BR +55 11 3069 3925 | USA +1 469 620 7643

CIS Controls – PAM x 20 Controles Focados no PAM

por | set 26, 2019 | Blog

O dicionário Michaelis define risco como a probabilidade de prejuízo em determinado projeto ou coisa, em razão de acontecimento incerto. Essa definição se aplica a qualquer coisa que possa expor pessoas e organizações ao risco, inclusive a Segurança da Informação. Neste contexto específico, podemos afirmar que risco em cibersegurança é a probabilidade desse prejuízo ocorrer como resultado da utilização de sistemas interconectados. Com isso em mente, é possível ao aos responsáveis pela Segurança da Informação ter clareza das ações a serem tomadas para mitigar esses riscos, ou seja, evitar que as organizações sofram tais prejuízos.

Para auxiliar a definição de estratégias para a proteção contra ataques cibernéticos, organizações do mercado criaram uma série de políticas e procedimentos, que está documentada para conhecimento teórico e procedimentos de implementação práticos. Alguns desses frameworks podem ser, em alguns casos, desenhados para uma indústria específica, e foram desenvolvidas para reduzir vulnerabilidades desconhecidas e erros de configuração existentes no ambiente organizacional. De maneira simplificada, esses padrões introduzem modelos para permitir que as organizações entendam a sua abordagem de segurança e saibam como melhorá-la. E como eles foram testados em diferentes situações e indústrias, é possível atestar a sua confiança e eficácia.

Os principais frameworks, normas e padrões de gestão de risco em cibersegurança do mercado são os padrões ISO 27000, o Framework de Cibersegurança do NIST, a norma PCI DSS e os Controles Críticos de Segurança para Efetiva Ciberdefesa do Center for Internet Security (CIS).

O CIS é uma organização sem fins lucrativos que tem como objetivo aproveitar o poder de uma comunidade de TI global para assegurar organizações públicas e privadas contra ameaças virtuais. Assim, o CIS definiu um conjunto de controles de segurança críticos, baseado em melhores práticas de mercado, que as organizações devem implementar em seu ambiente para garantir uma efetiva estratégia em cibersegurança. Esses controles críticos estão divididos em três conjuntos distintos: básicos, fundamentais e organizacionais, totalizando 20 controles que tratam basicamente de todos os aspectos de segurança cibernética. São eles:

Mesmo os controles do CIS tratando de inúmeros aspectos de Segurança da Informação, alguns deles estão diretamente relacionados à Gestão de Acesso Privilegiado (Privileged Access Management – PAM). Dos 20 controles propostos pelo CIS, um deles trata especificamente de PAM, enquanto os outros 19 são influenciados ou efetivamente exigem os conceitos associados à PAM.

Gestão de Acesso Privilegiado se refere a um conjunto de tecnologias e práticas que monitora e gerencia o acesso privilegiado (também chamado de acesso administrativo) a sistemas críticos. Com uma credencial privilegiada, um usuário pode, por exemplo, modificar configurações de sistemas, contas de usuários e acessar dados críticos.

Desta maneira, dado o seu nível de acesso e controle sobre os sistemas que gerenciam informações ou processos, um usuário privilegiado expõe a organização a potenciais riscos de negócio. Tanto por meio de um ataque, abuso de privilégio ou erro humano, um usuário privilegiado pode ser um vetor que ataque de um eventual incidente de segurança.

O controle número 4 (uso controlado de privilégios administrativos) aborda diretamente os aspectos de PAM. Para que seja possível entender como uma solução de PAM pode atender esse controle em sua totalidade, vamos apresentar os subcontroles previstos pelo CIS, associados ao uso controlado de privilégios administrativos. São eles:

  • 4.1. Manter um inventário de contas administrativas. 
  • 4.2. Alterar senhas padrão. 
  • 4.3. Assegurar a utilização de contas administrativas dedicadas. 
  • 4.4. Utilizar senhas únicas.
  • 4.5. Utilizar autenticação em multifator para todos os acessos administrativos. 
  • 4.6. Utilizar estações de trabalho dedicadas para todas as tarefas privilegiadas. 
  • 4.7. Limitar o acesso a ferramentas de script. 
  • 4.8. Registrar e alertar mudanças de membros de grupos administrativos. 
  • 4.9. Registrar e alertar logins de contas administrativas sem sucesso.

Assim, uma solução de PAM é essencial para implementar esse controle e todos os seus subcontroles, permitindo ao time de Segurança da Informação conceder e revogar acessos privilegiados em uma série de sistemas e dispositivos. Uma solução de PAM também permite o monitoramento destes acessos, além de alertar os administradores dos sistemas sobre eventuais não conformidades em sessões remotas. Um exemplo de não conformidade seria um usuário tentando realizar um acesso em um horário não autorizado ou acessar a interface de administração de um dispositivo que não seja de sua alçada.

O subcontrole 4.1 – Manter um inventário de contas administrativas, por exemplo, exige que a organização tenha total visibilidade sobre todas as credenciais administrativas e respectivos privilégios com a utilização de ferramentas automatizadas para inventariar todas as credenciais privilegiadas. O senhasegura, como solução de PAM, oferece a funcionalidade Scan e Discovery, por meio da qual permite a varredura e descoberta de credenciais privilegiadas (como contas privilegiadas locais e de domínio) em uma série de ativos, como dispositivos de rede, sistemas e aplicações, inclusive DevOps.

Outro exemplo de subcontrole que o senhasegura pode auxiliar a implementar é o 4.2 – Alterar senhas padrão. A recomendação do CIS é, antes de implementar qualquer novo ativo no ambiente, deve-se alterar todas as suas senhas padrão para que estejam consistentes com contas administrativas. O senhasegura permite o rotacionamento automático de todas as senhas de dispositivos, além de restringir o acesso por meio de fluxos de aprovação multiníveis, configuráveis de forma fácil e rápida. 

Lógico que as funcionalidades de uma solução de PAM não se restringem apenas a esses dois subcontroles. Além disso, esse tipo de solução pode também atender às recomendações contidas em outros controles e respectivos subcontroles. O senhasegura oferece uma solução de PAM que permite a implementação de inúmeros controles previstos nos Controles Críticos de Segurança para Efetiva Ciberdefesa do CIS. Além de permitir a implementação completa do controle associado à Gestão de Acesso Privilegiado, o senhasegura também é aderente a aspectos associados a inventários de sistemas, configuração, monitoramento, resposta a incidentes e su/sudo injection. Desta maneira, a implementação do senhasegura permite mitigar possíveis ataques contra sistemas por meio de credenciais privilegiadas e garantir a confiança de funcionários, parceiros e clientes, além de garantir a continuidade dos negócios.

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Verizon Data Breach Investigation Report 2021: o que você precisa saber sobre esse relatório

A interação humana com as estruturas de TI representa uma das principais ameaças cibernéticas enfrentadas por organizações dos mais diversos portes e segmentos.  Essa é apenas uma das importantes informações extraídas do Verizon Data Breach Investigation Report 2021,...

Construindo uma indústria digital através do PAM

Com o avanço da tecnologia, os setores industriais encontram-se cada vez mais digitalizados por meio de soluções que otimizam os processos realizados nesses ambientes, reduzindo custos, eliminando falhas humanas e gerando mais produtividade.  Entre as tecnologias que...

O que fazer para diminuir os valores de seguro cibernéticos?

Quando se trata de segurança da informação, os riscos para as organizações estão cada vez maiores por uma série de fatores. Como exemplo, podemos mencionar o aumento no número de ataques cibernéticos, especialmente após a pandemia de covid-19, que acelerou a adoção em...

Alcançando a conformidade com a Lei Sarbanes-Oxley (SOX) usando controles de segurança cibernética

A Lei Sarbanes-Oxley (SOX) está associada principalmente à transparência da empresa e ao uso de controles contábeis e financeiros para proteger os investidores de relatórios financeiros fraudulentos. No entanto, é sempre importante lembrar o papel fundamental cada vez...

Gestão de Acesso Privilegiado (PAM): guia completo

Em 2021, houve um aumento de 50% no número de ataques em redes corporativas em relação ao ano anterior. É o que aponta a Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point. E muitos desses ataques envolvem a exploração desse tipo de...
Copy link