Aprendizado e descoberta 5min de Leitura - 17 de janeiro de 2022

Controle CIS

CIS controls

This post is also available in: Português

Assim como existem diversas organizações colaborativas que disseminam vírus, malwares e ransomwares com diferentes graus de relevância no cenário mundial, o mesmo ocorre com as entidades que buscam combater as ameaças cibernéticas. Algumas delas acabam ganhando mais destaque do que as demais, como é o caso do Center for Internet Security (CIS, sigla em inglês para Centro de Segurança da Internet).

É uma organização sem fins lucrativos voltada para a comunidade tecnológica, responsável pelos CIS Controls – práticas recomendadas e mundialmente reconhecidas no que se refere à proteção de sistemas e dados de TI. Eles reúnem uma verdadeira comunidade global de profissionais de TI para desenvolver continuamente esses padrões, fornecendo produtos e serviços para proteção pró-ativa contra ameaças emergentes.

Dessa maneira, os CIS Controls trazem padrões de segurança e ações defensivas, que podem prevenir os ataques mais devastadores, oferecendo conformidade no atual contexto de múltiplas estruturas. É então a reunião de diretrizes e práticas recomendadas para segurança digital, constantemente atualizada e revisada. Teve início ainda em 2008, sendo originalmente concebida pelo SANS Institute como uma reação a perdas de dados ocorridas em organizações Norte Americanas.

Implementação

A adoção dos Controles CIS traz práticas indicadas para uma boa política de segurança cibernética, todas formuladas utilizando informações coletadas de ataques reais e defesas de eficácia comprovada. Todo esse conhecimento fornece orientação específica e um caminho claro para as empresas atingirem as metas e objetivos descritos por várias estruturas legais, regulamentares e políticas.

Dessa maneira, o CIS foca seus esforços em estudos que mantêm os Controles CIS relevantes, atualizando-os com base em comentários profissionais e em tecnologias em evolução. Conforme a entidade percebeu que mais empresas estavam migrando para serviços em nuvem, bem como o aumento exponencial do trabalho remoto, notou que era necessário ressignificar os controles e as proteções de suporte – para garantir que as recomendações forneçam sempre orientações atualizadas para uma defesa digital eficiente. O resultado é o CIS Controls V8, versão mais moderna que inclui recomendações revisadas para cloud computing, ambientes móveis e mudanças nas táticas de ataque.

Os 18 controles

Na época em que o documento estava nas mãos do grupo SANS, era conhecido como SANS Top 20. Porém, agora são oficialmente chamados de Controles Críticos de Segurança CIS.

A versão 8 combina e consolida os controles CIS por atividades, ao invés de por quem gerencia os dispositivos. Assim, equipamentos físicos, limites fixos e ilhas discretas de implementação de segurança são menos importantes; isso é visto na V8 através da terminologia revisada e do agrupamento reorganizado, resultando em uma diminuição do número de controles de 20 para 18, conforme lista abaixo:

1) Inventário e Controle de Ativos Corporativos

O primeiro passo é detalhar o que é o todo da empresa. Isso significa gerenciar ativamente todos os ativos, desde dispositivos de usuário – incluindo portáteis e móveis; dispositivos de rede; dispositivos não informáticos / Internet das Coisas (IoT); e servidores. Enfim, tudo que esteja conectado à infraestrutura fisicamente, virtualmente ou remotamente – bem como aqueles em ambientes de nuvem, para saber com precisão a totalidade de ativos que precisam ser monitorados e protegidos dentro da empresa. Isso também apoiará a identificação de ativos não autorizados e não gerenciados para remover ou corrigir eventuais vulnerabilidades.

2) Inventário e Controle de Software

Aqui, a ideia é gerenciar ativamente todos os softwares na rede para que apenas aqueles autorizados possam ser instalados ou executados. Softwares não autorizados e não gerenciados devem ser encontrados e impedidos de concluir sua instalação ou execução.

3) Proteção de dados

O terceiro passo lida com o desenvolvimento de processos e controles técnicos para identificar, classificar, manusear, reter e descartar dados com segurança. Pode-se então descobrir e avaliar as vulnerabilidades no sistema para corrigi-las com a ajuda de patches e atualizações.

4) Configuração segura de ativos e softwares

A ideia é estabelecer e manter a configuração segura de ativos corporativos. Essa lista inclui dispositivos de usuário final, como portáteis e móveis; dispositivos de rede; dispositivos não informáticos / IoT; e servidores. Todos os softwares devem ser considerados, a exemplo de sistemas operacionais e aplicativos.

5) Gerenciamento de contas

São processos e ferramentas pensados para atribuir e gerenciar as autorizações das credenciais para contas de usuários. Isso inclui contas de administrador e contas convencionais para ativos corporativos e softwares em geral.

6) Gerenciamento de Controle de Acesso

O sexto tópico trata dos processos e ferramentas concebidos para criar, atribuir, gerenciar e revogar credenciais de acesso e privilégios para contas de usuário, administrador e serviço para ativos e softwares corporativos.

7) Gerenciamento Contínuo de Vulnerabilidade

Desenvolva um plano para avaliar e rastrear vulnerabilidades continuamente em todos os ativos corporativos dentro da infraestrutura da empresa, para remover ou minimizar as chances de sucesso de um ataque cibernético. Pode-se também monitorar as informações públicas ou privadas a respeito de novas informações sobre ameaças e vulnerabilidades.

8) Gerenciamento de Log de Auditoria

Colete, alerte, analise e retenha logs de auditoria de eventos que podem ajudar a detectar, compreender ou se recuperar de um ataque. É essencial armazenar tais registros para entender os detalhes de um ataque, podendo responder a um incidente de segurança com mais eficiência.

9) Proteções de e-mail e navegador da web

É a hora de melhorar as proteções e detecções de ameaças de vetores de e-mail e web. Afinal, representam oportunidades para os invasores manipularem o comportamento humano por meio técnicas de engenharia social, entre outras. É possível então desativar navegadores não autorizados e plugins de cliente de e-mail, certificando-se que os usuários possam acessar somente sites confiáveis – mantendo filtros de URL baseados em rede.

10) Defesas contra malware

O objetivo é impedir ou controlar a instalação, disseminação e execução de aplicativos, códigos ou scripts maliciosos em ativos corporativos. Uma dica é usar processos automatizados para permitir uma rápida atualização de defesas e ações corretivas velozes quando ocorrem ataques.

11) Recuperação de Dados

Estabeleça e mantenha práticas de recuperação de dados suficientes para restaurar ativos corporativos para um estado pré-incidente e confiável. Existem soluções que executam a restauração completa e o backup dos principais sistemas da empresa, tendo inclusive um backup automático para Active Directory, Office 365 e Exchange.

12) Gerenciamento de infraestrutura de rede

Estabeleça, implemente e gerencie ativamente dispositivos de rede, a fim de evitar que invasores explorem serviços de rede e pontos de acesso vulneráveis.

13) Monitoramento e defesa de rede

A meta é operar processos e ferramentas para estabelecer e manter um monitoramento de rede abrangente, criando defesas contra ameaças de segurança em toda a infraestrutura de rede e base de usuários da empresa.

14) Conscientização de Segurança e Treinamento de Habilidades

Tem como propósito estabelecer e manter um programa de conscientização de segurança, para influenciar o comportamento dos colaboradores. Assim, podem se conscientizar sobre a segurança digital e ficar devidamente qualificados para reduzir as ameaças à proteção digital da empresa.

15) Gerenciamento do provedor de serviços

É necessário desenvolver um processo para avaliar os provedores de serviços que mantêm dados confidenciais, ou que sejam responsáveis por plataformas ou processos de TI críticos de uma empresa. O objetivo é garantir que esses parceiros estejam protegendo as plataformas e dados de forma adequada, seguindo inclusive as diretrizes da LGPD.

16) Segurança dos softwares de aplicativos

Neste ponto, deve-se gerenciar o ciclo de vida da segurança dos softwares, hospedados ou adquiridos, para prevenir, detectar e corrigir os pontos fracos de segurança – antes que possam afetar a empresa.

17) Resposta e Gerenciamento de Incidentes

Estabelecer um programa para desenvolver e manter uma equipe com capacidade de resposta a incidentes, com políticas, planos, procedimentos, funções definidas, treinamento e comunicações. O motivo é preparar, detectar e responder rapidamente a um ataque – erradicando a presença do invasor e restaurando as operações rapidamente.

18) Teste de Penetração

Pode-se testar a eficácia e a resiliência dos ativos corporativos por meio da identificação e exploração de fraquezas nos controles (pessoas, processos e tecnologia) e da simulação dos objetivos e ações de um invasor. É indicado também simular as ações de um cibercriminoso para inspecionar a atual postura de segurança, obtendo assim percepções reais sobre a qualidade das proteções da empresa.

This post is also available in: Português