CIS lança novos dados e orientações para as atualizações cibernéticas

A nova pesquisa do Center for Internet Security (CIS) mede a eficácia das recomendações de segurança cibernética em frustrar as técnicas comuns usadas em ataques para orientar as organizações na maximização dos investimentos cibernéticos.

A nova pesquisa do Center for Internet Security (CIS) mede a eficácia das recomendações de Segurança Cibernética em impedir as técnicas comuns usadas em ataques para orientar as organizações na maximização dos investimentos cibernéticos.

O CIS, uma organização sem fins lucrativos, anunciou uma nova orientação para organizações que tentam extrair o máximo de seus orçamentos (normalmente apertados) para a Segurança Cibernética.

Seu recém-lançado Community Defense Model (CDM) versão 2.0 oferece às entidades públicas e privadas um roteiro para elevar suas posturas cibernéticas, baseado na pesquisa das ameaças cibernéticas globais mais urgentes.

O CDM avalia o quão bem as várias práticas e tecnologias de segurança cibernética que o CIS recomenda realmente funcionam na defesa contra ameaças comuns, como ransomware e invasões direcionadas. O objetivo é ajudar as organizações a decidir quais práticas devem ser priorizadas na adoção.

“Quando você consegue mapear de volta utilizando os tipos reais de ataque que estamos vendo globalmente como uma comunidade, isso tornará lógica uma tomada de decisão, ficando muito mais fácil para as organizações dizerem que: ‘Sim, temos que implementá-lo ou não,’” Executivo da CIS O vice-presidente e gerente geral Curtis Dukes disse à Government Technology.

De acordo com o documento CDM v2, adotar o conjunto básico de recomendações deve defender uma organização contra aproximadamente 78% das técnicas e subtécnicas que os perpetradores de ransomware vem utilizando, enquanto que a adoção de todas as recomendações pode defender contra 92%.

O CIS publica uma estrutura conhecida como CIS Critical Security Controls, que descreve as etapas para aumentar as defesas cibernéticas, mas a organização sem fins lucrativos reconhece que nem todas as organizações têm dinheiro ou força de trabalho para implementá-las todas.

O CDM v2 – uma atualização sobre a versão 1 do CDM do ano passado – lista um número menor de etapas da tal “higiene cibernética essencial”, que as organizações podem tomar para alcançar proteções importantes, mantendo os custos e esforços relativamente baixos.

O CIS está chamando esse grupo de práticas centrais de Grupo de Implementação 1 (IG1), enquanto as recomendações do Grupo de Implementação 2 e do Grupo 3 descrevem outras etapas para as organizações que precisam ir além para proteger dados mais confidenciais e evitar ameaças mais sofisticadas.

A estrutura do CIS lista as principais categorias de segurança cibernética ou “controles” – como recuperação de dados ou gerenciamento de controle de acesso – e dentro deles, várias ações específicas, chamadas de salvaguardas.

“Em vez de se concentrar em 153 salvaguardas, agora você se concentra em apenas 56 dentro do Grupo de Implementação 1”, disse Dukes. “Se você fizer isso primeiro, então com base em uma avaliação de risco que você fizer, você pode decidir se precisa ou não incluir controles e salvaguardas adicionais para proteger ainda mais a sua organização.”

Colocando conselhos em prática

A nova pesquisa do Center for Internet Security (CIS) mede a eficácia das recomendações de segurança cibernética em frustrar as técnicas comuns usadas em ataques para orientar as organizações na maximização dos investimentos cibernéticos.

Para criar o CDM v2, o CIS começou por identificar os tipos de ataques mais difundidos que as organizações enfrentam atualmente. O exame de relatórios de ameaças globais levou os pesquisadores a se concentrar em: privilégios internos, ransomware e outros malwares, invasão direcionada e invasão de aplicativos da web.

Os pesquisadores então recorreram ao MITRE ATT&CK Framework, um banco de dados global que lista técnicas de crimes cibernéticos e métodos de ataque. Usar isso, bem como os dados do Centro de Análise e Compartilhamento de Informações Multiestados (MS-ISAC) do CIS, permitiu que a equipe do CIS identificasse as táticas comumente usadas pelos perpetradores desses cinco ataques cibernéticos principais.

Isso, finalmente, permitiria ao CIS mapear quais de suas recomendações de segurança cibernética ajudariam na defesa contra quais técnicas de invasor – permitindo que a organização sem fins lucrativos explicitasse o valor de segurança agregado de cada prática de uma forma mais concreta.

Por exemplo, configurações seguras, gerenciamento de patches, monitoramento e limitação do acesso do administrador a contas, todos provaram ser etapas básicas que obstruiriam alguns métodos comuns de ransomware, disse Dukes. Adotar essas práticas não garante que a organização permaneça segura, mas provavelmente reduzirá bem o risco.

“[CDM v2] não é uma solução mágica ou um sistema perfeito, mas é conduzido por dados da vida real”, disse Dukes.

O preço da segurança

A nova pesquisa do Center for Internet Security (CIS) mede a eficácia das recomendações de segurança cibernética em frustrar as técnicas comuns usadas em ataques para orientar as organizações na maximização dos investimentos cibernéticos.

O CDM v2 é apenas o próximo passo em direção ao objetivo maior do CIS: ser capaz de ajudar as organizações a definir com mais exatidão os custos de implementação – ou não implementação – de práticas de segurança específicas.

“O local onde você quer chegar é … qual é o conjunto mínimo de salvaguardas que você precisa implementar e quanto isso custa para você, como organização, implementá-las?” Dukes disse.

Essa não é uma tarefa fácil, Dukes reconhece. Seria necessário que o CIS abordasse os investimentos em treinamento e tecnologia e explorasse questões detalhadas sobre as ofertas e opções de segurança. Isso pode incluir ajudar as organizações a determinar quando a segurança padrão de seu sistema operacional é boa o suficiente para suas necessidades em comparação com quando devem adquirir uma solução de terceiros e avaliar como os diferentes tipos de soluções correspondem às necessidades de seu setor específico.

“Precisamos olhar para a gama de opções disponíveis para uma organização e realmente conversar, ‘Se você optou pelo modelo de código aberto, aqui está o que custaria em termos de recursos para implementar, por outro lado [aqui] mostrar onde pode não ser tão eficaz quanto uma ferramenta de triagem de terceiros.’”

Fonte: www.govtech.com

Posts relacionados: CIS Controls v8 – A versão mais recente está agora disponível para download / Center for Internet Security (CIS) lançou CIS Controls v8 para refletir ameaças e evolução da tecnologia e CIS Controls v8 – Versão em português disponível para download