Geen CIS-check per maand of kwartaal — maar elk uur, 24/7

De manier waarop de meeste organisaties hun CIS-baselines bewaken is achterhaald. Een audit per maand, of erger nog per kwartaal, betekent dat een gevoelige instelling weken lang verkeerd kan staan voordat iemand het ziet. Bij 5iX hebben wij dit fundamenteel anders ingericht: elk uur, 24/7, controleren wij elke beheerde server tegen de CIS-baseline — en de meeste afwijkingen worden binnen enkele seconden automatisch hersteld én gerapporteerd.

Het probleem met maand- of kwartaalchecks

Een server is geen statisch object. Updates, patches, configuratiewijzigingen, een collega die snel even iets aanpast — al deze zaken kunnen een instelling buiten de baseline brengen. Wie maar één keer per maand controleert, accepteert in de praktijk dat een systeem dagen of weken niet-compliant kan zijn zonder dat iemand het weet.

Voor compliance-frameworks als NIS2 en ISO 27001 is dat een reëel risico. En voor uw beveiliging eigenlijk ook: een opengezette poort of uitgeschakelde auditlogging is in een uur misbruikt, niet in een maand.

Hoe wij het doen: elk uur, met AI en slimme cache

Onze beheeromgeving draait elk uur een volledige CIS-controle op iedere server die wij beheren. Geen steekproef, geen subset — de volledige baseline die voor dat platform geldt. Dat klinkt zwaar, maar dankzij een aantal architectuurkeuzes is het juist licht en snel:

• Slimme cache: Controles waarvan de onderliggende configuratie sinds de vorige run niet is veranderd, hergebruiken het vorige resultaat. Alleen de daadwerkelijk gewijzigde onderdelen worden opnieuw geëvalueerd. Hierdoor blijft de uurlijkse run efficiënt en kort.
• Interne AI voor classificatie en herstel: Bij een afwijking bepaalt ons interne AI-model — dat draait op onze eigen infrastructuur, niet bij een externe leverancier — wat de oorzaak is, of automatisch herstel veilig is, en welk fix-pad nodig is. Voor de meeste checks volgt het herstel binnen seconden.
• Veilig fail-closed bij twijfel: Als de AI niet zeker genoeg is over een herstelactie, wordt er niet automatisch ingegrepen. Dan komt de afwijking als gewogen melding bij onze beheerders terecht — met context, voorgestelde fix en impact-inschatting.
• Direct gerapporteerd: Elke run levert een controleerbaar rapport op. U ziet niet alleen de huidige stand, maar ook wat er is veranderd, wat is hersteld en welke afwijkingen open staan.

Wat het concreet oplevert

Het verschil met de klassieke aanpak zit niet in een mooier rapport, maar in tijd. Tijd waarin uw systemen wél of niet conform de baseline zijn. Concreet:

• Continue compliance in plaats van momentopnames: u kunt op elk moment van de dag aantonen dat uw systemen aan de CIS-baseline voldoen — niet alleen op de dag van de audit.
• Drift wordt drift-van-een-uur, niet drift-van-een-maand: de tijd dat een verkeerde instelling onopgemerkt blijft is verlaagd van weken naar maximaal één uur — en in de praktijk meestal seconden.
• Minder handwerk, meer rust: uw eigen team hoeft geen kwartaalchecks meer te draaien of bevindingen handmatig na te lopen. De automatisering doet het heavy lifting; mensen kijken alleen nog naar de uitzonderingen.
• NIS2- en ISO-evidence on demand: bij een audit, klantvraag of incident heeft u direct het uurlijkse logboek beschikbaar als bewijslast.

Belangrijk: niet alle checks zijn auto-fixbaar

Wij zijn er eerlijk over: een deel van de CIS-controles laat zich niet zomaar automatisch herstellen, omdat ze een afweging vereisen (bijvoorbeeld een instelling die mogelijk een applicatie raakt). Voor die gevallen levert het systeem een onderbouwd voorstel en handelt een 5iX-engineer het binnen onze SLA af. Het verschil: het signaal is binnen het uur bekend, niet pas bij de volgende audit.

Meer weten?

Wilt u zien hoe een 5iX uurlijkse CIS-rapportage er voor uw eigen omgeving uit zou zien? Wij voeren een vrijblijvende nulmeting uit op een paar van uw servers en laten u zien welke afwijkingen wij detecteren — en welke daarvan in onze omgeving direct automatisch zouden zijn hersteld.