CIS Control 5: Gerenciamento de Contas

CIS Critical Security Controls são ferramentas poderosas para ajudar as empresas a avaliar suas vulnerabilidades, realizar uma gestão de riscos de cibersegurança eficaz, fortalecer sua postura de segurança e estabelecer e manter a conformidade com os mandatos de cibersegurança.

O CIS Control 5 oferece estratégias para garantir que suas contas de usuário, administrador e serviço sejam gerenciadas adequadamente. Por exemplo, abrange a configuração de controles de acesso a dados robustos e a implementação de monitoramento contínuo para proteger as contas de serem exploradas por atacantes. Este artigo descreve esses benchmarks do CIS em mais detalhes para ajudá-lo a evitar problemas de cibersegurança causados por contas vulneráveis.

(Observe que alguns CIS controls foram renumerados na versão 8; anteriormente, o gerenciamento de contas era o CIS Control 16.)

5.1 Estabeleça e Mantenha um Inventário de Contas

O CIS Control 5 foca em estabelecer e manter um inventário das contas de administrador e usuário em uma empresa. O nome do titular da conta, datas de início/encerramento, nome de usuário e departamento devem ser documentados; pode ser benéfico também documentar o propósito da conta.

Manter o inventário exige verificar regularmente se todas as contas atualmente em uso estão autorizadas. Normalmente, a validação ocorre trimestralmente, embora possa ser feita com mais frequência, se necessário. É importante usar esse processo em conexão com as salvaguardas de inventário listadas em outros controles, como os seguintes:

• 1.1: Utilize uma ferramenta de Active Discovery
• 2.1: Manter Inventário de Software Autorizado
• 3.2: Realizar Varredura de Vulnerabilidade Autenticada
• 5.1: Estabelecer Configurações Seguras
• 6.6: Implante SIEM ou Ferramentas de Análise de Logs
• 16.4: Criptografe ou faça hash de todas as credenciais de autenticação

5.2 Use senhas únicas

Usar senhas únicas para cada conta na sua rede é crucial para proteger os ativos da sua empresa contra acessos não autorizados. As melhores práticas indicadas pelo CIS incluem:

• Exija um comprimento mínimo de senha de oito caracteres quando combinado com autenticação de múltiplos fatores (MFA) e um comprimento de pelo menos 14 caracteres para contas que não usam MFA.
• Evite usar senhas que sejam fáceis de adivinhar por hackers, como nomes ou datas de nascimento.
• Evite reutilizar senhas passadas porque elas podem ter sido vazadas, o que aumenta o risco de um vazamento de dados
• Altere as senhas padrão para todas as aplicações.

5.3 Desativar Contas Inativas

Contas inativas são aquelas que não foram utilizadas por pelo menos 45 dias. Auditar regularmente seu ambiente em busca dessas contas e desativá-las ou excluí-las reduz o risco de hackers comprometerem-nas e invadirem sua rede. Você pode desativar essas contas automaticamente definindo datas de expiração, se o sistema da sua empresa suportar isso.

5.4 Restringir privilégios de administrador a contas dedicadas de administrador

As contas privilegiadas devem ser usadas apenas quando necessário para completar tarefas administrativas. Quando os administradores quiserem realizar tarefas regulares como navegar na internet ou trabalhar com e-mails, eles devem usar sua conta não privilegiada para minimizar os riscos de segurança.

5.5 Estabeleça e Mantenha um Inventário de Contas de Serviço

É importante estabelecer um inventário de todas as contas de serviço. No mínimo, deve incluir o nome do proprietário do departamento, a data de revisão e o propósito da conta. O inventário deve ser revisado conforme o cronograma, pelo menos trimestralmente, para validar que todas as contas ativas ainda são necessárias.

5.6 Centralizar o Gerenciamento de Contas

Centralizar todo o gerenciamento de contas em um único local usando um serviço de identidade ou diretório, como Active Directory, torna o trabalho mais fácil e ajuda a garantir a precisão.