Please enable JavaScript.
Coggle requires JavaScript to display documents.
Estratégia - CIS Controls V8 - Coggle Diagram
Estratégia - CIS Controls V8
Referências da ISO 27001 e 27002.
Framework de Referência, utilizado como referência de controle junto à Administração Pública.
Reflete uma visão conjunta de especialistas de todos os nichos de indústria (empresas, governos e indivíduos), pesquisadores e profissionais da área.
Características
18 controles
3 grupos de Implementação
IG1
Higiene Cibernética Básica, o conjunto básico de Medidas de Segurança de defesa cibernética que toda empresa deve aplicar para se proteger contra os ataques mais comuns.
Geralmente alcança empresas de pequeno e médio porte, com experiências limitadas em Tecnologia e em Segurança da Informação.
IG2
No contexto da sua aplicação, já há um nível de especialização maior de profissionais na área de tecnologia e segurança.
IG3
Nesse nível, considera-se um nível de especialização dentro do próprio contexto de Segurança da Informação.
Basicamente, busca-se profissionais que são especialistas em aplicativos moveis, sistemas, redes, nuvem e outros.
Estrutura
Visão geral
Uma breve descrição da intenção do Controle e sua utilidade como ação defensiva.
Por que este controle é crítico?
Uma descrição da importância deste Controle no bloqueio, mitigação ou identificação de ataques, e uma explicação de como é explorada essa ausência deste Controle.
Procedimentos e ferramentas
Uma descrição mais técnica dos processos e tecnologias que permitem a implementação e automação deste Controle.
Medidas de Segurança
Uma tabela das ações específicas que as empresas devem realizar para implementar o Controle.
Controles
Controles 01 -05
Controle 01 - Inventário e Controle de Ativos Corporativos
1.2
Endereçar ativos não autorizados.
(IG1, IG2, IG3)
1.3
Usar uma ferramenta de descoberta ativa.
(IG2, IG3)
1.4
Usar o Dynamic Host Configuration Protocol (DHCP) para atualizar o inventário de ativos corporativos.
(IG2, IG3)
1.5
Usar uma ferramenta de descoberta passiva.
(IG3)
1.1
Estabelecer e manter um inventário detalhado de ativos corporativos.
(IG1, IG2, IG3)
Controle 02 - Inventário e Controle de Ativos de Software
2.1
Estabelecer e manter um inventário de software.
(IG1, IG2, IG3)
2.2
Assegurar que o software autorizado seja atualmente suportado.
(IG1, IG2, IG3)
2.3
Endereçar o software não autorizado.
(IG2, IG3)
2.4
Utilizar ferramentas automatizadas de inventário de software.
(IG2, IG3)
2.5
Lista de permissões de software autorizado.
(IG3)
2.6
Lista de permissões de bibliotecas autorizadas.
(IG2, IG3)
2.7
Lista de permissões de scripts autorizados.
(IG3)
Controle 03 - Proteção de Dados
3.1
Estabelecer e manter um processo de gestão de dados.
(IG1, IG2, IG3)
3.2
Estabelecer e manter um inventário de dados.
(IG1, IG2, IG3)
3.3
Configurar listas de controle de acesso a dados.
(IG1, IG2, IG3)
3.4
Aplicar retenção de dados.
(IG1, IG2, IG3)
3.5
Descartar dados com segurança.
(IG1, IG2, IG3)
3.6
Criptografar dados em dispositivos de usuário final.
(IG1, IG2, IG3)
3.7
Estabelecer e manter um esquema de classificação de dados.
(IG2, IG3)
3.8
Documentar fluxos de dados.
(IG2, IG3)
3.9
Criptografar dados em mídias removível.
(IG2, IG3)
3.10
Criptografar dados sensíveis em trânsito.
(IG2, IG3)
3.11
Criptografar dados sensíveis em repouso.
(IG2, IG3)
3.12
Segmentar o processamento e o armazenamento de dados com base na sensibilidade.
(IG2, IG3)
3.13
Implantar um solução de prevenção contra perda de dados.
(IG3)
3.14
Registrar o acesso a dados sensíveis.
(IG3)
Controle 04 - Configuração segura de ativos corporativos e software
4.1
Estabelecer e manter um processo de configuração segura.
(IG1, IG2, IG3)
4.2
Estabelecer e manter um processo de configuração segura para a infraestrutura de rede.
(IG1, IG2, IG3)
4.3
Configurar o bloqueio automático de sessão nos ativos corporativos.
(IG1, IG2, IG3)
4.4
Implementar e gerenciar um firewall nos servidores.
(IG1, IG2, IG3)
4.5
Implementar e gerenciar um firewall nos dispositivos de usuário final.
(IG1, IG2, IG3)
4.6
Gerenciar com segurança os ativos e softwares corporativos.
(IG1, IG2, IG3)
4.7
Gerenciar contas padrão nos ativos e softwares corporativos.
(IG1, IG2, IG3)
4.8
Desinstalar ou desativar serviços desnecessários nos ativos e software corporativos.
(IG2, IG3)
4.9
Configurar servidores DNS confiáveis nos ativos corporativos.
(IG2, IG3)
4.10
Impor o bloqueio automático de dispositivos nos dispositivos portáteis do usuário final.
(IG2, IG3)
4.11
Impor capacidade de limpeza remota nos dispositivos portáteis do usuário final.
(IG2, IG3)
4.12
Separar os espaços de trabalho corporativos nos dispositivos móveis.
(IG3)
Controle 05 - Gestão de Contas
5.1
Estabelecer e manter um inventário de contas.
(IG1, IG2, IG3)
5.2
Usar senhas exclusivas.
(IG1, IG2, IG3)
5.3
Desabilitar contas inativas.
(IG1, IG2, IG3)
5.4
Restringir privilégios de administrador a contas de administrador dedicadas.
(IG1, IG2, IG3)
5.5
Estabelecer e manter um inventário de contas de serviço.
(IG2, IG3)
5.6
Centralizar a gestão de contas.
(IG2, IG3)
Controles 06 - 10
Controle 06 - Gestão do controle de acesso
6.2
Estabelecer um processo de revogação de acesso.
(IG1, IG2, IG3)
6.3
Exigir MFA
(Multi fator de autenticação)
para aplicações externamente.
(IG1, IG2, IG3)
6.4
Exigir MFA para acesso remoto à rede.
(IG1, IG2, IG3)
6.5
Exigir MFA para acesso administrativo.
(IG1, IG2, IG3)
6.6
Estabelecer e manter um inventário de sistemas de autenticação e autorização.
(IG2, IG3)
6.7
Centralizar o controle de acesso.
(IG2, IG3)
6.8
Definir e manter o controle de acesso baseado em funções.
(IG3)
6.1
Estabelecer um processo de concessão de acesso.
(IG1, IG2, IG3)
Controle 07 - Gestão continua de vulnerabilidades
7.1
Estabelecer e manter um processo de gestão de vulnerabilidade.
(IG1, IG2, IG3)
7.2
Estabelecer e manter um processo de remediação.
(IG1, IG2, IG3)
7.3
Executar a gestão automatizada de patches do sistema operacional.
(IG1, IG2, IG3)
7.4
Executar a gestão automatiza de patches de aplicações.
(IG1, IG2, IG3)
7.5
Realizar varreduras automatizadas de vulnerabilidade em ativos corporativos internos.
(IG2, IG3)
7.6
Realizar varreduras automatizadas de vulnerabilidade em ativos corporativos expostos externamente.
(IG2, IG3)
7.7
Corrigir vulnerabilidades detectadas.
(IG2, IG3)
Controle 08 - Gestão de registros de auditória
8.1
Estabelecer e mante um processo de gestão de log de auditória.
(IG1, IG2, IG3)
8.2
Coletar logs de auditória.
(IG1, IG2, IG3)
8.3
Garantir o armazenamento adequado do registro de auditória.
(IG1, IG2, IG3)
8.4
Padronizar a sincronização de tempo.
(IG2, IG3)
8.5
Coletar log de auditória detalhado.
(IG2, IG3)
8.6
Coletar logs de auditória de consulta DNS.
(IG2, IG3)
8.7
Coletar logs de auditoria de requisão de url.
(IG2, IG3)
8.8
Coletar logs de auditoria de linha de comando.
(IG2, IG3)
8.9
Centralizar os logs de auditoria.
(IG2, IG3)
8.10
Reter os logs de auditoria.
(IG2, IG3)
8.11
Conduzir revisões de log de auditoria.
(IG2, IG3)
8.12
Colete logs do provedor de serviços.
(IG3)
Controle 09 - Proteção de e-mail e navegador Web
9.1
Garantir o uso apenas de navegadores e clientes de e-mail suportados plenamente.
(IG1, IG2, IG3)
9.2
Usar serviços de filtragem de DNS.
(IG1, IG2, IG3)
9.3
Manter e impor filtros de URL baseados em rede.
(IG2, IG3)
9.4
Restringir extensões de cliente de e-mail e navegador desnecessárias ou não autorizadas.
(IG2, IG3)
9.5
Implementar o DMARC.
(IG2, IG3)
9.6
Bloquear tipos de arquivos desnecessários.
(IG2, IG3)
9.7
Implantar e manter proteções antimalware de servidor de e-mail.
(IG2, IG3)
Controle 10 - Defesa contra malware
10.1
Instalar e manter um software anti-malware.
(IG1, IG2, IG3)
10.2
Configurar atualizações automáticas de assinatura anti-malware.
(IG1, IG2, IG3)
10.3
Desabilitar a execução e reprodução automática para mídias removíveis.
(IG1, IG2, IG3)
10.4
Configurar a varredura anti-malware automática de mídia removível
(IG2 e IG3)
10.5
Habilitar recursos ante exploração
(IG2 e IG3)
10.6
Gerenciar o software anti-malware de maneira centralizada
(IG2 e IG3)
10.7
Usar software anti-malware baseado em comportamento
(IG2 e IG3)
Controles 11 a 15
Controle 11 - Recuperação de dados
11.2
Executar backups automatizados.
(IG1, IG2, IG3)
11.3
Proteger os dados de recuperação.
(IG1, IG2, IG3)
11.4
Estabelecer e manter uma instância isolada de dados de recuperação.
(IG1, IG2, IG3)
11.5
Testar os dados de recuperação.
(IG2, IG3)
11.1
Estabelecer e manter um processo de recuperação de dados.
(IG1, IG2, IG3)
Controle 12 - Gestão da infraestrutura de rede
12.1
Assegurar que a infraestrutura de rede esteja atualizada.
(IG1, IG2, IG3)
12.2
Estabelecer e manter uma arquitetura de rede segura.
(IG2, IG3)
12.3
Gerenciar infraestrutura de rede com segurança.
(IG2, IG3)
12.4
Estabelecer e manter diagrama(s) de arquitetura.
(IG2, IG3)
12.5
Centralizar a autenticação, autorização e auditoria (AAA) de rede.
(IG2, IG3)
12.6
Usar protocolos de comunicação e gestão de rede seguros.
(IG2, IG3)
12.7
Assegurar que os dispositivos remotos utilizem uma VPN e estejam conectando a uma infraestrutura AAA da empresa.
(IG2, IG3)
12.8
Estabelecer e manter recursos de computação dedicados para todo o trabalho.
(IG3)
Controle 13 - Monitoramento e defesa da Rede
13.1
Centralizar o alerta de eventos de segurança.
(IG2, IG3)
13.2
Implantar solução de detecção.
(IG2, IG3)
13.3
Implantar uma solução de detecção de intrusão de rede.
(IG2, IG3)
13.4 Realizar filtragem de tráfego entre segmentos de rede.
(IG2, IG3)
13.5 Gerenciar controle de acesso para ativos remotos.
(IG2, IG3)
13.6 Coletar logs de fluxo de tráfego da rede.
(IG2, IG3)
13.7 Implantar solução de prevenção de intrusão baseada em host.
(IG3)
13.8 Implantar uma solução de prevenção de intrusão de rede.
(IG3)
13.9 Implantar controle de acesso no nível de porta.
(IG3)
13.10 Executar filtragem da camada de aplicação.
(IG3)
13.11 Ajustar Limites de Alerta de Eventos de Segurança.
(IG3)
Controle 14 - Conscientização sobre segurança e treinamento de competências
14.1 Estabelecer e manter um programa de conscientização de segurança
(IG1, IG2 e IG3)
14.2 Treinar membros da força de trabalho para reconhecer ataques de engenharia social
(IG1, IG2 e IG3)
14.3 Treinar membros da força de trabalho nas melhores práticas de autenticação
(IG1, IG2 e IG3)
14.4 Treinar a força de trabalho nas Melhores Práticas de Tratamento de Dados
(IG1, IG2 e IG3)
14.5 Treinar membros da força de trabalho sobre as causas da exposição não intencional de dados
(IG1, IG2 e IG3)
14.6 Treinar Membros da força de trabalho no Reconhecimento e Comunicação de Incidentes de Segurança
(IG1, IG2 e IG3)
14.7 Treinar a força de trabalho sobre como identificar e comunicar se os seus ativos corporativos estão faltando atualizações de segurança
(IG1, IG2 e IG3)
14.8 Treinar a força de trabalho sobre os perigos de se conectar e transmitir dados corporativos em redes inseguras
(IG1, IG2 e IG3)
14.9 Conduzir treinamento de competências e conscientização de segurança para funções específicas
(IG2 e IG3)
Controle 15 - Gestão de provedor de serviços
15.1 Estabelecer e manter um inventário de provedores de serviços. **(IG1, IG2, IG3)88
15.2 Estabelecer e manter uma política de gestão de provedores de serviços.
(IG2, IG3)
15.3 Classificar provedores de serviços.
(IG2, IG3)
15.4 Garantir que os contratos do provedor de serviços incluam requisitos de segurança.
(IG2, IG3)
15.5 Avaliar provedores de serviços.
(IG3)
15.6 Monitorar provedores de serviços.
(IG3)
15.7 Descomissionar com segurança os provedores de serviços.
(IG3)
Controles 16 a 18
Controle 16 - Segurança de aplicações
16.1 Estabelecer e manter um processo seguro de desenvolvimento de aplicações
(IG2 e IG3)
16.2 Estabelecer e manter um processo para aceitar e endereçar vulnerabilidades de software
(IG2 e IG3)
16.3 Executar análise de causa raiz em vulnerabilidades de segurança
(IG2 e IG3)
16.4 Estabelecer e gerenciar um inventário de componentes de software de terceiros
(IG2 e IG3)
16.5 Usar componentes de software de terceiros atualizados e confiáveis
(IG2 e IG3)
16.6 Estabelecer e manter um sistema de classificação de gravidade e processo para vulnerabilidades de aplicações
(IG2 e IG3)
16.7 Usar modelos de configurações de segurança padrão para infraestrutura de aplicações
(IG2 e IG3)
16.8 Separar sistemas de produção e não produção
(IG2 e IG3)
16.9 Treinar desenvolvedores em conceitos de segurança de aplicações e codificação segura
(IG2 e IG3)
16.10 Aplicar princípios de design seguro em arquiteturas de aplicações
(IG2 e IG3)
16.11 Aproveitar os módulos ou serviços controlados para componentes de segurança de aplicações
(IG2 e IG3)
16.12 Implementar verificações de segurança em nível de código
(IG3)
16.13 Realizar teste de invasão de aplicação
(IG3)
16.14 Conduzir aplicações de modelagem de ameaças
(IG3)
Controle 17 - Gestão de respostas a incidentes
17.1
Designar pessoal para gerenciar tratamento de incidentes.
(IG1, IG2, IG3)
17.2
Estabelecer e manter informações de contato para relatar incidentes de segurança.
(IG1, IG2, IG3)
17.3
Estabelecer e manter um processo corporativo para relatar incidentes.
(IG1, IG2, IG3)
17.4
Estabelecer e manter um processo de resposta a incidentes.
(IG2, IG3)
17.5
Atribuir funções e responsabilidades chave.
(IG2, IG3)
17.6
Definir mecanismos de comunicação durante a resposta a incidente.
(IG2, IG3)
17.7
Conduzir exercícios de resposta a incidentes rotineiros.
(IG2, IG3)
17.8
Conduzir análises pós incidente.
(IG2, IG3)
17.9
Estabelecer e manter limites de incidentes de segurança.
(IG3)
Controle 18 - Testes de Invasão
18.1
Estabelecer e manter um programa de teste de invasão.
(IG2, IG3)
18.2
Realizar testes de invasão externos periódicos.
(IG2, IG3)
18.3
Corrigir as descobertas do teste de invasão.
(IG2, IG3)
18.4
Validar as medidas de segurança.
(IG3)
18.5
Realizar testes de invasão internos periódicos.
(IG3)
Destaca-se que nas medidas de segurança, podemos ver as visões tanto externas quanto internas nos testes de invasão, que também podem ser descritos em alguma medida a partir dos
pentests do tipo blackbox e whitebox.