TL;DR

The Essential Eight é a lista de verificação prática de ciberdefesa da Austrália - oito controlos divididos entre prevenção, limitação e recuperação.

Pense: aplicação de patches, MFA, reforço de aplicações, cópias de segurança e muito mais.

Não se trata de uma mega-estrutura, mas é obrigatória para as organizações governamentais e uma base sólida para qualquer pessoa.

Três níveis de maturidade medem a sua resistência aos atacantes - desde amadores a APTs.

Resumo do Essential Eight Scorecard:

• Esforço do desenvolvedor: Moderado (envolve a aplicação de patches nas aplicações, o reforço das aplicações dos utilizadores, potencialmente o controlo das aplicações, o suporte do MFA e a garantia de que as cópias de segurança são eficazes).
• Custo das ferramentas: Moderado (requer ferramentas para aplicação de patches, controlo de aplicações/listas brancas, potencialmente controlo de macros, soluções MFA, sistemas de cópia de segurança, gestão de privilégios de administrador).
• Impacto no mercado: elevado (base de referência obrigatória para o governo australiano; considerada a melhor prática para as empresas australianas; boa segurança de base a nível mundial).
• Flexibilidade: elevada (centra-se em resultados específicos de atenuação; os níveis de maturidade permitem uma aplicação gradual com base no risco).
• Intensidade da auditoria: Moderada (muitas vezes auto-avaliada em relação aos níveis de maturidade, mas as auditorias/avaliações são comuns para fins de conformidade governamental ou garantia de terceiros).

O que são os Oito Essenciais?

O Essential Eight é um conjunto de estratégias básicas de mitigação da cibersegurança desenvolvidas e recomendadas pelo Australian Cyber Security Centre (ACSC). Foi concebido para proteger os sistemas de informação das organizações contra uma série de ciberameaças, concentrando-se em controlos práticos e de elevado impacto. É considerada a base para melhorar a ciber-resiliência.

As Oito Estratégias Essenciais estão agrupadas em três objectivos:

1. Impedir a entrega e execução de malware:

* Controlo de aplicações: Impedir a execução de programas não aprovados/maliciosos (lista branca).

* Aplicações de correção: Corrigir/atualizar prontamente as aplicações para corrigir vulnerabilidades de segurança conhecidas.

* Configurar as definições de macro do Microsoft Office: Bloquear ou restringir macros da Internet.

* Reforço das aplicações do utilizador: Configurar os navegadores Web e outras aplicações para bloquear/limitar conteúdos potencialmente nocivos (por exemplo, Flash, anúncios, Java).

2. Limitar a extensão dos incidentes de cibersegurança:

* Restringir os privilégios administrativos: Limitar o acesso de administrador poderoso com base nos deveres do utilizador; utilizar contas privilegiadas separadas.

* Patch de sistemas operativos: Corrigir/atualizar prontamente os sistemas operativos.

* Autenticação multi-fator (MFA): Implementar a MFA para aceder a sistemas/dados sensíveis, especialmente para acesso remoto e utilizadores privilegiados.

3. Recuperação de dados e manutenção da disponibilidade:

* Cópias de segurança regulares: Efectue cópias de segurança diárias de dados importantes, software e definições de configuração. Guarde as cópias de segurança em segurança e teste regularmente o processo de restauro.

O ACSC também define níveis de maturidade para a implementação dos Oito Essenciais (Nível Um, Nível Dois, Nível Três), representando níveis crescentes de capacidade para atenuar as técnicas do adversário.

• Nível de maturidade 1: Centra-se na atenuação dos adversários que utilizam principalmente ferramentas e técnicas comuns para obter acesso e controlo iniciais.
• Nível de maturidade dois: centra-se na atenuação dos adversários com técnicas mais avançadas, tentando ativamente contornar os controlos e encobrir os seus rastos.
• Nível de maturidade três: Centra-se na atenuação de adversários sofisticados, incluindo actores patrocinados pelo Estado, que são mais direcionados, persistentes e adaptáveis.

Cada nível de maturidade tem requisitos de implementação específicos para cada uma das oito estratégias.

Porque é que é importante?

O Essential Eight é fundamental, especialmente no contexto australiano:

• Defesa de base eficaz: Fornece um conjunto comprovado e prioritário de controlos que atenuam significativamente os vectores de ataque cibernético mais comuns (como malware, phishing, roubo de credenciais).
• Mandato do Governo Australiano: A implementação (frequentemente para o Nível de Maturidade Dois ou superior) é obrigatória para as agências governamentais federais australianas ao abrigo do Quadro de Política de Segurança Protectiva (PSPF).
• Melhores práticas do sector (Austrália): Amplamente adoptada e recomendada como norma de base para as empresas australianas melhorarem a sua ciber-resiliência.
• Prático e acionável: Centra-se em controlos técnicos concretos em vez de sistemas de gestão complexos, tornando-o relativamente simples de compreender e implementar.
• Mitigação rentável: A implementação destes controlos essenciais é frequentemente mais rentável na prevenção de violações do que lidar com as consequências.
• Expectativas da cadeia de fornecimento: Cada vez mais, as organizações (governamentais e privadas) esperam que os seus fornecedores demonstrem adesão aos Oito Essenciais.
• Melhoria da ciber-resiliência: Fundamentalmente, torna os sistemas mais difíceis de comprometer e mais fáceis de recuperar se ocorrer um incidente.

Mesmo fora da Austrália, os Oito Essenciais representam uma base sólida para a higiene da cibersegurança.

O que e como implementar (técnica e política)

A implementação dos Oito Essenciais envolve a implementação de controlos técnicos e políticas de apoio para cada estratégia, visando um nível de maturidade específico:

1. Controlo da aplicação:
   
   • Utilize ferramentas (como o Microsoft AppLocker, soluções de terceiros) para definir e aplicar listas de aplicações aprovadas (executáveis, scripts, instaladores) que podem ser executadas. Bloquear tudo o resto. Requer uma criação cuidadosa da linha de base e uma gestão contínua.
2. Aplicações de patches:
   
   • Implementar um processo sólido de gestão de patches. Utilizar ferramentas automatizadas para procurar as correcções em falta para as aplicações (navegadores Web, Office, visualizadores de PDF, Java, Flash, etc.). Aplicar patches críticos/elevados dentro de prazos definidos (por exemplo, 48 horas para ML2/3 para aplicações viradas para a Internet).
3. Configurar as definições de macro do Microsoft Office:
   
   • Utilize os Objectos de Política de Grupo (GPOs) ou as definições MDM para bloquear macros de locais não fiáveis (Internet, anexos de correio eletrónico). Permitir macros apenas de fontes fiáveis e assinadas, se necessário para a função comercial. Verificar rigorosamente todas as excepções.
4. Reforço da aplicação do utilizador:
   
   • Configurar os navegadores Web para bloquear ou desativar conteúdos de alto risco (por exemplo, Flash, anúncios Web, applets Java). Impedir que os utilizadores anulem facilmente estas definições. Utilizar a filtragem de conteúdos Web. Configurar o Office, os visualizadores de PDF, etc., para impedir a execução de ligações/incorporações de objectos ou a execução de scripts, sempre que possível.
5. Restringir os privilégios administrativos:
   
   • Aplicar o princípio do menor privilégio. Atribuir direitos de administrador apenas quando necessário. Utilizar contas separadas para tarefas privilegiadas versus actividades diárias (correio eletrónico, navegação). Gerir de forma segura as contas privilegiadas (palavras-passe/frases-chave fortes, MFA). Registar e monitorizar operações privilegiadas.
6. Sistemas operativos Patch:
   
   • À semelhança da aplicação de patches de aplicações, implemente um processo e ferramentas para procurar e aplicar prontamente patches de segurança do sistema operativo, especialmente os mais críticos (por exemplo, no prazo de 48 horas para os sistemas ML2/3 virados para a Internet).
7. Autenticação multi-fator (MFA):
   
   • Implemente a MFA para todos os acessos privilegiados, acesso remoto (VPNs, RDP, webmail) e acesso a repositórios de dados importantes. Utilize métodos de autenticação fortes (por exemplo, aplicações de autenticação, chaves FIDO2, cartões inteligentes). Evite métodos de phishing fáceis, como SMS, sempre que possível para níveis mais altos.
8. Cópias de segurança diárias:
   
   • Implementar cópias de segurança diárias automatizadas de dados críticos, configurações e imagens do sistema. Assegurar que as cópias de segurança são armazenadas de forma segura (offline, fora do local, encriptadas). Testar o processo de restauro regularmente (pelo menos anualmente, de preferência trimestralmente para níveis mais elevados) para verificar a integridade e a fiabilidade.

A obtenção de níveis de maturidade mais elevados requer normalmente mais automatização, prazos de aplicação de patches mais rápidos, registo/monitorização mais abrangente, controlos mais rigorosos (por exemplo, MFA mais forte) e testes mais frequentes (por exemplo, restauro de cópias de segurança).

Erros comuns a evitar

Ao implementar os Oito Essenciais, os erros mais comuns incluem:

1. Tratar o controlo apenas como uma lista de verificação: Implementar controlos tecnicamente sem as políticas, procedimentos e formação de apoio para os tornar eficazes a longo prazo.
2. Implementação deficiente: Configuração incorrecta ou incompleta dos controlos (como o Controlo de Aplicações ou a MFA), deixando lacunas ou criando fricção excessiva no utilizador.
3. Aplicação inconsistente: Aplicação de controlos a alguns sistemas mas não a outros dentro do âmbito definido.
4. Negligenciar a cadência de aplicação de patches: Não cumprir os prazos exigidos para a aplicação de patches em aplicações e sistemas operativos, especialmente no que diz respeito a vulnerabilidades críticas.
5. Fraco controlo dos privilégios administrativos: Concessão de direitos administrativos excessivos ou não utilização eficaz de contas privilegiadas separadas.
6. Lacunas da MFA: Implementar a MFA mas faltam áreas-chave como o acesso remoto ou o acesso a serviços de nuvem sensíveis.
7. Backups não testados: Efetuar cópias de segurança mas nunca testar o processo de restauro, descobrindo apenas que não funcionam durante um incidente real.
8. Ignorar os níveis de maturidade: Ter como objetivo um nível específico sem compreender totalmente ou satisfazer todos os requisitos para esse nível em todas as oito estratégias. A maturidade é tão grande quanto o seu controlo mais fraco.

O que os auditores/avaliadores podem perguntar (foco no desenvolvedor)

Embora as avaliações do Essential Eight se centrem frequentemente na administração do sistema e na infraestrutura, os programadores podem estar envolvidos, especialmente no que diz respeito à aplicação de patches, ao reforço e às configurações seguras das aplicações:

• (Aplicações de correção) "Qual é o processo para identificar e corrigir vulnerabilidades nas bibliotecas de terceiros utilizadas pelas suas aplicações?" (Relacionado com o SCA)
• (Reforço da aplicação do utilizador) "Como é que as definições de segurança estão configuradas para os componentes ou estruturas da Web utilizados na aplicação para evitar ataques comuns do lado do cliente?"
• (Restringir privilégios de administrador) "A própria aplicação impõe o privilégio mínimo para diferentes funções de utilizador? Como é que as funções administrativas ao nível da aplicação estão protegidas?"
• (Patch Operating Systems) "Como é que garante que o SO e os ambientes de tempo de execução para os quais a sua aplicação é implementada são corrigidos de acordo com a política?" (Interação com as equipas de operações/plataformas)
• (MFA) "A aplicação suporta ou aplica MFA para o início de sessão do utilizador, especialmente para funções sensíveis?"

Os avaliadores procurarão provas de processos de aplicação de patches, configurações seguras (tanto do lado do servidor como potencialmente do lado do cliente, relacionadas com o reforço das aplicações) e a forma como as aplicações se integram em controlos mais amplos, como o MFA e o registo.

Ganhos rápidos para as equipas de desenvolvimento

As equipas de desenvolvimento podem apoiar diretamente os objectivos do Essential Eight:

1. Priorizar a correção de dependências: Integrar ferramentas SCA e estabelecer um processo para atualizar rapidamente as bibliotecas com vulnerabilidades críticas/altas conhecidas. (Suporta aplicações de correção)
2. Configuração segura de aplicativos: Assegurar que as aplicações são fornecidas com definições padrão seguras e que as dependências são configuradas de forma segura. (Suporta a proteção das aplicações do utilizador, aplicações de patch)
3. Limitar os privilégios das aplicações: Conceber aplicações para serem executadas com os privilégios mínimos necessários do sistema operativo ou do serviço. (Suporta Restringir privilégios de administrador)
4. Apoiar a integração MFA: Assegurar que as aplicações podem integrar-se corretamente com soluções MFA padrão para autenticação de utilizadores. (Suporta MFA)
5. Produzir compilações seguras: Garantir que o próprio processo de compilação não introduz vulnerabilidades e que os artefactos são armazenados de forma segura. (Apoia indiretamente várias estratégias)
6. Fornecer ganchos de registo: Construir aplicações com capacidades claras de registo de eventos relevantes para a segurança para suportar os requisitos de monitorização. (Suporta indiretamente cópias de segurança e uma segurança mais ampla)

Ignorar isto e... (Consequências do incumprimento)

Para as agências governamentais australianas, o não cumprimento dos requisitos dos Oito Essenciais exigidos pelo PSPF constitui uma não conformidade com a política governamental, podendo levar a constatações de auditoria e à necessidade de correção. Para as empresas:

• Aumento do risco de ataques comuns: Ignorar estas estratégias deixa as organizações altamente vulneráveis a ransomware, phishing, infecções por malware e roubo de credenciais - o pão e a manteiga da maioria dos ataques cibernéticos.
• Maior impacto de incidentes: A falta de controlos como a aplicação de patches, a restrição de administração e as cópias de segurança significa que os incidentes podem ser mais generalizados, prejudiciais e difíceis de recuperar.
• Incapacidade de cumprir os requisitos do governo/parceiros: Cada vez mais, os concursos e contratos (especialmente relacionados com o governo) exigem a demonstração do alinhamento com os Oito Essenciais. O não cumprimento bloqueia as oportunidades.
• Danos à reputação: Sofrer uma violação devido à não implementação de controlos básicos e amplamente recomendados, como os Oito Essenciais, pode levar a danos significativos para a reputação.
• Potenciais questões regulamentares/jurídicas: Embora não se trate de legislação direta (fora do PSPF), a não implementação de boas práticas reconhecidas, como as Oito Essenciais, pode ser vista como negligência no caso de uma violação que envolva dados pessoais (Lei da Privacidade) ou que afecte infra-estruturas críticas.

FAQ

O Essential Eight é obrigatório na Austrália?

É obrigatório para as entidades governamentais federais australianas ao abrigo do Protective Security Policy Framework (PSPF). Para as empresas privadas, é considerada a melhor prática e cada vez mais esperada, especialmente para as que trabalham com o governo ou em sectores críticos, mas ainda não é obrigatória por lei.

O que são os Oito Níveis de Maturidade Essenciais?

Existem três níveis de maturidade (um, dois e três) definidos pelo ACSC. Cada nível representa uma capacidade crescente de defesa contra atacantes mais sofisticados, exigindo uma implementação mais rigorosa das oito estratégias de atenuação. Uma organização deve cumprir todos os requisitos de um nível específico em todas as oito estratégias para atingir esse nível de maturidade global.

Que nível de maturidade deve a minha organização visar?

O ACSC aconselha as organizações a escolherem um nível de maturidade com base no seu perfil de risco - considerando a probabilidade de serem visadas e as potenciais consequências de um compromisso. As entidades governamentais australianas têm frequentemente como objetivo o nível dois ou superior. As empresas devem efetuar uma avaliação do risco para determinar um objetivo adequado.

Como é que os Oito Essenciais se relacionam com a ISO 27001 ou o NIST CSF?

O Essential Eight centra-se num conjunto específico e prioritário de estratégias de atenuação técnica. A ISO 27001 é uma norma mais ampla do Sistema de Gestão da Segurança da Informação (ISMS) que abrange a governação, a gestão do risco e uma gama mais vasta de controlos (incluindo muitos controlos técnicos que se alinham com os E8). O NIST CSF é uma estrutura de alto nível para organizar as actividades de cibersegurança. A implementação dos Oito Essenciais ajuda a cumprir muitos requisitos de controlo técnico no âmbito da ISO 27001 e alinha-se com as funções "Proteger" e "Recuperar" do NIST CSF.

O Essential Eight é apenas para ambientes Windows?

Embora originalmente concebidos tendo em mente os sistemas Microsoft Windows (o que se reflecte em controlos como as definições das macros do Office), os princípios subjacentes ao Essential Eight (aplicação de patches, controlo de aplicações, MFA, cópias de segurança, etc.) são aplicáveis e adaptáveis a outros sistemas operativos (Linux, macOS) e ambientes de nuvem, embora os métodos de implementação específicos sejam diferentes.

Como é avaliada a conformidade com o Essential Eight?

A avaliação envolve frequentemente uma autoavaliação em relação às especificações do modelo de maturidade do ACSC. Para conformidade governamental ou garantia de terceiros, auditorias formais ou avaliações podem ser conduzidas por partes independentes, examinando configurações técnicas, políticas, procedimentos e evidências de implementação para cada estratégia no nível de maturidade alvo. Ferramentas como o Introspectus Assessor podem automatizar partes da verificação técnica.

Onde posso encontrar as orientações oficiais do Essential Eight?

O sítio Web do Centro Australiano de Cibersegurança (ACSC) (cyber.gov.au) é a fonte oficial das estratégias de atenuação dos Oito Essenciais e das especificações pormenorizadas do Modelo de Maturidade.