O que são as CIS Benchmarks?
As CIS Benchmarks do Center for Internet Security (CIS) são um conjunto de práticas recomendadas reconhecidas globalmente e orientadas por consenso para ajudar os profissionais de segurança a implementar e gerenciar defesas de segurança cibernética. Desenvolvidas por uma comunidade global de especialistas em segurança, as diretrizes ajudam organizações a se protegerem proativamente contra riscos potenciais. As empresas implementam diretrizes de CIS Benchmark para limitar vulnerabilidades de segurança baseadas em configuração em seus ativos digitais.
Por que as CIS Benchmarks são importantes?
Ferramentas como CIS Benchmarks são importantes porque descrevem práticas recomendadas de segurança, desenvolvidas por profissionais de segurança e especialistas, para implantar mais de 25 produtos de fornecedores diferentes. Essas práticas recomendadas são um bom ponto de partida para criar um plano de implantação de produto ou serviço ou para verificar se as implantações existentes são seguras.
Ao implementar CIS Benchmarks, você pode proteger melhor seus sistemas herdados contra riscos comuns e potenciais seguindo etapas como:
- Desabilitar portas não utilizadas
- Remover permissões de aplicações desnecessárias
- Limitar privilégios administrativos
Sistemas e aplicações de TI também funcionam melhor quando você desabilita serviços desnecessários.
Exemplo de CIS Benchmarks
Por exemplo, administradores podem seguir as diretrizes detalhadas em CIS AWS Foundations Benchmark para ajudá-los a configurar uma política de senha forte para o AWS Identity and Access Management (IAM). Aplicar política de senhas, usar autenticação multifator (MFA), desabilitar root, verificar se as chaves de acesso são alternadas a cada 90 dias e outras táticas são diretrizes de identidade distintas, mas relacionadas, para melhorar a segurança de uma conta da AWS.
Ao adotar CIS Benchmarks, sua organização pode obter vários benefícios de segurança cibernética, como:
Diretrizes de especialistas em segurança cibernética
As CIS Benchmarks fornecem às organizações um framework de configurações de segurança avaliadas e comprovadas por especialistas. As empresas podem evitar cenários de tentativa e erro que colocam a segurança em risco, beneficiando-se da experiência de uma comunidade diversificada de TI e segurança cibernética.
Padrões de segurança reconhecidos globalmente
As CIS Benchmarks são os únicos guias de práticas recomendadas globalmente reconhecidos e aceitos por governos, empresas, instituições de pesquisa e acadêmicas. Graças à diversificada comunidade global que trabalha segundo um modelo de tomada de decisão baseado em consenso, as CIS Benchmarks têm aplicabilidade e aceitabilidade muito mais amplas do que as leis e os padrões de segurança regionais.
Prevenção de ameaças com bom custo-benefício
A documentação de CIS Benchmark está disponível gratuitamente para qualquer pessoa baixar e implementar. Sua empresa pode obter instruções detalhadas e atualizadas para todos os tipos de sistemas de TI sem pagar nada por isso. Você pode atingir a governança de TI e impedir danos financeiros e à reputação causados por ameaças cibernéticas que podem ser evitadas.
Conformidade regulatória
As CIS Benchmarks estão alinhadas aos principais frameworks de segurança e privacidade de dados, como:
- Framework de segurança cibernética do National Institute of Standards and Technology (NIST)
- Health Insurance Portability and Accountability Act (HIPAA)
- Payment Card Industry Data Security Standard (PCI DSS)
Para organizações que operam em setores altamente regulamentados, a implementação de CIS Benchmarks é um grande passo rumo à conformidade. Elas podem evitar falhas de conformidade causadas por sistemas de TI mal configurados.
Que tipos de sistemas de TI as CIS Benchmarks abrangem?
O CIS publicou mais de 100 referências que abrangem mais de 25 famílias de produtos de fornecedores. Ao aplicar e monitorar CIS Benchmarks em todos os tipos de sistemas de TI, cria-se um ambiente de TI inerentemente seguro que pode ser ainda mais protegido com soluções de segurança. As tecnologias que as CIS Benchmarks abrangem podem ser agrupadas genericamente em sete categorias.
Sistemas operacionais
As CIS Benchmarks para sistemas operacionais fornecem configurações de segurança padrão para sistemas operacionais bastante usados, como o Amazon Linux. Essas referências incluem práticas recomendadas para recursos como:
- Controle de acesso a sistemas operacionais
- Políticas de grupos
- Configurações de navegadores Web
- Gerenciamento de patches
Infraestrutura e serviços de nuvem
As CIS Benchmarks para infraestrutura de nuvem fornecem padrões de segurança que as empresas podem usar para configurar ambientes de nuvem com segurança, como os fornecidos pela AWS. As diretrizes contêm diretrizes de práticas recomendadas para configurações de rede virtual, configurações do AWS Identity and Access Management (IAM), controles de conformidade e segurança, entre outros.
Software de servidor
As CIS Benchmarks para software de servidor fornecem referências de configuração e recomendações para configurações de servidor, controles de administração de servidor, configurações de armazenamento e software de servidor de fornecedores bem conhecidos.
Software de desktop
As CIS Benchmarks abrangem a maioria dos softwares de desktop que as organizações mais usam. As diretrizes incluem práticas recomendadas para gerenciar recursos de software de desktop, como:
- Software de desktop de terceiros
- Configurações de navegador
- Privilégios de acesso
- Contas de usuários
- Gerenciamento de dispositivos do cliente
Dispositivos móveis
As CIS Benchmarks para dispositivos móveis abrangem configurações de segurança para sistemas operacionais executados em telefones celulares, tablets e outros dispositivos portáteis. Elas fornecem recomendações para configurações de navegadores de dispositivos móveis, permissões de aplicações, configurações de privacidade etc.
Dispositivos de rede
As CIS Benchmarks também fornecem configurações de segurança para dispositivos de rede, como firewalls, roteadores, switches e redes privadas virtuais (VPNs). Elas contêm recomendações neutras e específicas do fornecedor para garantir a configuração e o gerenciamento seguros desses dispositivos de rede.
Dispositivos de impressão multifuncionais
As CIS Benchmarks para periféricos de rede, como impressoras multifuncionais, scanners e fotocopiadoras, abrangem as práticas recomendadas de configuração segura, como configurações de compartilhamento de arquivos, restrições de acesso e atualizações de firmware.
O que são níveis de CIS Benchmark?
Para ajudar as organizações a atingir seus objetivos de segurança exclusivos, o CIS atribui um nível de perfil a cada diretriz de CIS Benchmark. Cada perfil do CIS contém recomendações que fornecem um nível diferente de segurança. As organizações podem escolher um perfil de acordo com suas necessidades de segurança e conformidade.
Perfil nível 1
As recomendações de configuração para o perfil nível 1 são recomendações básicas de segurança para configurar sistemas de TI. São fáceis de seguir e não afetam a funcionalidade ou o tempo de atividade da empresa. Essas recomendações reduzem o número de pontos de entrada dos sistemas de TI, o que diminui os riscos à segurança cibernética.
Perfil nível 2
As recomendações de configuração para o perfil nível 2 funcionam melhor para dados altamente sigilosos onde a segurança é prioridade. Implementar essas recomendações requer experiência profissional e planejamento cuidadoso para obter segurança abrangente com o mínimo de interrupções. A implementação de recomendações de perfil nível 2 também ajuda a cumprir a conformidade regulatória.
Perfil do STIG
O Security Technical Implementation Guide (STIG) é um conjunto de referências de configuração da Defense Information Systems Agency (DISA). O Departamento de Defesa dos Estados Unidos publica e mantém esses padrões de segurança. Os STIGs são formulados especificamente para atender aos requisitos do governo dos Estados Unidos.
As CIS Benchmarks também especificam um perfil do STIG nível 3, criado para ajudar as organizações a cumprir o STIG. O perfil do STIG contém recomendações de perfil nível 1 e nível 2 que são específicas do STIG e fornece mais recomendações que os outros dois perfis não abrangem, mas que são exigidas pelas STIGs da DISA.
Quando os sistemas são configurados de acordo com as CIS Benchmarks do STIG, o ambiente de TI é compatível com o CIS e o STIG.
Como as CIS Benchmarks são desenvolvidas?
As comunidades do CIS seguem um processo único baseado em consenso para desenvolver, aprovar e manter as CIS Benchmarks para diferentes sistemas de destino. Em geral, o processo de desenvolvimento de CIS Benchmark é assim:
- A comunidade identifica a necessidade de uma referência específica.
- Define-se o escopo da referência.
- Voluntários criam threads de discussão no site da comunidade CIS WorkBench.
- Especialistas da comunidade do CIS do sistema de TI específico dedicam um tempo para revisar e discutir o rascunho de trabalho.
- Os especialistas criam, discutem e testam as recomendações até chegarem a um consenso.
- Eles finalizam a referência e a publicam no site do CIS.
- Outros voluntários da comunidade participam da discussão da CIS Benchmark.
- A equipe de consenso analisa o feedback daqueles que implementam a referência.
- São feitas revisões e atualizações nas novas versões da CIS Benchmark.
O lançamento de novas versões das CIS Benchmarks também depende de alterações ou atualizações dos sistemas de TI correspondentes.
Como implementar CIS Benchmarks?
Cada CIS Benchmark contém uma descrição da recomendação, o motivo da recomendação e instruções que os administradores do sistema podem seguir para implementar a recomendação corretamente. Toda referência pode consistir em várias centenas de páginas, pois abrange todas as áreas do sistema de TI de destino.
A implementação de CIS Benchmarks e o acompanhamento de todas as versões são complicados quando feitos manualmente. É por isso que muitas organizações usam ferramentas automatizadas para monitorar a conformidade com o CIS. O CIS também oferece ferramentas gratuitas e premium que você pode usar para verificar sistemas de TI e gerar relatórios de conformidade com o CIS. Essas ferramentas alertam os administradores do sistema quando as configurações existentes não atendem às recomendações da CIS Benchmark.
Que outros recursos de segurança estão incluídos nas CIS Benchmarks?
O CIS também publica outros recursos para melhorar a segurança da Internet de uma organização, inclusive os dois recursos principais a seguir.
CIS Controls
Os CIS Controls (antes chamados CIS Critical Security Controls) é outro recurso que o CIS publica como um guia completo de práticas recomendadas para segurança de sistemas e de redes. O guia contém uma lista de verificação de 20 salvaguardas e ações de alta prioridade que provaram ser eficazes contra as ameaças de segurança cibernética mais generalizadas e destrutivas aos sistemas de TI.
Os CIS Controls mapeiam a maioria dos principais padrões e estruturas regulatórias, como:
- Framework de segurança cibernética do National Institute of Standards and Technology (NIST)
- NIST 800-53
- Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS), Federal Information Security Management Act (FISMA), entre outros padrões da série ISO 27000
Os CIS Controls fornecem um ponto de partida para seguir qualquer um dos frameworks de conformidade a seguir.
Diferenças entre CIS Benchmarks CIS Controls
Os CIS Controls são diretrizes genéricas para proteger sistemas e redes por inteiro, mas as CIS Benchmarks são recomendações muito específicas para configurações de sistemas protegidos. As CIS Benchmarks são uma etapa essencial para a implementação dos CIS Controls, pois cada recomendação da CIS Benchmark refere-se a um ou mais CIS Controls.
Por exemplo, o CIS Control 3 sugere configurações seguras de hardware e software para sistemas de computador. As CIS Benchmarks fornecem orientações neutras e específicas do fornecedor, além de instruções detalhadas que os administradores podem seguir para implementar o CIS Control 3.
CIS Hardened Images
Uma máquina virtual (VM) é um ambiente de computação virtual que emula hardware de computador dedicado. As imagens de VM são modelos que os administradores do sistema usam para criar rapidamente várias VMs com configurações de sistemas operacionais semelhantes. Porém, se a imagem de VM não for devidamente configurada, as instâncias de VM criadas dela também serão configuradas incorretamente e ficarão vulneráveis.
O CIS oferece as CIS Hardened Images, que são imagens de VM que já foram configuradas para os padrões de CIS Benchmark.
Benefícios de usar CIS Hardened Images
As CIS Hardened Images são úteis porque oferecem estes recursos:
- Referências de CIS Benchmark pré-configuradas
- Fáceis de implantar e gerenciar
- Atualizadas e corrigidas pelo CIS
De acordo com suas necessidades de segurança e conformidade, você pode escolher CIS Hardened Images configuradas para um perfil nível 1 ou nível 2.
Como usar CIS Benchmarks na AWS?
O CIS é um provedor de software independente (ISV) parceiro da AWS, e a AWS é uma empresa membro das CIS Security Benchmarks. As CIS Benchmarks incluem diretrizes para configurações seguras para um subconjunto de serviços da Nuvem AWS e configurações em nível de conta.
Por exemplo, o CIS descreve as configurações de práticas recomendadas para a AWS nas CIS Benchmarks, como:
- CIS AWS Foundations Benchmark
- CIS Amazon Linux 2 Benchmark
- CIS Amazon Elastic Kubernetes Service (EKS) Benchmark
- AWS End User Compute Benchmark
Também é possível acessar as imagens do Amazon Elastic Compute Cloud (EC2) protegidas pelo CIS no AWS Marketplace para garantir que suas imagens do Amazon EC2 cumpram com as CIS Benchmarks.
Da mesma forma, é possível automatizar as verificações para garantir que sua implantação da AWS cumpra as recomendações definidas no padrão CIS AWS Foundations Benchmark. O AWS Security Hub é compatível com o padrão CIS AWS Foundations Benchmark, que consiste em 43 controles e 32 requisitos do Payment Card Industry Data Security Standard (PCI DSS) em 14 produtos da AWS. Quando habilitado, o AWS Security Hub imediatamente começa a executar verificações de segurança contínuas e automatizadas em todos os controles e em cada recurso relevante associado ao controle.
Garanta a conformidade de sua infraestrutura de nuvem com o CIS e comece a usar a AWS criando uma conta gratuita da AWS hoje mesmo.
Próximas etapas de CIS Benchmark na AWS
Obtenha acesso instantâneo ao nível gratuito da AWS.