezza delle informazioni riconosciuto a livello mondiale, sviluppato congiuntamente dall'Organizzazione internazionale per la normazione (ISO) e dalla Commissione elettrotecnica internazionale (IEC). Fornisce un approccio sistematico, strutturato e basato sul rischio alla gestione e alla protezione degli asset informativi sensibili.

• Il GDPR (Regolamento generale sulla protezione dei dati) è la legge dell'Unione europea (UE) che disciplina il modo in cui le organizzazioni all'interno e all'esterno dell'UE gestiscono i dati personali dei residenti nell'UE.

Sebbene le aziende siano sempre libere di fare le proprie scelte in merito alle configurazioni di sicurezza, i benchmark CIS offrono una serie di vantaggi:

• Standard riconosciuti dal settore: sviluppati da una comunità globale di professionisti IT e della sicurezza informatica, i benchmark CIS aiutano le aziende a impegnarsi seriamente nella sicurezza informatica e ad aumentare la fiducia dei clienti e degli stakeholder.

• Linee guida regolarmente aggiornate: i benchmark CIS offrono linee guida dettagliate e aggiornate regolarmente per aiutare le organizzazioni a proteggere tutti gli aspetti dell'infrastruttura IT. Ad esempio, il benchmark CIS relativo a Windows viene aggiornato regolarmente all'ultima versione entro 90 giorni dal suo rilascio. Inoltre, le immagini con protezione avanzata CIS vengono aggiornate ogni mese affinché rispettino le più recenti best practice di sicurezza.

• Supporto per la governance, il rischio e la conformità (GRC): i benchmark CIS forniscono un framework per aiutare le organizzazioni ad affrontare la governance, il rischio e la conformità (GRC), una strategia per gestire la governance e i rischi mantenendo la conformità con le normative di settori e governo.

• Personalizzazione: i benchmark CIS forniscono un modello flessibile per l'adozione sicura di nuovi servizi cloud e workload e l'esecuzione di strategie di trasformazione digitale. Ad esempio, i membri del CIS SecureSuite possono personalizzare i benchmark CIS all'interno della piattaforma CIS WorkBench per soddisfare i loro specifici mandati aziendali e tecnologici.

• Flessibilità: i benchmark CIS forniscono una raccomandazione di base per le impostazioni di sicurezza, inclusi firewall, router e server. Offrono anche linee guida specifiche del fornitore per aiutare a configurare e gestire sistemi e dispositivi. Questa combinazione di caratteristiche neutre e specifiche del fornitore supporta la flessibilità in modo che i sistemi possano adattarsi alle esigenze in evoluzione.

• Facilità di distribuzione: DevSecOps e altri team si affidano ai benchmark CIS per configurazioni di sicurezza facili da distribuire per una migliore efficienza operativa e sostenibilità.