Austrália orienta empresas a aplicar atualizações de segurança críticas mais rapidamente
Austrália incentiva empresas a implementar atualizações críticas de segurança de forma mais ágil
Austrália atualizou suas diretrizes de mitigação de riscos cibernéticos para organizações, fazendo mudanças que incluem uma linha do tempo para aplicação de patches críticos e limites para privilégios administrativos.
As alterações fazem parte de uma atualização anual do Modelo de Maturidade Essential Eight do país, introduzido pela primeira vez em junho de 2017 para orientar as empresas na proteção de suas redes de TI conectadas à Internet contra ameaças cibernéticas comuns, de acordo com a Australian Signals Directorate (ASD). As atualizações são baseadas em insights de inteligência de ameaças e testes de penetração, avaliação de implementações de Essential Eight e feedback dos setores público e privado, tanto localmente quanto globalmente.
Também: 6 regras simples de cibersegurança que você pode aplicar agora
A última revisão também engloba a adoção de autenticação multifator “resistente a phishing”, gerenciamento de serviços em nuvem, e detecção e resposta a incidentes para infraestrutura voltada para a Internet, disse a ASD. A agência de inteligência está dentro do Departamento de Defesa do governo federal, onde supervisiona a segurança da informação e inteligência de sinais relacionados às telecomunicações, dados e redes de comunicação do país.
O Modelo de Maturidade Essential Eight fornece uma linha de base projetada para dificultar que adversários comprometam sistemas. O modelo abrange oito áreas principais, como controle de aplicativos, restrições de macro do Microsoft Office e endurecimento de aplicativos do usuário.
- Este painel solar à prova d’água EcoFlow de 160W foi reduzido...
- Meu relógio esportivo favorito da Garmin de todos os tempos está co...
- Esta TV Hisense de 65 polegadas está com $300 de desconto na Cyber ...
Com a atualização mais recente, há um foco adicional em instâncias de correção de maior prioridade, disse a ASD, acrescentando que isso foi implementado com base em sua avaliação do tempo médio que os atores maliciosos levam para explorar vulnerabilidades.
Quando os fornecedores avaliam uma vulnerabilidade como sendo de natureza crítica, como sua capacidade de burlar a autenticação para acesso privilegiado ou facilitar a execução remota de código sem interação do usuário, as organizações devem corrigir ou mitigar a vulnerabilidade em até 48 horas. Essa mudança se aplica aos níveis de maturidade de um a três, observou a ASD.
No modelo Essential Eight, o nível de maturidade um geralmente é aplicado a pequenas e médias empresas, enquanto o nível dois é adequado para grandes empresas. O nível de maturidade três é para provedores de infraestrutura crítica e organizações que operam em ambientes de alta ameaça.
Também: As PMEs enfrentam ameaças crescentes de cibersegurança, mas medidas básicas podem reduzir os riscos
“Ao fornecer orientações de correção prioritárias, foi enfatizada a correção de aplicativos que interagem rotineiramente com conteúdo não confiável da Internet, como suítes de produtividade de escritório, navegadores da web, clientes de e-mail, software PDF e software de segurança”, explicou a ASD.
Isso levou à necessidade de um prazo de correção mais curto para esses aplicativos, de um mês para duas semanas. As atividades de varredura de vulnerabilidades também foram atualizadas de no mínimo duas vezes por mês para no mínimo uma vez por semana para esses aplicativos, disse a agência governamental. Essa mudança afeta empresas com nível de maturidade um.
Para ajudar as empresas a atender a essas mudanças, os prazos de correção para sistemas operacionais de dispositivos menos importantes, como estações de trabalho e servidores não voltados para a Internet, foram estendidos de duas semanas para um mês. As atividades de varredura de vulnerabilidades para esses dispositivos também foram revisadas de no mínimo uma vez por semana para no mínimo duas vezes por mês. Essa mudança afetará empresas nos níveis de maturidade dois e três.
Além disso, vários requisitos foram aplicados para abordar a ausência de processos de governança relacionados à concessão e ao controle de acesso privilegiado a repositórios de dados.
Também: Cibersegurança 101: Tudo sobre como proteger sua privacidade e se manter seguro online
“Os requisitos que impedem o acesso à internet por contas privilegiadas foram alterados de forma equilibrada para apoiar a gestão de serviços na nuvem”, disse a ASD. “Essas contas precisarão ser explicitamente identificadas e estritamente limitadas aos acessos e deveres necessários”.
Essa mudança afeta empresas com níveis de maturidade de um a três.
Sob restrições de privilégios administrativos, por exemplo, empresas com nível de maturidade dois devem adicionar um requisito para validar solicitações de acesso privilegiado a repositórios de dados pela primeira vez. Eles também devem desabilitar o acesso privilegiado aos repositórios de dados após 12 meses, a menos que seja revalidado.
