Elimine riscos críticos na nuvem

Descubra e corrija os problemas críticos de gravidade em seus ambientes de nuvem sem afogar sua equipe em alertas.

O que são benchmarks CIS?

Os benchmarks CIS são roteiros de segurança disponíveis publicamente que oferecem recomendações essenciais para orientar as organizações na proteção de seus sistemas de TI contra ameaças cibernéticas.

Equipe de especialistas do Wiz
5 minutos lidos

Os benchmarks CIS são roteiros de segurança disponíveis publicamente que oferecem recomendações essenciais para orientar as organizações na proteção de seus sistemas de TI contra ameaças cibernéticas. Eles foram criados pelo Centro de Segurança na Internet (CIS), uma organização sem fins lucrativos baseada na comunidade que se esforça para "criar confiança no mundo conectado". 

Mais de 140 benchmarks CIS, em oito categorias principais, foram criados até o momento por meio de um consenso baseado na comunidade de profissionais de TI em todo o mundo. Estes são mapeados para o Controles de segurança críticos do CIS e também pode ser alinhado com outros Estruturas padronizadas como NIST, PCI-DSS, HIPAA e outros.

Os benchmarks CIS foram projetados para ser um fator orientador central em Preparando um programa abrangente de segurança cibernética. Embora a CIS disponibilize suas diretrizes de benchmark como downloads gratuitos de PDF para profissionais de segurança para uso não comercial, a organização também ganha dinheiro por meio de associação comercial e serviços complementares.

Como os benchmarks CIS tornam sua organização mais segura?

Example compliance assessment against CIS EKS benchmarks

Como os benchmarks CIS são criados por consenso por profissionais de TI em todo o mundo, eles são bem conhecidos e amplamente aceitos. Esses profissionais agregaram uma ampla gama de lições aprendidas e melhores práticas que podem dar a qualquer organização uma vantagem poderosa contra adversários cibernéticos.

Seguir os benchmarks do CIS oferece à sua organização vários benefícios:

  • Redução da superfície de ataque, minimizando os pontos fracos exploráveis

  • Segurança de linha de base mais forte com uma base sólida

  • Alinhamento com os padrões do setor, reduzindo potencialmente os riscos de auditoria e simplificando a conformidade e a postura geral de segurança

  • Redução de configurações incorretas graças a diretrizes de configuração claras

  • Melhor resiliência contra as ameaças conhecidas mais comuns, conforme determinado pelo consenso do setor

Os benchmarks CIS também são independentes de fornecedores, fornecendo inteligência combinada da comunidade global de TI. Além de fortalecer a segurança em uma ampla variedade de sistemas e dispositivos, seguir as correções de benchmark do CIS também pode melhorar o desempenho e a sustentabilidade do sistema.

8 categorias de benchmarks CIS

Para ajudar as organizações a determinar quais benchmarks do CIS são mais relevantes para seu programa de segurança, eles são divididos em oito categorias gerais.

  1. Provedor de nuvem: Oferece práticas recomendadas para configurar controles de identidade e acesso (IAM), mecanismos de registro do sistema, configurações de segurança de rede e proteções alinhadas à conformidade; inclui Amazon Web Services (AWS, por exemplo, AWS Compute Services), Alibaba Cloud, Microsoft 365 e outros

  2. Software de desktop: Fornece orientação de configuração segura para aplicativos de desktop populares, abrangendo segurança de e-mail, gerenciamento de dispositivos móveis, navegação na Web e mitigação de riscos de software de terceiros. Ele contém subcategorias que incluem software de produtividade (por exemplo, Microsoft Office, Zoom) e navegadores da web (por exemplo, Mozilla Firefox, Safari)

  3. Ferramentas de DevSecOps: Auxilia as equipes de segurança na proteção do pipeline de DevSecOps, fornecendo as melhores práticas para configurar controles de segurança nas ferramentas de desenvolvimento e integração; inclui medidas de segurança da cadeia de suprimentos de software para GitHub e GitLab

  4. Dispositivos móveis: Ajuda as equipes a se concentrarem na otimização das configurações do desenvolvedor, configurações de privacidade do sistema operacional, configurações seguras de navegação na Web e controles granulares de permissão de aplicativos; inclui subcategorias para Apple iOS e Android

  5. Dispositivos de impressão: Atualmente contém apenas um benchmark, CIS Multi-Function Device; concentra-se na proteção de dispositivos vulneráveis, incluindo atualizações de firmware, configurações de rede, acesso sem fio, gerenciamento de usuários e controles de compartilhamento de arquivos

  6. Dispositivos de rede: Oferece orientação de proteção de segurança abrangendo as melhores práticas gerais e configurações específicas do fornecedor, garantindo segurança ideal para hardware específico; inclui dispositivos de segurança de rede da Cisco e Palo Alto Networks

  7. Sistemas operacionais: Abrange controles para acesso local e remoto, gerenciamento de contas de usuário, protocolos de instalação de driver e configurações seguras do navegador da web; as subcategorias incluem Linux (por exemplo, Debian, Ubuntu), Microsoft Windows e Unix (por exemplo, IBM AIX, Apple macOS)

  8. Software do servidor: Fornece recomendações que abrangem controles administrativos, políticas de rede virtual, limitações de acesso ao armazenamento e configurações seguras para o Kubernetes, incluindo certificados PKI e configurações do servidor de API; várias subcategorias incluem servidores web (por exemplo, Microsoft IIS), servidores de banco de dados (por exemplo, MongoDB) e servidores virtualizados (por exemplo, Kubernetes)

Anatomia de um benchmark CIS

Cada benchmark CIS contém uma lista de recomendações para um determinado produto, com o número de recomendações dependendo da complexidade do produto.

Muitos benchmarks contêm centenas de recomendações muito detalhadas. Para cada recomendação, seu status de avaliação observa se ela pode ser automatizada ou requer configuração manual. 

Cada benchmark CIS recebe um dos dois perfis:

  • Nível 1: Diretrizes básicas de segurança para atingir um nível adequado de segurança para dispositivos não críticos; As ações de nível 1 raramente afetarão a funcionalidade do sistema.

  • Nível 2: Diretrizes de segurança mais fortes para dispositivos de missão crítica; Essas ações podem afetar a funcionalidade do sistema, mas fornecerão muito mais segurança à prova de balas.

Por fim, cada recomendação inclui duas áreas de foco:

  • Auditoria: Ajuda a investigar o quão seguro você está em uma área específica

  • Remediação: Etapas de ação com recomendações de configuração para fortalecer seu sistema nessa área

Aqui está o que você verá ao descompactar uma recomendação típica do CIS:

Benchmarks de Fundamentos CIS cobrem todos os aspectos da segurança do provedor de serviços em nuvem (CSP) para organizações como Amazon Web Services (AWS), Google Cloud Computing Platform, Microsoft Azure, Alibaba Cloud e várias outras.

Os dois exemplos a seguir são retirados do Benchmark do CIS Foundations para AWS para lhe dar uma ideia melhor do que você verá dentro de uma recomendação de benchmark típica. Um é um exemplo de Nível 1 (diretrizes básicas de segurança) e o outro é um exemplo de Nível 2 (diretrizes de segurança mais fortes).

Number1.192.12
TitleEnsure that all the expired SSL/TLS certificates stored in AWS IAM are removedEnsure MFA delete is enabled on S3 buckets
Assessment statusAutomatedManual
ProfileLevel 1Level 2
DescriptionTo enable HTTPS connections to your website or application in AWS, you need an SSL/TLS server certificate. You can use ACM or IAM to store and deploy server certificates. Use IAM as a certificate manager only when you must support HTTPS connections in a region that is not supported by ACM. IAM securely encrypts your private keys and stores the encrypted version in IAM SSL certificate storage. IAM supports deploying server certificates in all regions, but you must obtain your certificate from an external provider for use with AWS. You cannot upload an ACM certificate to IAM. Additionally, you cannot manage your certificates from the IAM Console.Once MFA Delete is enabled on your sensitive and classified S3 bucket it requires the user to have two forms of authentication.
Rationale statementRemoving expired SSL/TLS certificates eliminates the risk that an invalid certificate will be deployed accidentally to a resource such as AWS Elastic Load Balancing (ELB), which can damage the credibility of the application/website behind the load balancer. As a best practice, it is recommended to delete expired certificates.Adding MFA delete to an S3 bucket requires additional authentication when you change the version state of your bucket or you delete an object version adding another layer of security in the event your security credentials are compromised or unauthorized access is granted.
Impact statementDeleting the certificate could have implications for your application if you are using an expired server certificate with ELB, CloudFront, etc. One has to make configurations at the respective services to ensure there is no interruption in application functionality.Enabling MFA delete on an S3 bucket could require additional administrator oversight. Enabling MFA delete may impact other services that automate the creation and/or deletion of S3 buckets.
Audit procedureAudit steps provided (console and command line)Audit steps provided (console and command line)
Remediation procedureRemediation steps provided (console and command line)Remediation steps provided (command line only)
Default valueBy default, expired certificates won't get deleted.n/a
ReferencesReferences providedReferences provided
CIS Controls mappingCIS v8 - 3.1 Establish and Maintain a Data Management Process CIS v7 - 13 Data ProtectionCIS v8 - 3.3 Configure Data Access Control Lists 6.5 Require MFA for Administrative Access CIS v7 - 14.6 Protect Information through Access Control Lists

Wiz: Primeiro no mercado com certificação de benchmark Kubernetes CIS integrada

Como uma plataforma integrada de proteção de aplicativos nativos da nuvem (CNAPP), Wiz foi o primeiro fornecedor a ser reconhecido com a certificação de fornecedor CIS SecureSuite para três principais benchmarks do Kubernetes, simplificando a conformidade com os mais recentes benchmarks EKS, AKS e GKE CIS e oferecendo uma maneira nativa da nuvem de proteger seus ambientes Kubernetes.

A adoção de CIS Benchmarks ajuda suas equipes de segurança a aprender com as melhores práticas e fortalecer toda a sua organização contra as principais ameaças atuais. E com o Wiz, você pode fazer muito disso a partir de um único painel de controle, agregando dados de todas as suas ferramentas para insights acionáveis e priorizados com base em "combinações tóxicas"— uma pontuação de vulnerabilidade exclusiva com base no risco real para sua organização. E como não tem agente, é fácil implantar em toda a organização, independentemente do tamanho.

O Wiz permite que você identifique vulnerabilidades de forma proativa, com orientações claras de correção, ficando muito à frente dos invasores para proteger seus ambientes de nuvem. 

Obtenha uma demonstração hoje para começar a simplificar a conformidade do Kubernetes e elevar toda a sua postura de segurança com o Wiz.

100+ Built-In Compliance Frameworks

See how Wiz eliminates the manual effort and complexity of achieving compliance in dynamic and multi-cloud environments.

Ver demonstração