Attic is lid geworden van het Center for Internet Security (CIS). Het gevolg is dat wij nu formeel gebruik kunnen maken van alle code en content die CIS ontwikkelt om Microsoft365 tenants optimaal te beschermen. Het maakt ook mogelijk om Attic als CIS-conformiteitsbeoordelingstool te laten certificeren, een stap waar we hopen in de loop van dit jaar aan toe te zijn.
Wat is het Center for Internet Security (CIS)?
Het Center for Internet Security ontwikkeld diverse leidraden, waarvan de CIS Critical Security Controls de bekendste zijn. De security controls zijn samengesteld als de 18 security maatregelen die elke organisatie zou moeten treffen in het kader van cyberweerbaarheid.
Ook heeft het CIS een groot aantal benchmarks ontwikkeld, waaronder die voor Microsoft 365. De Microsoft365 Benchmark heeft inmiddels een aantal iteraties doorlopen en wordt actief onderhouden.
Hoe maakt Attic gebruik van CIS Benchmark M365?
In Attic Hardening for Microsoft365 (Budget en Premium), controleert ons product een Microsoft365 tenant aan de hand van een grote bibliotheek aan checks op onveilige configuratie. Bij het samenstellen van die bibliotheek, is de CIS Benchmark als eerste inspiratiebron gebruikt. In onze knowledgebase zijn alle Checks beschreven en degene die overeenkomen met een CIS Benchmark controle, zijn voorzien van een kenmerk.
Een voorbeeld is CHK-1002 – Audit Log Enabled. Deze is gekoppeld aan CIS Benchmark 5.1: https://support.atticsecurity.com/en/hc/nl/articles/360014543978-CHK-1002-Audit-Log-Enabled
Van alle CIS Benchmark controles voor M365 die geautomatiseerd kunnen worden uitgevoerd, is inmiddels 2/3 als check beschikbaar in Attic. In het restant zijn een aantal ingewikkelde items aanwezig, die niet te controleren zijn op basis van het Secure Application Model omdat Microsoft de betreffende API hiermee niet compatible heeft gemaakt. Daarom zullen we daar een nieuwe connector voor moeten ontwikkelen.
Wanneer is Attic Certified voor CIS Benchmark M365?
Zodra alle automated controles uit de Microsoft365 Benchmark door Attic kunnen worden gecontroleerd, zullen we Attic aandragen voor certificering bij CIS. We gaan dan een proces door waarin CIS gaat auditen of Attic inderdaad alle controles naar behoren weet uit te voeren. Indien Attic voor die test slaat, zullen we dan formeel kunnen stellen dat Attic een gecertificeerde tool is om compatibiliteit (compliance) met de CIS Benchmark te testen. Wij verwachten hiermee extra waarde toe te voegen voor organisaties wereldwijd, dus zien uit naar deze mijlpaal in het bestaan van Attic.