Beseitigen Sie kritische Risiken in der Cloud

Decken Sie die kritischen Probleme mit dem Schweregrad in Ihren Cloud-Umgebungen auf und beheben Sie sie, ohne Ihr Team in Warnungen zu überschwemmen.

Was sind CIS-Benchmarks?

CIS-Benchmarks sind öffentlich zugängliche Sicherheits-Roadmaps, die Kernempfehlungen bieten, die Unternehmen bei der Härtung ihrer IT-Systeme gegen Cyberbedrohungen unterstützen.

Wiz Expertenteam
4 Minuten Lesezeit

CIS-Benchmarks sind öffentlich zugängliche Sicherheits-Roadmaps, die Kernempfehlungen bieten, die Unternehmen bei der Härtung ihrer IT-Systeme gegen Cyberbedrohungen unterstützen. Sie wurden von der Zentrum für Internet-Sicherheit (CIS), eine gemeinnützige Organisation, die sich zum Ziel gesetzt hat, "Vertrauen in die vernetzte Welt zu schaffen". 

Über 140 CIS-Benchmarks in acht Hauptkategorien wurden bisher durch einen Community-basierten Konsens von IT-Experten weltweit erstellt. Diese werden dem CIS-kritische Sicherheitskontrollen und kann auch mit anderen Standardisierte Frameworks wie NIST, PCI-DSS, HIPAA und andere.

CIS-Benchmarks wurden so konzipiert, dass sie ein zentraler Leitfaktor bei der Vorbereitung eines umfassenden Cybersicherheitsprogramms. Während CIS seine Benchmark-Richtlinien Sicherheitsexperten für den nicht-kommerziellen Gebrauch als kostenlose PDF-Downloads zur Verfügung stellt, verdient die Organisation auch Geld durch kommerzielle Mitgliedschaften und Add-on-Dienste.

Wie machen CIS-Benchmarks Ihr Unternehmen sicherer?

Example compliance assessment against CIS EKS benchmarks

Da CIS-Benchmarks im Konsens von IT-Fachleuten weltweit erstellt werden, sind sie bekannt und weithin akzeptiert. Diese Fachleute haben eine breite Palette von Erfahrungen und Best Practices zusammengetragen, die jedem Unternehmen einen starken Vorsprung gegenüber Cyber-Angreifern verschaffen können.

Das Befolgen von CIS-Benchmarks bietet Ihrem Unternehmen zahlreiche Vorteile:

  • Reduzierte Angriffsfläche durch Minimierung ausnutzbarer Schwachstellen

  • Stärkere Basissicherheit auf einer soliden Grundlage

  • Ausrichtung an Branchenstandards, wodurch Audit-Risiken möglicherweise reduziert und gleichzeitig die Compliance und die allgemeine Sicherheitslage vereinfacht werden

  • Weniger Fehlkonfigurationen durch klare Konfigurationsrichtlinien

  • Bessere Ausfallsicherheit gegen die häufigsten bekannten Bedrohungen, die durch Branchenkonsens ermittelt wurden

CIS-Benchmarks sind zudem herstellerunabhängig und liefern kombinierte Informationen aus der globalen IT-Community. Neben der Härtung der Sicherheit für eine Vielzahl von Systemen und Geräten kann die Befolgung von CIS-Benchmark-Korrekturen auch die Systemleistung und Nachhaltigkeit verbessern.

8 Kategorien von CIS-Benchmarks

Um Unternehmen bei der Bestimmung der CIS-Benchmarks zu unterstützen, die für ihr Sicherheitsprogramm am relevantesten sind, werden sie in acht allgemeine Kategorien unterteilt.

  1. Cloud-Anbieter: Bietet Best Practices für die Konfiguration von Identitäts- und Zugriffskontrollen (IAM), Systemprotokollierungsmechanismen, Netzwerksicherheitseinstellungen und Compliance-konformen Schutzmaßnahmen; umfasst Amazon Web Services (AWS, z. B. AWS Compute Services), Alibaba Cloud, Microsoft 365 und andere

  2. Desktop-Software: Bietet sichere Konfigurationsanleitungen für gängige Desktop-Anwendungen, einschließlich E-Mail-Sicherheit, Verwaltung mobiler Geräte, Web-Browsing und Risikominderung von Drittanbietersoftware. Es enthält Unterkategorien, die Produktivitätssoftware (z. B. Microsoft Office, Zoom) und Webbrowser (z. B. Mozilla Firefox, Safari) umfassen

  3. DevSecOps-Werkzeuge: Unterstützt Sicherheitsteams bei der Sicherung der DevSecOps-Pipeline und bietet Best Practices für die Konfiguration von Sicherheitskontrollen innerhalb von Entwicklungs- und Integrationstools; Enthält Sicherheitsmaßnahmen für die Software-Lieferkette für GitHub und GitLab

  4. Mobile Endgeräte: Unterstützt Teams dabei, sich auf die Optimierung von Entwicklereinstellungen, Datenschutzkonfigurationen des Betriebssystems, sichere Einstellungen für das Surfen im Internet und granulare Kontrolle von App-Berechtigungen zu konzentrieren. enthält Unterkategorien für Apple iOS und Android

  5. Druckgeräte: Enthält derzeit nur einen Benchmark, CIS Multi-Function Device; Konzentriert sich auf die Härtung anfälliger Geräte, einschließlich Firmware-Updates, Netzwerkkonfigurationen, drahtloser Zugriff, Benutzerverwaltung und Kontrollen für die Dateifreigabe

  6. Netzwerkgeräte: Bietet Anleitungen zur Sicherheitshärtung, die sowohl allgemeine Best Practices als auch herstellerspezifische Konfigurationen umfassen, um optimale Sicherheit für bestimmte Hardware zu gewährleisten. umfasst Netzwerksicherheitsgeräte von Cisco und Palo Alto Networks

  7. Betriebssysteme: Umfasst Steuerelemente für den lokalen und Remote-Zugriff, die Verwaltung von Benutzerkonten, Treiberinstallationsprotokolle und sichere Webbrowser-Einstellungen. Zu den Unterkategorien gehören Linux (z. B. Debian, Ubuntu), Microsoft Windows und Unix (z. B. IBM AIX, Apple macOS)

  8. Server-Software: Bietet Empfehlungen, die administrative Kontrollen, Richtlinien für virtuelle Netzwerke, Speicherzugriffsbeschränkungen und sichere Konfigurationen für Kubernetes umfassen, einschließlich PKI-Zertifikate und API-Servereinstellungen. Zu den Unterkategorien gehören Webserver (z. B. Microsoft IIS), Datenbankserver (z. B. MongoDB) und virtualisierte Server (z. B. Kubernetes)

Anatomie eines CIS-Benchmarks

Jeder CIS-Benchmark enthält eine Liste von Empfehlungen für ein bestimmtes Produkt, wobei die Anzahl der Empfehlungen von der Komplexität des Produkts abhängt.

Viele Benchmarks enthalten Hunderte von sehr detaillierten Empfehlungen. Für jede Empfehlung wird im Bewertungsstatus angegeben, ob sie automatisiert werden kann oder eine manuelle Konfiguration erfordert. 

Jedem CIS-Benchmark wird eines von zwei Profilen zugeordnet:

  • Stufe 1: Grundlegende Sicherheitsrichtlinien, um ein angemessenes Sicherheitsniveau für nicht geschäftskritische Geräte zu erreichen; Aktionen der Stufe 1 wirken sich selten auf die Systemfunktionalität aus.

  • Stufe 2: Strengere Sicherheitsrichtlinien für geschäftskritische Geräte; Diese Aktionen können sich auf die Systemfunktionalität auswirken, bieten aber eine weitaus sicherere Sicherheit.

Schließlich umfasst jede Empfehlung zwei Schwerpunktbereiche:

  • Rechnungsprüfung: Hilft Ihnen zu untersuchen, wie sicher Sie in einem bestimmten Bereich sind

  • Sanierung: Handlungsschritte mit Konfigurationsempfehlungen, um Ihr System in diesem Bereich zu härten

Hier sehen Sie, was Sie sehen werden, wenn Sie eine typische CIS-Empfehlung auspacken:

CIS Foundations Benchmarks decken alle Aspekte der Sicherheit von Cloud-Service-Providern (CSP) für Unternehmen wie Amazon Web Services (AWS), Google Cloud Computing Platform, Microsoft Azure, Alibaba Cloud und einige andere ab.

Die folgenden beiden Beispiele stammen aus der CIS Foundations Benchmark für AWS um Ihnen eine bessere Vorstellung davon zu geben, was Sie in einer typischen Benchmark-Empfehlung sehen werden. Bei dem einen handelt es sich um ein Beispiel der Stufe 1 (grundlegende Sicherheitsrichtlinien), bei dem anderen handelt es sich um ein Beispiel der Stufe 2 (strengere Sicherheitsrichtlinien).

Number1.192.12
TitleEnsure that all the expired SSL/TLS certificates stored in AWS IAM are removedEnsure MFA delete is enabled on S3 buckets
Assessment statusAutomatedManual
ProfileLevel 1Level 2
DescriptionTo enable HTTPS connections to your website or application in AWS, you need an SSL/TLS server certificate. You can use ACM or IAM to store and deploy server certificates. Use IAM as a certificate manager only when you must support HTTPS connections in a region that is not supported by ACM. IAM securely encrypts your private keys and stores the encrypted version in IAM SSL certificate storage. IAM supports deploying server certificates in all regions, but you must obtain your certificate from an external provider for use with AWS. You cannot upload an ACM certificate to IAM. Additionally, you cannot manage your certificates from the IAM Console.Once MFA Delete is enabled on your sensitive and classified S3 bucket it requires the user to have two forms of authentication.
Rationale statementRemoving expired SSL/TLS certificates eliminates the risk that an invalid certificate will be deployed accidentally to a resource such as AWS Elastic Load Balancing (ELB), which can damage the credibility of the application/website behind the load balancer. As a best practice, it is recommended to delete expired certificates.Adding MFA delete to an S3 bucket requires additional authentication when you change the version state of your bucket or you delete an object version adding another layer of security in the event your security credentials are compromised or unauthorized access is granted.
Impact statementDeleting the certificate could have implications for your application if you are using an expired server certificate with ELB, CloudFront, etc. One has to make configurations at the respective services to ensure there is no interruption in application functionality.Enabling MFA delete on an S3 bucket could require additional administrator oversight. Enabling MFA delete may impact other services that automate the creation and/or deletion of S3 buckets.
Audit procedureAudit steps provided (console and command line)Audit steps provided (console and command line)
Remediation procedureRemediation steps provided (console and command line)Remediation steps provided (command line only)
Default valueBy default, expired certificates won't get deleted.n/a
ReferencesReferences providedReferences provided
CIS Controls mappingCIS v8 - 3.1 Establish and Maintain a Data Management Process CIS v7 - 13 Data ProtectionCIS v8 - 3.3 Configure Data Access Control Lists 6.5 Require MFA for Administrative Access CIS v7 - 14.6 Protect Information through Access Control Lists

Wiz: Erstes Unternehmen auf dem Markt mit integrierter Kubernetes CIS-Benchmark-Zertifizierung

Als integrierte Cloud-Native-Application-Protection-Plattform (CNAPP) Wiz war der erste Anbieter, der ausgezeichnet wurde mit CIS SecureSuite Vendor Certification für drei wichtige Kubernetes-Benchmarks, die die Einhaltung der neuesten EKS-, AKS- und GKE-CIS-Benchmarks vereinfachen und Ihnen gleichzeitig eine Cloud-native Möglichkeit bieten, Ihre Kubernetes-Umgebungen zu sichern.

Die Einführung von CIS-Benchmarks hilft Ihren Sicherheitsteams, von Best Practices zu lernen und Ihr gesamtes Unternehmen gegen die führenden Bedrohungen von heute abzusichern. Und mit Wiz können Sie vieles davon von einer einzigen Oberfläche aus erledigen und Daten aus all Ihren Tools für umsetzbare, priorisierte Erkenntnisse auf der Grundlage von "Giftige Kombinationen"– eine einzigartige Schwachstellenbewertung, die auf dem tatsächlichen Risiko für Ihr Unternehmen basiert. Und da es agentenlos ist, lässt es sich einfach in Ihrem gesamten Unternehmen bereitstellen, unabhängig von seiner Größe.

Mit Wiz können Sie Schwachstellen proaktiv identifizieren und klare Anleitungen zur Behebung geben, um Angreifern immer einen Schritt voraus zu sein, um Ihre Cloud-Umgebungen zu schützen. 

Holen Sie sich noch heute eine Demo , um die Kubernetes-Compliance zu vereinfachen und Ihre gesamte Sicherheitslage mit Wiz zu verbessern.

100+ Built-In Compliance Frameworks

See how Wiz eliminates the manual effort and complexity of achieving compliance in dynamic and multi-cloud environments.

Demo anfordern