Os 20 Controles Críticos de Segurança da Informação 

1. Inventário de Dispositivos Autorizados e Não Autorizados 

Gerenciar ativamente (inventariar, rastrear e corrigir) todos os dispositivos de hardware na rede para que somente dispositivos autorizados tenham acesso, e dispositivos não autorizados e não gerenciados sejam encontrados e impedidos de obter acesso. 

2. – Inventário de Software Autorizado e Não Autorizado 

Gerenciar ativamente (inventariar, rastrear e corrigir) todos os softwares da rede para que somente softwares autorizados sejam instalados e possam ser executados, e que softwares não autorizados e não gerenciados sejam encontrados e impedidos de serem instalados ou executados. 

3. – Configurações seguras para hardware e software em dispositivos móveis, notebooks, estações de trabalho e servidores 

Estabelecer, implementar e gerenciar ativamente (rastrear, reportar, corrigir) a configuração de segurança de laptops, servidores e estações de trabalho usando um rigoroso processo de gerenciamento de configuração e controle de mudanças, a fim de evitar que invasores explorem serviços e configurações vulneráveis. 

4. – Avaliação contínua da vulnerabilidade e remediação 

Adquirir, avaliar e agir continuamente sobre novas informações a fim de identificar vulnerabilidades, remediar e minimizar a janela de oportunidade para os atacantes. 

5. – Defesas contra malwares 

Controlar a instalação, propagação e execução de código malicioso em múltiplos pontos da empresa, enquanto otimiza o uso da automação para permitir rápida atualização da defesa, coleta de dados e ação corretiva. 

6. – Segurança de software de aplicação 

Gerenciar o ciclo de vida de segurança de todos os softwares desenvolvidos e adquiridos internamente a fim de prevenir, detectar e corrigir deficiências de segurança. 

7. – Controle de acesso sem fio 

Os processos e ferramentas usados para rastrear/controlar/prevenir/corrigir o uso de segurança em redes locais sem fio (WLANS), pontos de acesso e sistemas clientes sem fio. 

8. – Capacidade de recuperação de dados 

Os processos e ferramentas usados para respaldar adequadamente as informações críticas com uma metodologia comprovada para a recuperação oportuna das mesmas. 

9. – Avaliação de Habilidades de Segurança e Treinamento Apropriado para Preencher Lacunas 

Para todos os papéis funcionais na organização (priorizando aqueles de missão crítica para a empresa e sua segurança), identificar os conhecimentos específicos, competências e habilidades necessárias para apoiar a defesa da empresa; desenvolver e executar um plano integrado para avaliar, identificar lacunas e remediar através de políticas, planejamento organizacional, treinamento e programas de conscientização. 

10. – Configurações seguras para dispositivos de rede como Firewalls, Roteadores e Switches 

Estabelecer, implementar e gerenciar ativamente (rastrear, reportar, corrigir) a configuração de segurança dos dispositivos de infra-estrutura de rede usando um rigoroso processo de gerenciamento de configuração e controle de mudanças, a fim de evitar que os atacantes explorem serviços e configurações vulneráveis. 

11. – Limitação e controle de portas, protocolos e serviços de rede 

Gerenciar (rastrear/controlar/corrigir) o uso operacional contínuo de portas, protocolos e serviços em dispositivos em rede, a fim de minimizar janelas de vulnerabilidade disponíveis para os atacantes. 

12. – Uso Controlado de Privilégios Administrativos 

Os processos e ferramentas usados para rastrear/controlar/prevenir/corrigir o uso, atribuição e configuração de privilégios administrativos em computadores, redes e aplicações. 

13. – Defesa de Perímetro 

Detectar/prevenir/corrigir o fluxo de transferência de informações entre redes de diferentes níveis de confiança, com foco em dados que prejudiquem a segurança. 

14. – Manutenção, monitoramento e análise de logs de auditoria 

Coletar, gerenciar e analisar logs de auditoria de eventos que possam ajudar a detectar, compreender ou se recuperar de um ataque. 

15. – Controle de acesso com base na política de menor privilégio 

Os processos e ferramentas usados para rastrear/controlar/prevenir/corrigir o acesso seguro a ativos críticos (por exemplo, informações, recursos e sistemas) de acordo com a determinação formal de quais pessoas, computadores e aplicações têm necessidade e direito de acesso a esses ativos críticos com base em uma classificação aprovada. 

16. – Monitoramento e controle de contas 

Gerenciar ativamente o ciclo de vida das contas do sistema e das aplicações – sua criação, uso, desativação e exclusão – a fim de minimizar as oportunidades para que os atacantes as aproveitem. 

17. – Proteção de dados 

Os processos e ferramentas usados para evitar a exfiltração de dados, mitigar os efeitos dos dados exfiltrados e garantir a privacidade e integridade das informações sensíveis. 

18. – Resposta a incidentes e gerenciamento de segurança 

Proteger as informações da organização, bem como sua reputação, desenvolvendo e implementando uma infra-estrutura de resposta a incidentes (por exemplo, planos, funções definidas, treinamento, comunicações, supervisão da administração) para descobrir rapidamente um ataque e depois conter efetivamente os danos, erradicando a presença do atacante e restaurando a integridade da rede e dos sistemas. 

19. – Engenharia segurança de redes 

Fazer da segurança um atributo inerente da empresa, especificando, projetando e incorporando características que permitem operações de sistemas de alta confiança, enquanto negam ou minimizam as oportunidades para os atacantes. 

20. – Testes de Penetração e Exercícios de Red Team 

Testar a força geral das defesas de uma organização (a tecnologia, os processos e as pessoas) através da simulação dos objetivos e ações de um criminoso virtual. 

Fonte: Adaptado e traduzido de “blueteam-cheat-sheet”, disponível em https://tmpfiles.org/dl/5959/blueteam-cheat-sheet.pdf  

Autor da adaptação: Almir Meira Alves – Diretor Acadêmico da CECyber