Greenbone étend les directives de conformité pour les benchmarks CIS
Greenbone Cybersecurity, Update, Richtlinien
Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows, Linux : un an après son lancement, Greenbone apporte de nombreuses directives de conformité pour les benchmarks CIS dans ses produits. CIS Les benchmarks sont utilisés par les entreprises, les organisations ou les autorités utilisent pour vérifier si tous les produits logiciels utilisés, applications, systèmes d'exploitation et autres composants répondent aux exigences de sécurité sont conformes. Comme le compendium IT-Grundschutz du Bundesamt für Sicherheit in der Informationstechnik (BSI), le Center for Internet Security (CIS), une organisation à but non lucratif fondée en 2000, propose un ensemble complet de bonnes pratiques. pratiques pour la sécurité informatique des gouvernements, de l'industrie et de la science. science. Dès 2021, Greenbone a développé les premières directives de conformité pour les benchmarks CIS. Aujourd'hui, 18 autres directives de conformité s'y ajoutent.
Benchmarks pour la sécurité des entreprises
Les CIS Benchmarks représentent des directives d'entreprises et d'autorités qui servent d'étalon de mesure (benchmark) pour le respect des exigences. De manière détaillée décrivent les configurations, les conditions, les audits et les systèmes. tests pour diverses configurations et systèmes. Une fois l'analyse réussie, les utilisateurs reçoivent Les administrateurs informatiques reçoivent un rapport complet avec un pourcentage qui de la conformité des systèmes, mais aussi des mesures de durcissement. des recommandations pour d'autres mesures de renforcement.
Par rapport aux exigences de la protection informatique de base, les SIC s'avèrent plus détaillés. sont souvent bien plus détaillés, mais aussi plus exigeants. plus étendus. Contrairement aux nombreux tests du Greenbone Enterprise Feed, qui recherchent les failles de sécurité et les points faibles pour aider à se défendre contre les attaques. Les benchmarks CIS servent à démontrer qu'une entreprise est en mesure de une entreprise ou une administration respecte à tout moment les règles de conformité en vigueur. respecte et a toujours respecté les normes de sécurité.
CIS Benchmarks chez Greenbone
Bereits seit 2021 Greenbone intègre de nombreuses directives de conformité pour les CIS. Benchmarks (références). Ces directives sont des compilations de tests. de tests qu'une Greenbone-Lösung sur un système cible. Pour simplifier, chaque exigence ou une recommandation d'un benchmark CIS, un test de vulnérabilité est test de vulnérabilité est développé pour vérifier la conformité avec cette exigence ou ce recommandation. Tous les tests sont transformés par Greenbone en configurations d'analyse et sont ajoutés au Greenbone Enterprise Feed ajoutées à la base de données. Dans ce cas, les configurations d'analyse sont conformes aux directives des entreprises ou les autorités, elles sont appelées "directives de conformité".
En 2022, Greenbone élargit l'ensemble des politiques de conformité CIS contenues dans le Greenbone Enterprise Feed est considérablement élargi. 18 autres directives de conformité pour les benchmarks CIS pour diverses familles de produits ont été ajoutées. Outre une directive de conformité pour les conteneurs Docker, des tests sont désormais disponibles pour Windows 10 Enterprise, Windows 2019 Server, Centos et des tests de performance indépendants de la distribution. benchmarks Linux sont disponibles. En outre, les webmasters peuvent désormais utiliser des serveurs comme Apache (2.2 et 2.4), NGINX, Tomcat et Microsoft IIS 10 ainsi que les administrateurs de bases de données (MongoDB 3.2 et 3.6, Oracle Community Server 5.6 et 5.7 et PostgreSQL 9.6, 10, 11 et 12). directives de conformité pour les benchmarks CIS.
CIS Benchmarks : niveaux 1, 2 et STIG
Les benchmarks CIS se divisent en plusieurs niveaux (niveau 1, 2 et STIG). STIG) et comprennent généralement plusieurs profils de configuration à tester. Le niveau 1 donne des recommandations de base pour réduire la Le niveau 2 s'adresse aux utilisateurs ayant des besoins spécifiques. besoins particuliers en matière de sécurité. STIG - l'ancien niveau 3 - est utilisé dans les est en revanche surtout utilisé dans l'environnement militaire ou administratif. est utilisé. STIG est l'abréviation de Security Technical Implementation Guide. Le ministère de la défense américain entretient à ce sujet un Webseite avec tous les détails. Les STIGs de la DISA (Defense Information Systems Agency Security Technical Implementation Guides) sont une exigence du ministère américain de la défense.
Certifié par le CIS
Greenbone est membre du consortium CIS et étend ses configurations d'analyse de référence CIS en permanence. Comme tous les produits Greenbone développées sur la base des benchmarks CIS, sont certifiées les plus récentes sont certifiées par le CIS - ce qui signifie un maximum de sécurité lorsqu'il s'agit de mettre un système en conformité avec les de tester les recommandations de durcissement de CIS. Cela simplifie non seulement la préparation des audits, les critères importants peuvent être vérifiés à l'avance par des d'un scan par une solution Greenbone et, le cas échéant, de vérifier les corriger les points faibles trouvés avant que les problèmes n'apparaissent.
Blog original de Markus Feilner | Greenbone