Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Top 18 Controles Críticos de Segurança CIS para Defesa Cibernética

Top 18 Controles Críticos de Segurança CIS para Defesa Cibernética

Sep 16, 2022

Com o custo de uma data breach em um pico histórico de $4,35 milhões e regulamentações ao redor do mundo impondo penalidades mais severas por falhas de conformidade, as organizações devem garantir que possuem todos os controles de segurança necessários em vigor para manter seus dados protegidos. Implementar os CIS Controls fornece uma base sólida para uma defesa eficaz contra ameaças cibernéticas

Desenvolvidos inicialmente em 2008, os CIS Controls são atualizados periodicamente em resposta à evolução das tecnologias e do cenário de ameaças. Os controles são baseados nas informações mais recentes sobre ataques comuns e refletem o conhecimento combinado de especialistas forenses comerciais, testadores de penetração individuais e contribuidores de agências governamentais dos EUA.

Este artigo detalha os 18 controles na versão 8 do CIS. Estas diretrizes levam em consideração o aumento do trabalho remoto e o consequente aumento nos pontos de acesso e a necessidade de segurança sem perímetro.

Controle 01. Inventário e Controle de Ativos Empresariais

O primeiro passo no desenvolvimento e implementação de uma estratégia abrangente de cibersegurança é entender os ativos da sua empresa, quem os controla e os papéis que desempenham. Isso inclui estabelecer e manter uma lista precisa, atualizada e detalhada de todo o hardware conectado à sua infraestrutura, incluindo ativos que não estão sob seu controle, como os celulares pessoais dos funcionários. Dispositivos portáteis de usuários irão periodicamente se conectar a uma rede e depois desaparecer, tornando o inventário de ativos disponíveis atualmente muito dinâmico.

Por que isso é crítico? Sem essa informação, você não pode ter certeza de que protegeu todas as possíveis superfícies de ataque. Manter um inventário de todos os ativos conectados à sua rede e remover dispositivos não autorizados pode reduzir drasticamente o seu risco.

Controle 02. Inventário e Controle de Ativos de Software

O Controle 2 aborda ameaças provenientes da impressionante variedade de softwares que as empresas modernas utilizam para operações comerciais. Inclui as seguintes práticas-chave:

  • Identifique e documente todos os ativos de software e remova aqueles que estão desatualizados ou vulneráveis.
  • Previna a instalação e uso de softwares não autorizados criando uma lista de permissões de softwares autorizados.
  • Utilize ferramentas automatizadas de rastreamento de software para monitorar e gerenciar aplicativos de software

Por que isso é crítico? Softwares não atualizados continuam sendo um vetor primário para ataques de ransomware. Um inventário completo de software ajuda você a garantir que todo o seu software esteja atualizado e que quaisquer vulnerabilidades conhecidas tenham sido corrigidas ou mitigadas. Isso é particularmente crítico para softwares que contêm componentes de código aberto, uma vez que suas vulnerabilidades são de conhecimento público.

Controle 03. Data Protection

Na versão 7 dos CIS Controls, a proteção de dados era o Controle 13.

Os seus dados são um dos ativos mais valiosos da sua empresa. CIS Control 3 descreve um método de proteção dos seus dados detalhando processos e controles técnicos para identificar, classificar, manusear de forma segura, reter e descartar dados. Certifique-se de incluir disposições para:

  • Inventário de dados
  • Controles de acesso a dados
  • Retenção de dados
  • Descarte de dados
  • Criptografia de dados em todas as fases e em mídias removíveis
  • Classificação de dados
  • Mapas de fluxo de dados
  • Segmentando o processamento e armazenamento de dados com base na sensibilidade
  • Prevenção de perda de dados
  • Registrando acesso e atividade em torno de dados sensíveis

Por que isso é crítico? Embora muitos vazamentos de dados sejam o resultado de roubo deliberado, a perda e o dano de dados também podem ocorrer devido a erro humano ou práticas de segurança deficientes. Soluções que detectam exfiltração de dados podem minimizar esses riscos e mitigar os efeitos de comprometimento de dados.

Controle 04. Configuração Segura de Ativos Empresariais e Software

Esta salvaguarda combina os controles 5 e 11 da versão 7. Detalha as melhores práticas para estabelecer e manter configurações seguras em ativos de hardware e software.

Por que isso é crítico? Até mesmo um erro de configuração pode abrir riscos de segurança e interromper as operações comerciais. Usar software automatizado simplifica o processo de fortalecimento e monitoramento dos seus ativos de TI; por exemplo, Netwrix Change Tracker fornece modelos de construção certificados pela CIS que ajudam você a estabelecer rapidamente configurações de base sólidas e alerta você sobre mudanças inesperadas em tempo real para que você possa agir prontamente para minimizar o risco.

Controle 05. Account Management

A gestão de contas era o Controle 16 na versão 7 dos CIS Controls.

Gerenciar com segurança contas de usuários, administradores e serviços é vital para prevenir a exploração delas por atacantes. O Controle 5 inclui seis passos para evitar problemas de segurança causados por contas vulneráveis:

  • Crie e mantenha um inventário de todas as contas.
  • Utilize senhas únicas.
  • Desative contas que não foram usadas por 45 dias.
  • Restrinja o uso de contas privilegiadas.
  • Crie e mantenha um inventário de contas de serviço.
  • Centralize toda a gestão de contas.

Por que isso é crítico?Contas privilegiadas e não utilizadas fornecem um caminho para atacantes visarem sua rede. Minimizar e controlar essas contas ajudará a proteger seus dados e rede contra acessos não autorizados.

Controle 06. Access Control Management

Esta salvaguarda combina os controles 4 e 14 da versão 7 dos CIS Controls.

O Controle 6 diz respeito ao controle de privilégios dos usuários. Suas melhores práticas incluem estabelecer um processo de concessão e revogação de acesso, usar autenticação multifator e manter um inventário de sistemas para controle de acesso.

Por que isso é crítico?Conceder privilégios excessivamente amplos em nome da rapidez abre um caminho para ataques. Ao limitar os direitos de acesso de cada usuário apenas ao que é necessário para realizar seu trabalho, você limitará sua superfície de ataque.

Controle 07. Continuous Vulnerability Management

Na versão 7 dos CIS Controls, continuous vulnerability management foi abordado pelo Controle 3.

Este controle abrange a identificação, priorização, documentação e remediação de cada vulnerabilidade de segurança na sua rede. Exemplos incluem serviços abertos e portas de rede, e contas e senhas padrão.

Por que isso é crítico? Organizações que não identificam proativamente vulnerabilidades na infraestrutura e tomam medidas de remediação provavelmente terão seus ativos comprometidos ou sofrerão interrupções nos negócios.

Controle 08. Audit Log Management

Este tópico foi abordado no Controle 6 na versão 7 do CIS Controls.

A gestão de registros de auditoria envolve controles relacionados à coleta, armazenamento, retenção, sincronização de tempo e revisão dos registros de auditoria.

Por que isso é crítico? O registro e análise de segurança ajudam a prevenir que atacantes escondam sua localização e atividades. Mesmo que você saiba quais sistemas foram comprometidos em um incidente de segurança, se você não tiver registros completos, terá dificuldades para entender o que um atacante fez até agora e para responder de forma eficaz. Os registros também serão necessários para investigações posteriores e para determinar a origem de ataques que permaneceram não detectados por muito tempo.

Controle 09. Proteções de Email e Navegador Web

Esta salvaguarda era o Controle 7 na versão 7 do CIS Controls.

E-mails e navegadores web são vetores comuns de ataque. Os principais controles técnicos para proteger servidores de e-mail e navegadores web incluem o bloqueio de URLs maliciosas e tipos de arquivos. Para uma proteção mais abrangente contra esses ataques, você também deve fornecer treinamento abrangente sobre as melhores práticas de segurança em toda a organização.

Por que isso é crítico? Utilizando técnicas como spoofing e engenharia social, atacantes podem enganar usuários a tomar ações que podem disseminar malware ou fornecer acesso a dados confidenciais.

Controle 10. Defesas contra Malware

Este tópico foi abordado no Controle 8 na versão 7 do CIS Controls.

Organizações que utilizam ransomware e outros malwares se tornaram tão profissionais quanto empresas convencionais. Este controle descreve salvaguardas para prevenir ou controlar a instalação, execução e disseminação de software malicioso. Gerenciar centralmente ferramentas anti-malware baseadas em comportamento e baseadas em assinaturas com atualizações automáticas oferece a proteção mais robusta contra malwares.

Por que isso é crítico? Malwares podem vir na forma de cavalos de troia, vírus e worms que roubam, criptografam ou destroem seus dados. Ransomware é um grande negócio, com um custo global esperado de alcançar $265 billion by 2031. Seguir as práticas descritas no Controle 9 ajudará a proteger sua organização contra uma infecção por malware cara e danosa.

Controle 11. Data Recovery

A recuperação de dados era o Controle 10 na versão 7 dos CIS Controls.

O Controle 11 descreve cinco salvaguardas para garantir que seus dados sejam respaldados. Eles incluem os seguintes elementos:

  • Processo de recuperação de dados
  • Backups automatizados
  • Protegendo dados de backup
  • Isolando dados de backup
  • Testando protocolos de recuperação de dados

Por que isso é crítico? Garantir que você tenha um backup atual dos seus dados em um local protegido e isolado pode evitar que você tenha que ceder a extorsões caras para recuperar o acesso aos seus dados após um ataque de ransomware. Além disso, um backup e recuperação de dados eficazes também são necessários para proteger sua organização contra ameaças como exclusão acidental e corrupção de arquivos.

Controle 12. Network Infrastructure Management

A gestão da infraestrutura de rede é um novo controle para a versão 8. Exige que você gerencie ativamente todos os seus network devices para mitigar os riscos de ataques direcionados a serviços de rede comprometidos e pontos de acesso.

Por que isso é crítico? A segurança de rede é um elemento fundamental na defesa contra ataques. As empresas devem avaliar e atualizar constantemente as configurações, o controle de acesso e os fluxos de tráfego para fortalecer sua infraestrutura de rede. Documentar completamente todos os aspectos da sua infraestrutura de rede e monitorá-la para modificações não autorizadas pode alertá-lo para riscos de segurança.

Controle 13. Network Monitoring and Defense

O Controle 13 também é uma nova adição aos CIS Controls. Ele se concentra no uso de processos e ferramentas para monitorar e defender contra ameaças de segurança em toda a sua infraestrutura de rede e base de usuários. As 11 salvaguardas neste controle abrangem como coletar e analisar os dados necessários para detectar intrusões, filtrar tráfego, gerenciar controle de acesso, coletar registros de fluxo de tráfego e emitir alertas sobre eventos de segurança.

Por que isso é crítico? Combinar tecnologia automatizada e uma equipe treinada para implementar processos de detecção, análise e mitigação de ameaças à rede pode ajudar a proteger contra ataques de cibersegurança.

Controle 14. Treinamento de Conscientização e Habilidades em Segurança

Este tópico foi abordado no Controle 17 na versão 7 do CIS Controls.

O controle 14 diz respeito à implementação de um programa educacional para melhorar a conscientização e as habilidades em cibersegurança entre todos os seus usuários. Este programa de treinamento deve:

  • Treine as pessoas para reconhecer ataques de engenharia social.
  • Cubra as melhores práticas de autenticação.
  • Cubra as melhores práticas de manipulação de dados, incluindo os perigos de transmitir dados por redes inseguras.
  • Explique as causas da exposição involuntária de dados.
  • Treine os usuários para reconhecer e relatar incidentes de segurança e .
  • Explique como identificar e relatar atualizações de segurança ausentes.
  • Forneça treinamento de conscientização e habilidades de segurança específicos para cada função.

Por que isso é crítico? Muitos vazamentos de dados são causados por erro humano, ataques de phishing e políticas de password policies. Treinar seus funcionários em conscientização de segurança pode prevenir vazamentos de dados custosos, roubo de identidade, penalidades de conformidade e outros danos.

Controle 15. Gerenciamento de Provedor de Serviços

O controle 15 é o último novo controle na versão 8. Ele lida com dados, processos e sistemas gerenciados por terceiros. Inclui diretrizes para criar um inventário de prestadores de serviços, gerenciar e classificar prestadores de serviços, incluir requisitos de segurança em seus contratos e avaliar, monitorar e dispensar de forma segura os prestadores de serviços.

Por que isso é crítico? Mesmo quando você terceiriza um serviço, você é, em última instância, responsável pela segurança dos seus dados e pode ser responsabilizado por qualquer violação. Embora o uso de prestadores de serviços possa simplificar as operações do seu negócio, você pode se deparar com complicações rapidamente se não tiver um processo detalhado para garantir que os dados gerenciados por terceiros estejam seguros.

Controle 16. Segurança de Software de Aplicação

Esta salvaguarda era o Controle 18 na 7ª versão dos CIS Controls.

Gerenciar o ciclo de vida de segurança do seu software é essencial para detectar e corrigir vulnerabilidades de segurança. Você deve verificar regularmente se está usando apenas as versões mais recentes de cada aplicativo e se todas as correções relevantes estão instaladas prontamente.

Por que isso é crítico? Os atacantes frequentemente se aproveitam de vulnerabilidades em aplicações baseadas na web e outros softwares. Métodos de exploração como estouros de buffer, ataques de injeção SQL, scripts entre sites e sequestro de cliques em código podem permitir que eles comprometam seus dados sem ter que contornar controles de segurança de rede e sensores.

Controle 17. Gestão de Resposta a Incidentes

A gestão de resposta a incidentes era o Controle 19 na 7ª versão dos CIS Controls.

Uma resposta a incidentes adequada pode ser a diferença entre um incômodo e uma catástrofe. Inclui planejamento, definição de funções, treinamento, supervisão gerencial e outras medidas necessárias para ajudar a descobrir ataques e conter danos de forma mais eficaz.

Por que isso é crítico? Infelizmente, na maioria dos casos, a chance de um ciberataque bem-sucedido não é “se” mas “quando”. Sem um plano de resposta a incidentes, você pode não descobrir um ataque até que ele cause danos graves. Com um plano de resposta a incidentes robusto, você pode ser capaz de erradicar a presença do atacante e restaurar a integridade da rede e dos sistemas com pouco tempo de inatividade.

Controle 18. Teste de Penetração

Este tópico foi abordado pelo Controle 20 na 7ª versão dos CIS Controls.

Este controle exige que você avalie a força de suas defesas realizando testes de penetração externos e internos regularmente. A implementação deste controle permitirá que você identifique vulnerabilidades em sua tecnologia, processos e pessoas que os atacantes poderiam usar para entrar em sua rede e causar danos.

Por que isso é crítico? Os atacantes estão ansiosos para explorar lacunas em seus processos, como atrasos na instalação de patches. Em um ambiente complexo onde a tecnologia está constantemente evoluindo, é especialmente vital testar periodicamente suas defesas para identificar lacunas e corrigi-las antes que um atacante se aproveite delas.

Implementando os Controles: Uma Abordagem Pragmática

Obter valor dos CIS Critical Security Controls não significa necessariamente implementar todos os 18 controles simultaneamente. Poucas organizações possuem o orçamento, os recursos humanos e o tempo necessários para implementar todo o grupo de controles ao mesmo tempo.

Os passos a seguir fornecem um guia prático para começar:

  1. Descubra seus ativos de informação e estime o valor deles. Realize uma avaliação de riscos e pense em ataques potenciais contra seus sistemas e dados, incluindo pontos de entrada iniciais, propagação e danos. Desenvolva um programa de gestão de riscos para orientar a implementação de controles.
  2. Compare seus controles de segurança atuais com os CIS Controls. Anote cada área onde não existem capacidades de segurança ou onde trabalho adicional é necessário.
  3. Desenvolva um plano para adotar os controles de segurança mais valiosos e melhorar a eficácia operacional dos seus controles existentes.
  4. Obtenha o apoio da gestão para o plano e forme compromissos das linhas de negócio para o suporte financeiro e de pessoal necessário.
  5. Implemente os controles. Fique atento a tendências que possam introduzir novos riscos à sua organização. Meça o progresso na redução de riscos e comunique suas descobertas.

Quer saber mais sobre os 18 Controles Críticos de Segurança? Visite o site oficial do CIS Center for Internet Security: https://www.cisecurity.org/controls/

FAQ

O que são os CIS Controls?

Os CIS Controls são diretrizes que fornecem às organizações uma lista de tarefas eficazes e de alta prioridade para se defenderem contra os ataques cibernéticos mais comuns e devastadores. Eles oferecem um ponto de partida para qualquer organização melhorar sua cibersegurança.

Quantos Controles CIS existem?

Na versão mais recente (versão 8), existem 18 Controles CIS.

Quem criou os CIS Controls?

Os Controles CIS foram criados por um grupo de voluntários internacionais, incluindo profissionais de cibersegurança e formuladores de políticas de agências governamentais e do setor privado.

Por que uma organização deve implementar os CIS Controls?

Um dos maiores benefícios dos CIS Controls é a priorização inerente nos 18 passos de ação. A cibersegurança é uma área ampla que pode ser avassaladora para organizações que estão começando a estabelecer uma estratégia. Os CIS Controls listam as ações de maior valor que você pode realizar para proteger seus sistemas e dados.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Mark Kedgley

Diretor de Tecnologia

Mark Kedgley é Chief Technology Officer na Netwrix e co-fundador da New Net Technologies (NNT), agora parte da Netwrix. Ele é responsável por melhorar continuamente as soluções de cibersegurança e conformidade da Netwrix para avançar nossa missão de proteger os dados sensíveis dos clientes contra ameaças de segurança de maneira eficiente e econômica, mantendo a facilidade de uso líder de mercado. Mark tem quase 30 anos de experiência na indústria de TI. Suas posições anteriores na Cable & Wireless, Allen Systems Group e outras organizações líderes abrangem uma variedade de funções, incluindo suporte, vendas de soluções e desenvolvimento de negócios. Mark possui um B.Sc. (Hons) em física pela University of Birmingham

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança