Maßnahmenkatalog gegen Cyber-Bedrohungen
Wie aktuell sind die heutigen Critical Security Controls?
Interview mit James Tarala, Senior Instructor beim SANS Institute
Die CIS Critical Security Controls wurden auf Initiative des SANS Institutes im Jahr 2008 gegründet. 2013 wurde die Eigentümerschaft an den Council on Cyber Security (CCS) und im Jahr 2015 an das Center for Internet Security (CIS) übertragen.
Den meisten Sicherheitsexperten sind die Critical Security Controls als die 20 CIS Controls bekannt. Der Maßnahmenkatalog für Cybersecurity gilt als Orientierungsstandard in der Branche.
Zum aktuellen Stand der Weiterentwicklungen um die CIS Critical Security Controls führten wir ein Kurzinterview mit James Tarala, Senior Instructor beim SANS Institute, Principal Consultant bei Enclave Security und außerdem Volunteer für die CIS Controls .
Herr Tarala, können Sie uns sagen, was die letzten und wichtigsten Updates für die Critical Controls waren?
Die aktuelle Version 6.1. von CIS Critical Security Controls stammt noch aus dem Jahr 2016. Wir sind dabei diese Version zugunsten eines anderen großen Releases zu überprüfen, das im nächsten Jahr erscheinen wird. Mit dem neuen Release wollen wir auf die relevantesten Bedrohungen reagieren, die wir in den vergangenen Monaten beobachtet haben.
Was sind die wichtigsten Controls aus Ihrer Sicht und wie würden Sie diese von sehr wichtig bis eher unwichtig einstufen? Kann man eine solche Einstufung überhaupt vornehmen?
Die Controls sind so aufgebaut, dass sie einzelne Familien priorisieren. CSC#1 bildet den Ausgangspunkt und die Idee dahinter ist, dass sie schon mithilfe ihrer Nummerierung priorisiert sind. CSC#2 sollte auf CSC#1 folgen, dann CSC#3 usw. Wir haben die Controls auf Grundlage eines Scorings, initiiert durch die Arbeit von Sicherheitsforschern auf der ganzen Welt, priorisiert und entsprechend das Ranking erstellt.
Wenn es um das Thema Auditing geht, was ist ihre Empfehlung für Cybersicherheitsexperten, wie sollte ein Audit der Security Controls aussehen und wie oft sollte die Umsetzung überprüft werden?
Das ist eine sehr umfassende Frage. Ich denke, der wichtigste Punkt für ein Unternehmen ist, sich zu fragen, welche Controls sie aktuell umsetzen und wo noch Lücken klaffen. Die Controls werden von vielen als Standard für die „Cyber-Security-Hygiene“ entwickelt und angesehen. Wenn also eine Organisation Lücken auf einem bestimmten Gebiet aufweist, stellt diese Lücke ein echtes Risiko für sie dar und sollte so schnell wie möglich behoben werden. Das liegt nicht nur im Interesse der Compliance, sondern auch bei der Verteidigung der IT-Systeme des Unternehmens.
Wenn Sie sich die nähere Zukunft anschauen, was sollte zu den Security Controls zusätzlich hinzugefügt werden oder denken Sie, dass sie bereits so vollständig sind, wie sie sein sollten?
In der kommenden Version der Controls werfen wir einen stärkeren Blick auf zusätzliche Faktoren, die einer Klärung bedürfen, wie Multi-Faktor-Authentifizierung und eine detailliertere Anleitung für das Incident Management. In weiten Teilen war und ist die aktuelle Version sehr solide. Allerdings versuchen wir, basierend auf den uns zur Verfügung gestellten aktuellen Bedrohungsdaten und -Szenarien, unsere Änderungs- und Erweiterungsabsichten so früh wie möglich anzukündigen.
