CIS Control 9: Proteções para Email e Navegadores Web

O Centro para Segurança da Internet (CIS) publica Critical Security Controls que ajudam as organizações a melhorar a cibersegurança. O Controle 9 do CIS abrange proteções para e-mails e navegadores web.

Os atacantes visam e-mails e navegadores da web com vários tipos de ataques. Alguns dos mais populares são ataques de engenharia social, como phishing. A engenharia social tenta manipular pessoas para expor dados sensíveis, fornecer acesso a sistemas restritos ou disseminar malware. As técnicas incluem anexar um arquivo contendo ransomware a um e-mail que alega ser de uma fonte confiável, ou incluir um link que parece ser de um site legítimo, mas na verdade aponta para um site malicioso que permite ao hacker coletar informações valiosas, como as credenciais da conta do usuário. Certos recursos dos clientes de e-mail podem deixá-los particularmente vulneráveis, e ataques bem-sucedidos podem permitir que hackers invadam sua rede e comprometam seus sistemas, aplicativos e dados.

Observe que a CIS renumerou seus controles na versão 8. Nas versões anteriores, as proteções de e-mail e navegador da web estavam cobertas no Control 7; agora estão no Control 9.

Este artigo explica as sete salvaguardas no CIS Control 9.

9.1 Garanta o Uso Apenas de Navegadores e Clientes de Email Completamente Suportados

Para reduzir o risco de incidentes de segurança, garanta que apenas navegadores e clientes de e-mail totalmente suportados sejam usados em toda a organização. Além disso, tanto os navegadores quanto os softwares de cliente de e-mail devem ser prontamente atualizados para a versão mais recente, já que versões mais antigas podem ter lacunas de segurança que aumentam o risco de violações. Ademais, certifique-se de que navegadores e clientes de e-mail tenham uma configuração segura projetada para proteção máxima.

Estas práticas devem ser incluídas na sua política de segurança e tecnologia.

9.2 Use Serviços de Filtragem DNS

O Sistema de Nomes de Domínio (DNS) permite que os usuários da web especifiquem um nome de domínio amigável (www.name.com) em vez de um complexo endereço IP numérico. Os serviços de filtragem DNS ajudam a impedir que seus usuários localizem e acessem domínios ou sites maliciosos que poderiam infectar sua rede com vírus e malware. Um exemplo da proteção que ele oferece está relacionado a links maliciosos em e-mails de phishing ou em postagens de blog que as pessoas leem em seus navegadores — o serviço de filtragem bloqueará automaticamente qualquer site na lista de filtragem para proteger o seu negócio.

O filtro de DNS também pode bloquear sites que são inadequados para o trabalho, ajudando a melhorar a produtividade, evitar armazenar arquivos inúteis ou perigosos que os usuários possam baixar e reduzir a responsabilidade legal.

O filtro DNS pode ocorrer no nível do roteador, por meio de um ISP ou através de um serviço de filtragem web de terceiros, como um provedor de serviço em nuvem. O filtro DNS pode ser aplicado a endereços IP individuais ou a blocos inteiros de endereços IP.

9.3 Manter e Aplicar Filtros de URL Baseados em Rede

Complemente a filtragem de DNS com filtros de URL baseados em rede para prevenir ainda mais que os ativos empresariais se conectem a sites maliciosos ou indesejados. Certifique-se de implementar filtros em todos os ativos empresariais para máxima proteção.

O filtro de URL baseado em rede ocorre entre o servidor e o dispositivo. As organizações podem implementar esse controle criando perfis ou categorias de URL de acordo com os quais o tráfego será permitido ou bloqueado. Os filtros mais comumente usados são baseados em categoria de site, reputação ou listas de bloqueio.

9.4 Restrinja Extensões Desnecessárias ou Não Autorizadas de Navegadores e Clientes de Email

Impedir que os usuários instalem qualquer extensão, plugin ou complemento desnecessário ou não autorizado para seus navegadores ou clientes de e-mail, pois estes são frequentemente utilizados por cibercriminosos para obter acesso aos sistemas corporativos. Além disso, procure regularmente por qualquer um desses itens na sua rede e desinstale ou desative-os prontamente.

9.5 Implementar DMARC

A autenticação de mensagens baseada em domínio, relatório e conformidade (DMARC) ajuda os remetentes e destinatários de e-mails a determinar se uma mensagem de e-mail realmente se originou do remetente alegado e pode fornecer instruções para o tratamento de e-mails fraudulentos.

O DMARC protege sua organização garantindo que o e-mail seja autenticado corretamente usando os padrões DomainKeys Identified Mail (DKIM) e Sender Policy Framework (SPF). Em particular, ajuda a prevenir a falsificação do endereço De no cabeçalho do e-mail para proteger os usuários de receberem e-mails maliciosos.

DMARC é particularmente valioso em setores severamente afetados por ataques de phishing, como instituições financeiras. Pode ajudar a aumentar a confiança do consumidor, uma vez que os destinatários de e-mail podem confiar melhor no remetente. E organizações que dependem de e-mail para marketing e comunicação podem observar melhores taxas de entrega.

9.6 Bloquear Tipos de Arquivos Desnecessários

Bloquear tipos de arquivo que sua organização não utiliza pode proteger ainda mais o seu negócio. Os tipos de arquivo que você deve bloquear dependem do tipo de arquivos que suas equipes normalmente usam. Arquivos executáveis são os mais arriscados porque podem conter código malicioso; tipos de arquivo incluem exe, xml, js, docm e xps.

Usar uma lista de permissões que relaciona tipos de arquivos aprovados bloqueará qualquer tipo de arquivo que não esteja na lista. Para a melhor proteção, utilize técnicas de bloqueio que impeçam que e-mails com anexos contendo tipos de arquivos indesejados sequer cheguem à caixa de entrada, assim os usuários não terão nem a chance de abrir o arquivo e permitir a execução de código malicioso.

9.7 Implemente e Mantenha Proteções Anti-Malware em Servidores de Email

Implemente proteções antimalware no servidor de e-mail para adicionar uma camada de segurança no lado do servidor para e-mails — se algum anexo malicioso conseguir passar pelo bloqueio de tipo de arquivo e filtragem de domínio, ele pode ser detido no servidor.

Existem múltiplas proteções anti-malware para servidores de e-mail que as empresas podem implementar. Por exemplo, a verificação de anexos, que é frequentemente fornecida por softwares anti-vírus e anti-malware, examina cada anexo de e-mail e notifica o usuário se o arquivo contiver algum conteúdo malicioso. A criação de um ambiente de teste, conhecida como sandboxing, serve para verificar se uma URL ou arquivo é seguro; essa estratégia é particularmente valiosa para proteger contra novas ameaças. Outras medidas de proteção incluem soluções fornecidas por hospedeiros de sites e provedores de serviços de internet (ISP).

Naturalmente, as organizações devem manter suas soluções de proteção de servidor de email atualizadas e com as correções aplicadas.

Resumo

Clientes de e-mail e navegadores web são essenciais para muitas operações comerciais, mas são bastante vulneráveis a ameaças cibernéticas. O CIS Control 9 descreve salvaguardas que qualquer organização pode implementar para se proteger contra o crescente fluxo de ataques maliciosos direcionados a sites e e-mails. As principais etapas envolvem a segurança de servidores de e-mail e navegadores web com filtros que bloqueiam URLs maliciosas, tipos de arquivos e assim por diante, e o gerenciamento eficaz desses controles. A implementação dessas medidas pode ajudar a garantir uma melhor cibersegurança.

Além disso, os usuários devem receber treinamento sobre as melhores práticas de segurança. Com os ataques de phishing se tornando mais frequentes e sofisticados, a educação em toda a organização pode ajudar a aumentar significativamente a proteção.