Implementando Cibersegurança desde o zero (parte 2)

ElevenPaths    18 junio, 2019
Implementando cibersegurança desde o zero parte 2

Continuando o post que publicamos aqui no blog há alguns dias sobre “Como implementar Cibersegurança do zero”, trazemos outros conselhos sobre como você pode começar a implementar a segurança na sua empresa, ou mesmo na sua casa.

Cyber Kill Chain
Trata-se de um padrão técnico muito importante que foi desenvolvido pela Lockheed Martin como parte do modelo proprietário Intelligence Driven Defense®  para identificação e prevenção das intrusões digitais. O modelo descreve a sequência lógica das ações realizadas por um cibercriminoso para comprometer sistemas.

Os sete passos da Cyber Kill Chain® melhoram a visibilidade de um ataque e enriquecem sua compreensão do ponto de vista tático, técnico e de procedimentos.

Figura 1: Cyber Kill Chain

20 controles Críticos de Centro de Segurança na Internet
Em 2008, o escritório do secretário de defesa solicitou ajuda da Agência Nacional de Segurança (NSA) dos Estados Unidos para buscar controles de segurança que estivessem disponíveis para melhorar a cibersegurança. A solicitação foi realizada porque a agência “compreendeu melhor como funcionavam os ataques cibernéticos e quais ataques eram usados com maior frequência”. Essa solicitação tomou tal atenção que “o ataque informa a defesa” se converteu em um mantra da Casa Branca.

O relatório do Departamento de Defesa (DoD) norte-americano para os 20 controles foi descrito da seguinte maneira por Tom Donahue, da CIA: “Primeiros resolva os males que são conhecidos”.

Isso significa que nenhum controle deve ser uma prioridade ao menos que ele possa demonstrar que pode deter ou mitigar um ataque conhecido, essa regra foi chave para separar os controles críticos de CIS da maioria de outras listas de controles de uma empresa.

Seguindo esse conceito, foram criados os 20 controles críticos, um resultado do trabalho contínuo da NSA, CIA, FBI e SANS, além de algumas empresas de cibersegurança que trabalham com o CIS (Center for Internet Security. O objetivo é implementar controles que realmente mitiguem ataques atuais de segurança em um modelo vivo, que se atualiza em relação à ordem de prioridade ou número de controles, com base nas mudanças do cenário atual de ataques.

Definitivamente, consideramos que esse é o caminho mais eficiente para implementar cibersegurança, já que ao introduzir os 20 CSCs pode-se mitigar os ciberataques mais atuais, além de se utilizar de maneira eficiente os orçamentos de segurança.

Coneças os 20 Controles Críticos de Segurança

Figura 2: Distribución de los 20 CSC

Podemos destacar 5 quick wins na lista de controles e ações que requerem pouco esforço, mas que podem gerar resultados positivos. Os subcontroles que tem maior impacto imediato na prevenção de ataques são:

  • White list de aplicações (CSC #2)
  • Uso de padrões e configurações seguras em todos os sistemas (CSC #3)
  • Aplicação de patches em até 48h em softwares de aplicação (CSC #4)
  • Número reduzido de usuários com privilégios administrativos (CSC #4)
  • Limitação e controle do uso de portas e serviços na rede (CSC #9)

5 Princípios Fundamentais dos 20 CSC

O ataque informa a defesa: utilizar os dados gerados por ataques reais que tenham comprometido os sistemas para criar uma base de conhecimento destes eventos que seja alimentada continuamente, construindo defesas efetivas e práticas. Incluir somente os controles que tenham eficiência real quanto à ataques conhecidos.

Priorização: investir primeiro nos controles que proporcionam a maior redução de riscos e proteção contra os atores mais perigosos, eles devem ser passíveis de implementação viável no ambiente de TI da empresa.

Medições e métricas: estabelecer parâmetros comuns que proporcionem uma linguagem colaborativa entre os executivos, especialistas de TI, auditores e funcionários para medir a efetividade das medidas de segurança dentro de uma organização, de modo que os ajustes necessários possam ser identificados e implementados rapidamente.

Diagnóstico e mitigação contínuos: realizar medições contínuas que provem e validem a efetividade das medias de segurança atuais e para ajudar a definir a prioridade dos passos seguintes.

Automação: automatizar defesas para que as organizações possam conseguir medições confiáveis, escalonáveis e contínuas da sua adesão aos controles e métricas relacionadas a eles.

Convidamos você a revisar quantos controles da lista de 20 CSC estão implementados em sua empresa, esperamos que esse post tenha ajudado você a criar um plano sobre como implementar segurança do zero, sobretudo, com eficiência.

Para saber mais sobre cibersegurança, dê uma olhada em nosso Relatório de Tendências de Cibersegurança 2019 e na 5ª temporada do #11PathsTalks. Você também pode encontrar muito conteúdo e informação em nosso blog.

Bibliografiahttps://www.sans.org/critical-security-controls/history

Conheça a primeira parte do post “Implementando segurança do zero” aqui.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *