Grupo de Implementação CIS 1 (IG1): Higiene Cibernética Essencial

O cibercrime tornou-se mais prevalente desde o início da pandemia de COVID-19. De fato, 81% das organizações em todo o mundo experimentaram um aumento nas ameaças cibernéticas e 79% sofreram paralisações devido a ataques cibernéticos durante a alta temporada, de acordo com um relatório de 2021 por McAfee Enterprise e FireEye. Os ataques também se tornaram mais complexos. IBM e o Ponemon Institute relatam que o tempo médio para detectar e conter uma violação de dados em 2021 foi de 287 dias, uma semana a mais do que em 2020.

Felizmente, o Center for Internet Security (CIS) oferece Critical Security Controls (CSCs) que ajudam as organizações a melhorar a cibersegurança. Essas diretrizes de melhores práticas consistem em 18 controles recomendados que fornecem maneiras práticas de reduzir riscos.

Grupos de implementação CSC

Anteriormente, os CSCs eram divididos em três categorias: básica, fundamental e organizacional. No entanto, a versão atual do CSC, versão 8, divide os controles em três grupos de implementação (IGs), que levam em conta como fatores como o tamanho da organização, tipo, perfil de risco e recursos podem afetar o processo de implementação dos controles.

• Grupo de Implementação 1 (IG1)define o padrão mínimo de higiene cibernética; toda empresa deve implementar suas 56 salvaguardas. Na maioria dos casos, uma empresa IG1 é pequena ou média; possui orçamento limitado para cibersegurança e recursos de TI; e armazena informações de baixa sensibilidade.
• O Grupo de Implementação 2 (IG2) é para empresas com mais recursos e dados moderadamente sensíveis. Suas 74 salvaguardas constroem a partir das 56 salvaguardas do IG1 para ajudar as equipes de segurança a lidar com a complexidade operacional aumentada. Algumas salvaguardas exigem especialização especializada e tecnologia de nível empresarial para instalar e configurar. As empresas IG2 têm os recursos para empregar indivíduos para monitorar, gerenciar e proteger sistemas de TI e dados. Eles geralmente armazenam e processam informações sensíveis da empresa e do cliente, portanto, perderão a confiança do público se ocorrerem violações de dados.
• O Grupo de Implementação 3 (IG3) é destinado a organizações maduras com dados altamente sensíveis da empresa e dos clientes. Apresenta 23 salvaguardas adicionais. As empresas IG3 são muito maiores do que suas contrapartes IG2. Consequentemente, tendem a empregar especialistas em TI que se especializam em diferentes aspectos da cibersegurança, como testes de penetração, gestão de riscos e aplicação. Como seus ativos de TI contêm dados sensíveis e realizam funções sensíveis que estão sujeitas a supervisão de conformidade e regulamentação, essas empresas devem ser capazes de prevenir e mitigar ataques sofisticados, bem como reduzir o impacto de ataques zero-day.

CIS IG1: Quais salvaguardas são essenciais para a segurança?

Todos os controles IG1 são essenciais, exceto os de número 13 (Monitoramento e Defesa de Rede), 16 (Segurança de Software de Aplicação) e 18 (Teste de Penetração), pois seus requisitos dependem do nível de maturidade, tamanho e recursos da sua empresa. Todos os demais controles básicos do CIS possuem salvaguardas essenciais, que compõem o IG1. Vamos mergulhar agora nessas salvaguardas essenciais.

CIS Control 1. Inventário e Controle de Ativos Empresariais

Em CIS Control 1, 2 de 5 salvaguardas estão incluídas no IG1:

1.1 Estabeleça e mantenha um inventário abrangente de ativos empresariais. Para reduzir a superfície de ataque da sua organização, é necessário ter uma visão abrangente de todos os ativos na sua rede.

1.2 Endereçar ativos não autorizados. É necessário gerenciar ativamente todos os dispositivos de hardware na rede para garantir que apenas dispositivos autorizados tenham acesso. Qualquer dispositivo não autorizado deve ser rapidamente identificado e desconectado antes que algum dano seja causado.

CIS Control 2. Inventário e Controle de Ativos de Software

CIS Control 2 conta com 7 salvaguardas, mas apenas as 3 primeiras estão incluídas no IG1:

2.1 Estabeleça e mantenha um inventário de software atualizado. É importante manter um registro de todo o software nos computadores da sua rede, incluindo informações detalhadas: título, editora, data de instalação, sistemas suportados, finalidade empresarial, URLs relacionadas, método de implantação, versão, data de desativação e assim por diante.

2.2 Garanta que o software autorizado está atualmente suportado. Manter software sem suporte, que não recebe correções de segurança e atualizações, aumenta os riscos de cibersegurança da sua organização.

2.3 Aborde o software não autorizado. Lembre-se de gerir ativamente todo o software na rede para que o software não autorizado não possa ser instalado ou seja prontamente detectado e removido.

CIS Control 3. Proteção de Dados

CIS Control 3 se baseia no CIS Control 1 enfatizando a necessidade de um plano abrangente de gestão e proteção de dados. As seguintes 6 de suas 14 salvaguardas são essenciais:

3.1 Estabeleça e mantenha um processo de gerenciamento de dados. Mantenha um processo documentado atualizado que aborde a sensibilidade dos dados, retenção, armazenamento, backup e descarte.

3.2 Estabeleça e mantenha um inventário de dados. Você precisa saber exatamente quais dados possui e onde eles estão localizados para priorizar seus esforços de data security e proteger adequadamente seus dados críticos e garantir a conformidade regulatória.

3.3 Configurar listas de controle de acesso aos dados. Restringir as permissões de acesso dos usuários de acordo com suas funções no trabalho é vital. Reveja os direitos de acesso em uma agenda regular e implemente processos para evitar o excesso de provisão.

3.4 Aplique a retenção de dados de acordo com o seu processo de gestão de dados. Decida por quanto tempo diferentes tipos de dados devem ser mantidos, com base em requisitos de conformidade e outras necessidades empresariais, e crie processos para garantir que os cronogramas de retenção sejam seguidos.

3.5. Descarte os dados de forma segura e garanta que os métodos e processos de descarte correspondam à sensibilidade dos dados. Certifique-se de que seus processos de descarte de dados sejam apropriados ao tipo de dados que estão sendo manuseados.

3.6 Criptografe dados em dispositivos de usuários finais, como laptops e telefones. Criptografar dados os torna ilegíveis e, portanto, inúteis para atores maliciosos se o dispositivo for perdido ou roubado, e pode, assim, ajudar a evitar penalidades de conformidade.

CIS Control 4. Configuração Segura de Ativos Empresariais e Software

CIS Control 4 descreve as melhores práticas para ajudá-lo a manter configurações adequadas para ativos de hardware e software. Há um total de 12 salvaguardas nesta seção. No entanto, apenas as primeiras 7 pertencem ao IG1:

4.1 Estabeleça e mantenha um processo de configuração segura. Desenvolva configurações padrão para seus ativos de TI com base nas melhores práticas e implemente um processo para implantá-las e mantê-las.

4.2 Estabeleça e mantenha um processo de configuração segura para a infraestrutura de rede. Estabeleça configurações padrão para dispositivos de redes e monitore continuamente qualquer desvio ou alteração dessa linha de base para que você remedeie prontamente mudanças que enfraqueçam a segurança da sua rede.

4.3 Configure o bloqueio automático de sessão em ativos empresariais após períodos definidos de inatividade. Esta salvaguarda ajuda a mitigar o risco de atores maliciosos obterem acesso não autorizado a estações de trabalho, servidores e dispositivos móveis caso o usuário autorizado se afaste sem os proteger.

4.4 Implemente e gerencie firewalls em servidores. Firewalls ajudam a proteger servidores de acessos não autorizados via rede, bloqueiam certos tipos de tráfego e permitem a execução de programas apenas de plataformas confiáveis e outras fontes.

4.5 Implemente e gerencie firewalls em dispositivos de usuário final. Adicione um firewall baseado em host ou ferramenta de filtragem de portas em todos os dispositivos de usuário final do seu inventário, com uma regra de negação padrão que proíbe todo o tráfego, exceto uma lista predeterminada de serviços e portas que têm permissões explícitas.

4.6 Gerencie de forma segura o software empresarial e os ativos. Esta salvaguarda sugere gerenciar sua configuração por meio de infraestrutura como código controlado por versão. Também recomenda acessar interfaces administrativas por meio de protocolos de rede seguros como SSH e HTTPS, e evitar protocolos de gerenciamento inseguros como Telnet e HTTP, que não possuem suporte de criptografia adequado e, portanto, são vulneráveis a ataques de interceptação e espionagem.

4.7 Gerencie contas padrão em softwares empresariais e ativos. Contas padrão são alvos fáceis para atacantes, portanto, é crucial alterar configurações pré-configuradas e desativar contas padrão sempre que possível.

CIS Control 5. Gestão de Contas

CIS Control 5 fornece estratégias para garantir que suas contas de usuário, administrador e serviço sejam gerenciadas adequadamente. Neste controle, 4 de 6 salvaguardas são essenciais:

5.1 Estabeleça e mantenha uma lista de contas. Revise e atualize regularmente o inventário de todas as contas para garantir que as contas em uso estão autorizadas. Cada detalhe, incluindo o propósito da conta, deve ser documentado.

5.2 Use senhas únicas. A melhor prática para segurança de senhas é construir sua política de senhas e procedimentos utilizando uma estrutura apropriada e respeitada. Uma ótima opção é Special Publication 800-63B do National Institute of Standards and Technology (NIST). Suas diretrizes são úteis para qualquer empresa que busque melhorar a cibersegurança.

5.3 Desative contas dormentes (contas que não foram usadas por pelo menos 45 dias). A varredura regular de contas dormentes e a desativação delas reduzem o risco de hackers comprometerem essas contas e invadirem sua rede.

5.4 Restrinja privilégios de administrador a contas de admin dedicadas. Contas privilegiadas devem ser usadas apenas quando necessário para completar tarefas administrativas.

CIS Control 6. Gestão de Controle de Acesso

O Controle 6 estabelece as melhores práticas para gerenciar e configurar o acesso e as permissões dos usuários. 5 de suas 8 salvaguardas estão incluídas no IG1:

6.1 Estabeleça um processo de concessão de acesso. Idealmente, o processo de concessão e alteração de privilégios deve ser automatizado com base em conjuntos padrão de permissões para cada função de usuário.

6.2 Estabeleça um processo de revogação de acesso. Manter permissões não utilizadas ou excessivas aumenta os riscos de segurança, portanto, é necessário revogar ou atualizar os direitos de acesso assim que o funcionário deixa a empresa ou muda de função.

6.3 Exigir autenticação multifator (MFA) para contas expostas externamente. Com MFA, os usuários devem fornecer dois ou mais fatores de autenticação, como uma combinação de ID de usuário/senha mais um código de segurança enviado para o seu e-mail. É necessário habilitar MFA para contas utilizadas por clientes ou parceiros.

6.4 Exigir MFA para acesso remoto à rede. Sempre que um usuário tentar se conectar remotamente, o acesso deve ser verificado com MFA.

6.5 Exigir MFA para acesso administrativo. Contas de administrador requerem segurança extra, portanto, é importante ativar o MFA para elas.

CIS Control 7. Gestão Contínua de Vulnerabilidades

CIS Control 7 foca em identificar, priorizar, documentar e corrigir vulnerabilidades em um ambiente de TI. Gerenciamento contínuo de vulnerabilidades é recomendado porque os ataques estão aumentando em sofisticação e frequência, e há mais dados sensíveis do que nunca antes.

4 das 7 salvaguardas estão incluídas no Grupo de Implementação 1:

7.1 Estabeleça e mantenha um processo de gestão de vulnerabilidades. As empresas precisam decidir como irão identificar, avaliar, remediar e relatar possíveis vulnerabilidades de segurança.

7.2 Estabeleça e mantenha um processo de remediação. As empresas precisam decidir como vão responder a uma vulnerabilidade identificada.

7.3 Realize a gestão automatizada de patches do sistema operacional. É importante manter todos os sistemas operacionais atualizados de forma tempestiva.

7.4 Realize o gerenciamento automatizado de patches de aplicativos. Manter os patches dos aplicativos é tão importante quanto aplicar patches em sistemas operacionais.

CIS Control 8. Gestão de Logs de Auditoria

CIS Control 8 fornece diretrizes para coletar, alertar, revisar e reter registros de auditoria de eventos que podem ajudar você a detectar, entender e se recuperar de ataques.

Aqui estão salvaguardas essenciais deste controle:

8.1 Estabeleça e mantenha um processo de gestão de registros de auditoria. Uma empresa precisa decidir quem será responsável por coletar, revisar e manter os registros de auditoria dos ativos empresariais, além de quando e como o processo ocorrerá. Esse processo deve ser revisado e atualizado anualmente, bem como sempre que mudanças significativas possam impactar essa salvaguarda.

8.2 Coletar logs de auditoria. A auditoria de logs deve ser ativada em todos os ativos empresariais, como sistemas, dispositivos e aplicações.

8.3 Garanta armazenamento adequado de logs de auditoria. Decida onde e por quanto tempo os dados dos logs de auditoria serão mantidos com base nos requisitos de conformidade aplicáveis e outras necessidades empresariais, e certifique-se de alocar armazenamento suficiente para garantir que nenhum dado necessário seja sobrescrito ou perdido.

CIS Control 9. Proteções para Email e Navegadores Web

CIS Control 9 apresenta 7 salvaguardas para navegadores web e de email, 2 das quais são essenciais:

9.1 Garanta que apenas clientes de e-mail e navegadores totalmente suportados sejam utilizados. Os clientes de e-mail e navegadores precisam ser atualizados e ter configurações seguras.

9.2 Utilize serviços de filtragem do Domain Name System (DNS). Esses serviços devem ser usados em todos os ativos empresariais para bloquear o acesso a domínios maliciosos conhecidos, o que pode ajudar a fortalecer sua postura de segurança.

CIS Control 10. Defesas contra Malware

CIS Control 10 descreve maneiras de prevenir e controlar a instalação e propagação de código malicioso, aplicativos e scripts em ativos empresariais. 3 de suas 7 salvaguardas são essenciais:

10.1. Implante e mantenha software antimalware. Ative as defesas contra malware em todos os pontos de entrada para os ativos de TI.

10.2. Configure atualizações automáticas de assinaturas de antimalware. As atualizações automáticas são mais confiáveis do que os processos manuais. As atualizações podem ser lançadas a cada hora ou todos os dias, e qualquer atraso na instalação pode deixar seu sistema vulnerável a atores mal-intencionados.

10.3. Desative o autorun e o auto-play para mídias removíveis. As mídias removíveis são altamente suscetíveis a malwares. Ao desativar a funcionalidade de auto-execução, você pode prevenir malwares que poderiam causar violações de dados dispendiosas ou inatividade do sistema.

CIS Control 11. Recuperação de Dados

CIS Control 11 destaca a necessidade de recuperação de dados e backups. Este controle possui 5 salvaguardas; as primeiras 4 são essenciais:

11.1. Estabeleça e mantenha um processo de recuperação de dados. Estabeleça e mantenha um processo de recuperação de dados sólido que possa ser seguido por toda a organização. Ele deve abordar o escopo da recuperação de dados e definir prioridades estabelecendo quais dados são mais importantes.

11.2. Implemente um processo de backup automatizado. A automação garante que os dados do sistema sejam copiados em backup conforme o cronograma sem intervenção humana.

11.3. Proteja os dados de recuperação. Os backups também precisam de segurança adequada. Isso pode incluir criptografia ou segmentação baseada na sua política de proteção de dados.

11.4. Estabeleça e mantenha cópias isoladas dos dados de backup. Para proteger os backups de ameaças como ransomware, considere armazená-los offline ou em sistemas ou serviços na nuvem ou fora do local.

CIS Control 12. Gestão da Infraestrutura de Rede

O Controle 12 estabelece diretrizes para gerenciar dispositivos de rede a fim de prevenir que atacantes explorem pontos de acesso vulneráveis e serviços de rede. Sua única salvaguarda em IG1 exige que você estabeleça e mantenha uma arquitetura de rede segura e mantenha sua infraestrutura de rede atualizada.

CIS Control 14. Treinamento de Conscientização e Habilidades de Segurança

O CIS Control 14 concentra-se em melhorar a consciência e as habilidades de cibersegurança dos funcionários. A frequência e os tipos de treinamento variam; muitas vezes as organizações exigem que os funcionários atualizem seus conhecimentos sobre as regras de segurança, passando por testes breves a cada 3–6 meses.

8 das 9 salvaguardas são consideradas essenciais:

14.1 Estabeleça e mantenha um programa de conscientização sobre segurança. Estabeleça um programa de conscientização sobre segurança que treine os membros da força de trabalho em práticas de segurança vitais.

14.2 Treine os membros da equipe para reconhecer ataques de engenharia social. Exemplos incluem tailgating, phishing e golpes telefônicos.

14.3 Treine os membros da equipe sobre as melhores práticas de autenticação. É importante explicar por que a autenticação segura deve ser utilizada, incluindo os riscos e consequências de não seguir as melhores práticas.

14.4 Treine a força de trabalho nas melhores práticas de manuseio de dados. Esta salvaguarda é particularmente importante para dados sensíveis e regulamentados.

14.5 Treine os membros da equipe sobre as causas da exposição não intencional de dados. Exemplos incluem perder um dispositivo portátil, enviar dados sensíveis por e-mail para os destinatários errados e publicar dados onde possam ser visualizados por públicos não intencionais.

14.6 Treine os membros da equipe para reconhecer e relatar possíveis incidentes de segurança. Desenvolva um guia detalhado que responda perguntas como: Quais poderiam ser os sinais de um golpe? O que um funcionário deve fazer em caso de um incidente de segurança? Quem deve ser informado sobre um incidente?

14.7 Treine sua força de trabalho sobre como identificar e relatar se os ativos empresariais estiverem faltando patches de software e atualizações de segurança. Seus funcionários precisam saber por que as atualizações são importantes e por que recusar uma atualização pode causar um risco à segurança.

14.8 Treine sua força de trabalho sobre os perigos de se conectar e transmitir dados através de redes inseguras. Todos devem estar cientes dos perigos de se conectar a redes inseguras. Os trabalhadores remotos devem receber treinamento adicional para garantir que suas redes domésticas estejam configuradas de forma segura.

CIS Control 15. Gestão de Provedores de Serviço

CIS Control 15 destaca a importância de avaliar e gerir os fornecedores de serviços que possuem dados sensíveis. Exige que você mantenha um inventário de todos os fornecedores de serviços associados à sua organização, crie um conjunto de padrões para classificar seus requisitos de segurança e avalie os requisitos de segurança de cada fornecedor.

Apenas a primeira das 8 salvaguardas é essencial. Exige que você estabeleça e mantenha uma lista de prestadores de serviços.

CIS Control 17. Gestão de Resposta a Incidentes

Finalmente, CIS Control 17 diz respeito ao desenvolvimento e manutenção de uma capacidade de resposta a incidentes para detectar, preparar e responder rapidamente a ataques. Exige que você designe pessoal para gerenciar incidentes e estabeleça e mantenha um processo para relatar incidentes. Você também deve criar e manter informações de contato para relatar incidentes de segurança.

3 de suas 9 salvaguardas são essenciais:

17.1 Designar pessoal para gerenciar o tratamento de incidentes. Esta pessoa precisa ser versada em gerenciar incidentes e deve ser um contato primário conhecido que recebe relatórios sobre possíveis problemas.

17.2 Estabeleça e mantenha informações de contato para relatar incidentes de segurança. Os funcionários precisam saber exatamente como entrar em contato com os funcionários certos sobre possíveis incidentes, e a equipe responsável pelo tratamento de incidentes precisa ter informações de contato para aqueles com o poder de tomar decisões significativas.

17.3 Estabeleça e mantenha um processo empresarial para relatar incidentes. Esse processo precisa ser documentado e revisado regularmente. O processo deve explicar como os incidentes devem ser relatados, incluindo o prazo para relatar, mecanismos de relatório e as informações a serem relatadas (como o tipo de incidente, horário, nível de ameaça, sistema ou software impactado, registros de auditoria, etc.).

Próximos Passos

O Grupo de Implementação dos Controles Críticos CIS 1 fornece orientações básicas para uma postura cibernética sólida. As salvaguardas do IG1 são atividades essenciais de higiene cibernética, moldadas por anos de experiência coletiva de uma comunidade dedicada a melhorar a segurança por meio da troca de conceitos, recursos, lições aprendidas e ação coordenada.

Pronto para implementar as salvaguardas IG1? Netwrix products podem ajudar. Eles oferecem uma abordagem holística para os desafios de cibersegurança, protegendo sua organização em todas as principais superfícies de ataque: dados, identidade e infraestrutura.

Saiba mais sobre nossas principais soluções:

• Governança de acesso a dados — Recupere o controle sobre o acesso a dados sensíveis.
• Segurança do Active Directory — Proteja o seu AD, localmente e na nuvem, de ponta a ponta.
• Proteção contra ransomware — Mitigue o risco de infecções por ransomware e intercepte ataques em andamento.
• Privileged Access Management — Reduza o risco proveniente de atividades privilegiadas.
• Governança da informação — Torne seus dados organizados, descobertos e mais seguros.