0
0
O gerenciamento de configuração de segurança (SCM) pode ajudar as organizações a fazer muito mais do que apenas endurecer suas superfícies de ataque contra invasões. Esse controle fundamental também tem a capacidade de fazer suas auditorias fluírem mais suavemente. De fato, permite que as organizações retirem relatórios de qualquer momento e demonstrem como suas mudanças de configuração e alinhamentos ajudam a apoiar seus esforços de conformidade.
O SCM também não ajuda organizações com apenas um tipo de auditoria. Como exemplo, ele pode apoiá-los em uma auditoria interna onde os membros da equipe avaliam a configuração da organização em relação a um conjunto de controles internos e estruturas de práticas recomendadas. Também pode dar a eles tudo o que precisam para atender a uma auditoria realizada externamente envolvendo normas de conformidade regulatória.
Para entender como, é importante que as organizações entendam a diferença entre uma estrutura de boas práticas de controles de segurança e um conjunto de padrões de conformidade normativa.
Quadros de melhores práticas
As organizações podem usar estruturas de práticas recomendadas para criar, aprimorar e manter um programa de segurança digital eficaz. Todos esses quadros recomendam que as organizações implementem o SCM. Mas eles não aplicam essa implementação através de uma auditoria formal, por si só.
Existem três estruturas de práticas recomendadas em particular que se destacam pelo amplo reconhecimento dentro do setor de segurança: o Center for Internet Security’s Top 20 Critical security Controls (“the CIS Controls”), o National Institute of Standards and Technology’s various publications (“NIST“) e o MITRE ATT&CK Cybersecurity Framework (“MITRE ATT&CK”).
Os Controles CIS
Considerado o padrão-ouro para organizações que buscam proteger seus sistemas, o CIS Controls consiste em uma lista priorizada de 20 fundamentos de segurança. O SCM aparece nos 5 principais controles CIS, conhecidos como “Controles CIS Básicos”, como Controle 5: “Configuração segura para hardware e software em dispositivos móveis, laptops, estações de trabalho e servidores”. Vem após o Controle 1: “Inventário e Controle de Ativos de Hardware”, Controle 2: “Inventário e Controle de Ativos de Software”, Controle 3: “Gerenciamentocontínuo de vulnerabilidades” e Controle 4: “Uso Controlado de Privilégios Administrativos”.
Nist
A NIST publicou vários quadros que se alinham à Lei Federal de Modernização da Segurança da Informação (FISMA)com o objetivo de ajudar as organizações a proteger os sistemas federais de informação dos EUA. Muitas dessas publicações contêm orientações sobre a importância de manter configurações seguras. Por exemplo, a publicação especial NIST (SP) 800-53 intitulada “Controles de Segurança e Privacidade para Sistemas e Organizações federais de Informação” recomenda que as organizações adotem ferramentas automatizadas com o propósito de gerenciar as configurações de seus ativos. Simultaneamente, o NIST 800-128 fornece orientações adicionais sobre como as organizações podem gerenciar as configurações de seus sistemas de informação com a segurança em mente. As publicações da NIST também não se aplicam apenas aos sistemas federais de informação. Mesmo as organizações do setor privado podem usar suas recomendações para otimizar seus esforços de SCM.
MITRE ATT&CK
Uma discussão sobre as estruturas de melhores práticas de segurança não estaria completa sem uma palavra sobre o Quadro MITRE ATT&CK. Esse conjunto de padrões abrange as diferentes táticas que os adversários usam para estabelecer uma base na rede de uma organização e capitalizar esse acesso não autorizado. Ao fazê-lo, o Quadro ATT&CK difere dos Controles cis na sua forma de se concentrar na perspectiva do atacante e não na organização de defesa. Esse ponto de vista ajuda as organizações a aprender sobre os tipos de comportamentos de ameaça que devem trabalhar para impedir o uso de controles de segurança testados. Por exemplo, ao implementar o SCM, eles poderiam ajudar a evitar que atores mal-intencionados conduzissem a escalada de privilégios, o acesso à credencial e o movimento lateral.
Normas de conformidade regulatória
As normas de conformidade regulatória não são as mesmas que as estruturas de práticas recomendadas. O primeiro exige que as organizações cumpram certos princípios devido à indústria em que operam e/ou aos requisitos de negócios que devem cumprir. O SCM apresenta-se como um elemento em muitas dessas normas, que carregam pesadas multas por descumprimento.
PCI DSS
O objetivo do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é reduzir a ocorrência de fraudes digitais e violações de dados envolvendo os dados do cartão de pagamento dos usuários. Ele faz isso especificando as maneiras pelas quais as organizações armazenam os dados dos titulares de cartões. A Norma também ajuda a limitar a responsabilidade dos emissores de cartões e bancos no caso de sofrerem uma violação. Em particular, o PCI DSS solicita às organizações no escopo que usem recursos DE MONITORAMENTO DE Integridade de Arquivos (FIM), juntamente com soluções SCM para proteger contra vetores comuns de ataque e para observar a deriva de configuração entre seus ativos digitais.
Hipaa
Criada em 1996 e gerenciada pelo Departamento de Saúde e Serviços Humanos dos EUA (HHS), a Lei de Portabilidade e Responsabilização de Seguros de Saúde (HIPAA)exige que as organizações garantam a confidencialidade, integridade e disponibilidade de informações de saúde protegidas. As organizações às quais o HIPAA é aplicável podem usar ferramentas SCM para monitorar seus sistemas para alterações não autorizadas. Eles também podem usar essas soluções para obter um instantâneo de sua conformidade HIPAA a qualquer momento e para gerar um relatório quando chegar a hora de uma auditoria.
NERC
A Comissão norte-americana de Dependência de Energia (NERC)criou uma série de normas regulatórias projetadas para ajudar as organizações a reduzir os riscos associados à infraestrutura da rede elétrica. Em particular, as organizações responsáveis pelos Sistemas Elétricos a Granel (BES) devem cumprir as medidas de Proteção Crítica de Infraestrutura (CIP) da NERC se quiserem evitar multas pesadas por descumprimento. Entre essas medidas está o Subpadrão 010 “Configuration Change Management and Vulnerability Assessments”, que exige que as organizações protejam seus sistemas digitais BES contra alterações não autorizadas usando controles como o SCM.
Sox
Por último, mas não menos importante, todas as organizações de capital ização devem cumprir com a SOX incorporando controles internos em seus processos de relatórios financeiros com o objetivo de reduzir as fraudes corporativas. A SOX recomenda que as organizações sigam a orientação da estrutura do Objetivo de Controle para TI (COBIT) para cumprir essa norma. Essa estrutura inclui o DS9 padrão, que se aplica às organizações que gerenciam as configurações de seus hardware e software através de soluções como gerenciamento de configuração segura.
Apenas o Começo
O SCM pode ajudar as organizações a manter o cumprimento de estruturas de boas práticas e normas de conformidade regulatória, como as discutidas acima. No entanto, os benefícios do SCM não se limitam aos esforços de conformidade das organizações. Esse controle também pode ajudar as organizações em seus esforços de segurança.
Para saber mais sobre os benefícios do SCM, baixe o eBook mais recente da Tripwire “Mastering Configuration Management Across the Modern Enterprise: An Explorer’s Guide to SCM”.
LEITURA ADICIONAL SOBRE SCM:
- SCM: Entendendo seu lugar na estratégia de segurança digital da sua organização
- 4 áreas da sua infraestrutura de TI que o SCM pode ajudar a proteger
- SCM na prática: como fortalecer os processos de segurança da sua organização
FONTE: TRIPWIRE