Visão geral:

Gestão ativa (inventariar, rastrear e corrigir) de todos os ativos corporativos (dispositivos de usuário final, incluindo portáteis e móveis; dispositivos de rede; dispositivos não computacionais; Internet das Coisas (IoT); e servidores) conectados fisicamente à infraestrutura, virtualmente, remotamente, e aqueles em ambientes de nuvem, para saber com precisão a totalidade dos ativos que precisam ser monitorados e protegidos dentro da empresa. Isso também ajudará na identificação de ativos não autorizados e não gerenciados para removê-los ou remediá-los.

Por que este controle é crítico?
As empresas não podem defender o que não sabem que possuem. A gestão do controle de todos os ativos corporativos também desempenha um papel crítico no monitoramento de segurança, resposta a incidentes, backup e recuperação de sistemas. As empresas devem saber quais dados são essenciais para elas, e a gestão adequada de ativos ajudará a identificar os ativos corporativos que mantêm ou gerenciam esses dados críticos, para que os controles de segurança apropriados possam ser aplicados. Atacantes externos estão varrendo continuamente o espaço de endereçamento da Internet de empresas alvo, seja base local ou na nuvem, identificando ativos possivelmente desprotegidos conectados à rede corporativa. Os atacantes podem tirar proveito de novos ativos instalados, mas ainda não configurados e corrigidos com segurança. Internamente, ativos não identificados também podem ter configurações de segurança fracas que podem torná-los vulneráveis a malware baseado na web ou e-mail e os adversários podem aproveitar as configurações de segurança fracas para atravessar a rede, uma vez que estão dentro. Ativos adicionais que se conectam à rede corporativa (por exemplo, sistemas de demonstração, sistemas de teste temporários, redes de convidados) devem ser identificados e / ou isolados para evitar que o acesso de adversários afete a segurança das operações da empresa.

Empresas grandes, complexas e dinâmicas, compreensivelmente, lutam com o desafio de gerenciar ambientes complexos e em rápida mudança. No entanto, os atacantes têm mostrado capacidade, paciência e disposição para “inventariar e controlar” nossos ativos corporativos em uma enorme escala de forma a apoiar suas oportunidades.  Outro desafio é que os dispositivos portáteis do usuário final se conectam periodicamente a uma rede e depois desaparecem, tornando o inventário dos ativos disponíveis atualmente muito dinâmico. Da mesma forma, ambientes em nuvem e máquinas virtuais podem ser difíceis de rastrear em inventários de ativos quando eles são desligados ou pausados. Outro benefício da gestão completa de ativos corporativos é o suporte à resposta a incidentes, tanto ao investigar a origem do tráfego de rede de um ativo na rede quanto ao identificar todos os ativos potencialmente vulneráveis ou impactados, de tipo ou localização semelhante, durante um incidente.

Visão geral:

Gestão ativa (inventariar, rastrear e corrigir) de todos os softwares (sistemas operacionais e aplicações) na rede para que apenas o software autorizado seja instalado e possa ser executado, e que o software não autorizado e não gerenciado seja encontrado e impedido de ser instalado ou executado.

Por que este controle é crítico?
Um inventário de software completo é um fundamento crítico para prevenir ataques. Os atacantes realizam varreduras nas empresas continuamente em busca de versões vulneráveis de software que podem ser exploradas remotamente. Por exemplo, se um usuário abre um site malicioso ou um anexo com um navegador vulnerável, um atacante pode instalar programas backdoor e bots que fornecem ao atacante o controle de longo prazo do sistema. Os atacantes também podem usar esse acesso para mover-se lateralmente pela rede. Uma das principais defesas contra esses ataques é a atualização e a correção de software. No entanto, sem um inventário completo dos ativos de software, uma empresa não pode determinar se possui software vulnerável ou se há violações de licenciamento em potencial. Mesmo se um patch ainda não estiver disponível, uma lista completa de inventário de software permite que uma empresa se proteja contra os ataques conhecidos até que o patch seja lançado. Alguns atacantes sofisticados usam exploits “zero-day”, que tiram proveito de vulnerabilidades anteriormente desconhecidas que ainda não tiveram um patch lançado pelo fornecedor do software. Dependendo da gravidade da exploração, uma empresa pode implementar medidas de mitigação temporárias para se proteger contra ataques até que o patch seja lançado. A gestão de ativos de software também é importante para identificar riscos de segurança desnecessários. Uma empresa deve revisar seu inventário de software para identificar quaisquer ativos corporativos executando software que não sejam necessários para fins comerciais. Por exemplo, um ativo corporativo pode vir instalado com software padrão que cria um risco potencial de segurança e não oferece nenhum benefício para a empresa. É fundamental inventariar, compreender, avaliar e gerenciar todos os softwares conectados à infraestrutura corporativa.

Visão geral:

Desenvolver processos e controles técnicos para identificar, classificar, manusear com segurança, reter e descartar dados.

Por que este controle é crítico?
Os dados não estão mais apenas dentro da fronteira de uma empresa; estão na nuvem, em dispositivos portáteis de usuário final, onde os usuários trabalham em
casa, e geralmente são compartilhados com parceiros ou serviços online que podem tê-los em qualquer lugar do mundo. Além dos dados sensíveis que uma empresa possui relacionados às finanças, propriedade intelectual e dados do cliente, também pode haver várias regulamentações internacionais para a proteção de dados pessoais. A privacidade de dados tornou-se cada vez mais importante e as empresas estão aprendendo que a privacidade diz respeito ao uso e gestão apropriados de dados, não apenas à criptografia. Os dados devem ser gerenciados de maneira adequada em todo o seu ciclo de vida. Essas regras de privacidade podem ser complicadas para empresas multinacionais de qualquer tamanho; no entanto, existem fundamentos que podem ser aplicados a todas. Depois que os atacantes penetram na infraestrutura corporativa, uma de suas primeiras tarefas é encontrar e extrair os dados. As empresas podem não estar cientes de que dados sensíveis estão deixando seu ambiente porque não estão monitorando os fluxos de saída de dados.
Embora muitos ataques ocorram na rede, outros envolvem roubo físico de dispositivos portáteis de usuário final, ataques a provedores de serviços ou de outros parceiros que mantêm dados sensíveis. Outros ativos corporativos sensíveis também podem incluir dispositivos não computacionais que fornecem gestão e controle de sistemas físicos, como Supervisory Control and Data Acquisition (SCADA). A perda de controle da empresa sobre os dados protegidos ou sensíveis é um sério e frequentemente relatável impacto no negócio. Embora alguns dados sejam comprometidos ou perdidos como resultado de roubo ou espionagem, a grande maioria é resultado de regras de gestão de dados mal compreendidas e de erros do usuário. A adoção da criptografia de dados, tanto em trânsito quanto em repouso, pode fornecer mitigação contra o comprometimento dos dados e, ainda mais importante, é um requisito regulatório para a maioria dos dados controlados.

Visão geral:

Estabelecer e manter a configuração segura de ativos corporativos (dispositivos de usuário final, incluindo portáteis e móveis; dispositivos de rede; dispositivos não computacionais/IoT; e servidores) e software (sistemas operacionais e aplicações).

Por que este controle é crítico?
Conforme fornecidas pelos fabricantes e revendedores, as configurações padrão para ativos e software corporativos são normalmente voltadas para a facilidade de implantação e uso, em vez da segurança. Controles básicos, serviços e portas abertos, contas ou senhas padrão, definições pré-configuradas de Domain Name System (DNS), protocolos mais antigos (vulneráveis) e pré-instalação de software desnecessário podem ser explorados se deixados em seu estado padrão. Além disso, essas atualizações de configuração de segurança precisam ser gerenciadas e mantidas ao longo do ciclo de vida dos ativos e software da empresa. As atualizações de configuração precisam ser rastreadas e aprovadas por meio de um processo de fluxo de trabalho de gestão de configuração para manter um registro que pode ser revisado para compliance, aproveitado para resposta a incidentes e para apoiar auditorias. Este controle CIS é importante para dispositivos locais, bem como dispositivos remotos, dispositivos de rede e ambientes de nuvem. Os provedores de serviços desempenham um papel fundamental nas infraestruturas modernas, especialmente para empresas menores. Elas geralmente não são definidas por padrão na configuração mais segura de forma a fornecer flexibilidade para que seus clientes apliquem suas próprias políticas de segurança. Portanto, a presença de contas ou senhas padrão, acesso excessivo ou serviços desnecessários são comuns nas configurações padrão. Isso pode introduzir fraquezas que são de responsabilidade da empresa que está usando o software, e não do provedor de serviços. Isso se estende à gestão e atualizações contínuas, já que algumas Platform as a Service (PaaS) se estendem apenas ao sistema operacional, portanto, a aplicação de patches e a atualização de aplicações hospedadas são de responsabilidade da empresa. Mesmo depois que uma configuração inicial forte é desenvolvida e aplicada, ela deve ser gerenciada continuamente para evitar a degradação da segurança à medida que o software é atualizado ou corrigido, novas vulnerabilidades de segurança são relatadas e as configurações são “ajustadas” para permitir a instalação de um novo software ou para oferecer suporte para novos requisitos operacionais.

Visão geral:

Use processos e ferramentas para atribuir e gerenciar autorização de credenciais para contas de usuário, incluindo contas de administrador, bem como contas de serviço, de
ativos corporativos e software.

Por que este controle é crítico?
É mais fácil para um agente de ameaça externo ou interno obter acesso não autorizado a ativos ou dados da empresa usando credenciais de usuário válidas do que “hackeando” o ambiente. Existem muitas maneiras de obter secretamente acesso a contas de usuário, incluindo: senhas fracas, contas ainda válidas depois que um usuário deixa a empresa, contas de teste inativas ou remanescentes, contas compartilhadas que não foram alteradas em meses ou anos, contas de serviço incorporadas em aplicações para scripts, um usuário com a mesma senha que eles usam para uma conta online que foi comprometida (em um dump de senha pública), engenharia social em um usuário para fornecer sua senha ou usar malware para
capturar senhas ou tokens na memória ou na rede. Contas administrativas ou altamente privilegiadas são um alvo específico porque permitem que atacantes adicionem outras contas ou façam alterações em ativos que podem torná-los mais vulneráveis a outros ataques. As contas de serviço também são sensíveis, pois geralmente são compartilhadas entre as equipes, internas e externas à empresa, e às vezes desconhecidas, apenas para serem reveladas em auditorias de gestão de contas padrão. Por fim, o registro e o monitoramento de contas são componentes críticos das operações de segurança. Embora o registro e monitoramento de contas sejam cobertos pelo Controle CIS 8 (Gestão de Log de Auditoria), é importante no
desenvolvimento de um programa abrangente de Gestão de Acesso e Identidades
(Identity and Access Management—IAM).

Visão geral:

Use processos e ferramentas para criar, atribuir, gerenciar e revogar credenciais de acesso e privilégios para contas de usuário, administrador e serviço para ativos e software corporativos.

Por que este controle é crítico?
Onde o Controle CIS 5 lida especificamente com a gestão de contas, o Controle CIS 6 se concentra em gerenciar o acesso dessas contas, garantindo que os usuários tenham acesso apenas aos dados ou ativos corporativos apropriados para suas funções e garantindo que haja autenticação forte para dados ou funções corporativas críticas ou sensíveis. As contas devem ter apenas a autorização mínima necessária para a função. O desenvolvimento de direitos de acesso consistentes para cada função e a atribuição de funções aos usuários é uma prática recomendada. O desenvolvimento de um programa para acesso completo e desprovisionamento também é importante. Centralizar essa função é o ideal. Existem algumas atividades de usuário que representam um maior risco para a empresa, seja porque eles são acessados de redes não confiáveis, ou por realizar funções de administrador que permitem adicionar, alterar e remover outras contas, ou fazer alterações de configuração em sistemas operacionais e aplicações para torná-los menos seguros. Isso também reforça a importância do uso de ferramentas MFA e Privileged Access Management (PAM). Alguns usuários têm acesso a ativos ou dados corporativos de que não precisam para sua função; isso pode ser devido a um processo imaturo que concede a todos os usuários acesso total ou acesso prolongado à medida que os usuários mudam de função dentro da empresa ao longo do tempo. Os privilégios de administrador local para os laptops dos usuários também são um problema, pois códigos maliciosos instalados ou baixados pelo usuário podem ter um impacto maior no ativo corporativo executado como administrador. O acesso de usuário, administrador e conta de serviço deve ser baseado na função e na necessidade da empresa.

Visão Geral:
Desenvolva um plano para avaliar e rastrear vulnerabilidades continuamente em todos os ativos corporativos dentro da infraestrutura da empresa, a fim de remediar e minimizar a janela de oportunidade para atacantes. Monitore fontes públicas e privadas para novas informações sobre ameaças e vulnerabilidades.

Por que este controle é crítico?
Os defensores cibernéticos são constantemente desafiados por atacantes que procuram vulnerabilidades em sua infraestrutura para explorar e obter acesso. Os defensores devem ter informações oportunas de ameaças disponíveis sobre: atualizações de software, patches, avisos de segurança, boletins de ameaças, etc., e devem revisar regularmente seu ambiente para identificar essas vulnerabilidades antes que os atacantes o façam. Compreender e gerenciar vulnerabilidades é uma atividade contínua, que requer foco de tempo, atenção e recursos. Os atacantes têm acesso às mesmas informações e muitas vezes podem tirar proveito das vulnerabilidades mais rapidamente do que uma empresa pode remediar. Embora exista um intervalo de tempo desde a descoberta de uma vulnerabilidade até quando ela é corrigida, os defensores podem priorizar quais vulnerabilidades são mais impactantes para a empresa ou que provavelmente serão exploradas primeiro devido à facilidade de uso. Por exemplo, quando os pesquisadores ou a comunidade relatam novas vulnerabilidades, os fornecedores precisam desenvolver e implantar patches, indicadores de comprometimento (IOCs) e atualizações. Os defensores precisam avaliar o risco da nova vulnerabilidade para a empresa, realizar testes de regressão nos patches e instalar o patch. Nunca há perfeição neste processo. Os atacantes podem estar usando um exploit para uma vulnerabilidade que não é conhecida na comunidade de segurança. Eles podem ter desenvolvido um exploit para essa vulnerabilidade, conhecido como exploit de “zero-day”. Uma vez que a vulnerabilidade é conhecida na comunidade, o processo mencionado acima é iniciado. Portanto, os defensores devem ter em mente que pode já existir um exploit quando a vulnerabilidade é amplamente socializada. Às vezes, as vulnerabilidades podem ser conhecidas em uma comunidade fechada (por exemplo, o fornecedor ainda está desenvolvendo uma correção) por semanas, meses ou anos antes de serem divulgadas publicamente. Os defensores devem estar cientes de que pode sempre haver vulnerabilidades que eles não podem remediar e, portanto, precisam usar outros controles para mitigar.

Visão Geral:
Colete, alerte, analise e retenha logs de auditoria de eventos que podem ajudar a detectar, compreender ou se recuperar de um ataque.

Por que este controle é crítico?
A coleta e análise de log é crítica para a capacidade de uma empresa detectar atividades maliciosas rapidamente. Às vezes, os registros de auditoria são a única evidência de um ataque bem-sucedido. Os atacantes sabem que muitas empresas mantêm logs de auditoria para fins de conformidade, mas raramente os analisam. Os atacantes usam esse conhecimento para ocultar sua localização, um software malicioso e as atividades nas máquinas das vítimas. Devido a processos de análise de log insatisfatórios ou inexistentes, os atacantes às vezes controlam as máquinas das vítimas por meses ou anos sem que ninguém na empresa-alvo saiba. Existem dois tipos de registros que geralmente são tratados e frequentemente configurados de forma independente: logs do sistema e logs de auditoria. Os logs do sistema geralmente fornecem eventos no nível do sistema que mostram vários horários de início/término de processo do sistema, travamentos, etc. Eles são nativos dos sistemas e exigem menos configurações para serem ativados. Os logs de auditoria normalmente incluem eventos no nível do usuário—quando um usuário faz login, acessa um arquivo, etc.—e exige mais planejamento e esforço para configuração.
Os registros de log também são essenciais para a resposta a incidentes. Após a
detecção de um ataque, a análise de log pode ajudar as empresas a compreender a
extensão de um ataque. Os registros de log completos podem mostrar, por exemplo,
quando e como o ataque ocorreu, quais informações foram acessadas e se os dados
foram extraídos. A retenção de logs também é crítica no caso de acompanhamento
de uma investigação ser necessária ou se um ataque permanecer não detectado por
um longo período de tempo.

Visão Geral:
Melhore as proteções e detecções de vetores de ameaças de e-mail e web, pois são oportunidades para atacantes manipularem o comportamento humano por meio do engajamento direto

Por que este controle é crítico?
Navegadores Web e clientes de e-mail são pontos de entrada muito comuns para atacantes por causa de sua interação direta com usuários dentro de uma empresa. O conteúdo pode ser criado para atrair ou enganar os usuários para que revelem credenciais, forneçam dados sensíveis ou forneçam um canal aberto para permitir que atacantes obtenham acesso, aumentando assim o risco para a empresa. Como o e-mail e a web são os principais meios pelos quais os usuários interagem com usuários e ambientes externos e não confiáveis, esses são os principais alvos tanto de código malicioso quanto de engenharia social. Além disso, conforme as empresas migram para o e-mail baseado na web ou acesso móvel ao e-mail, os usuários não utilizam mais os clientes de e-mail tradicionais com todos os recursos, que fornecem controles de segurança integrados, como criptografia de conexão, autenticação forte e botões de relato de phishing.

Visão Geral:
Impedir ou controlar a instalação, disseminação e execução de aplicações, códigos ou scripts maliciosos em ativos corporativos.

Por que este controle é crítico?
O software malicioso (às vezes classificado como vírus ou Trojans) é um aspecto integrante e perigoso das ameaças da Internet. Eles podem ter várias finalidades, desde capturar credenciais, roubar dados, identificar outros alvos na rede e criptografar ou destruir dados. O malware está em constante evolução e adaptação, à medida que variantes modernas aproveitam as técnicas de aprendizado de máquina. O malware entra em uma empresa por meio de vulnerabilidades em dispositivos de usuário final, anexos de e-mail, páginas da web, serviços em nuvem, dispositivos móveis e mídia removível. O malware geralmente depende do comportamento inseguro do usuário final, como clicar em links, abrir anexos, instalar software ou perfis, ou inserir unidades flash USB (Universal Serial Bus). O malware moderno é projetado para evitar, enganar ou desabilitar as defesas. As defesas contra malware devem ser capazes de operar neste ambiente dinâmico por meio de automação, atualização rápida e oportuna e integração com outros processos, como gestão de vulnerabilidade e resposta a incidentes. Eles devem ser implantados em todos os possíveis pontos de entrada e ativos corporativos para detectar, impedir a propagação ou controlar a execução de software ou código malicioso.

Visão Geral:

Estabeleça e mantenha praticas de recuperação de dados suficientes para restaurar ativos corporativos dentro do escopo para um estado pré-incidente e confiável.

Por que este controle é crítico?

Na tríade de segurança cibernética—Confidencialidade, Integridade e Disponibilidade (CID)—a disponibilidade de dados é, em alguns casos, mais crítica do que sua confidencialidade. As empresas precisam de muitos tipos de dados para tomar decisões de negócios e, quando esses dados não estão disponíveis ou não são confiáveis, eles podem impactar a empresa. Um exemplo fácil são as informações meteorológicas para uma empresa de transporte.

Quando os atacantes comprometem os ativos, eles fazem alterações nas configurações, adicionam contas e, frequentemente, adicionam software ou scripts. Essas alterações nem sempre são fáceis de identificar, pois os atacantes podem ter corrompido ou substituído aplicações confiáveis por versões maliciosas ou as alterações podem parecer nomes de conta de aparência padrão. As alterações de configuração podem incluir, adicionar ou alterar entradas de registro, abrir portas, desligar serviços de segurança, excluir logs ou outras ações maliciosas que tornam um sistema inseguro. Essas ações não precisam ser maliciosas; erros humanos também podem causar da mesma forma cada uma delas. Portanto, é importante ter a capacidade de ter backups ou espelhos recentes para recuperar ativos e dados corporativos de volta a um estado confiável conhecido.

Houve um aumento exponencial de ransomware nos últimos anos. Não é uma ameaça nova, embora tenha se tornado mais comercializada e organizada como um método confiável para os atacantes ganharem dinheiro. Se um atacante criptografar os dados de uma empresa e exigir resgate para sua restauração, pode ser útil ter um backup recente para recuperá-los para um estado conhecido e confiável. No entanto, conforme o ransomware evoluiu, ele também se tornou uma técnica de extorsão,em que os dados são extraídos antes de serem criptografados e o atacante pede pagamento para restaurar os dados da empresa, bem como para evitar que sejam vendidos ou divulgados. Nesse caso, a restauração resolveria apenas o problema de restaurar os sistemas a um estado confiável e continuar as operações. Aproveitar a orientação dos Controles CIS ajudará a reduzir o risco de ransomware por meio de uma higiene cibernética aprimorada, já que os atacantes geralmente usam exploits mais antigos ou básicos em sistemas inseguros.

Visão Geral:

Estabeleça, implemente e gerencie ativamente (rastreie, reporte, corrija) os dispositivos de rede, a fim de evitar que atacantes explorem serviços de rede e pontos de acesso vulneráveis.

Por que este controle é crítico?

A infraestrutura de rede segura é uma defesa essencial contra ataques. Isso inclui uma arquitetura de segurança apropriada, abordando vulnerabilidades que são, muitas vezes, introduzidas com configurações padrão, monitoramento de alterações e reavaliação das configurações atuais. A infraestrutura de rede inclui dispositivos como gateways físicos e virtualizados, firewalls, pontos de acesso sem fio, roteadores e switches.

As configurações padrão para dispositivos de rede são voltadas para facilidade de implantação e uso—não para segurança. Potenciais vulnerabilidades padrão incluem portas e serviços abertos, contas e senhas padrão (incluindo contas de serviço), suporte para protocolos vulneráveis mais antigos e pré-instalação de software desnecessário. Os atacantes procuram configurações padrão vulneráveis, lacunas ou inconsistências em conjuntos de regras de firewall, roteadores e switches e usam essas lacunas para penetrar nas defesas. Eles exploram falhas nesses dispositivos para obter acesso às redes, redirecionar o tráfego em uma rede e interceptar dados durante a transmissão.

A segurança da rede é um ambiente em constante mudança que exige uma reavaliação regular dos diagramas de arquitetura, configurações, controles de acesso e fluxos de tráfego permitidos. Os atacantes tiram proveito das configurações de dispositivos de rede que se tornam menos seguras com o tempo, à medida que os usuários exigem exceções para necessidades de negócio específicas. Às vezes, as exceções são implantadas, mas não removidas quando não são mais aplicáveis às necessidades do negócio. Em alguns casos, o risco de segurança de uma exceção não é devidamente analisado nem medido em relação à necessidade de negócios associada e pode mudar com o tempo.

Visão Geral:

Operar processos e ferramentas para estabelecer e manter monitoramento e defesa de rede abrangente contra ameaças de segurança em toda a infraestrutura de rede corporativa e base de usuários.

Por que este controle é critico?

Não podemos confiar que as defesas da rede sejam perfeitas. Os adversários continuam a evoluir e amadurecer, à medida que compartilham ou vendem informações entre sua comunidade sobre expolis e desvios para controles de segurança. Mesmo que as ferramentas de segurança funcionem “conforme anunciado”, é necessário um entendimento da postura de risco corporativo para configurá-las, ajustá-las e registrá-las em log para serem eficazes. Frequentemente, configurações incorretas devido a erro humano ou falta de conhecimento dos recursos da ferramenta dão às empresas uma falsa sensação de segurança.

As ferramentas de segurança só podem ser eficazes se oferecerem suporte a um processo de monitoramento contínuo que permita à equipe ser alertada e responder rapidamente a incidentes de segurança. As empresas que adotam uma abordagem puramente orientada para a tecnologia também terão mais falsos positivos, devido ao excesso de confiança nos alertas das ferramentas. Identificar e responder a essas ameaças requer visibilidade de todos os vetores de ameaças da infraestrutura e aproveitamento de pessoas no processo de detecção, análise e resposta. É essencial para empresas grandes ou fortemente direcionadas ter uma capacidade de operações de segurança para prevenir, detectar e responder rapidamente às ameaças cibernéticas antes que elas possam impactar a empresa. Este processo  irá gerar relatórios de atividades e métricas que ajudarão a aprimorar as políticas de segurança e apoiar a conformidade regulatória para muitas empresas.

Como temos visto muitas vezes na imprensa, as empresas têm sido comprometidas por semanas, meses ou anos antes de serem descobertas. O principal benefício de ter uma consciência situacional abrangente é aumentar a velocidade de detecção e resposta. Isso é fundamental para responder rapidamente quando um malware é descoberto, credenciais são roubadas ou quando dados sensíveis são comprometidos para reduzir o impacto para a empresa.

Por meio de uma boa conscientização situacional (ou seja, operações de segurança), as empresas irão identificar e catalogar Táticas, Técnicas e Procedimentos (TTPs) de atacantes, incluindo seus IOCs que ajudarão a empresa a se tornar mais proativa na identificação de futuras ameaças ou incidentes. A recuperação pode ser alcançada mais rapidamente quando a resposta tem acesso a informações completas sobre o ambiente e a estrutura da empresa para desenvolver estratégias de resposta eficientes.

Visão Geral:

Estabelecer e manter um programa de conscientização de segurança para influenciar o comportamento da força de trabalho para ser consciente em segurança e devidamente qualificada para reduzir os riscos de segurança cibernética para a empresa.

Por que este controle é crítico?

As ações das pessoas desempenham um papel crítico no sucesso ou no fracasso do programa de segurança de uma empresa. É mais fácil para um atacante induzir um usuário a clicar em um link ou abrir um anexo de e-mail para instalar malware para entrar em uma empresa do que encontrar um exploit de rede para fazê-lo diretamente.

Os próprios usuários, intencionalmente ou não, podem causar incidentes como resultado do manuseio incorreto de dados sensíveis, enviar um e-mail com dados sensíveis para o destinatário errado, perder um dispositivo de usuário final portátil, usar senhas fracas ou usar a mesma senha que usam em sites públicos.

Nenhum programa de segurança pode lidar com o risco cibernético de maneira eficaz sem um meio de lidar com essa vulnerabilidade humana fundamental.

Os usuários em todos os níveis da empresa têm riscos diferentes. Por exemplo: executivos gerenciam dados mais sensíveis; os administradores de sistema têm a capacidade de controlar o acesso a sistemas e aplicações; e usuários em finanças, recursos humanos e contratos, todos têm acesso a diferentes tipos de dados sensíveis que podem torná-los alvos.

O treinamento deve ser atualizado regularmente. Isso aumentará a cultura de segurança e irá desencorajar soluções alternativas arriscadas.

Visão Geral:

Desenvolva um processo para avaliar os provedores de serviços que mantêm dados sensíveis, ou são responsáveis por plataformas ou processos de TI críticos de uma empresa, para garantir que esses provedores estejam protegendo essas plataformas e dados de forma adequada.

Por que este controle é crítico?

Em nosso mundo moderno e conectado, as empresas contam com fornecedores e parceiros para ajudar a gerenciar seus dados ou contam com infraestrutura de terceiros para aplicações ou funções essenciais.

Houve vários exemplos em que violações de terceiros impactaram significativamente uma empresa; por exemplo, no final dos anos 2000, cartões de pagamento foram comprometidos depois que atacantes se infiltraram em pequenos fornecedores terceirizados no setor de varejo.

Os exemplos mais recentes incluem ataques de ransomware que afetam uma empresa indiretamente, devido ao bloqueio de um de seus provedores de serviço, causando interrupção nos negócios. Ou pior, se conectado diretamente, um ataque de ransomware pode criptografar dados na empresa principal.

A maioria das regulamentações de segurança e privacidade de dados exige que sua proteção seja estendida a prestadores de serviços terceirizados, como acordos de parceiros comerciais de Health Insurance Portability and Accountability Act (HIPAA) na área de saúde, requisitos do Federal Financial Institutions Examination Council (FFIEC) para o setor financeiro e o United Kingdom (UK) Cyber Essentials. A confiança de terceiros é uma função central de Governança, Riscos e Compliance (GRC), pois os riscos que não são gerenciados dentro da empresa são transferidos para entidades fora da empresa.

Embora a revisão da segurança de terceiros seja uma tarefa realizada por décadas, não existe um padrão universal para avaliar a segurança; e, muitos provedores de serviço estão sendo auditados por seus clientes várias vezes ao mês, causando impactos em sua própria produtividade. Isso ocorre porque cada empresa tem um “checklist” diferente ou conjunto de padrões para classificar o provedor de serviços. Existem apenas alguns padrões da indústria, como em finanças, com o programa Shared Assessments, ou no ensino superior, com seu Higher Education Community Vendor Assessment Toolkit (HECVAT). As seguradoras que vendem apólices de segurança cibernética também têm suas próprias medidas.

Embora uma empresa possa fazer um exame muito minucioso em grandes empresas de hospedagem de aplicações ou de nuvem porque estão hospedando seus e-mails ou aplicações de negócios essenciais, as empresas menores costumam apresentar risco maior. Frequentemente, um provedor de serviços terceirizado contrata terceiros para fornecer outros plug-ins ou serviços, tais como quando um terceiro usa uma plataforma ou produto de outros terceiros para oferecer suporte à empresa principal.

Visão Geral:

Gerencie o ciclo de vida da segurança de software desenvolvido, hospedado ou adquirido internamente para prevenir, detectar e corrigir os pontos fracos de segurança antes que possam afetar a empresa.

Por que este controle é crítico?

As aplicações fornecem uma interface amigável para permitir que os usuários acessem e gerenciem dados de uma forma alinhada às funções de negócios. Eles também minimizam a necessidade de os usuários lidarem diretamente com funções de sistema complexas (e potencialmente sujeitas a erros), como fazer login em um banco de dados para inserir ou modificar arquivos. As empresas usam aplicações para gerenciar seus dados mais sensíveis e controlar o acesso aos recursos do sistema. Portanto, um atacante pode usar a própria aplicação para comprometer os dados, em vez de uma sequência elaborada de invasão de rede e sistema que tenta desviar dos controles e sensores de segurança da rede. É por isso que proteger as credenciais do usuário (especificamente as credenciais da aplicação) definidas no Controle CIS 6 é tão importante.

Na ausência de credenciais, as falhas de aplicação são a escolha para os vetores de ataque. No entanto, as aplicações de hoje são desenvolvidas, operadas e mantidas em um ambiente altamente complexo, diverso e dinâmico. As aplicações são executadas em várias plataformas: web, móvel, nuvem, etc., com arquiteturas de aplicações que são mais complexas do que as estruturas legadas de cliente- servidor ou servidor de banco de dados web. Os ciclos de vida de desenvolvimento tornaram-se mais curtos, passando de meses ou anos em longas metodologias em cascata para ciclos de DevOps com atualizações de código frequentes. Além disso, as aplicações raramente são criadas do zero e geralmente são “montadas” a partir de uma combinação complexa de estruturas de desenvolvimento, bibliotecas, código existente e novos códigos. Existem também regulamentações de proteção de dados modernas e em evolução que tratam da privacidade do usuário. Isso pode exigir conformidade com requisitos de proteção de dados específicos do setor ou regionais.

Esses fatores tornam as abordagens tradicionais de segurança, como controle (de processos, fontes de código, ambiente de tempo de execução, etc.), inspeção e teste, muito mais desafiadoras. Além disso, o risco que uma vulnerabilidade de aplicação apresenta pode não ser compreendido, exceto em uma configuração ou contexto operacional específico.

As vulnerabilidades de aplicação podem estar presentes por vários motivos: design inseguro, infraestrutura insegura, erros de codificação, autenticação fraca e falha no teste para condições incomuns ou inesperadas. Os atacantes podem explorar vulnerabilidades específicas, incluindo buffer overflows, exposição à Structured Query Language (SQL) injection, cross-site scripting, falsificação de solicitações entre sites e click-jacking de código para obter acesso a dados sensíveis ou assumir o controle de ativos vulneráveis dentro da infraestrutura como um ponto de partida para novos ataques.

Aplicações e sites também podem ser usados para coletar credenciais, dados ou tentar instalar malware nos usuários que os acessam.

Finalmente, agora é mais comum adquirir plataformas de Software as a Service (SaaS), nas quais o software é desenvolvido e gerenciado inteiramente por terceiros. Eles podem ser hospedados em qualquer lugar do mundo. Isso traz desafios para as empresas que precisam saber quais riscos estão aceitando ao usar essas plataformas; e, muitas vezes, não têm visibilidade das práticas de desenvolvimento e segurança de aplicações dessas plataformas. Algumas dessas plataformas SaaS permitem a personalização de suas interfaces e bancos de dados. As empresas que estendem essas aplicações devem seguir este Controle CIS, semelhante a se estivessem fazendo o desenvolvimento de cliente desde o início.

Visão Geral:

Estabelecer um programa para desenvolver e manter uma capacidade de resposta a incidentes (por exemplo, políticas, planos, procedimentos, funções definidas, treinamento e comunicações) para preparar, detectar e responder rapidamente a um ataque.

Por que este controle é crítico?

Um programa abrangente de segurança cibernética inclui proteções, detecções, resposta e recursos de recuperação. Frequentemente, os dois últimos são esquecidos em empresas imaturas, ou a técnica de resposta a sistemas comprometidos é apenas reconstruí-los ao estado original e seguir em frente.

O objetivo principal da resposta a incidentes é identificar ameaças na empresa, responder a elas antes que possam se espalhar e remediá-las antes que possam causar danos. Sem entender todo o escopo de um incidente, como aconteceu e o que pode ser feito para evitar que aconteça novamente, os defensores ficarão em um padrão perpétuo de “acerte a toupeira”.

Não podemos esperar que nossas proteções sejam eficazes 100% do tempo. Quando ocorre um incidente, se uma empresa não tem um plano documentado— mesmo com boas pessoas—é quase impossível saber os procedimentos de investigação corretos, relatórios, coleta de dados, responsabilidade de gestão, protocolos legais e estratégia de comunicação que permitirão a empresa entender, gerenciar e recuperar com sucesso.

Junto com a detecção, contenção e erradicação, a comunicação com as partes interessadas é fundamental. Se quisermos reduzir a probabilidade de impacto material devido a um evento cibernético, a liderança da empresa deve saber qual o impacto potencial que pode haver, para que possam ajudar a priorizar as decisões de remediação ou restauração que melhor apoiem a empresa. Essas decisões de negócios podem ser baseadas em conformidade regulatória, regras de divulgação, acordos de nível de serviço com parceiros ou clientes, receita ou impactos de missão.

O tempo de espera desde o momento em que um ataque acontece até o momento em que ele é identificado pode ser dias, semanas ou meses. Quanto mais tempo os atacantes ficam na infraestrutura da empresa, mais incorporados se tornam e irão desenvolver mais maneiras de manter o acesso persistente para quando forem eventualmente descobertos. Com o surgimento do ransomware, que é um gerador de dinheiro estável para os atacantes, esse tempo de permanência é crítico, especialmente com táticas modernas de roubo de dados antes de criptografá-los para resgate.

Visão Geral:

Teste a eficácia e a resiliência dos ativos corporativos por meio da identificação e exploração de fraquezas nos controles (pessoas, processos e tecnologia) e da simulação dos objetivos e ações de um atacante.

Por que este controle é crítico?

Uma postura defensiva bem-sucedida requer um programa abrangente de políticas e governança eficazes, fortes defesas técnicas, combinadas com a ação apropriada das pessoas. No entanto, raramente é perfeito. Em um ambiente complexo onde a tecnologia está em constante evolução e novas técnicas dos atacantes aparecem regularmente, as empresas devem testar periodicamente seus controles para identificar lacunas e avaliar sua resiliência. Este teste pode ser da perspectiva de rede externa, rede interna, aplicação, sistema ou dispositivo. Pode incluir engenharia social de usuários ou desvios de controle de acesso físico.

Muitas vezes, os testes de invasão são realizados para fins específicos:

• Como uma demonstração “dramática” de um ataque, geralmente para convencer os tomadores de decisão das fraquezas de sua empresa
• Como um meio de testar o funcionamento correto das defesas da empresa (“verificação”)
• Para testar se a empresa construiu as defesas certas em primeiro lugar (“validação”)

Os testes de invasão independentes podem fornecer percepções valiosas e objetivas sobre a existência de vulnerabilidades em ativos corporativos e humanos, e a eficácia das defesas e controles de mitigação para proteger contra impactos adversos para a empresa. Eles fazem parte de um programa abrangente e contínuo de gestão e aprimoramento de segurança. Eles também podem revelar fraquezas do processo, como gestão de configuração ou treinamento do usuário final incompletos ou inconsistentes.

O teste de invasão difere do teste de vulnerabilidade, descrito no Controle CIS7.

O teste de vulnerabilidade apenas verifica a presença de ativos corporativos conhecidos e inseguros e para por aí. O teste de invasão vai além para explorar essas fraquezas para ver até onde um atacante pode chegar e quais processos de negócios ou dados podem ser afetados pela exploração dessa vulnerabilidade. Este é um detalhe importante, e muitas vezes o teste de invasão e o teste de vulnerabilidade são usados indevidamente de maneira incorreta. O teste de vulnerabilidade é exclusivamente a varredura automatizada, às vezes com validação manual de falsos positivos, ao passo que o teste de invasão requer mais envolvimento e análise humana, às vezes com suporte por meio do uso de ferramentas ou scripts personalizados. No entanto, o teste de vulnerabilidade geralmente é um ponto de partida para um teste de invasão.

Outro termo comum são exercícios de “Red Team”. Eles são semelhantes aos testes de invasão em que as vulnerabilidades são exploradas; no entanto, a diferença é o foco. Os Red Teams simulam TTPs de atacantes específicos para avaliar como o ambiente de uma empresa resistiria a um ataque de um adversário específico ou uma categoria de adversários.