O que são CIS Benchmarks?

Os CIS Benchmarks são desenvolvidos por meio de um processo consensual envolvendo comunidades de profissionais de cibersegurança de todo o mundo. Esses especialistas identificam, refinam e validam continuamente as melhores práticas de segurança em suas áreas de foco para ajudar as organizações a proteger seus recursos digitais contra os riscos cibernéticos.

O CIS já publicou mais de 100 CIS Benchmarks, abrangendo oito categorias principais de tecnologia e cobrindo mais de 25 famílias de produtos de fornecedores.¹ Eles estão disponíveis por meio de download gratuito do PDF para uso não comercial.

Os CIS Benchmarks ajudam as organizações a melhorar a postura de segurança seguindo padrões de segurança e diretrizes de defesa cibernética prescritivos e reconhecidos globalmente. Os CIS Benchmarks também são compatíveis com casos de uso como conformidade regulatória, governança de TI e política de segurança.

Fundada em outubro de 2000, o CIS é uma organização sem fins lucrativos cuja missão é "tornar o mundo conectado um lugar mais seguro, desenvolvendo, validando e promovendo soluções de melhores práticas oportunas que ajudam pessoas, empresas e governos a se protegerem contra ameaças cibernéticas difundidas".²

As Comunidades de CIS Benchmarks, um grupo de mais de 12.000 profissionais de segurança de TI que contribuem para o desenvolvimento das melhores práticas dos CIS Benchmarks, estão abertas a qualquer pessoa que queira contribuir. As comunidades consistem em voluntários e incluem especialistas no assunto, fornecedores, redatores técnicos, testadores e outros membros do CIS de todo o mundo.

O CIS também abriga o Centro de Compartilhamento e Análise de Informações Multiestadual (MS-ISAC), que fornece recursos de prevenção, proteção, resposta e recuperação de ameaças cibernéticas para entidades dos governos estaduais, locais, tribais e territoriais (SLTT) dos EUA. É também a sede do the Elections Infrastructure Information Sharing and Analysis Center (EI-ISAC), que apoia as necessidades de cibersegurança dos escritórios eleitorais dos EUA.³

Os níveis de perfis do CIS referem-se a diferentes níveis de recomendação de segurança e contêm várias configurações para produtos diferentes.

O Nível 1 abrange as configurações de nível básico, que são mais fáceis de implementar e têm impacto mínimo na funcionalidade dos negócios.

O Nível 2 se aplica a ambientes de alta segurança, que exigem mais coordenação e planejamento para serem implementados com o mínimo de interrupção dos negócios.

O STIG é um conjunto de referências de configuração que lidam com o Security Technical Implementation Guide (STIG), normas de segurança publicadas e mantidas pelo Departamento de Defesa dos EUA (DOD) para atender aos requisitos do governo dos EUA.

O perfil STIG do CIS ajuda as organizações a cumprir o STIG. Os sistemas de segurança configurados com STIG atendem aos requisitos de conformidade do CIS e STIG.

Como mencionado anteriormente, existem mais de 100 CIS Benchmarks agrupados em oito categorias de tecnologia, incluindo:

• Sistemas operacionais

• Software de servidor

• Provedor em nuvem

• Dispositivo móvel

• Dispositivo de rede

• Software para desktop

• Dispositivo de impressão multifuncional

• Ferramentas de DevSecOps

Essa categoria abrange configurações de segurança de sistemas operacionais centrais, como Microsoft Windows, Linux e Apple's macOS. Isso inclui diretrizes de melhores práticas para restrições de acesso local e acesso remoto, perfis de usuário, autenticação, protocolos de instalação de drivers e configurações de navegadores da internet.

Esta categoria abrange configurações de segurança de softwares de servidor amplamente usados, incluindo Microsoft Windows Server, SQL Server e VMware. Ele também é compatível com plataformas de conteinerização de código aberto, como Docker e Kubernetes.

Os Benchmarks incluem recomendações para configurar certificados Kubernetes PKI (Infraestrutura de Chave Pública), configurações do servidor de interface de programação de aplicativos (API), controles de administração de servidores, políticas de vNetwork e restrições de armazenamento.

Esta categoria aborda as configurações de segurança para Amazon Web Services (AWS), Microsoft Azure, Google, IBM e outros ambientes de nuvem pública populares. Os Benchmarks incluem diretrizes de segurança na nuvem para configurar o gerenciamento de acesso e identidade (IAM), protocolos de registro do sistema, configurações de rede e proteções de conformidade regulatória.

Essa categoria lida com sistemas operacionais móveis, incluindo iOS e Android, e concentra-se em áreas como opções e configurações do desenvolvedor, configurações de privacidade do SO, configurações do navegador e permissões de aplicativos.

Essa categoria oferece diretrizes gerais e específicas do fornecedor para a configuração de segurança de dispositivos de rede e hardware aplicável da Cisco, Palo Alto Networks, Juniper e outros.

Essa categoria abrange configurações de segurança para algumas das aplicações de software de desktop mais usadas, incluindo Microsoft Office e Exchange Server, Google Chrome, Mozilla Firefox e o navegador Safari. Esses Benchmarks se concentram na privacidade de e-mail e configurações do servidor, gerenciamento de dispositivos móveis, configurações padrão do navegador e bloqueio de software de terceiros.

Essa categoria descreve as melhores práticas de segurança para configurar impressoras multifuncionais em ambientes de escritório. Ela abrange atualização de firmware, configurações de TCP/IP, configuração de acesso sem fio, gerenciamento de usuários, compartilhamento de arquivos e muito mais.

Essa categoria abrange a cadeia de suprimentos de software e ajuda as equipes a proteger os pipelines de DevSecOps. Ela oferece as melhores práticas para controles de segurança durante todo o ciclo de vida do desenvolvimento de software, desde o design inicial até a integração, testes, entrega e implementação.

Ao longo dos anos, o CIS produziu e distribuiu outras ferramentas gratuitas e soluções pagas compatíveis com os CIS Benchmarks. Esses recursos ajudam as organizações a fortalecer ainda mais sua prontidão para a cibersegurança.

Anteriormente conhecido como SANS Critical Security Controls (SANS Top 20 Controls), o CIS Critical Security Controls (CSC) é um guia abrangente de 18 salvaguardas e contramedidas para uma defesa cibernética eficaz. Também chamados de CIS Controls, são gratuitos para usar e fornecem uma lista de verificação priorizada que as organizações podem implementar para reduzir significativamente sua superfície de ataque cibernético.

Os CIS Benchmarks fazem referência a essas melhores práticas de cibersegurança ao se referirem a recomendações para configurações de sistema mais bem protegidas.

O CIS também oferece Hardened Images pré-configuradas que permitem que as empresas executem operações de computação de maneira econômica, sem a necessidade de investir em hardware ou software extra. As Hardened Images são muito mais seguras do que as imagens virtuais padrão e limitam significativamente as vulnerabilidades de segurança que podem levar a um ataque cibernético.

As CIS Hardened Images são projetadas e configuradas em conformidade com os CIS Benchmarks e CIS Controls e são reconhecidas por serem totalmente compatíveis com várias organizações de conformidade regulatória. As CIS Hardened Images estão disponíveis em quase todas as principais plataformas de computação em nuvem e são fáceis de implementar e gerenciar.

O programa de assinatura do CIS SecureSuite oferece às organizações ferramentas e recursos de cibersegurança. A assinatura é gratuita para instituições acadêmicas e governamentais SLTT (estaduais, locais, tribais e territoriais) dos EUA sem custo, enquanto as opções de pagamento variam para usuários comerciais e entidades governamentais no exterior.

O CIS WorkBench é uma plataforma centralizada que reúne as Comunidades de CIS Controls e CIS Benchmarks, permitindo a colaboração para o desenvolvimento contínuo dos CIS Benchmarks.

Disponível para membros do CIS SecureSuite, o CIS SecureSuite Build Kit consiste em recursos que fornecem automação de segurança e a remediação de sistemas para os CIS Benchmarks.

A CIS Configuration Assessment Tool (CAT) oferece varreduras automatizadas das definições de configuração de um sistema em relação aos CIS Benchmarks. Ela está disponível para membros do CIS SecureSuite.

O CIS-CAT Lite é uma ferramenta gratuita para avaliar sistemas de TI. Em comparação com o CIS-Cat Pro, esta versão limitada oferece avaliações de nível básico em relação a menos CIS Benchmarks.

Os CIS Benchmarks ajudam as organizações com estratégias de governança, risco e conformidade (GRC) para gerenciar governança e riscos, mantendo a conformidade com as regulamentações do setor e do governo.

Os CIS Benchmarks se alinham estreitamente ou "mapeiam" os frameworks regulatórios de segurança e privacidade de dados. Como resultado, qualquer organização que opere em um setor regido por esses tipos de regulamentações pode fazer um progresso significativo em direção à conformidade aderindo aos CIS Benchmarks. Esses órgãos reguladores incluem:

• O Framework de Cibersegurança do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST)  oferece orientações abrangentes e melhores práticas que as organizações do setor privado podem seguir para melhorar a segurança da informação (InfoSec) e o gerenciamento de riscos de cibersegurança.

• O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de requisitos de segurança para proteger os dados de titulares de cartões, números de contas principais (PANs) dos titulares de cartões, nomes, datas de validade, códigos de serviço e outras informações confidenciais dos titulares de cartões durante todo o seu ciclo de vida.

• A Lei de portabilidade e responsabilidade de planos de saúde (HIPAA) estabelece os requisitos para o uso, a divulgação e o armazenamento seguro de informações de saúde protegidas (PHI).

• A ISO/IEC 27001. também chamada de ISO 27001, é a norma de segurança da informação mais reconhecida globalmente, desenvolvida em conjunto pela International Organization for Standardization (ISO) e a International Electrotechnical Commission (IEC). Ela oferece uma abordagem sistemática, estruturada e baseada em riscos para gerenciar e proteger ativos de informações confidenciais.

• O Regulamento Geral de Proteção de Dados, ou GDPR, é uma lei da União Europeia (UE) que rege como as organizações dentro e fora da UE lidam com os dados pessoais de residentes da UE.

Embora as empresas sejam sempre livres para fazer suas próprias escolhas em relação às configurações de segurança, os CIS Benchmarks oferecem uma série de benefícios:

• Normas reconhecidos pelo setor: desenvolvidos por uma comunidade global de profissionais de TI e cibersegurança, os CIS Benchmarks ajudam as empresas a estabelecer um forte compromisso com a cibersegurança e aumentar a confiança dos clientes e dos stakeholders.

• Orientação atualizada regularmente: os CIS Benchmarks oferecem orientação passo a passo regularmente atualizada para ajudar as organizações a proteger todos os aspectos da infraestrutura de TI. Por exemplo, o CIS Benchmark relacionado ao Windows é atualizado regularmente para a versão mais recente em até 90 dias após seu lançamento. Além disso, as CIS Hardened Images são atualizadas todos os meses para mantê-las atualizadas com as melhores práticas de segurança.

• Compatibilidade com governança, risco e conformidade (GRC): os CIS Benchmarks fornecem um framework para ajudar as organizações a lidar com governança, risco e conformidade (GRC), uma estratégia organizacional para gerenciar governança e riscos, mantendo a conformidade com regulamentações dos setores e do governo.

• Personalização: os CIS Benchmarks fornecem um modelo flexível para a adoção segura de novos serviços de nuvem e cargas de trabalho e para a execução de estratégias de transformação digital. Por exemplo, os membros do CIS SecureSuite podem personalizar os CIS Benchmarks na plataforma CIS WorkBench para atender aos seus requisitos específicos de negócios e tecnologia.

• Flexibilidade: os CIS Benchmarks fornecem uma recomendação de base para configurações de segurança, incluindo firewalls, roteadores e servidores. Eles também oferecem diretrizes específicas do fornecedor para ajudar a configurar e gerenciar sistemas e dispositivos. Essa combinação de funcionalidades neutras e específicas do fornecedor oferece suporte à flexibilidade para que os sistemas possam se adaptar às necessidades em constante evolução.

• Fácil de implementar: DevSecOps e outras equipes contam com os CIS Benchmarks para configurações de segurança fáceis de implementar para melhorar a eficiência operacional e a sustentabilidade.