O documento a seguir detalha como o Endpoint Central pode ajudar as empresas a cumprir determinados requisitos de conformidade do CIS.
O Center for Internet Security (CIS) fornece um conjunto de Controles de Segurança Críticos (CSC) que ajudam as organizações a melhorar sua defesa cibernética. Esses controles são práticas recomendadas para impedir ataques comuns e se concentram nas ações mais fundamentais e valiosas que toda empresa deve tomar. A realização desses controles seria o ponto de partida para toda empresa que busca segurança cibernética. O Endpoint Central ajuda-o a melhorar a postura de segurança da sua organização, facilitando a implementação desses controles.
Requisito | Descrição do requisito | Como o Endpoint Central cumpre isso? |
---|---|---|
1.1 | Utilizar uma ferramenta de descoberta ativa para identificar dispositivos conectados à rede da organização e atualizar o inventário de ativos de hardware. | A varredura do AD do Endpoint Central oferece suporte à descoberta automática de computadores e instalação de agentes assim que eles são adicionados ao Active Directory. Uma vez que os Agentes estão instalados, eles realizam uma varredura de inventário nos computadores para buscar informações sobre o inventário de hardware e software. Isso também suporta a funcionalidade de varredura agendada para assegurar que haja uma varredura periódica de computadores e as informações de inventário estejam sempre atualizadas. Alertas instantâneos também podem ser gerados por e-mail/SMS para os usuários quando o hardware for detectado ou removido de um computador específico. |
1.4 | Manter um inventário preciso e atualizado de todos os ativos de tecnologia com potencial para armazenar ou processar informações. Este inventário deve incluir todos os ativos de hardware, quer eles estejam conectados à rede da organização ou não. | Uma vez que os agentes do Endpoint Central são instalados nos computadores, ele realiza uma varredura de inventário nos dispositivos para buscar informações de inventário de hardware e software. O produto também oferece funcionalidade de varredura programada para garantir que os dispositivos sejam varridos periodicamente e que as informações do inventário estejam sempre atualizadas. O Endpoint Central pode manter as informações de inventário atualizadas para dispositivos em roaming também através da internet, que não está conectada à rede da organização. (Observação: O servidor deve estar acessível para o Agente). |
1.5 | Certificar-se de que o inventário de ativos de hardware registre o endereço de rede, endereço de hardware, nome da máquina, proprietário do ativo de dados e departamento de cada ativo e se o ativo de hardware foi aprovado para se conectar à rede. | O Endpoint Central mantém detalhes do inventário no banco de dados e ativos utilizando o recurso de varredura de inventário e arquivos. Usando colunas personalizadas, o status de aprovação dos ativos pode ser verificado. |
1.7 | Utilizar o controle de acesso no nível da porta, seguindo os padrões 802.1x, para controlar quais dispositivos podem se autenticar na rede. O sistema de autenticação deve ser vinculado aos dados de inventário de ativos de hardware para garantir que somente dispositivos autorizados possam se conectar à rede. | Usando o Endpoint Central, as configurações 802.1x podem ser feitas nos dispositivos para conexões WiFi, VPN e Ethernet. Além disso, a configuração do Firewall do Endpoint Central ajuda o cliente a permitir/bloquear as portas dos computadores Windows na sua rede. Com a ajuda do complemento DCP no DC, podemos gerenciar 17 tipos de dispositivos a serem autorizados ou bloqueados na sua rede. |
1.8 | Utilizar certificados de cliente para autenticar ativos de hardware que se conectam à rede confiável da organização. | Usando o Endpoint Central, o administrador de TI pode configurar certificados de cliente e configurações de autenticação para os dispositivos, para configurações de WiFi, VPN e Ethernet. Com essas configurações em vigor, os certificados do cliente podem ser aplicados automaticamente para autenticação de rede a partir dos dispositivos. A renovação do certificado pode ser gerenciada e os detalhes do certificado podem ser vistos na varredura de ativos para identificar quaisquer certificados faltantes. |
2.3 | Utilizar ferramentas de inventário de software em toda a organização para automatizar a documentação de todos os softwares em sistemas empresariais. | O Endpoint Central realiza a varredura dos desktops e dispositivos móveis na sua rede e coleta os detalhes de software. Usando o Gerenciamento de Inventário do Endpoint Central, você pode agendar uma varredura para rastrear ativamente os softwares e configurar alertas de e-mail para essa tarefa. |
2.4 | O sistema de inventário de software deve rastrear o nome, versão, editor e data de instalação de todo o software, incluindo sistemas operacionais autorizados pela organização. | O Gerenciamento de Inventário do Endpoint Central lista detalhes do software, como nome, versão, editor e data de instalação de todas as aplicações de software e sistemas operacionais autorizados pela organização. |
2.5 | O sistema de inventário de software deve estar integrado ao inventário de ativos de hardware para que todos os dispositivos e softwares associados sejam rastreados a partir de um único local. | Com a ajuda do Endpoint Central, um administrador de TI pode adquirir dados completos sobre todos os detalhes de hardware e software em uma rede. Para cada computador gerenciado, o Endpoint Central lista todos os dados do inventário referentes a esse computador específico. |
2.6 | Garantir que o software não autorizado seja removido ou que o inventário seja atualizado em tempo hábil. | O Application Control do Endpoint Central ajuda os clientes a bloquear aplicações e executáveis que não são projetadas para execução na sua rede. Leia mais sobre isso aqui : https://www.manageengine.com/br/desktop-central/endpoint-security-features.html |
2.7 | Utilizar a tecnologia de lista de permissões de aplicações em todos os ativos para garantir que apenas softwares autorizados sejam executados e que todo software não autorizado seja bloqueado contra execução nos ativos. | O Application Control do Endpoint Central também ajuda o cliente a autorizar aplicações e executáveis, garantindo que apenas os softwares listados possam ser executados nos computadores. Leia mais sobre isso aqui : https://www.manageengine.com/br/desktop-central/endpoint-security-features.html |
3.1 | Utilizar uma ferramenta de varredura de vulnerabilidades compatível com o Protocolo de Automação do Conteúdo de Segurança (SCAP) atualizada para varrer todos os sistemas da rede automaticamente uma vez por semana ou mais frequentemente, visando identificar todas as vulnerabilidades potenciais nos sistemas da organização. | O Gerenciamento de Vulnerabilidades do Endpoint Central realiza uma varredura de vulnerabilidades em todos os endpoints para identificar as vulnerabilidades de software, o que também ajuda a remediá-las por meio da capacidade de mitigação de vulnerabilidades Zero Day. Consulte: https://www.manageengine.com/br/desktop-central/endpoint-security-features.html |
3.2 | Realizar varredura de vulnerabilidades autenticadas com agentes que são executados localmente em cada sistema ou com varreduras remotas que estão configuradas com direitos elevados no sistema que está sendo testado. | O Gerenciamento de Vulnerabilidades do Endpoint Central ajuda o cliente a realizar varreduras de vulnerabilidades em todos os computadores com a ajuda do agente instalado neles. Consulte: https://www.manageengine.com/br/desktop-central/endpoint-security-features.html |
3.4 | Implantar ferramentas automatizadas de atualização de software para garantir que os sistemas operacionais estejam executando as atualizações de segurança mais recentes fornecidas pelo fornecedor do software. | O Endpoint Central realiza varreduras periódicas nos sistemas da sua organização em busca de patches faltantes por sistema operacional. A Implantação Automática de Patches (APD) do Endpoint Central capacita os administradores de TI com a habilidade de implantar patches faltantes automaticamente sem nenhuma intervenção do usuário. Clique aqui para saber mais sobre a lista de patches suportados: https://www.manageengine.com/br/desktop-central/patch_management_supported_application.html |
3.5 | Implantar ferramentas automatizadas de atualização de software para garantir que softwares de terceiros em todos os sistemas estejam executando as atualizações de segurança mais recentes fornecidas pelo fornecedor do software. | Além de identificar as atualizações faltantes para aplicações nativas, o Endpoint Central também identifica aquelas ausentes para aplicações de terceiros. A Implantação Automática de Patches (APD) do Endpoint Central capacita os administradores de TI com a habilidade de implantar patches faltantes automaticamente sem nenhuma intervenção do usuário. Clique aqui para saber mais sobre a lista de patches suportados: https://www.manageengine.com/br/desktop-central/patch_management_supported_application.html |
3.7 | Utilizar um processo de classificação de risco para priorizar a correção de vulnerabilidades descobertas. | O Endpoint Central fornece a lista de patches com grupo de risco baseado na sua gravidade, como Crítico, Importante, Moderado, Baixo. Com essas informações, o cliente pode priorizar a correção com base na gravidade dos patches. Além disso, o cliente também pode configurar o processo de classificação de risco usando as configurações de "Política de saúde do sistema". |
4.1 | Usar ferramentas automatizadas para inventariar todas as contas administrativas, incluindo contas de domínio e locais, visando garantir que apenas indivíduos autorizados tenham privilégios elevados. | O Endpoint Central oferece relatórios completos do AD e relatórios baseados nos usuários que fornecem informações detalhadas sobre os privilégios dos usuários e computadores na rede. Além disso, o painel do Diretor de Proteção de Dados (DPO) ajuda um administrador de TI a dar uma olhada nos computadores e acesso do usuário associado às contas. |
4.2 | Antes de implantar qualquer ativo novo, alterar todas as senhas padrão para que tenham valores consistentes com contas de nível administrativo. | A configuração de Gerenciamento de Usuários do Endpoint Central permite que um administrador de TI altere uma senha e configure as opções de senha para os usuários finais. Além disso, uma conta de usuário do Windows pode ser adicionada, removida ou modificada. |
4.9 | Configurar sistemas para emitir uma entrada de log e alerta sobre tentativas de login malsucedidas em uma conta administrativa. | O Endpoint Central fornece Relatórios Baseados no Login a um administrador de TI, com detalhes de contas de usuário não utilizadas, que efetuaram o login recentemente e com falha no último login . Usando-os, é possível obter detalhes de logins bem-sucedidos e malsucedidos na conta administrativa. |
5.2 | Manter imagens ou modelos seguros para todos os sistemas da empresa com base nos padrões de configuração aprovados pela organização. Qualquer nova implantação de sistema ou sistema existente que seja comprometido deve ser criado usando uma dessas imagens ou modelos. | A implantação e criação de imagens do sistema operacional do sistema operacional nos computadores Windows da rede são feitas pelo Endpoint Central. Essas imagens são armazenadas e podem ser acessadas apenas pelo agente do Endpoint Central, tornando a configuração dos sistemas segura. |
5.3 | Armazenar as imagens e modelos mestre em servidores configurados de maneira segura, validados com ferramentas de monitoramento de integridade, para garantir que apenas mudanças autorizadas nas imagens sejam possíveis. | As imagens criadas no OS Imaging do Endpoint Central são armazenadas e podem ser acessadas apenas por agentes do Endpoint Central. A verificação de integridade também será realizada antes da implantação da imagem, tornando assim a configuração dos sistemas segura. |
7.1 | Certificar-se de que somente navegadores web e clientes de e-mail totalmente suportados tenham permissão para serem executados na organização, de preferência usando apenas a versão mais recente dos navegadores e clientes de e-mail fornecidos pelo fornecedor. | A atualização dos navegadores pode ser garantida ao implantar os patches mais recentes disponíveis no Endpoint Central. |
7.2 | Desinstalar ou desativar quaisquer plugins de navegador ou clientes de e-mail não autorizados ou aplicações de add-on. | O Browser Security Plus do Endpoint Central ajuda os administradores de TI a bloquear/autorizar navegadores e gerenciar add-ons. Consulte: https://www.manageengine.com/br/desktop-central/endpoint-security-features.html |
7.4 | Aplicar filtros de URL baseados na rede que limitem a capacidade de um sistema de se conectar a sites não aprovados pela organização. Essa filtragem deve ser aplicada a cada um dos sistemas da organização, quer estejam fisicamente nas instalações da organização ou não. | O Browser Security Plus do Endpoint Central ajuda os administradores de TI a filtrar os sites com base na confiança e restrições impostas, quer eles estejam fisicamente nas instalações da organização ou não. Consulte: https://www.manageengine.com/br/desktop-central/endpoint-security-features.html |
7.7 | Utilizar serviços de filtragem do Sistema de Nomes de Domínio (DNS) para ajudar a bloquear o acesso a domínios maliciosos conhecidos. | O Endpoint Central com o Browser Security pode bloquear ou impedir o acesso a domínios maliciosos. |
8.2 | Certificar-se de que o software anti-malware da organização atualize sua varredura e banco de dados de assinaturas regularmente. | O Gerenciamento de Patches do Endpoint Central fornece atualizações regulares de antivírus para as principais aplicações de software anti-malware. Entre todos os diferentes tipos de dados coletados durante uma varredura de ativos, o status do antivírus das máquinas Windows também é coletado. Consulte o link a seguir para obter atualizações de definições de antivírus compatíveis: https://www.manageengine.com/br/desktop-central/antivirus-updates.html |
9.1 | Associar portas, serviços e protocolos ativos aos ativos de hardware no inventário de ativos. | O Endpoint Central fornece a lista de detalhes de serviço dos computadores como parte das Informações de Inventário desse computador. Com a ajuda do "Gerenciador de Sistema" na aba Ferramentas, é possível realizar ações remotamente para iniciar, parar, reiniciar o serviço e definir o modo de inicialização conforme necessário, para obter o melhor desempenho. O Endpoint Central também oferece suporte de configuração do Firewall, ajudando os clientes a bloquear/desbloquear os protocolos e portas nos computadores. |
9.2 | Aplicar firewalls baseados em hosts ou ferramentas de filtragem de portas em sistemas finais, com uma regra de negação padrão que descarta todo o tráfego, exceto os serviços e portas explicitamente permitidos. | A configuração do Firewall e Serviços do Endpoint Central ajuda-o a criar regras para restringir ou permitir portas, protocolos e serviços em máquinas Windows. |
10.2 | Garantir que todos os principais sistemas da organização sejam copiados como um sistema completo, utilizando processos como geração de imagens, visando permitir a recuperação rápida de um sistema inteiro. | O backup completo do sistema de uma máquina pode ser realizado como uma imagem do sistema operacional no Endpoint Central e armazenado no repositório de imagens. |
13.6 | Utilizar mecanismos criptográficos aprovados para proteger dados empresariais armazenados em todos os dispositivos móveis. | O gerenciamento de dispositivos móveis do Endpoint Central oferece Containerização, que pode ser utilizada para isolar dados pessoais e corporativos. Isso assegura que não haja acesso aos dados pessoais presentes no dispositivo do usuário (dispositivos BYOD). O contêiner encapsula todas as políticas corporativas, aplicações e dados da aplicação que constituem um espaço de trabalho corporativo, que é separado do espaço pessoal. |
13.7 | Caso dispositivos de armazenamento USB forem necessários, deve-se usar um software empresarial que possa configurar os sistemas para permitir o uso de dispositivos específicos. Um inventário desses dispositivos deve ser mantido. | O Controle de Dispositivos do Endpoint Central ajuda o cliente a bloquear/desbloquear todos os tipos de dispositivos USB nos endpoints. O histórico de auditoria de dispositivos USB também pode ser mantido. Consulte: https://www.manageengine.com/br/desktop-central/endpoint-security-features.html |
14.6 | Proteger todas as informações armazenadas nos sistemas com listas de controle de acesso específicas do sistema de arquivos, compartilhamento de rede, reivindicações, aplicações ou banco de dados. Esses controles aplicarão o princípio de que somente indivíduos autorizados devem ter acesso às informações com base na necessidade de acessá-las como parte de suas responsabilidades. | A configuração de gerenciamento de permissões do Endpoint Central fornece controle para que apenas indivíduos autorizados tenham acesso às informações com base nas suas responsabilidades. |
15.4 | Desativar o acesso sem fio em dispositivos que não tenham uma finalidade comercial para este acesso. | A configuração de WiFi do Endpoint Central ajuda a habilitar/desabilitar o adaptador sem fio nos computadores de maneira transparente. |
16.8 | Desabilitar qualquer conta que não possa ser associada a um processo de negócios ou proprietário de empresa. | Com a ajuda da configuração de gerenciamento de usuários, o cliente pode excluir/adicionar os usuários locais dos computadores com Windows. |
16.11 | Bloquear as sessões da estação de trabalho automaticamente após um período padrão de inatividade. | A configuração de gerenciamento de energia do Endpoint Central ajuda o cliente a definir o tempo para fazer o computador entrar em modo de hibernação após um determinado período de inatividade/ociosidade dos computadores. |
16.6 | Manter um inventário de todas as contas organizadas por sistema de autenticação. | O Endpoint Central busca todas as contas de usuário disponíveis nos computadores como parte da varredura de Inventário. Com a ajuda da configuração de "Gerenciamento de Usuários", usuários locais podem ser excluídos/modificados/adicionados. |
Enquanto os Controles do CIS são práticas recomendadas para garantir a segurança de muitos sistemas e dispositivos, os benchmarks do CIS são mais como diretrizes ou regras que visam aprimorar a segurança de software, sistemas operacionais específicos e infraestrutura de rede. O módulo de gerenciamento de vulnerabilidades do Endpoint Central também pode ser utilizado para auditar os endpoints gerenciados em relação a esses benchmarks do CIS, visando garantir sua conformidade com eles. Saiba mais.