CIS Control 13: Monitoramento e Defesa de Rede

A cibersegurança hoje parece uma corrida armamentista: as empresas implementam cada vez mais ferramentas de segurança para tentar defender suas redes contra ataques cada vez mais frequentes e sofisticados. Mas simplesmente aumentar o número de ferramentas no seu arsenal não é uma estratégia eficaz de cibersegurança. Em vez disso, o que as organizações precisam é de uma estrutura que forneça diretrizes comprovadas para a gestão segura de seus recursos digitais, para que possam implementar ferramentas e processos que realmente protejam seus negócios, clientes e parceiros.

O Centro para a Segurança da Internet (CIS) fornece exatamente esse tipo de estrutura — os CIS Critical Security Controls. Implementar esses controles pode ajudá-lo a proteger sua infraestrutura, aplicações de software, serviços e dados, de maneira eficaz e eficiente.

O framework CIS Controls é periodicamente atualizado para enfrentar ameaças em evolução. Em particular, o mundo mudou drasticamente desde que a versão 7 foi lançada em 2019, graças à adoção generalizada do trabalho remoto e híbrido durante a pandemia. Consequentemente, o CIS lançou a versão 8 em 2021. Ela inclui um novo controle importante, Monitoramento e Defesa de Rede, e elimina outros três, incluindo Defesa de Perímetro. Vamos analisar essa mudança e o que ela significa para a sua estratégia de cibersegurança.

CIS Control 13: Monitoramento e Defesa de Rede

Houve um tempo em que uma forte defesa de perímetro era a principal prioridade em uma estratégia de cibersegurança. Hoje, no entanto, o tráfego flui para e de uma multiplicidade de sites fora do perímetro de rede tradicional. Portanto, é essencial saber quais dispositivos estão conectados à sua rede a qualquer momento e monitorar continuamente as tentativas de acesso a dados sensíveis e outros recursos de alto valor. O objetivo é identificar rapidamente padrões de tráfego suspeitos ou eventos para que você possa detectar ameaças antes que resultem em uma data breach ou interrompam as operações.

O Controle 13 na versão 8 do CIS Control muda a abordagem estratégica de 'cercar' a organização para uma abordagem 'entrelaçada' de monitoramento e defesa que se adapta aos processos modernos usados nas conexões da cadeia de suprimentos, por exemplo, a troca de dados estabelecida com eles.

Para ajudar as organizações a alcançar esse objetivo, o CIS Control 13 recomenda as seguintes 11 salvaguardas:

1. Centralize o alerta de eventos de segurança

O monitoramento manual de ameaças é insuficiente diante das modernas metodologias de ataque. Por exemplo, o ransomware pode criptografar dados na velocidade da máquina, e detectar ataques cibernéticos sofisticados envolve correlacionar dados em múltiplos sistemas. Felizmente, existem ferramentas avançadas que utilizam automação e inteligência artificial para analisar rapidamente dados em redes híbridas complexas. O CIS Control 13 recomenda o uso de uma solução SIEM para agregar, correlacionar e analisar dados de logs de eventos de múltiplos sistemas e alertar o pessoal adequado sobre ameaças em tempo real.

2. Implante uma solução de detecção de intrusão baseada em host

Aplicativo de software que é instalado localmente na infraestrutura do computador que ele analisará. Sua função é detectar, registrar e alertar sobre comportamentos suspeitos, tráfego malicioso e violações de políticas.

3. Implemente uma solução de detecção de intrusão na rede.

Uma solução de detecção de intrusão em rede (NID) é um dispositivo de segurança que analisa o tráfego de entrada e saída da rede para identificar anomalias, padrões de tráfego suspeitos e possíveis ameaças de pacotes. Um NID pode ser um componente licenciado dentro de um appliance de firewall de próxima geração (NGFW), ou pode utilizar sensores ou agentes de aplicação colocados estrategicamente pela rede.

4. Realize a filtragem de tráfego entre segmentos de rede

O filtro de tráfego restringe o fluxo de tráfego entre segmentos de rede de acordo com a origem, destino ou tipo de tráfego. Por exemplo, todas as máquinas do RH podem ser segmentadas do restante da organização para garantir que apenas o tráfego proveniente de usuários prescritos possa ir para as máquinas do RH. Você pode usar roteadores ou firewalls para segmentar áreas; um roteador irá filtrar usando listas de controle de acesso (ACLs) enquanto um firewall usará políticas para filtrar.

5. Gerencie o controle de acesso para ativos remotos

O acesso remoto deve ser concedido apenas às contas de usuário que realmente precisam dele, de acordo com o princípio do menor privilégio. As políticas de acesso remoto também devem estar alinhadas com quaisquer regulamentações industriais ou governamentais necessárias.

6. Colete logs de fluxo de tráfego de rede

Os registros de fluxo de tráfego de rede podem ser usados para solucionar problemas de conectividade e determinar se os fluxos de tráfego funcionam conforme o esperado. Eles também são usados para investigar tráfego suspeito e acesso a recursos em caso de um incidente de cibersegurança.

7. Implemente uma solução de prevenção de intrusão baseada em host

Uma solução de prevenção de intrusão (IPS) é semelhante a um sistema de detecção de intrusão (IDS) no sentido de que ambos procuram por tráfego suspeito e código malicioso. No entanto, enquanto um IDS estritamente analisa o tráfego e emite um alerta, um IPS local pode proativamente impedir que os pacotes identificados acessem o dispositivo local ao descartá-los.

8. Implante uma solução de prevenção de intrusão em rede

Um IPS de rede reside em um dispositivo de rede e descartará o tráfego que considerar uma ameaça antes que ele possa entrar ou sair de um segmento de rede específico.

9. Implemente o controle de acesso em nível de porta

O controle de acesso em nível de porta utiliza 802.1x ou protocolos semelhantes para garantir que apenas dispositivos autorizados possam se conectar à rede. Por exemplo, pode impedir que um visitante conecte um computador portátil à rede usando um cabo ethernet, forçando-o assim a usar a rede sem fio fornecida. O acesso pode ser concedido por meio de certificados, endereços MAC ou autenticação de usuário.

10. Realize a filtragem na camada de aplicação

O filtro na camada de aplicação garante que os usuários não possam se comunicar usando aplicações que não estejam em conformidade com as políticas corporativas. Por exemplo, algumas organizações podem impedir que os usuários utilizem certas redes sociais, mídias de streaming ou aplicações de proxy.

11. Ajuste os limiares de alerta de eventos de segurança

Se o pessoal de TI ou segurança estiver sobrecarregado com alertas, começarão a ignorá-los. Uma maneira de prevenir isso é atribuir limites aos vários tipos de eventos, de modo que um alerta seja acionado apenas quando um limite for ultrapassado. Os eventos podem ser automaticamente encerrados usando limites também.

Como a Netwrix pode ajudar

Netwrix oferece soluções que podem ajudá-lo a implementar muitas das salvaguardas no CIS Control 13, de forma rápida e eficaz. Netwrix security solutions capacitam você a identificar e corrigir lacunas na sua postura de segurança, bem como detectar ameaças em seus estágios iniciais e responder prontamente. Em particular, nossas insider threat detection capabilities alertam você sobre comportamentos anômalos em todo o seu ambiente para que você possa defender sua rede contra insiders mal-intencionados e atacantes que tomam posse de suas contas.