Domine o Modelo de Maturidade do Eight Essential

O Essential Eight (E8) é um conjunto de estratégias de mitigação priorizadas desenvolvidas pelo Australian Cyber Security Centre (ACSC) para ajudar organizações a proteger suas redes de TI conectadas à Internet contra diversas ameaças cibernéticas. Esses controles de segurança fazem parte das Estratégias de mitigação de incidentes de segurança cibernética da Australian Signals Directorate (ASD), uma estrutura mais ampla de práticas recomendadas.

As estratégias do Essential Eight incluem:

1. Aplicações de patch
2. Patch de sistemas operacionais:
3. Autenticação multifator (MFA)
4. Restringir privilégios administrativos
5. Controle de aplicação
6. Restringir macros do Microsoft Office
7. Reforço do aplicativo do usuário 
8. Backups regulares

Por que o Essential Eight é importante?

O Essential Eight é crucial porque aborda as áreas mais eficazes de mitigação da segurança cibernética, ajudando as organizações a prevenir, detectar e responder a ameaças cibernéticas. Ao implementar essas estratégias, as empresas australianas podem reduzir significativamente o risco de incidentes cibernéticos, proteger dados confidenciais e garantir a integridade e a disponibilidade de seus sistemas.

Além disso, de acordo com o governo australiano, focar proativamente nessas táticas “economiza mais tempo, dinheiro e esforço do que ter que responder a um incidente de segurança cibernética em larga escala”. Considerando que o custo médio de uma violação de dados é de US$ 4,88 milhões – o maior já registrado – é muito melhor que as organizações tomem medidas preventivas do que vigiar as ameaças após o fato.

A quem se aplica a conformidade com o E8?

O Essential Eight não é universalmente necessário. Entretanto, para certos órgãos e departamentos do governo australiano, os controles de segurança E8 podem ser exigidos por diretrizes, políticas ou requisitos regulatórios do governo.

Nesses casos, a conformidade com o Essential Eight é necessária para atender a padrões e regulamentações específicas de segurança cibernética. As organizações sem essa obrigatoriedade são incentivadas a adotar o E8 como uma prática recomendada para proteção contra ameaças cibernéticas, mas não são legalmente obrigadas a fazê-lo.

O Modelo de Maturidade Essencial Eight da ASD (E8MM) fornece uma abordagem estruturada para que as organizações implementem progressivamente estratégias do E8, visando atingir um nível adequado de maturidade em suas práticas de segurança cibernética. Em uma definição mais simples, é uma estrutura para melhorar os controles de segurança.

O modelo categoriza a maturidade em quatro níveis, cada um baseado na mitigação de graus crescentes de “tradecraft”. De acordo com a Australian Signals Directorate, “agentes maliciosos podem exibir diferentes níveis de tradecraft para diferentes operações contra diferentes alvos”.

Por exemplo, um criminoso cibernético capaz de táticas avançadas poderia usá-las contra um alvo enquanto utiliza estratégias básicas contra outro. Por sua vez, as organizações australianas devem considerar qual nível de maturidade do Essential Eight corresponde ao seu ambiente de risco específico – ou seja, a probabilidade de um ataque e seus danos potenciais.

Veja aqui uma análise de cada nível e o que ele envolve:

• Nível de Maturidade Zero: Indica fraquezas na postura geral de segurança cibernética, tornando a organização suscetível a ataques. Simplificando, organizações nesse nível não têm proteções adequadas para salvaguardar dados confidenciais contra acesso e exploração não autorizados.
• Nível de Maturidade Um: Concentra-se em mitigar ameaças de agentes mal-intencionados usando técnicas e ferramentas básicas e amplamente disponíveis. Este nível pressupõe que os agentes de ameaças estão satisfeitos em aproveitar explorações bem conhecidas, como vulnerabilidades que não foram corrigidas.
• Nível de Maturidade Dois: Aborda ameaças de criminosos cibernéticos mais sofisticados, dispostos a investir mais tempo e esforço para contornar os controles de segurança. Por exemplo, eles podem ter como alvo ativo credenciais de login usando técnicas de phishing e engenharia social para contornar ferramentas de MFA fracas. Esse nível também pressupõe que agentes mal-intencionados provavelmente serão mais seletivos ao escolher as vítimas, preferindo usuários com acesso privilegiado, pois eles podem coletar informações mais confidenciais.
• Nível de Maturidade Três: Tem como objetivo defender-se contra adversários altamente adaptáveis e habilidosos usando técnicas e conhecimentos avançados para comprometer sistemas. Geralmente, isso inclui criminosos cibernéticos que estão dispostos e são capazes de investir tempo, dinheiro e esforço para contornar proteções mais fortes. Por exemplo, eles podem tentar contornar mecanismos sofisticados de MFA roubando tokens de autenticação.

Assim, enquanto o Nível de Maturidade Zero indica a postura de segurança mais fraca, o Nível de Maturidade Três representa a mais forte.

Melhorando seu nível de maturidade no Essential Eight

Não importa onde você comece, atingir um estado de maturidade cibernética adequada é essencial para proteger dados confidenciais. Veja alguns passos básicos para começar:

1. Planejamento: Defina uma meta de nível de maturidade e identifique o que é necessário para alcançá-la. Considere os tipos de informações confidenciais que sua organização processa e a probabilidade de agentes de ameaças investirem recursos para atingir seus sistemas. Com base nisso, consulte o modelo de maturidade da ASD para entender seus requisitos de controle.
2. Avaliação: Realize uma análise de lacunas para identificar áreas de melhoria. Isso ajudará a estabelecer o quão longe sua postura de segurança cibernética está da referência da meta de nível.
3. Implementação: Implemente progressivamente cada estratégia de mitigação, garantindo que as exceções sejam minimizadas e documentadas.
4. Monitoramento e revisão: Revise e atualize regularmente suas estratégias de mitigação para manter a conformidade e se adaptar a novas ameaças. Se o seu cenário de risco mudar, avalie se seu nível de maturidade atual é suficiente.
5. Melhoria contínua: Esforce-se para atingir níveis mais altos de maturidade refinando e aprimorando estratégias ao longo do tempo.

O Australian Cyber Security Centre não recomenda nenhuma solução para atingir o Nível de Maturidade Três, mas sim uma série de estratégias de mitigação e controles de segurança. Por quê? Porque é necessária uma combinação de processos e ferramentas para proteger contra ameaças cada vez mais avançadas.

Vamos analisar cada estratégia de mitigação com mais detalhes:

1. Controle de aplicativos
   Esta medida de segurança restringe a execução de software não autorizado ou não aprovado, impedindo que malwares e aplicativos potencialmente prejudiciais sejam executados nos sistemas de uma organização. Envolve a criação e a aplicação de uma lista de permissões de aplicativos aprovados, garantindo que somente softwares verificados e necessários possam ser executados.
   O controle de aplicativos é crucial porque ajuda a bloquear a execução de código malicioso, reduzindo o risco de infecções por malware e limitando a possível superfície de ataque. Os controles de segurança podem incluir softwares em lista de permissões, a implementação de regras executáveis e o monitoramento contínuo da atividade do aplicativo.
2. Aplicativos de patch
   Com o tempo, novas explorações podem tornar os aplicativos mais vulneráveis do que antes. Essa estratégia de mitigação aborda esse risco, garantindo que todo software seja atualizado frequentemente com os patches de segurança mais recentes. A aplicação regular de patches pode envolver varredura de vulnerabilidades para identificar configurações incorretas e gerenciamento automatizado de patches para atualizar os sistemas em tempo hábil.
3. Ajustar configurações de macro do Microsoft Office
   As macros do Microsoft Office permitem que os usuários configurem como seus aplicativos funcionam. Elas são essencialmente instruções de programação que podem automatizar tarefas repetitivas. Embora úteis para ganhos de produtividade, criminosos também usam macros como veículos para malware. Por exemplo, eles podem ocultar um código malicioso em um arquivo Excel.
   Desabilitar ou restringir macros de fontes não confiáveis pode impedir que ameaças se instalem em seu ambiente, protegendo, assim, os ativos críticos contra acesso não autorizado.
4. Proteção de aplicativos do usuário
   A proteção de aplicativos do usuário reduz a superfície de ataque, desabilitando ou restringindo recursos desnecessários em determinados aplicativos, como Flash, Java e anúncios da web, que os invasores costumam explorar. A proteção é crucial porque remove ou limita funcionalidades que podem ser aproveitadas para obter acesso ou executar código malicioso.
   De forma crítica, essa medida de segurança também oferece suporte ao gerenciamento de chaves eficaz e à infraestrutura de chave pública (PKI). Proteger aplicativos que usam chaves criptográficas pode ajudar a protegê-los contra exposição ou uso indevido. Isso envolve desabilitar recursos desnecessários e impor padrões de criptografia fortes nos aplicativos.
5. Restringir privilégios administrativos
   Privilégios administrativos referem-se aos direitos e permissões elevadas concedidos a determinadas contas de usuários, permitindo que eles façam alterações em todo o sistema, instalem software, acessem dados confidenciais e configurem configurações de segurança. Embora o acesso privilegiado seja necessário para gerenciar sistemas de TI, ele também representa um risco de segurança significativo se não for controlado adequadamente.
   Se um criminoso cibernético obtiver acesso a uma conta privilegiada, ele poderá explorar permissões para instalar malware, extrair dados confidenciais, criar backdoors e desabilitar controles de segurança, assumindo efetivamente o controle de todo o sistema. Restringir e gerenciar privilégios administrativos é, portanto, crucial para minimizar o impacto potencial de tais ataques.
   Um módulo de segurança de hardware (HSM) usado em conjunto com um aplicativo de gerenciamento de acesso privilegiado pode melhorar significativamente essa estratégia gerenciando e protegendo com segurança chaves criptográficas e operações confidenciais. Os módulos de segurança de hardware nShield trabalham em conjunto com aplicativos de PAM para evitar sequestro de contas com proteção de práticas recomendadas de credenciais privilegiadas, como chaves de API, chaves de SSH, segredos de DevOps e contas de administrador em nuvem, e a proteção das chaves criptográficas que sustentam a segurança de sua infraestrutura.
6. Aplicar patches em sistemas operacionais
   A aplicação de patches em sistemas operacionais (SO) os mantêm atualizados com as últimas atualizações de segurança para corrigir vulnerabilidades conhecidas. Semelhante à aplicação de patches, essa estratégia é essencial para proteger contra explorações que visam fraquezas e configurações incorretas conhecidas. A aplicação regular de patches no sistema operacional é essencial porque o sistema operacional é a espinha dorsal da infraestrutura de TI e qualquer vulnerabilidade pode causar violações generalizadas de segurança.
7. Usar autenticação multifator
   A MFA fortalece os processos de autenticação do usuário ao exigir várias formas de verificação, como algo que o usuário sabe (senha) e algo que o usuário tem (token de segurança). Também pode solicitar algo que o usuário é, usando reconhecimento facial ou impressão digital para confirmar identificadores biométricos.
   Essa estratégia é essencial porque agrega uma camada adicional de segurança, tornando muito mais difícil para invasores obterem acesso não autorizado, mesmo que as credenciais estejam comprometidas. A MFA resistente a phishing, como a autenticação adaptável, pode tornar o processo ainda mais avançado ao emitir verificação gradual baseada em risco sob certas condições.
8. Backups regulares
   Os backups regulares ou diários garantem que os dados possam ser restaurados em caso de perda de dados, corrupção de dados ou incidentes de segurança cibernética. Com essa estratégia, cria-se e se mantém backups seguros e resilientes dos dados, aplicativos e configurações do sistema, que são essenciais para a continuidade dos negócios. Essa prática fornece uma rede de segurança, permitindo que as organizações se recuperem de ataques de ransomware, falhas de hardware ou outros eventos catastróficos.

De MFA a gerenciamento de acesso privilegiado e muito mais, a Entrust oferece uma ampla variedade de soluções para ajudar você a implementar as Estratégias Essential Eight e proteger informações.