Center for Internet Security (CIS) lançou CIS Controls v8 para refletir ameaças e evolução da tecnologia

A versão 8 é organizada por atividade, resultando em maior eficiência com menor número de controles e salvaguardas

controles cis versão 8 contra ameaças cibernéticas

EAST GREENBUSH, N.Y., 18 de maio de 2021 – À medida que as empresas continuam a integrar recursos de nuvem e dispositivos móveis em suas redes, o Center for Internet Security, Inc. (CIS®) anuncia o lançamento do CIS Controls v8. Os controles atualizados foram aprimorados para acompanhar os sistemas e softwares modernos e o ecossistema cibernético em constante mudança, incluindo os serviços de nuvem e tecnologias móveis.

Os novos controles v8 também tem outras alterações; a nova versão combina e consolida os controles CIS por atividades, em vez de por quem gerencia os dispositivos. Dispositivos físicos, limites fixos e discretas ilhas de implementação de segurança são menos importantes na nova versão; isso se reflete na terminologia revisada e no agrupamento de salvaguardas (anteriormente subcontroles), resultando em uma diminuição do número de controles de 20 para 18. Os 18 controles de nível superior contêm 153 salvaguardas que fornecem um caminho de priorização para melhorar a postura de segurança cibernética de uma empresa.

“Quer você use os controles CIS ou outra estrutura para orientar seu programa de segurança cibernética, você deve reconhecer que não se trata apenas de uma lista”, disse Curtis Dukes, Vice-Presidente executivo e gerente geral da Center for Internet Security de melhores práticas de segurança. “Pense nos controles como um conjunto priorizado de ações a serem executadas para fornecer uma defesa cibernética eficaz. É importante procurar o ecossistema que cresce em torno da lista. ”

A versão v8 não é apenas uma atualização dos controles; todo o ecossistema em torno dos controles foi (ou será) atualizado também. Isso inclui:

  • CIS Controls Self Assessment Tool (CSAT) (Hosted & Pro)Ferramenta de Autoavaliação de Controles CIS (CSAT) (Hospedada e Pro) uma maneira para as empresas conduzirem, rastrearem e avaliarem sua implementação dos Controles CIS ao longo do tempo e medir a implementação em comparação com seus pares do setor; CIS CSAT hospedado é gratuito para uso em uma capacidade não comercial.
  • º Updated CIS CSAT Pro – on-premises, data sharing optional, different user roles for different organizations, separation of administrative function, different look and feel
  • Community Defense Model (CDM)Modelo de Defesa da Comunidade (CDM) abordagem baseada em dados, rigorosa e transparente, que ajuda a priorizar os controles com base na ameaça em evolução; O CDM v1.0 utilizou o Relatório de investigações de violação de dados da Verizon 2019 (DBIR) para determinar os principais ataques e a Estrutura MITRE ATT&CK (Adversarial Tactics, Techniques e Common Knowledge) v6.3.
  • º CDM v2.0 – Mapeia salvaguardas como mitigações até o nível de técnica e sub-técnica ATT&CK (MITRE ATT&CK Framework v8.2), usa relatórios de ameaças bem conhecidos da indústria para determinar os principais tipos de ataque.
  • CIS Risk Assessment Method (CIS RAM)Método de avaliação de risco CIS (CIS RAM) ajuda uma empresa a justificar investimentos para uma implementação razoável dos controles CIS, definir seu nível aceitável de risco, priorizar e implementar os controles CIS de forma razoável e ajudar a demonstrar o “devido cuidado”.
  • º CIS RAM 2.0 – includes a simplified CIS RAM worksheet for IG1, and additional modules tailored to developing key risk indicators using quantitative analysis
  • CIS Controls Mobile Companion Guide – ajuda as empresas a implementar as melhores práticas desenvolvidas por consenso usando CIS Controls v8 para telefones, tablets e aplicativos móveis
  • CIS Controls Cloud Companion Guide – orientação sobre como aplicar as melhores práticas de segurança encontradas no CIS Controls v8 a qualquer ambiente de nuvem da perspectiva do consumidor / cliente
  • Mapeamentos para outras estruturas regulatórias – empresas que implementam os controles CIS podem mostrar conformidade com outras estruturas

CIS Controls v8 e algumas dessas ferramentas e recursos já estão disponíveis. Conforme recursos adicionais são atualizados, eles serão adicionados à página da versão 8 do CIS.

Desenvolvido por uma comunidade de especialistas e parceiros em segurança cibernética, os controles CIS atualizados cooperam e apontam para padrões independentes e recomendações de segurança existentes, onde eles existem. A Cloud Security Alliance (CSA) forneceu informações para a v8 para ajudar os usuários a proteger seus ambientes de nuvem, e o SAFECode foi um contribuidor importante para o controle de segurança do software de aplicativo (CIS Control 16).

SANS atuou no painel editorial do Controls v8 e oferece dois treinamentos e um curso de certificação focado no CIS Controls v8:

Os controles CIS são um conjunto priorizado de proteções para mitigar os ataques cibernéticos mais prevalentes contra sistemas e redes. Eles são mapeados e referenciados por várias estruturas legais, regulatórias e de políticas e foram recentemente incluídos nos estatutos estaduais de segurança cibernética em Ohio e Utah.

O Center for Internet Security (CIS) publicou uma tabela comparativa que evidencia as novas mudanças presentes no CIS Controls v8.

versão 8 cis controls

O Seginfocast #79 tratou deste tema em maiores detalhes num bate papo com o Rafael Soares Diretor Comercial da Clavis Segurança da Informação. Profissional atuante nas áreas de testes de invasão e auditorias de rede, sistemas e aplicações, e de detecção e resposta a incidentes de segurança. Clique aqui para ouvir o podcast ou aqui para assistir ao vídeo preparado exclusivamente para o YouTube.

Posts relacionados: Novos Benchmarks CIS AWS ajudam a proteger produtos e serviços em nuvem / CIS Benchmarks: Atualização de Março 2021 e CIS – Cumprindo sua responsabilidade de segurança compartilhada no AWS

Fonte: Center for Internet Security (CIS) Releases CIS Controls v8 to Reflect Evolving Technology, Threats