CIS Control 2: Inventário e Controle de Ativos de Software

As organizações modernas dependem de uma impressionante variedade de softwares: sistemas operacionais, aplicativos de processamento de texto, ferramentas de RH e financeiras, soluções de backup e recuperação, sistemas de banco de dados e muito mais. Esses ativos de software são frequentemente vitais para operações comerciais críticas — mas também representam importantes riscos de segurança. Por exemplo, atacantes frequentemente visam softwares vulneráveis para ganhar acesso a redes corporativas e podem instalar software malicioso (malware) próprio que pode roubar ou criptografar dados ou interromper operações comerciais.

O CIS Control 2 é projetado para ajudá-lo a mitigar esses riscos. Ele aconselha todas as organizações a criar um inventário completo de software e desenvolver um programa de gestão de software sólido que inclua revisão regular de todo o software instalado, controle sobre quais softwares podem ser executados e mais.

Aqui está uma divisão dos sete subcontroles no CIS Control 2: Inventário e Controle de Ativos de Software.

2.1. Estabeleça e mantenha um inventário de software

Crie e mantenha um registro detalhado de todo o software nos computadores da sua rede. Para cada ativo de software, inclua o máximo de informações possível: título, editora, data de instalação, sistemas suportados, finalidade empresarial, URLs relacionadas, método de implantação, versão, data de desativação e assim por diante. Essas informações podem ser registradas em um documento ou em um banco de dados.

Mantenha o inventário do seu software atualizado, revisando e atualizando-o pelo menos duas vezes por ano. Alguns dos subcontroles abaixo fornecem orientações sobre quais softwares remover e por quê.

2.2. Garanta que o software autorizado está atualmente suportado

Uma prática recomendada importante é garantir que todos os sistemas operacionais e aplicações de software no seu inventário de software autorizado ainda são suportados pelo fornecedor do software. Software sem suporte não recebe patches de segurança e atualizações, o que aumenta a exposição ao risco da sua organização, pois os cibercriminosos frequentemente visam vulnerabilidades conhecidas.

Se encontrar software desatualizado ou sem suporte no seu ambiente, tente adotar soluções alternativas rapidamente. Se não houver alternativas disponíveis e o software sem suporte for necessário para suas operações, avalie os riscos que ele apresenta e investigue controles de mitigação. Em seguida, documente a exceção, quaisquer controles implementados e a aceitação do risco residual.

2.3. Endereçar software não autorizado

Os funcionários às vezes instalam software nos sistemas empresariais sem aprovação do departamento de TI. Remover esse software não autorizado reduz o risco para o seu negócio. Se um software não autorizado for necessário, adicione-o à lista de ferramentas autorizadas ou documente a exceção no seu inventário de software.

Verifique a existência de software não autorizado com a maior frequência possível, pelo menos mensalmente.

2.4. Utilize ferramentas automatizadas de inventário de software

Criar e manter um inventário de software manualmente pode ser demorado e sujeito a erros humanos. Assim, é uma boa prática automatizar o processo de descoberta e documentação de ativos de software instalados sempre que possível.

Por exemplo, Netwrix Change Tracker pode rastrear automaticamente todos os ativos de software instalados na sua organização, incluindo nomes de aplicativos, versões, datas e níveis de patch.

2.5. Permitir software autorizado

Mesmo os seus melhores esforços podem não garantir que softwares não autorizados não sejam instalados em seus sistemas. Portanto, também é importante implementar controles que assegurem que apenas aplicações autorizadas possam ser executadas.

As listas de permissão são mais rigorosas do que as listas de bloqueio. Uma lista de permissão permite apenas a execução de softwares especificados, enquanto uma lista de bloqueio apenas impede que programas indesejados específicos sejam executados.

Você pode usar uma combinação de regras e tecnologias comerciais para implementar sua lista de permissões. Por exemplo, muitos programas antimalware e sistemas operacionais populares incluem recursos para impedir a execução de softwares não autorizados. Ferramentas gratuitas, como Applocker, também estão disponíveis. Algumas ferramentas até coletam informações sobre o nível de atualização do programa instalado para ajudar a garantir que você use apenas as versões mais recentes do software.

Uma lista de permissões detalhada pode incluir atributos como nome do arquivo, caminho, tamanho ou assinatura, o que também ajudará durante a varredura de softwares não autorizados não listados explicitamente.

2.6. Permitir bibliotecas autorizadas

Além de manter um inventário de software e uma lista de permissões de software autorizado, é crucial garantir que os usuários carreguem arquivos, incluindo aplicativos, apenas de bibliotecas autorizadas. Você também deve treinar todos para evitar baixar arquivos de fontes desconhecidas ou não verificadas nos seus sistemas e certificar-se de que eles entendam os riscos de segurança ao violar essa política, incluindo como isso poderia permitir que atacantes acessem seus sistemas e dados.

2.7. Permitir scripts autorizados

A instalação de software e outras tarefas administrativas frequentemente requerem intérpretes de script. No entanto, os cibercriminosos podem visar esses motores de script e causar danos aos seus sistemas e processos. Desenvolver uma lista de permissões de scripts autorizados limita o acesso de usuários não autorizados e atacantes. Os administradores de sistema podem decidir quem pode executar esses scripts.

Este controle exige que sua equipe de TI assine digitalmente todos os seus scripts; isso pode ser oneroso, mas é necessário para garantir a segurança dos seus sistemas. Métodos técnicos para implementar este controle incluem controle de versão e assinaturas digitais.

Resumo

A gestão abrangente de ativos de software é vital para a segurança dos sistemas e dados da sua organização. O CIS Control 2 orienta a sua organização através dos processos de identificação, monitoramento e automação das suas soluções de gestão de software. Este controle pode ser resumido em três práticas:

• Identifique e documente todos os seus ativos de software e remova os indesejados, desatualizados ou vulneráveis
• Crie uma lista de permissões de software aprovada para ajudar a prevenir a instalação e uso de software não autorizado.
• Monitore e gerencie suas aplicações de software através de varreduras e atualizações consistentes.

Criar e manter um inventário de software manualmente é muito demorado e propenso a erros para ser uma abordagem viável em qualquer rede moderna. Netwrix Change Tracker automatiza o trabalho de rastrear todo o software instalado nos seus sistemas e mantém você informado sobre qualquer desvio da sua lista de software autorizado. Ele pode até ser usado para identificar patches e atualizações de versão ausentes, ajudando você a fortalecer ainda mais a segurança do sistema de TI.