# CIS Critical Security Controls v8 > [!abstract] Síntese > Os CIS Critical Security Controls (CIS Controls) são um conjunto de 18 ações de segurança priorizadas, desenvolvidas e mantidas pelo Center for Internet Security (CIS). Originalmente criados pelos SANS Institute como "SANS Top 20", os controles foram reformulados na versão 8 (2021) para refletir a realidade de ambientes modernos - cloud, trabalho remoto e mobilidade. Cada controle é mapeado para o [[mitre-attack|MITRE ATT&CK]], tornando-os diretamente acionáveis. Para PMEs brasileiras sem grandes equipes de segurança, os CIS Controls oferecem o caminho mais prático para elevar rapidamente a postura de segurança. --- ## Visão Geral Os CIS Controls surgiram da necessidade de priorização prática: com centenas de boas práticas de segurança disponíveis, organizações enfrentavam paralisia por análise sobre onde começar. O Center for Internet Security, com contribuições de especialistas globais do governo, indústria e academia, consolidou as 18 ações com maior impacto comprovado na redução de risco - baseadas em dados de ataques reais documentados, não em teoria. O diferencial da versão 8 (2021) é a estrutura de Implementation Groups (IG): uma PME com 10 funcionários e uma empresa com 10.000 seguem o mesmo framework, mas implementam subconjuntos diferentes. O IG1 (6 controles, 56 salvaguardas) é o piso mínimo recomendado para qualquer organização - implementá-lo corretamente já elimina a grande maioria dos ataques oportunistas. O mapeamento nativo para [[mitre-attack|MITRE ATT&CK]] permite que equipes meçam cobertura defensiva diretamente contra as táticas e técnicas usadas por adversários reais. > [!latam] Relevância para o Brasil e LATAM > O CERT.br recomenda os CIS Controls como base de segurança para PMEs brasileiras, e o framework é crescentemente adotado por fintechs e empresas de médio porte que precisam demonstrar maturidade de segurança sem o custo de certificações formais como ISO 27001. Os CIS Benchmarks - guias de hardening para Windows, Linux, AWS e outros - são amplamente utilizados por equipes de TI no Brasil para endurecimento de sistemas. --- ## Os 18 Controles Organizados por Grupo ```mermaid graph TB CIS["🛡️ CIS Controls v8<br/>18 Controles Essenciais"] CIS --> G1["📦 Grupo 1 - Básico<br/>Controles 1-6<br/>Implementação imediata"] CIS --> G2["⚙️ Grupo 2 - Fundacional<br/>Controles 7-16<br/>Organizações com TI estruturada"] CIS --> G3["🔬 Grupo 3 - Organizacional<br/>Controles 17-18<br/>Organizações maduras"] G1 --> C1["CIS 1 - Inventário<br/>de Ativos de Hardware"] G1 --> C2["CIS 2 - Inventário<br/>de Ativos de Software"] G1 --> C3["CIS 3 - Proteção<br/>de Dados"] G1 --> C4["CIS 4 - Configuração<br/>Segura de Ativos"] G1 --> C5["CIS 5 - Gestão<br/>de Contas"] G1 --> C6["CIS 6 - Gestão<br/>de Controle de Acesso"] style CIS fill:#1a1a2e,stroke:#e94560,color:#fff style G1 fill:#16213e,stroke:#27ae60,color:#fff style G2 fill:#16213e,stroke:#f39c12,color:#fff style G3 fill:#16213e,stroke:#e74c3c,color:#fff ``` --- ## Os 18 Controles em Detalhe ### Grupo 1 - Controles Essenciais (IG1) Implementação mínima recomendada para **todas** as organizações. Cobre os controles que eliminam a maioria dos ataques oportunistas. | # | Controle | O que faz | | - | -------- | --------- | | CIS 1 | Inventário e Controle de Ativos Corporativos | Rastrear todos os dispositivos físicos e virtuais | | CIS 2 | Inventário e Controle de Ativos de Software | Inventariar softwares autorizados e não autorizados | | CIS 3 | Proteção de Dados | Classificar, inventariar e proteger dados sensíveis | | CIS 4 | Configuração Segura de Ativos e Software | Hardening de sistemas e aplicações | | CIS 5 | Gestão de Contas | Controlar credenciais e ciclo de vida de contas | | CIS 6 | Gestão de Controle de Acesso | Princípio do menor privilégio | ### Grupo 2 - Controles Fundacionais (IG2) Para organizações com equipe de TI dedicada. Endereça ataques mais sofisticados. | # | Controle | O que faz | | - | -------- | --------- | | CIS 7 | Gestão Contínua de Vulnerabilidades | Scanning, priorização e remediação de vulns | | CIS 8 | Gestão de Log de Auditoria | Coleta, retenção e análise de logs | | CIS 9 | Proteções de E-mail e Navegador Web | Filtros anti-phishing, DNS filtering | | CIS 10 | Defesas contra Malware | EDR, AV, sandboxing, execution prevention | | CIS 11 | Recuperação de Dados | Backup e restauração testados | | CIS 12 | Gestão de Infraestrutura de Rede | Firewalls, segmentação, controle de acesso de rede | | CIS 13 | Monitoramento e Defesa de Rede | IDS/IPS, NDR, análise de tráfego | | CIS 14 | Conscientização e Treinamento em Segurança | Educação contínua de usuários | | CIS 15 | Gestão de Provedores de Serviços | Avaliação e controle de terceiros | | CIS 16 | Segurança de Software de Aplicação | SAST, DAST, revisão de código seguro | ### Grupo 3 - Controles Organizacionais (IG3) Para organizações com equipes de segurança maduras, lidando com ameaças sofisticadas (APTs). | # | Controle | O que faz | | - | -------- | --------- | | CIS 17 | Gestão de Resposta a Incidentes | IR plan, CSIRT, exercícios de simulação | | CIS 18 | Testes de Penetração | Red team, pentests periódicos, bug bounty | --- ## Grupos de Implementação - Guia para PMEs O CIS introduziu na v8 o conceito de **Implementation Groups (IG)** - uma forma de priorizar controles com base no tamanho e risco da organização: | IG | Perfil | Controles | Foco | | -- | ------ | --------- | ---- | | IG1 | PME, TI básica | CIS 1-6 (56 salvaguardas) | Higiene básica - elimina ataques oportunistas | | IG2 | Empresa média, TI estruturada | CIS 1-16 (130 salvaguardas) | Defesa em profundidade | | IG3 | Grande empresa, equipe de segurança | CIS 1-18 (153 salvaguardas) | Proteção contra APTs e ameaças avançadas | > [!tip] Recomendação para PMEs Brasileiras > Para a maioria das PMEs brasileiras, implementar o **IG1 (CIS 1-6)** já elimina cerca de 85% dos ataques oportunistas. Comece pelo inventário de ativos (CIS 1 e 2) - você não pode proteger o que não conhece. --- ## Mapeamento CIS Controls x MITRE ATT&CK Os CIS Controls v8 são totalmente mapeados para o [[mitre-attack|MITRE ATT&CK]], permitindo medir cobertura defensiva: | CIS Control | Táticas ATT&CK Mitigadas | | ----------- | ------------------------- | | CIS 1-2 (Inventário) | TA0001 (Initial Access), TA0003 (Persistence) | | CIS 4 (Configuração segura) | TA0004 (Privilege Escalation), TA0005 (Defense Evasion) | | CIS 5-6 (Contas e Acesso) | TA0006 (Credential Access), TA0008 (Lateral Movement) | | CIS 7 (Gestão de Vulns) | TA0001 (Initial Access via exploits) | | CIS 10 (Anti-malware) | TA0002 (Execution), TA0003 (Persistence) | | CIS 13 (Monitoramento de Rede) | TA0011 (C2), TA0010 (Exfiltration) | | CIS 17 (IR) | [[ta0040-impact\|TA0040 - Impact]] - resposta a ransomware | --- ## Mapeamento CIS Controls x Frameworks Regulatórios | Regulação | CIS Controls Relevantes | | --------- | ----------------------- | | [[lgpd\|LGPD]] | CIS 3 (Proteção de Dados), CIS 8 (Logs), CIS 17 (IR para notificação) | | [[bacen-4893\|BACEN 4.893]] | CIS 4 (Configuração), CIS 7 (Vulns), CIS 17 (IR), CIS 18 (Testes) | | [[pci-dss\|PCI-DSS v4.0]] | CIS 1-6 (IG1 cobre requisitos básicos), CIS 10, CIS 13 | | [[iso-27001\|ISO 27001]] | CIS Controls mapeiam para ~60% dos controles do Anexo A | --- ## Relevância para o Brasil Os CIS Controls têm crescente adoção no Brasil, com contexto específico: - **PMEs brasileiras**: O IG1 é o ponto de entrada mais prático - baixo custo, alto impacto, sem exigir equipe de segurança dedicada - **[[healthcare|Setor de Saúde]]**: Hospitais e operadoras de planos de saúde usam CIS Controls como base de segurança alinhada à [[lgpd|LGPD]] - **[[financial|Fintechs e PMEs Financeiras]]**: CIS IG2 como caminho para conformidade com [[bacen-4893|BACEN]] sem o custo de certificações formais - **CIS Benchmarks**: Os guias de hardening do CIS (CIS Benchmarks) para Windows, Linux, AWS, Azure são amplamente usados por equipes de TI brasileiras - **CERT.br**: Recomendações do CERT.br para PMEs alinham com o IG1 dos CIS Controls --- ## Recursos Gratuitos O CIS disponibiliza versão completa dos controles gratuitamente: - **CIS Controls v8** - documento completo em [cisecurity.org](https://www.cisecurity.org/controls/) - **CIS Benchmarks** - guias de hardening para +100 tecnologias (gratuitos para uso não comercial) - **CIS-CAT Lite** - ferramenta gratuita de avaliação de conformidade com benchmarks - **CIS CSAT** - ferramenta online de autoavaliação dos 18 controles --- ## Referências - [CIS Controls v8 - Documento Completo](https://www.cisecurity.org/controls/v8/) - [CIS Benchmarks](https://www.cisecurity.org/cis-benchmarks/) - [CERT.br - Segurança para PMEs](https://www.cert.br/docs/seg-pme/) - [CIS Controls ATT&CK Mapping](https://www.cisecurity.org/controls/cis-controls-navigator/) - [CIS CSAT - Self-Assessment Tool](https://csat.cisecurity.org/) --- ← Voltar para **[[_regulations|Regulações]]** · **[[_market|Market Intelligence]]**