- Inventário de Dispositivos Autorizados e Não Autorizados
Gerenciar ativamente (inventariar, rastrear e corrigir) todos os dispositivos de hardware na rede para que somente dispositivos autorizados tenham acesso, e dispositivos não autorizados e não gerenciados sejam encontrados e impedidos de obter acesso.
- – Inventário de Software Autorizado e Não Autorizado
Gerenciar ativamente (inventariar, rastrear e corrigir) todos os softwares da rede para que somente softwares autorizados sejam instalados e possam ser executados, e que softwares não autorizados e não gerenciados sejam encontrados e impedidos de serem instalados ou executados.
- – Configurações seguras para hardware e software em dispositivos móveis, notebooks, estações de trabalho e servidores
Estabelecer, implementar e gerenciar ativamente (rastrear, reportar, corrigir) a configuração de segurança de laptops, servidores e estações de trabalho usando um rigoroso processo de gerenciamento de configuração e controle de mudanças, a fim de evitar que invasores explorem serviços e configurações vulneráveis.
- – Avaliação contínua da vulnerabilidade e remediação
Adquirir, avaliar e agir continuamente sobre novas informações a fim de identificar vulnerabilidades, remediar e minimizar a janela de oportunidade para os atacantes.
- – Defesas contra malwares
Controlar a instalação, propagação e execução de código malicioso em múltiplos pontos da empresa, enquanto otimiza o uso da automação para permitir rápida atualização da defesa, coleta de dados e ação corretiva.
- – Segurança de software de aplicação
Gerenciar o ciclo de vida de segurança de todos os softwares desenvolvidos e adquiridos internamente a fim de prevenir, detectar e corrigir deficiências de segurança.
- – Controle de acesso sem fio
Os processos e ferramentas usados para rastrear/controlar/prevenir/corrigir o uso de segurança em redes locais sem fio (WLANS), pontos de acesso e sistemas clientes sem fio.
- – Capacidade de recuperação de dados
Os processos e ferramentas usados para respaldar adequadamente as informações críticas com uma metodologia comprovada para a recuperação oportuna das mesmas.
- – Avaliação de Habilidades de Segurança e Treinamento Apropriado para Preencher Lacunas
Para todos os papéis funcionais na organização (priorizando aqueles de missão crítica para a empresa e sua segurança), identificar os conhecimentos específicos, competências e habilidades necessárias para apoiar a defesa da empresa; desenvolver e executar um plano integrado para avaliar, identificar lacunas e remediar através de políticas, planejamento organizacional, treinamento e programas de conscientização.
- – Configurações seguras para dispositivos de rede como Firewalls, Roteadores e Switches
Estabelecer, implementar e gerenciar ativamente (rastrear, reportar, corrigir) a configuração de segurança dos dispositivos de infra-estrutura de rede usando um rigoroso processo de gerenciamento de configuração e controle de mudanças, a fim de evitar que os atacantes explorem serviços e configurações vulneráveis.
- – Limitação e controle de portas, protocolos e serviços de rede
Gerenciar (rastrear/controlar/corrigir) o uso operacional contínuo de portas, protocolos e serviços em dispositivos em rede, a fim de minimizar janelas de vulnerabilidade disponíveis para os atacantes.
- – Uso Controlado de Privilégios Administrativos
Os processos e ferramentas usados para rastrear/controlar/prevenir/corrigir o uso, atribuição e configuração de privilégios administrativos em computadores, redes e aplicações.
- – Defesa de Perímetro
Detectar/prevenir/corrigir o fluxo de transferência de informações entre redes de diferentes níveis de confiança, com foco em dados que prejudiquem a segurança.
- – Manutenção, monitoramento e análise de logs de auditoria
Coletar, gerenciar e analisar logs de auditoria de eventos que possam ajudar a detectar, compreender ou se recuperar de um ataque.
- – Controle de acesso com base na política de menor privilégio
Os processos e ferramentas usados para rastrear/controlar/prevenir/corrigir o acesso seguro a ativos críticos (por exemplo, informações, recursos e sistemas) de acordo com a determinação formal de quais pessoas, computadores e aplicações têm necessidade e direito de acesso a esses ativos críticos com base em uma classificação aprovada.
- – Monitoramento e controle de contas
Gerenciar ativamente o ciclo de vida das contas do sistema e das aplicações – sua criação, uso, desativação e exclusão – a fim de minimizar as oportunidades para que os atacantes as aproveitem.
- – Proteção de dados
Os processos e ferramentas usados para evitar a exfiltração de dados, mitigar os efeitos dos dados exfiltrados e garantir a privacidade e integridade das informações sensíveis.
- – Resposta a incidentes e gerenciamento de segurança
Proteger as informações da organização, bem como sua reputação, desenvolvendo e implementando uma infra-estrutura de resposta a incidentes (por exemplo, planos, funções definidas, treinamento, comunicações, supervisão da administração) para descobrir rapidamente um ataque e depois conter efetivamente os danos, erradicando a presença do atacante e restaurando a integridade da rede e dos sistemas.
- – Engenharia segurança de redes
Fazer da segurança um atributo inerente da empresa, especificando, projetando e incorporando características que permitem operações de sistemas de alta confiança, enquanto negam ou minimizam as oportunidades para os atacantes.
- – Testes de Penetração e Exercícios de Red Team
Testar a força geral das defesas de uma organização (a tecnologia, os processos e as pessoas) através da simulação dos objetivos e ações de um criminoso virtual.
Fonte: Adaptado e traduzido de “blueteam-cheat-sheet”, disponível em https://tmpfiles.org/dl/5959/blueteam-cheat-sheet.pdf
Autor da adaptação: Almir Meira Alves – Diretor Acadêmico da CECyber