Sikker konfiguration (CIS Control 4)

CIS Control 4 handler om at etablere, dokumentere og vedligeholde sikre konfigurationer for al hardware og software i organisationen -- fra operativsystemer og browsere til servere og netværksudstyr. Formålet er at minimere angrebsfladen ved at fjerne unødvendige funktioner og standardadgangskoder.

Tilbage til ordbog

Hvad er sikker konfiguration?

Sikker konfiguration, også kaldet hardening, handler om at konfigurere systemer og software med sikkerhed som udgangspunkt frem for funktionalitet. De fleste produkter leveres med standardindstillinger, der prioriterer brugervenlighed og kompatibilitet, men disse er sjældent de mest sikre valg.

Hardening indebærer: deaktivering af unødvendige tjenester og protokoller, ændring af standardadgangskoder, konfiguration af firewall-regler og fjernelse af eksempelkonti og prøveinstallationer.

CIS Benchmarks

Center for Internet Security udgiver detaljerede konfigurationsvejledninger, kaldet CIS Benchmarks, for hundredvis af produkter -- fra Windows og Linux til macOS, cloud-platforme og netværksudstyr. Benchmarks specificerer præcist, hvilke indstillinger der bør ændres og til hvilken værdi, med begrundelse for hvert punkt.

CIS Benchmarks er gratis tilgængelige og accepteres bredt som branchens bedste praksis for sikker konfiguration.

Konfigurationsdrift: Selv efter initial hardening kan konfigurationer glide bort fra den sikre baseline over tid. Løbende konfigurationskontrol -- fx via SCAP-baserede scannere -- er nødvendig for at opretholde det ønskede sikkerhedsniveau.

Konfigurationsbaselines

En konfigurationsbaseline er den dokumenterede, godkendte standardkonfiguration for en given systemtype. Alle systemer af den pågældende type bør konfigureres i overensstemmelse med baseline. Afvigelser fra baseline skal godkendes og dokumenteres.

Konfigurationsbaselines hænger tæt sammen med aktivoversigt (CIS Control 1) -- du kan ikke hærde det, du ikke ved eksisterer.

Standardadgangskoder og standardkonti

Et af de simpleste og mest effektive hardening-tiltag er at ændre alle standardadgangskoder og deaktivere eller omdøbe standardkonti (som "admin", "administrator" og "root"). Mange velkendte angreb udnytter stadig uændrede standardadgangskoder.

Sammenhæng med andre CIS Controls

Sikker konfiguration understøtter og understøttes af flere andre CIS Controls:

CIS Control 1 (Aktivoversigt): Du skal vide, hvilke aktiver der findes, før du kan hærde dem.
CIS Control 2 (Softwareoversigt): Identifikation af al installeret software hjælper dig med at fjerne uautoriserede eller unødvendige applikationer.
CIS Control 7 (Løbende sårbarhedsstyring): Patching og hardening er komplementære aktiviteter, der tilsammen reducerer angrebsfladen.

Ofte stillede spørgsmål om sikker konfiguration (cis control 4)

Hvad er CIS Control 4?

CIS Control 4 fokuserer på at etablere og vedligeholde sikre konfigurationer for al hardware og software i organisationen. Det handler om at hærde systemer ved at fjerne unødvendige funktioner, ændre standardadgangskoder og anvende sikkerhedsfokuserede indstillinger.

Hvad er CIS Benchmarks?

CIS Benchmarks er detaljerede, gratis tilgængelige konfigurationsvejledninger udgivet af Center for Internet Security. De giver specifikke, testede anbefalinger til sikker konfiguration af hundredvis af produkter, fra operativsystemer til cloud-platforme.

Hvad er konfigurationsdrift?

Konfigurationsdrift opstår, når et systems konfiguration ændrer sig over tid fra den godkendte sikre baseline. Det kan ske via manuelle ændringer, softwareopdateringer eller fejlkonfigurationer og øger angrebsfladen.

Hvorfor er standardadgangskoder en sikkerhedsrisiko?

Standardadgangskoder er offentligt kendte og er blandt de første legitimationsoplysninger, angribere prøver. Hvis de ikke ændres, er systemer sårbare over for trivielle angreb. Hardening kræver ændring af alle standardadgangskoder.

Er CIS Control 4 inkluderet i Implementation Group 1?

Ja. CIS Control 4 er en del af IG1, hvilket betyder, at det betragtes som essentiel cyberhygiejne, som alle organisationer bør implementere uanset størrelse eller ressourcer.