Dieser Blog beinhaltet die Thematisierung der CIS Security Benchmarks. Hierbei handelt es sich vorwiegend um die Härtung von Betriebssystemen, um eine höhere IT-Security für Unternehmen zu erreichen.
CIS steht für „Center of Internet Security“ und ist eine non-Profit Organisation, welche sich mit IT-Sicherheit befasst und Empfehlungen bzw. Leitfäden bereitstellt.
Die sogenannten Security Benchmarks sind Checklisten, welche Systeme, Prozesse und Unternehmen in Gänze sicherer machen sollen. In der Kategorie des technischen Hardenings von z.B. Windows Server Betriebssystemen enthalten diese Benchmarks primär Konfigurationen von Registry Schlüsseln und Policies.
In der heutigen Zeit führt kein Weg an der IT-Sicherheit vorbei. In den letzten Jahren rückte dieses Thema zunehmend in den Fokus der Öffentlichkeit.
Ein Ausfall der IT durch einen Angriff kann den ganzen Betrieb eines Unternehmens zum Stillstand bringen. Die Umsetzung von Sicherheitsrichtlinien wird zunehmend komplexer und erfordert ein ganzheitliches Konzept um die Risiken zu minimieren. Unternehmen können dabei schnell den Überblick verlieren.
Für jedes IT-Projekt, jeden Server, jeden Dienst, jede Übertragungs- und Zugriffsmöglichkeit muss der Sicherheitsaspekt beachtet werden. Die Umsetzung eines ganzheitlichen Sicherheitskonzepts ist in der Praxis sehr umfangreich und mit einem hohen Aufwand verbunden. Um einen hohen Sicherheitsstandard zu erreichen ist es notwendig Prozesse, Clients, Server, das Personal und die Räumlichkeiten zu auditieren um daraus die möglichen Gefährdungen zu ermitteln.
Die meisten Unternehmen wünschen sich jedoch eine schnell umsetzbare Lösung, die anhand einer Checkliste umgesetzt werden kann. Ohne den entsprechenden Aufwand zu investieren ist ein hoher Sicherheitsstandard unrealistisch, jedoch sind die CIS Security Benchmarks ein gutes Werkzeug um die ersten grundliegenden Schritte des technischen Hardenings durchzuführen. Unternehmen soll anhand der CIS Security Benchmarks, die Umsetzung bzw. Optimierung der IT-Sicherheit erleichtert werden.
Da das „Center for Internet Security“ ein Zusammenschluss mehrerer Organisationen und Einzelpersonen ist, wird IT-Sicherheit aus vielen Perspektiven betrachtet. Neben den technischen Aspekten bietet das CIS aber auch Leitfäden organisatorischer Natur wie z.B. die „CIS Security Controls“, um gut auf ein evtl. bevorstehendes Audit vorbereitet zu sein.
Auch wenn die Security Benchmarks eine Erleichterung für Unternehmen darstellen, handelt es sich dennoch um umfangreiche Dokumente. Der Benchmark für den Microsoft Server 2012 R2 umfasst 732 Seiten.
Der zeitliche Aufwand zur Umsetzung ist hoch, aber gut investiert.
Die nächsten beiden Beispiele veranschaulichen zwei Punkte aus dem originalen Benchmark „CIS Microsoft Windows Server 2012 R2“. Wie bereits oben beschrieben handelt es sich bei einem Benchmark um eine Liste mit diversen Punkten, die in einem System umgesetzt werden sollen, um die Sicherheit zu erhöhen.
Das erste Beispiel setzt die Zeit zum Sperren des Bildschirms über den Bildschirmschoner auf 5 Sekunden:
Das zweite Beispiel verhindert das Ausführen von autorunf.inf Dateien beim Einlegen bzw. Anschließen von Datenträgern und sperrt somit das automatische Starten von z.B. Schadsoftware.
Wer sein Unternehmen nach „Best Practice“ möglichst sicher machen möchte, sollte sich die Zeit nehmen und die für das Unternehmen relevanten Benchmarks implementieren.
Prävention ist besser als Reaktion 😉