Pesquisa de site

Quais são os controles do CIS para uma defesa cibernética eficaz?

Os Controles de Segurança Críticos do CIS (Center for Internet Security) são um conjunto priorizado de ações para segurança cibernética que formam um conjunto de defesa em profundidade de práticas recomendadas específicas e acionáveis para mitigar os ataques cibernéticos mais comuns. Um dos principais benefícios dos controles CIS é que eles priorizam e se concentram em um pequeno número de ações que reduzem muito o risco de segurança cibernética.

Embora inicialmente desenvolvidos pelo SANS Institute e conhecidos como SANS Critical Controls, os CIS Controls agora são gerenciados pelo Center for Internet Security e desenvolvidos por uma comunidade de especialistas que aplicam sua experiência como CISOs e profissionais de segurança, criando as melhores práticas de segurança globalmente aceitas. Esses especialistas vêm de uma ampla gama de setores, incluindo varejo, manufatura, saúde, educação, agências governamentais e defesa.

Por que os controles do CIS são importantes?

Os controles do CIS são importantes porque minimizam o risco de violações de dados, vazamentos de dados, roubo de propriedade intelectual, espionagem corporativa, roubo de identidade, perda de privacidade, negação de serviço e outras ameaças cibernéticas.

Como profissionais de segurança, temos acesso a uma variedade de ferramentas e tecnologias de segurança, padrões de segurança, treinamento, certificações, bancos de dados de vulnerabilidades, práticas recomendadas, controles de segurança, listas de verificação, benchmarks e recomendações.

Para nos ajudar a entender as ameaças, vimos a introdução de classificações de segurança, classificações de segurança de terceiros, detecção de vazamento de dados e a Estrutura de Segurança Cibernética do NIST. Sem mencionar que estamos cercados por requisitos regulatórios como HIPAA, GDPR, LGPD, CCPA, FISMA, CPS 234, GLBA, PCI DSS e PIPEDA que exigem estruturas claras de gerenciamento de risco de terceiros, gerenciamento de risco de fornecedores e metodologias robustas de avaliação de risco.

Não faltam informações disponíveis para profissionais de segurança interessados sobre o que fazer para proteger suas organizações. Mas toda essa tecnologia, informação e supervisão resultaram em opções, prioridades, opiniões e reivindicações concorrentes que podem desviar a atenção da missão final de fechar vetores de ataque e reduzir sua superfície de ataque.

Com as empresas crescendo, as dependências se expandindo, as ameaças evoluindo e os clientes esperando mais, a segurança cibernética robusta nunca foi tão importante.

Os controles do CIS nos ajudam a responder a perguntas como:

  • Quais são as áreas mais críticas para estabelecer um programa de gerenciamento de riscos?
  • Quais etapas defensivas fornecem o maior valor?
  • Como podemos acompanhar a maturidade do nosso programa de gerenciamento de riscos?
  • Como podemos compartilhar nossos insights sobre ataques e invasores e identificar as causas raiz?
  • Quais ferramentas são mais bem usadas para resolver quais problemas?
  • Quais controles do CIS são mapeados para as estruturas regulatórias e de conformidade da minha organização?

Por que os controles CIS funcionam?

Os controles CIS funcionam porque são:

  • Informado por ataques comuns e defesas eficazes
  • Refletir o conhecimento de especialistas de empresas, governo e indivíduos, bem como setores (governo, energia, defesa, finanças, transporte, academia, consultoria, segurança, TI)
  • De todas as funções (respondentes e analistas de ameaças, tecnólogos, localizadores de vulnerabilidades, fabricantes de ferramentas, provedores de soluções, defensores, usuários, formuladores de políticas, auditores, etc.)

Os controles CIS evoluíram a partir da lista consensual de controles de segurança que os especialistas em segurança acreditam ser as melhores técnicas defensivas para evitar violações de dados e mitigar os danos causados por ataques cibernéticos.

Além de bloquear o acesso não autorizado, os controles CIS também abordam a detecção de indicadores de comprometimento e a prevenção de ataques adicionais.

A defesa identificada nos controles CIS lida com a redução da superfície de ataque inicial por meio da proteção de servidores, identificação de máquinas comprometidas, interrupção de comando e controle ou software mal-intencionado e estabelecimento de defesas adaptativas e contínuas que são continuamente aprimoradas.

Além disso, os benchmarks do CIS reconhecem a realidade que a maioria das organizações enfrenta, pois os recursos são limitados e as prioridades devem ser definidas.

Como tal, o CIS separa os controles em três categorias, básico, fundamental e organizacional, independentemente do setor. Essas categorias e a priorização de controles é o que faz com que os controles CIS funcionem tão bem.

Quais são os cinco princípios críticos da defesa cibernética eficaz?

Os cinco princípios críticos de um sistema de defesa cibernética eficaz são:

  1. O ataque informa a defesa: use ataques cibernéticos reais que comprometeram os sistemas para fornecer as bases para aprender e construir defesas práticas e eficazes. Evite defesas que não demonstraram impedir ataques do mundo real.
  2. Priorização: Invista em controles que proporcionem a maior redução de riscos e proteção contra os ataques mais perigosos que podem ser implementados com viabilidade.
  3. Medições e métricas: use métricas comuns para fornecer uma linguagem compartilhada para executivos, profissionais de segurança, auditores e funcionários para medir a eficácia das medidas de segurança em sua organização.
  4. Diagnóstico e mitigação contínuos: monitore continuamente sua postura de segurança para testar e validar a eficácia dos controles de segurança e ajudar a orientar as próximas etapas.
  5. Automação: automatize as defesas para dimensionar de forma confiável e monitorar continuamente a adesão aos controles. Considere estender isso aos seus fornecedores terceirizados e seus fornecedores, monitorando continuamente as posturas de segurança de terceiros e de terceiros.

Quais são os 20 controles críticos de segurança?

Os 20 controles de segurança críticos para uma defesa cibernética eficaz (às vezes chamados de SANS Top 20) são divididos em três grupos:

  1. Os controles CIS básicos (1-6) são o ponto de partida para a segurança cibernética de qualquer organização
  2. Controles CIS fundamentais (7-16)
  3. Controles CIS Organizacionais (17-20)

Para obter mais informações sobre controles de segurança críticos do CIS e Salvaguardas (anteriormente conhecidos como subcontroles), baixe o whitepaper do CIS Security.

1. Inventário e controle de ativos de hardware

Os invasores estão continuamente procurando sistemas novos e possivelmente vulneráveis a serem atacados na rede de um alvo. Eles estão particularmente interessados em dispositivos que vêm e vão da rede corporativa, como laptops ou BYOD (traga seus próprios dispositivos), que não instalam atualizações de segurança ou já podem estar comprometidos.

Uma vez detectados, os invasores podem tirar proveito desse hardware e obter acesso a uma organização ou usá-lo para lançar ataques cibernéticos adicionais.

Esse controle exige que as organizações gerenciem dispositivos de hardware em sua rede para garantir que apenas dispositivos autorizados tenham acesso a áreas confidenciais. O controle gerenciado de todos os dispositivos também desempenha um papel crítico no planejamento e execução do backup do sistema, resposta a incidentes e recuperação.

2. Inventário e Controle de Ativos de Software

Assim como acontece com o hardware, os invasores procuram vulnerabilidades que podem ser exploradas remotamente no software.

Um bom exemplo é o EternalBlue, uma vulnerabilidade em versões antigas do sistema operacional Windows que foi usada para iniciar o worm de computador ransomware WannaCry.

Os invasores podem distribuir software malicioso por meio de sites, e-mails de phishing ou spear phishing ou sites de terceiros confiáveis.

Quando uma vítima acessa o conteúdo em uma máquina explorável, os invasores podem obter acesso e instalar software não autorizado ou diferentes tipos de malware.

Invasores mais sofisticados podem usar exploits de dia zero que tiram proveito de vulnerabilidades que não estão listadas no CVE e para as quais nenhum patch ainda não foi lançado.

>

Sem o conhecimento ou controle adequado do software implantado em uma organização, os defensores não podem proteger adequadamente seus ativos, levando a violações de dados e exposição de dados confidenciais. As máquinas comprometidas em uma rede podem ser usadas para lançar ataques cibernéticos adicionais.

Esse controle reduz esse risco, exigindo que as organizações gerenciem ativamente todos os softwares na rede para que apenas o software autorizado seja instalado e possa ser executado.

3. Gerenciamento contínuo de vulnerabilidades

O gerenciamento de vulnerabilidades e a avaliação de vulnerabilidades exigem que os defensores cibernéticos recebam um fluxo constante de novas informações, atualizações de software, patches, avisos de segurança etc.

Os invasores usarão essas mesmas informações para aproveitar as lacunas entre o aparecimento de novas vulnerabilidades e sua correção para atacar os alvos.

Para minimizar esse risco, esse controle exige que as organizações adquiram, avaliem e tomem medidas continuamente sobre novas informações, a fim de identificar vulnerabilidades, corrigi-las e minimizar a janela de oportunidade.

Sem verificar vulnerabilidades e resolver problemas de forma proativa, as organizações enfrentam o risco significativo de comprometimento.

4. Uso controlado de privilégios administrativos

O princípio do privilégio mínimo e outros métodos de controle de acesso são projetados para criar processos e ferramentas para rastrear, controlar, impedir e corrigir o uso, atribuição e configuração de privilégios administrativos.

Isso ajuda a reduzir o abuso de privilégios administrativos, que é um método comum de ataque que se espalha dentro de uma organização.

Os invasores costumam usar engenharia social para induzir as vítimas a abrir arquivos maliciosos que são executados automaticamente.

Se a vítima tiver privilégios administrativos, o invasor pode assumir o controle da máquina da vítima instalando malware, spyware ou roubando dados confidenciais.

5. Configuração segura para hardware e software em dispositivos móveis, laptops, estações de trabalho e servidores

As configurações padrão para sistemas operacionais e aplicativos geralmente são voltadas para a facilidade de implantação e uso, e não para a segurança. Controles básicos, serviços e portas abertas, senhas padrão e protocolos desatualizados podem ser explorados quando deixados no estado padrão.

Para minimizar esse risco, as organizações devem estabelecer, implementar e gerenciar ativamente a configuração de segurança de dispositivos móveis, laptops, servidores e estações de trabalho usando processos de gerenciamento de configuração e controle de alterações para evitar que invasores explorem serviços e configurações vulneráveis.

6. Manutenção, Monitoramento e Análise de Logs de Auditoria

As deficiências no registro e na análise de segurança permitem que os invasores ocultem sua localização, a instalação de software malicioso e sua atividade na máquina da vítima.

Para mitigar isso, as organizações devem coletar, gerenciar e analisar logs de auditoria de eventos para ajudar na detecção, identificação e recuperação de ataques.

7. Proteções de e-mail e navegador da Web

Navegadores da Web e clientes de e-mail são pontos comuns de ataque devido à sua complexidade técnica, flexibilidade e alto uso. O conteúdo pode ser criado para induzir ou falsificar os usuários a agir, permitindo o roubo de dados valiosos ou a introdução de código malicioso.

Esse controle pode minimizar a superfície de ataque e as oportunidades para os invasores manipularem o comportamento humano por meio de sua interação com navegadores da Web e sistemas de e-mail.

8. Defesas contra malware

O software malicioso é projetado para atacar seus sistemas, dispositivos e dados. Ele pode entrar por meio de dispositivos de usuário final, anexos de e-mail, páginas da web, serviços em nuvem, ações do usuário e mídia removível. Ameaças sofisticadas são projetadas para contornar, evitar e desativar as defesas.

As organizações devem controlar a instalação, disseminação e execução de código malicioso, otimizando o uso da automação para permitir a atualização rápida da defesa, coleta de dados e ações corretivas.

9. Limitação e controle de portas, protocolos e serviços de rede

Os invasores procuram remotamente serviços de rede acessíveis que são vulneráveis à exploração. Exemplos comuns incluem servidores web mal configurados, servidores de e-mail, serviços de arquivo e impressão e servidores DNS instalados por padrão.

Esse controle deve gerenciar o uso operacional contínuo de portas, protocolos e serviços em dispositivos em rede para minimizar as janelas de vulnerabilidade disponíveis para invasores.

10. Recursos de recuperação de dados

Quando os invasores obtêm acesso a uma máquina, eles podem fazer alterações significativas na configuração e no software. Em algumas situações, eles fazem alterações sutis nos dados armazenados, potencialmente prejudicando a capacidade de operação da organização. Quando um invasor é descoberto, as organizações precisam ser capazes de remover todos os aspectos da presença do invasor da máquina.

É por isso que as organizações devem usar processos e ferramentas para fazer backup adequado de informações críticas com uma metodologia comprovada para recuperação oportuna delas.

11. Configuração segura para dispositivos de rede, como firewalls, roteadores e switches

As configurações padrão da infraestrutura de rede são projetadas para facilitar a implantação e o uso, e não a segurança. Serviços e portas abertas, senhas padrão, suporte para protocolos mais antigos e software pré-instalado podem ser explorados em estados padrão.

As organizações devem estabelecer, implementar e gerenciar ativamente a configuração de segurança dos dispositivos de infraestrutura de rede usando processos de gerenciamento de configuração e controle de alterações para impedir que invasores explorem serviços e configurações vulneráveis.

Este é um processo contínuo, pois a configuração de hardware e software não é um evento único, os invasores podem tirar proveito da configuração deslizante ao longo do tempo, pois os usuários exigem exceções para necessidades comerciais legítimas. Essas exceções podem ser deixadas em aberto quando a necessidade do negócio não é mais, abrindo possíveis vetores de ataque.

12. Defesa de Limites

Os invasores se concentram na exploração de sistemas acessíveis pela Internet. Grupos do crime organizado e atores de estados-nação podem abusar de pontos fracos de configuração e arquitetura encontrados em sistemas de perímetro, dispositivos de rede e máquinas clientes para obter acesso inicial às organizações.

Os controles de defesa de limite detectam, impedem e corrigem o fluxo de transferência de informações entre redes de diferentes níveis de confiança, com foco em dados prejudiciais à segurança.

13. Proteção de dados

Dados confidenciais residem em muitos lugares. A proteção desses dados é melhor alcançada por meio da combinação de criptografia, proteção de integridade e técnicas de prevenção de perda de dados.

Os controles de proteção de dados são processos e ferramentas projetados para evitar a exfiltração de dados, mitigar os efeitos dos dados exfiltrados e garantir a privacidade e a integridade das informações confidenciais.

14. Acesso controlado com base na necessidade de saber

A criptografia de dados fornece um nível de garantia de que, mesmo que ocorra uma violação de dados, é impraticável acessar o texto simples sem recursos significativos. Dito isso, os controles devem ser implementados para mitigar a ameaça de violações de dados em primeiro lugar.

As organizações devem ter processos e ferramentas para rastrear, controlar, prevenir e corrigir o acesso seguro a ativos críticos de acordo com os direitos de controle de acesso de pessoas, computadores e aplicativos com base em uma necessidade ou direito previamente classificado.

15. Controle de acesso sem fio

Muitas violações de dados são iniciadas por invasores que obtiveram acesso sem fio a organizações de fora do prédio físico, conectando-se sem fio a pontos de acesso.

As redes Wi-Fi públicas podem ser terrenos férteis para ataques man-in-the-middle e podem instalar backdoors que se reconectam à rede de uma organização-alvo.

Os controles de acesso sem fio são processos e ferramentas para rastrear, controlar, prevenir e corrigir o uso seguro de redes locais sem fio (WLANs), pontos de acesso e sistemas clientes sem fio.

16. Monitoramento e Controle de Contas

Os invasores frequentemente descobrem e exploram contas de usuário legítimas, mas inativas, para representar contas de usuário legítimas e inativas para representar usuários, tornando mais difícil para a equipe de segurança detectá-las.

Esse controle requer gerenciamento ativo em todo o ciclo de vida das contas do sistema e do aplicativo - sua criação, uso, dormência e exclusão - para minimizar as oportunidades para invasores.

17. Implemente um programa de conscientização e treinamento de segurança

Embora seja tentador pensar na segurança cibernética principalmente como um desafio técnico, as ações dos funcionários desempenham um papel crítico no sucesso ou fracasso até mesmo do programa de segurança cibernética mais automatizado, seja no projeto, implementação, operação, uso ou supervisão.

Isso significa que, para todas as funções funcionais, priorizando funções de missão crítica ou segurança, as organizações devem identificar o conhecimento específico, as habilidades e habilidades de segurança necessárias para apoiar a defesa da organização, desenvolver e executar um plano para avaliar, identificar lacunas e remediar por meio de programas de política, planejamento, treinamento e conscientização.

Criar uma cultura de boa higiene cibernética aumentará sua linha de base de resiliência a ameaças cibernéticas.

18. Segurança do software de aplicação

Os invasores geralmente se aproveitam das vulnerabilidades encontradas em softwares baseados na Web e em outros aplicativos. Essas vulnerabilidades podem resultar de erros de codificação, erros lógicos, requisitos incompletos e falha no teste de condições incomuns ou inesperadas.

Para mitigar esse vetor de ataque, as organizações devem gerenciar a segurança de todos os softwares internos e adquiridos ao longo de seu ciclo de vida.

19. Resposta e gerenciamento de incidentes

As organizações devem proteger suas informações e reputação desenvolvendo e implementando uma infraestrutura de resposta a incidentes (por exemplo, planos, funções definidas, treinamento, comunicações, supervisão de gerenciamento) para descobrir rapidamente ataques e, em seguida, conter os danos, erradicar o acesso do invasor e restaurar a integridade da rede e dos sistemas.

Os incidentes de segurança agora fazem parte de todas as organizações. Mesmo organizações grandes, bem financiadas e tecnicamente sofisticadas podem ter dificuldades para acompanhar os cibercriminosos, basta olhar para o Yahoo no topo das maiores violações de dados do mundo.

Quando ocorre um incidente, é tarde demais para desenvolver os procedimentos, relatórios, coleta de dados, gerenciamento, procedimentos legais e estratégia de comunicação corretos. É por isso que é importante desenvolver o planejamento de resposta a incidentes antes de um ataque bem-sucedido.

20. Testes de penetração e exercícios de equipe vermelha

As organizações devem testar sua defesa geral (tecnologia, processos e pessoas) simulando os objetivos e ações de um invasor.

Os invasores geralmente exploram a lacuna entre um bom design defensivo e a implementação real. Um bom exemplo é a janela de tempo entre o momento em que uma vulnerabilidade é descoberta e o momento em que ela é corrigida em todas as máquinas vulneráveis.

Uma postura defensiva bem-sucedida requer um programa abrangente com políticas eficazes de segurança da informação, fortes defesas técnicas e ação adequada das pessoas.

Os exercícios da Equipe Vermelha adotam uma abordagem abrangente em todo o espectro de políticas, processos e defesas da organização, a fim de melhorar a prontidão organizacional, melhorar o treinamento para profissionais defensivos e inspecionar os níveis de desempenho atuais.

O UpGuard ajuda as empresas a melhorar as posturas de segurança internamente e em toda a rede do provedor de serviços.

Com um conjunto de recursos que melhoram o gerenciamento de resposta a incidentes, incluindo questionários de segurança mapeados para padrões do setor (como ISO 27001, NIST CSF e SIG), tecnologia de automação e projeções de impacto de remediação, o UpGuard ajuda as empresas a aumentar sua resiliência à violação de dados contra riscos cibernéticos internos e de terceiros.

Projeções de impacto de remediação na plataforma UpGuard.

Artigos relacionados