Revisé el lado legal de las cosas, lo que básicamente explica por qué no encontré nada útil. En resumen: no puede utilizar los puntos de referencia de CIS y llamarlos puntos de referencia de CIS sin ser miembro.
Cotización de los "Términos de uso" de uno de los PDF que se proporcionan de forma gratuita:
Términos de uso
Este trabajo está licenciado bajo una licencia pública internacional de Creative Commons Attribution-NonCommercial-ShareAlike 4.0. El enlace a los términos de la licencia se puede encontrar en enlace
Para aclarar aún más la licencia de Creative Commons relacionada con el contenido de Benchmark CIS, está autorizado a copiar y redistribuir el contenido para que lo use, dentro de su organización y fuera de su organización solo para fines no comerciales, siempre que (i) se otorgue el crédito apropiado a CIS, (ii) se proporciona un enlace a la licencia. Además, si realiza remezclas, transformaciones o se basa en los puntos de referencia de CIS, solo puede distribuir los materiales modificados si están sujetos a los mismos términos de licencia que la licencia de punto de referencia original y su derivado ya no será un punto de referencia CIS . El uso comercial de los puntos de referencia CIS está sujeto a la aprobación previa del Centro de Seguridad de Internet.
[énfasis mío]
En resumen: si transformo ese PDF en algún tipo de script, ya no puedo llamarlo "un CIS Benchmark". Además, no tiene uso comercial.
Entonces, si realmente necesita que su activo sea un punto de referencia de CIS, no hay forma de evitar una membresía. Costos no es tan malo como pensaba, pero puede ser difícil para organizaciones muy pequeñas .
Tenable publica un formulario legible por máquina, sin embargo, también tiene una licencia restrictiva, por lo que una vez más, no hay forma de pagar.
Si es la seguridad "justa" en la que uno está interesado, hay, por supuesto, varias alternativas buenas (ver pregunta), y muchas de ellas parecen estar inspiradas en la CEI (o al revés). Pero en nuestro caso, nuestros clientes preguntaban sobre CIS, por lo que necesitamos obtener una membresía.