CIS Control
Os CIS Controls (Center for Internet Security Controls) são um conjunto de boas práticas de segurança cibernética desenvolvidas pelo Center for Internet Security (CIS). Eles ajudam organizações a proteger seus sistemas contra ameaças, fornecendo um guia prático para implementar medidas de defesa eficazes.
A organização base do referido framework considera 18 controles, distribuídos em 3 grupos de implementação (IG’s).
Grupos
IG1 – Higiene cibernética básica, o conjunto básico de Medidas de Segurança de defesa cibernética que toda empresa deve aplicar para se proteger contra os ataques mais comuns. Geralmente alcança empresas de pequeno e médio porte, com experiência limitada em Tecnologia e em Segurança da Informação. Essas organizações geralmente não armazenam informações confidenciais de clientes e têm uma exposição de risco menor.
Foco na operação do negócio → A maior preocupação é manter o funcionamento da empresa, pois o impacto de paradas no sistema (downtime) pode ser crítico.
IG2 - Empresas que possuem uma equipe de TI dedicada para gerenciar e proteger a infraestrutura, atendendo a múltiplos departamentos com diferentes perfis de risco, como RH, financeiro e atendimento ao cliente. Algumas dessas unidades podem estar sujeitas a exigências regulatórias, como LGPD, GDPR ou PCI-DSS, devido ao armazenamento e processamento de dados sensíveis, incluindo informações de clientes, registros financeiros e propriedade intelectual. Embora consigam suportar pequenas interrupções operacionais, um incidente de segurança pode comprometer sua reputação e a confiança do público, tornando a proteção cibernética uma prioridade estratégica.
IG3 - Empresas nesse grupo possuem especialistas em segurança focados em diferentes áreas, como gerenciamento de riscos, testes de invasão e segurança de aplicações. Seus sistemas armazenam e processam dados altamente sensíveis ou executam funções críticas que estão sujeitas a regulações rigorosas. Além de garantir a confidencialidade e integridade das informações, essas empresas precisam priorizar a disponibilidade dos serviços, pois ataques bem-sucedidos podem causar impacto severo na sociedade.
Tabela comparativa
| Categoria | IG1 (Básico) | IG2 (Intermediário) | IG3 (Avançado) |
|---|---|---|---|
| Tipo de Empresa | Pequena ou média, com pouca expertise em segurança | Média a grande, com equipe de TI e requisitos regulatórios | Grande ou crítica, com especialistas em segurança |
| Equipe de Segurança | TI limitada ou terceirizada, sem especialistas | Profissionais de TI com foco em segurança | Especialistas em diversas áreas (risco, testes de invasão, segurança de aplicações) |
| Perfil de Risco | Baixo, proteção básica contra ataques genéricos | Moderado, diferentes níveis de risco por departamento | Alto, proteção contra ameaças avançadas e ataques direcionados |
| Dados Protegidos | Informações básicas (funcionários e finanças) | Dados sensíveis de clientes, registros financeiros, conformidade regulatória | Informações altamente sigilosas e infraestrutura crítica |
| Tolerância a Downtime | Baixa, interrupções podem ser fatais para o negócio | Média, suporta pequenas interrupções | Mínima, continuidade de serviço é essencial |
| Impacto de Ataques | Prejuízo operacional e financeiro | Perda de dados, danos à reputação | Impacto severo no público e na sociedade |
| Exigência Regulatória | Baixa ou inexistente | Moderada, pode envolver LGPD, GDPR, PCI-DSS | Alta, requer conformidade rigorosa com normas como NIST, ISO 27001, HIPAA |
| Principais Medidas de Segurança | Antivírus, senhas fortes, backups simples | Monitoramento ativo, criptografia de dados, controle avançado de acessos | Defesa contra zero-days, inteligência de ameaças, auditorias frequentes |
| Tipo de Ataque Defendido | Ameaças genéricas (phishing, malware básico) | Ataques mais sofisticados, engenharia social avançada | Ameaças persistentes (APT), ataques direcionados e ciberterrorismo |
Controles
Cada controle é organizado da seguinte forma:
- Visão geral: Uma breve descrição da intenção do Controle e sua utilidade como ação defensiva.
- Por que este controle é crítico: Uma descrição da importância deste Controle no bloqueio, mitigação ou identificação de ataques, e uma explicação de como os invasores exploram ativamente a ausência deste Controle.
- Procedimentos e ferramentas: Uma descrição mais técnica dos processos e tecnologias que permitem a implementação e automação deste Controle.
- Medidas de Segurança: uma tabela das ações específicas que as empresas devem realizar para implementar o Controle
Observação: Isso já foi cobrado pelo Cebraspe.
01. Inventário e Controle de Ativos e Corporativos
Visão: Gerencie de forma ativa (inventariar, rastrear e corrigir) todos os ativos corporativos (dispositivos de usuário final, incluindo portáteis e móveis; dispositivos de rede; dispositivos não computacionais; Internet das Coisas (IoT); e servidores) conectados fisicamente à infraestrutura, virtualmente, remotamente, e aqueles em ambientes de nuvem, para saber com precisão a totalidade dos ativos que precisam ser monitorados e protegidos na empresa. Isso também ajudará na identificação de ativos não autorizados e não gerenciados para removê-los ou remediá-los.
Medidas de Segurança: Estabelecer e manter um inventário detalhado de ativos corporativos, endereçar ativos não autorizados, usar uma ferramenta de descoberta ativa, DHCP para tualizar o inventário de ativos corporativos e usar uma ferramenta de descoberta passiva.
02. Inventário e Controle de Ativos de Software
Visão: Gerencie de forma ativa (inventariar, rastrear e corrigir) todos os softwares (sistemas operacionais e aplicações) na rede para que apenas software autorizado seja instalado e possa ser executado, e que software não autorizado e não gerenciado seja encontrado e impedido de ser instalado ou executado.
Medidas de Segurança: Estabelecer e manter um inventário de software, assegurar que o software autorizado seja atualmente suportado, endereçar o software não autorizado, utilizar ferramentas automatizadas de inventário de software, lista de permissões de Software autorizado, lista de permissões de bibliotecas autorizadas e lsta de permissões de Scripts autorizados.
03. Proteção de Dados
Visão: Desenvolver processos e controles técnicos para identificar, classificar, manusear com segurança, reter e descartar dados.
Medidas de segurança: Estabelecer e manter um processo de gestão de dados, estabelecer e manter um inventário de dados, configurar listas de controle de acesso a dados, aplicar retenção de dados, descartar dados com segurança, criptografar dados em dispositivos de usuário final, estabelecer e manter um esquema de classificação de dados, documentar Fluxos de Dados, ciptografar dados em mídia removível, criptografar dados sensíveis em trânsito, criptografar dados sensíveis em repouso, segmentar o processamento e o armazenamento de dados com base na Sensibilidade, implantar uma solução de prevenção contra perda de dados e registrar o acesso a dados sensíveis.
04. Configuração Segura de Ativos Corporativos e Software
Visão: Estabelecer e manter a configuração segura de ativos corporativos (dispositivos de usuário final, incluindo portáteis e móveis; dispositivos de rede; dispositivos não computacionais/ IoT; e servidores) e software (sistemas operacionais e aplicações).
Medidas de Segurança: Estabelecer e manter um processo de configuração segura, etabelecer e Manter um Processo de Configuração Segura para a Infraestrutura de Rede, configurar o bloqueio automático de sessão nos ativos corporativos, implementar e gerenciar um firewall nos servidores, implementar e gerenciar um firewall nos dispositivos de usuário final, gerenciar com segurança os ativos e softwares corporativos, gerenciar contas padrão nos ativos e softwares corporativos, desinstalar ou desativar serviços desnecessários nos ativos e softwares corporativos, configurar servidores DNS confiáveis nos ativos corporativos, impor o bloqueio automático de dispositivos nos dispositivos portáteis do usuário final, impor a capacidade de limpeza remota nos dispositivos portáteis do usuário final, separar os Espaços de Trabalho Corporativos nos dispositivos móveis.
05. Gestão de Contas
Visão: Use processos e ferramentas para atribuir e gerenciar autorização de credenciais para contas de usuário, incluindo contas de administrador, bem como contas de serviço, de ativos corporativos e software.
Medidas de Segurança: Estabelecer e manter um inventário de contas, usar senhas excplusivas, desabilitar contas inativas, restringir privilégios de administrador a contas de Administrador dedicadas, estabelecer e manter um inventário de contas de serviço, centralizar a gestão de contas.
06. Gestão do Controle de Acesso
Visão: Use processos e ferramentas para criar, atribuir, gerenciar e revogar credenciais de acesso e privilégios para contas de usuário, administrador e serviço para ativos e softwares corporativos.
Medidas de Segurança: Estabelecer um Processo de Concessão de Acesso, estabelecer um Processo de Revogação de Acesso, exigir MFA para aplicações expostas externamente, exigir MFA para acesso remoto à rede, exigir MFA para acesso administrativo, estabelecer e manter um inventário de sistemas de autenticação e autorização, centralizar o controle de acesso, definir e manter o controle de acesso baseado em funções.
07. Gestão Contínua de Vulnerabilidades
Visão: Desenvolva um plano para avaliar e rastrear vulnerabilidades continuamente em todos os ativos corporativos dentro da infraestrutura da empresa, a fim de remediar e minimizar a janela de oportunidade para atacantes. Monitore fontes públicas e privadas para novas informações sobre ameaças e vulnerabilidades.
Medidas de Segurança: Estabelecer e manter um processo de gestão de vulnerabilidade, estabelecer e manter um processo de remediação, executar a gestão automatizada de patches do sistema operacional, executar a gestão automatizada de patches de aplicações, realizar varreduras automatizadas de vulnerabilidade em ativos internos, realizar varreduras automatizadas de vulnerabilidade em ativos corporativos expostos externamente, corrigir vulnerabilidades detectadas.
08. Gestão de Registros de Auditoria
Visão: Colete, alerte, análise e retenha logs de auditoria de eventos que podem ajudar a detectar, compreender ou se recuperar de um ataque.
Medidas de Segurança: Estabelecer e manter um processo de gestão de log de auditoria, coletar logs de auditoria, garantir o armazenamento adequado do registro de auditoria, padronizar a sincronização de tempo, coletar logs de auditoria detalhados, coletar logs de auditoria de consulta dns, coletar logs de auditoria de requisição de url, coletar logs de auditoria de linha de comando, centralizar os logs de auditoria, reter os logs de auditoria, conduzir revisões de log de auditoria, colete logs do provedor de serviços.
09. Proteções de E-mail e Navegador Web
Visão: Melhore as proteções e detecções de vetores de ameaças de e-mail e web, pois são oportunidades para atacantes manipularem o comportamento humano por meio do engajamento direto.
Medidas de Segurança: Garantir o uso apenas de navegadores e clientes de e-mail suportados plenamente, usar serviços de filtragem de DNS, manter e impor filtros de URL baseados em rede, restringir extensões de cliente de e-mail e navegador desnecessárias ou não autorizadas, implementar o DMARC, bloquear tipos de arquivo desnecessários, mplantar e manter proteções antimalware de servidor de e-mail.
10. Defesas Contra Malware
Visão: Impedir ou controlar a instalação, disseminação e execução de aplicações, códigos ou scripts maliciosos em ativos corporativos.
Medidas de Segurança: Instalar e manter um software anti-malware, configurar atualizações automáticas de assinatura anti-malware, desabilitar a execução e reprodução automática para mídias removíveis, configurar a varredura anti-malware automática de mídia removível, habilitar recursos ante exploração, gerenciar o software anti-malware de maneira centralizada, usar software anti-malware baseado em comportamento.
11. Recuperação de Dados
Visão: Estabeleça e mantenha práticas de recuperação de dados suficientes para restaurar ativos corporativos dentro do escopo para um estado pré-incidente e confiável.
Medidas de Segurança: Estabelecer e manter um processo de recuperação de dados, executar backups automatizados, proteger os dados de recuperação, estabelecer e manter uma instância isolada de dados de recuperação, testar os dados de recuperação.
12. Gestão da Infraestrutura de Rede
Visão: Estabeleça, implemente e gerencie ativamente (rastreie, reporte, corrija) os dispositivos de rede, a fim de evitar que atacantes explorem serviços de rede e pontos de acesso vulneráveis.
Medidas de Segurança: Assegurar que a infraestrutura de rede esteja atualizada, estabelecer e manter uma arquitetura de rede segura, gerenciar infraestrutura de rede com segurança, estabelecer e manter diagrama(s) de arquitetura, centralizar a autenticação, autorização e auditoria (AAA) de rede, usar protocolos de comunicação e gestão de rede seguros, assegurar que os dispositivos remotos utilizem uma VPN e estejam se conectando a uma infraestrutura AAA da empresa, estabelecer e manter recursos de computação dedicados para todo o trabalho administrativo.
13. Monitoramento e Defesa da Rede
Visão: Operar processos e ferramentas para estabelecer e manter monitoramento e defesa de rede abrangente contra ameaças de segurança em toda a infraestrutura de rede corporativa e base de usuários.
Medidas de Segurança: Centralizar o alerta de eventos de segurança, implantar solução de detecção de intrusão baseada em host, implantar uma solução de detecção de intrusão de rede, realizar filtragem de tráfego entre segmentos de rede, gerenciar controle de acesso para ativos remotos, coletar logs de fluxo de tráfego da rede, implantar solução de prevenção de intrusão baseada em host, implantar uma solução de prevenção de intrusão de rede, implantar controle de acesso no nível de porta, executar filtragem da camada de aplicação, ajustar Limites de Alerta de Eventos de Segurança.
14. Conscientização sobre Segurança e Treinamento de Competências
Visão: Estabelecer e manter um programa de conscientização de segurança para influenciar o comportamento da força de trabalho para ser consciente em segurança e devidamente qualificada para reduzir os riscos de segurança cibernética para a empresa.
Medidas de Segurança: Estabelecer e manter um programa de conscientização de segurança, treinar membros da força de trabalho para reconhecer ataques de engenharia social, treinar membros da força de trabalho nas melhores práticas de autenticação, treinar a força de trabalho nas Melhores Práticas de Tratamento de Dados, reinar membros da força de trabalho sobre as causas da exposição não intencional de dados, treinar Membros da força de trabalho no Reconhecimento e Comunicação de Incidentes de Segurança, treinar a força de trabalho sobre como identificar e comunicar se os seus ativos corporativos estão faltando atualizações de segurança, treinar a força de trabalho sobre os perigos de se conectar e transmitir dados corporativos em redes inseguras, conduzir treinamento de competências e conscientização de segurança para funções específicas.
15. Gestão de Provedor de Serviços
Visão: Desenvolva um processo para avaliar os provedores de serviços que mantêm dados sensíveis, ou são responsáveis por plataformas ou processos de TI críticos de uma empresa, para garantir que esses provedores estejam protegendo essas plataformas e dados de forma adequada.
Medidas de Segurança: Estabelecer e manter um inventário de provedores de serviços, estabelecer e manter uma política de gestão de provedores de serviços, classificar provedores de serviços, garantir que os contratos do provedor de serviços incluam requisitos de segurança, avaliar provedores de serviços, monitorar provedores de serviços, descomissionar com segurança os provedores de serviços.
16. Segurança de Aplicações
Visão: Gerencie o ciclo de vida da segurança de software desenvolvido, hospedado ou adquirido internamente para prevenir, detectar e corrigir os pontos fracos de segurança antes que possam afetar a empresa.
Medidas de Segurança: Estabelecer e manter um processo seguro de desenvolvimento de aplicações, estabelecer e manter um processo para aceitar e endereçar vulnerabilidades de software, executar análise de causa raiz em vulnerabilidades de segurança, estabelecer e gerenciar um inventário de componentes de software de terceiros, usar componentes de software de terceiros atualizados e confiáveis, estabelecer e manter um sistema de classificação de gravidade e processo para vulnerabilidades de aplicações, usar modelos de configurações de segurança padrão para infraestrutura de aplicações, separar sistemas de produção e não produção, treinar desenvolvedores em conceitos de segurança de aplicações e codificação segura, aplicar princípios de design seguro em arquiteturas de aplicações, aproveitar os módulos ou serviços controlados para componentes de segurança de aplicações, implementar verificações de segurança em nível de código, realizar teste de invasão de aplicação, conduzir aplicações de modelagem de ameaças.
17. Gestão de Respostas a Incidentes
Visão: Estabelecer um programa para desenvolver e manter uma capacidade de resposta a incidentes (por exemplo, políticas, planos, procedimentos, funções definidas, treinamento e comunicações) para preparar, detectar e responder rapidamente a um ataque.
Medidas de Segurança: Designar Pessoal para Gerenciar Tratamento de Incidentes, estabelecer e manter informações de contato para relatar incidentes de segurança, estabelecer e manter um processo corporativo para relatar incidentes, estabelecer e manter um processo de resposta a incidentes, atribuir funções e responsabilidades chave, definir mecanismos de comunicação durante a resposta a incidente, conduzir exercícios de resposta a incidentes rotineiros, conduzir análises pós-incidente, estabelecer e manter limites de incidentes de segurança.
18. Testes de Invasão
Visão: Teste a eficácia e a resiliência dos ativos corporativos por meio da identificação e exploração de fraquezas nos controles (pessoas, processos e tecnologia) e da simulação dos objetivos e ações de um atacante.
Medidas de Segurança: Estabelecer e manter um programa de teste de invasão, realizar testes de invasão externos periódicos, corrigir as descobertas do teste de invasão, validar as Medidas de Segurança, realizar testes de invasão internos periódicos.