Publicados pelo Center for Internet Security (CIS), os CIS Benchmarks são as melhores práticas para configurar com segurança sistemas de TI, software, redes e infraestrutura de nuvem.
Os CIS Benchmarks são desenvolvidos por meio de um processo consensual envolvendo comunidades de profissionais de cibersegurança de todo o mundo. Esses especialistas identificam, refinam e validam continuamente as melhores práticas de segurança em suas áreas de foco para ajudar as organizações a proteger seus recursos digitais contra os riscos cibernéticos.
O CIS já publicou mais de 100 CIS Benchmarks, abrangendo oito categorias principais de tecnologia e cobrindo mais de 25 famílias de produtos de fornecedores.1 Eles estão disponíveis por meio de download gratuito do PDF para uso não comercial.
Os CIS Benchmarks ajudam as organizações a melhorar a postura de segurança seguindo padrões de segurança e diretrizes de defesa cibernética prescritivos e reconhecidos globalmente. Os CIS Benchmarks também são compatíveis com casos de uso como conformidade regulatória, governança de TI e política de segurança.
Junte-se aos líderes de segurança que confiam no boletim informativo Think para receber notícias selecionadas sobre IA, cibersegurança, dados e automação. Aprenda rápido com tutoriais e explicações de especialistas, entregues diretamente em sua caixa de entrada. Consulte a Declaração de privacidade da IBM.
Fundada em outubro de 2000, o CIS é uma organização sem fins lucrativos cuja missão é “tornar o mundo conectado um lugar mais seguro, desenvolvendo, validando e promovendo soluções de melhores práticas oportunas que ajudam pessoas, empresas e governos a se protegerem contra ameaças cibernéticas difundidas”.2
As Comunidades de CIS Benchmarks, um grupo de mais de 12.000 profissionais de segurança de TI que contribuem para o desenvolvimento das melhores práticas dos CIS Benchmarks, estão abertas a qualquer pessoa que queira contribuir. As comunidades consistem em voluntários e incluem especialistas no assunto, fornecedores, redatores técnicos, testadores e outros membros do CIS de todo o mundo.
O CIS também abriga o Centro de Compartilhamento e Análise de Informações Multiestadual (MS-ISAC), que fornece recursos de prevenção, proteção, resposta e recuperação de ameaças cibernéticas para entidades dos governos estaduais, locais, tribais e territoriais (SLTT) dos EUA. É também a sede do the Elections Infrastructure Information Sharing and Analysis Center (EI-ISAC), que apoia as necessidades de cibersegurança dos escritórios eleitorais dos EUA.3
Os níveis de perfis do CIS referem-se a diferentes níveis de recomendação de segurança e contêm várias configurações para produtos diferentes.
O Nível 1 abrange as configurações de nível básico, que são mais fáceis de implementar e têm impacto mínimo na funcionalidade dos negócios.
O Nível 2 se aplica a ambientes de alta segurança, que exigem mais coordenação e planejamento para serem implementados com o mínimo de interrupção dos negócios.
O STIG é um conjunto de referências de configuração que lidam com o Security Technical Implementation Guide (STIG), normas de segurança publicadas e mantidas pelo Departamento de Defesa dos EUA (DOD) para atender aos requisitos do governo dos EUA.
O perfil STIG do CIS ajuda as organizações a cumprir o STIG. Os sistemas de segurança configurados com STIG atendem aos requisitos de conformidade do CIS e STIG.
Como mencionado anteriormente, existem mais de 100 CIS Benchmarks agrupados em oito categorias de tecnologia, incluindo:
Essa categoria abrange configurações de segurança de sistemas operacionais centrais, como Microsoft Windows, Linux e Apple's macOS. Isso inclui diretrizes de melhores práticas para restrições de acesso local e acesso remoto, perfis de usuário, autenticação, protocolos de instalação de drivers e configurações de navegadores da internet.
Esta categoria abrange configurações de segurança de softwares de servidor amplamente usados, incluindo Microsoft Windows Server, SQL Server e VMware. Ele também é compatível com plataformas de conteinerização de código aberto, como Docker e Kubernetes.
Os Benchmarks incluem recomendações para configurar certificados Kubernetes PKI (Infraestrutura de Chave Pública), configurações do servidor de interface de programação de aplicativos (API), controles de administração de servidores, políticas de vNetwork e restrições de armazenamento.
Esta categoria aborda as configurações de segurança para Amazon Web Services (AWS), Microsoft Azure, Google, IBM e outros ambientes de nuvem pública populares. Os Benchmarks incluem diretrizes de segurança na nuvem para configurar o gerenciamento de acesso e identidade (IAM), protocolos de registro do sistema, configurações de rede e proteções de conformidade regulatória.
Essa categoria lida com sistemas operacionais móveis, incluindo iOS e Android, e concentra-se em áreas como opções e configurações do desenvolvedor, configurações de privacidade do SO, configurações do navegador e permissões de aplicativos.
Essa categoria oferece diretrizes gerais e específicas do fornecedor para a configuração de segurança de dispositivos de rede e hardware aplicável da Cisco, Palo Alto Networks, Juniper e outros.
Essa categoria abrange configurações de segurança para algumas das aplicações de software de desktop mais usadas, incluindo Microsoft Office e Exchange Server, Google Chrome, Mozilla Firefox e o navegador Safari. Esses Benchmarks se concentram na privacidade de e-mail e configurações do servidor, gerenciamento de dispositivos móveis, configurações padrão do navegador e bloqueio de software de terceiros.
Essa categoria descreve as melhores práticas de segurança para configurar impressoras multifuncionais em ambientes de escritório. Ela abrange atualização de firmware, configurações de TCP/IP, configuração de acesso sem fio, gerenciamento de usuários, compartilhamento de arquivos e muito mais.
Essa categoria abrange a cadeia de suprimentos de software e ajuda as equipes a proteger os pipelines de DevSecOps. Ela oferece as melhores práticas para controles de segurança durante todo o ciclo de vida do desenvolvimento de software, desde o design inicial até a integração, testes, entrega e implementação.
Ao longo dos anos, o CIS produziu e distribuiu outras ferramentas gratuitas e soluções pagas compatíveis com os CIS Benchmarks. Esses recursos ajudam as organizações a fortalecer ainda mais sua prontidão para a cibersegurança.
Anteriormente conhecido como SANS Critical Security Controls (SANS Top 20 Controls), o CIS Critical Security Controls (CSC) é um guia abrangente de 18 salvaguardas e contramedidas para uma defesa cibernética eficaz. Também chamados de CIS Controls, são gratuitos para usar e fornecem uma lista de verificação priorizada que as organizações podem implementar para reduzir significativamente sua superfície de ataque cibernético.
Os CIS Benchmarks fazem referência a essas melhores práticas de cibersegurança ao se referirem a recomendações para configurações de sistema mais bem protegidas.
O CIS também oferece Hardened Images pré-configuradas que permitem que as empresas executem operações de computação de maneira econômica, sem a necessidade de investir em hardware ou software extra. As Hardened Images são muito mais seguras do que as imagens virtuais padrão e limitam significativamente as vulnerabilidades de segurança que podem levar a um ataque cibernético.
As CIS Hardened Images são projetadas e configuradas em conformidade com os CIS Benchmarks e CIS Controls e são reconhecidas por serem totalmente compatíveis com várias organizações de conformidade regulatória. As CIS Hardened Images estão disponíveis em quase todas as principais plataformas de computação em nuvem e são fáceis de implementar e gerenciar.
O programa de assinatura do CIS SecureSuite oferece às organizações ferramentas e recursos de cibersegurança. A assinatura é gratuita para instituições acadêmicas e governamentais SLTT (estaduais, locais, tribais e territoriais) dos EUA sem custo, enquanto as opções de pagamento variam para usuários comerciais e entidades governamentais no exterior.
O CIS WorkBench é uma plataforma centralizada que reúne as Comunidades de CIS Controls e CIS Benchmarks, permitindo a colaboração para o desenvolvimento contínuo dos CIS Benchmarks.
Disponível para membros do CIS SecureSuite, o CIS SecureSuite Build Kit consiste em recursos que fornecem automação de segurança e a remediação de sistemas para os CIS Benchmarks.
A CIS Configuration Assessment Tool (CAT) oferece varreduras automatizadas das definições de configuração de um sistema em relação aos CIS Benchmarks. Ela está disponível para membros do CIS SecureSuite.
O CIS-CAT Lite é uma ferramenta gratuita para avaliar sistemas de TI. Em comparação com o CIS-Cat Pro, esta versão limitada oferece avaliações de nível básico em relação a menos CIS Benchmarks.
Os CIS Benchmarks ajudam as organizações com estratégias de governança, risco e conformidade (GRC) para gerenciar governança e riscos, mantendo a conformidade com as regulamentações do setor e do governo.
Os CIS Benchmarks se alinham estreitamente ou “mapeiam” os frameworks regulatórios de segurança e privacidade de dados. Como resultado, qualquer organização que opere em um setor regido por esses tipos de regulamentações pode fazer um progresso significativo em direção à conformidade aderindo aos CIS Benchmarks. Esses órgãos reguladores incluem:
Embora as empresas sejam sempre livres para fazer suas próprias escolhas em relação às configurações de segurança, os CIS Benchmarks oferecem uma série de benefícios:
1 CIS Benchmarks List, Center for Internet Security Inc. (CIS)
2 Getting to know the CIS Benchmarks, Center for Internet Security, Inc. (CIS)
3 Sobre nós, Center for Internet Security, Inc. (CIS)