No último dia 27 de abril foi divulgado um Comunicado das agências de cibersegurança dos Five Eyes a respeito dos cuidados que as empresas devem ter em relação às vulnerabilidades de cibersegurança.
Não sabe o que são os “5 Eyes”? Clique aqui.
O comunicado traz as vulnerabilidades e exposições comuns (CVEs) frequentemente exploradas por atores cibernéticos maliciosos, incluindo os 15 mais comumente explorados em 2021.
“Os atores cibernéticos mal-intencionados continuam a atacar agressivamente as vulnerabilidades críticas de software reveladas contra amplos conjuntos de alvos, tanto no setor público quanto no privado.
“Embora as 15 principais vulnerabilidades tenham sido tornadas públicas anteriormente, este Comunicado tem como objetivo ajudar as organizações a priorizar suas estratégias de mitigação.
“As autoridades de cibersegurança recomendam as seguintes medidas de mitigação priorizadas:
- “Gerenciamento de vulnerabilidades e configurações, incluindo atualização de software, sistemas operacionais, aplicativos e firmware, com priorização de correção de vulnerabilidades exploradas conhecidas; implementação de um sistema centralizado de gerenciamento de patches; e substituição de software em fim de vida útil.
- “Gerenciamento de identidade e acesso, incluindo a imposição de autenticação multi-fator (MFA) para todos os usuários; se o MFA não estiver disponível, exigir que os funcionários envolvidos em trabalho remoto usem senhas fortes; e revisar, validar ou remover regularmente contas privilegiadas.
- “Controles e arquitetura de proteção, incluindo a configuração adequada e a segurança de dispositivos de rede voltados para a Internet, desativando portas e protocolos de rede não utilizados ou desnecessários, criptografando o tráfego de rede e desativando serviços e dispositivos de rede não utilizados.
“Todas as organizações são encorajadas a rever e implementar as mitigações recomendadas neste Comunicado conjunto detalhado.”
O documento completo (em inglês) está disponivel neste link.
Na sua empresa já existem mecanismos para mitigar os riscos indicados no Comunicado das agências de cibersegurança dos Five Eyes? As medidas de segurança técnicas e administrativas são proporcionais aos riscos existentes? Qual sua experiência com estas medidas? Você já criou um plano de segurança pessoal? Compartilhe abaixo!