Kontostyring (CIS Control 5)

CIS Control 5 handler om at styre bruger- og administratorkonti på en måde, der sikrer, at kun autoriserede personer har adgang, og at unødvendige privilegier fjernes. Kompromitterede konti -- særligt administratorkonti -- er involveret i størstedelen af alvorlige sikkerhedshændelser.

Tilbage til ordbog

Hvad er kontostyring?

Kontostyring (account management) dækker hele livscyklussen for brugerkonti: oprettelse, vedligeholdelse, periodisk gennemgang og deaktivering. Ukorrekt kontostyring er en af de mest udbredte årsager til sikkerhedsbrud -- fra glemte servicekonti med for høje privilegier til fratrådtes konti, der aldrig er lukket.

CIS Control 5 giver et struktureret sæt af safeguards til at sikre, at organisationer opretholder en klar og opdateret oversigt over alle konti, og at hver konto kun har den adgang, den reelt har behov for.

Privilegeret adgang

CIS Control 5 lægger særlig vægt på privilegerede konti (administratorkonti). Anbefalingerne inkluderer:

Separate konti: Brug separate konti til administrationsopgaver -- én til daglig brug, én til administration.
Begræns administratorer: Begræns antallet af brugere med administrative rettigheder til et minimum.
Log og overvåg: Log og overvåg al privilegeret aktivitet for at opdage misbrug eller kompromittering.
Just-In-Time-adgang: Undgå permanente administrative rettigheder -- brug Just-In-Time (JIT) adgang til at tildele forhøjede privilegier kun når nødvendigt og i en begrænset periode.

Inaktive og forladte konti

Inaktive konti -- konti, der ikke har været brugt i en periode -- er en klassisk angrebsvej. En angriber, der overtager en inaktiv konto, opdages sjældent hurtigt, da der ikke er normal aktivitet at sammenligne med. CIS anbefaler, at inaktive konti deaktiveres efter en defineret periode (typisk 45-90 dage).

Offboarding-processen: Fjernelse af adgang for fratrådte medarbejdere er kritisk og skal ske den dag, medarbejderen forlader organisationen -- ikke efterfølgende. En formel offboarding-checkliste, der inkluderer kontodeaktivering, er en IG1-praksis.

IG1-safeguards

Implementation Group 1 (IG1) kræver følgende for Control 5: etablering og vedligeholdelse af en kontofortegnelse, brug af unikke adgangskoder, deaktivering af inaktive konti og begrænsning af administratorrettigheder. Disse er de minimumssafeguards, som enhver organisation bør implementere uanset størrelse eller modenhed.

Ofte stillede spørgsmål om kontostyring (cis control 5)

Hvad er CIS Control 5?

CIS Control 5 dækker kontostyring -- processerne for at oprette, administrere, gennemgå og deaktivere bruger- og administratorkonti for at minimere risikoen for uautoriseret adgang.

Hvorfor er privilegeret adgangsstyring vigtig?

Privilegerede konti som administratorkonti har forhøjet adgang til kritiske systemer. Hvis de kompromitteres, får en angriber bred adgang. CIS Control 5 anbefaler separate admin-konti, begrænsning af antallet af privilegerede brugere og brug af Just-In-Time-adgang.

Hvor ofte bør inaktive konti gennemgås?

CIS anbefaler at deaktivere konti, der har været inaktive i 45-90 dage. Regelmæssige gennemgange -- mindst kvartalsvist -- hjælper med at identificere konti, der bør deaktiveres eller fjernes.

Hvad er en IG1-safeguard i CIS?

IG1 (Implementation Group 1) repræsenterer det minimale sæt af safeguards, som enhver organisation bør implementere. For Control 5 inkluderer IG1 vedligeholdelse af en kontofortegnelse, brug af unikke adgangskoder, deaktivering af inaktive konti og begrænsning af admin-rettigheder.

Hvordan relaterer CIS Control 5 sig til ISO 27001 adgangskontrol?

CIS Control 5 og ISO 27001 Annex A adgangskontrolkrav supplerer hinanden. CIS giver specifikke, handlingsorienterede safeguards, mens ISO 27001 stiller bredere krav på politikniveau. Implementering af CIS Control 5 hjælper med at opfylde flere ISO 27001 adgangskontrolmål.