CONFORMIDADE · CIS CONTROLS

CIS Controls v8 na sua superfície externa.

Os CIS Controls reúnem 18 controles de segurança priorizados e reconhecidos internacionalmente. A CSURFACE não cobre os 18 — atua na parcela de exposição externa, ajudando a sustentar os controles que dependem do que está visível para a internet.

O QUE SÃO OS CIS CONTROLS

Um framework priorizado por risco real

Os CIS Controls — Critical Security Controls, mantidos pelo Center for Internet Security — são um conjunto de 18 controles de segurança organizados por ordem de impacto. A versão 8 condensa boas práticas em ações concretas e priorizadas: o objetivo é orientar onde investir primeiro, em vez de tratar todos os requisitos como igualmente urgentes. É um dos frameworks de segurança mais adotados no mundo e serve de base para diversos programas de conformidade.

Os 18 controles cobrem desde inventário de ativos e gestão de vulnerabilidades até resposta a incidentes, treinamento e segurança física — um espectro que vai muito além do que uma única ferramenta consegue endereçar. A CSURFACE não substitui um programa de CIS Controls: ela contribui para a parcela que depende da exposição externa. Tudo o que uma organização publica para a internet — domínios, aplicações, serviços, ativos de subsidiárias e da cadeia digital de fornecedores — precisa ser inventariado, configurado com segurança e monitorado quanto a vulnerabilidades. É exatamente nesse recorte que a plataforma atua.

A matriz a seguir mapeia, com honestidade, os controles que a CSURFACE ajuda a sustentar e o nível de cobertura de cada um. Onde a contribuição é parcial, dizemos parcial. Os controles que dependem de processos internos, endpoints, identidade ou pessoas não aparecem aqui — porque a plataforma não os endereça.

COBERTURA

Quais CIS Controls a CSURFACE ajuda a atender

A seleção abaixo traz apenas os controles em que a plataforma contribui de forma genuína. Os demais controles do framework permanecem sob responsabilidade do programa de segurança da organização.

Não cobre Parcial Boa Alta Completa
CIS ControlCoberturaComo a CSURFACE contribui
Controle 1Inventário e Controle de Ativos Corporativos Alta A descoberta contínua com Machine Learning identifica e classifica os ativos expostos à internet — incluindo shadow IT e ativos de subsidiárias que não constam do inventário oficial. A cobertura é alta na parcela externa; ativos internos da rede ficam fora do escopo.
Controle 2Inventário e Controle de Ativos de Software Parcial A plataforma fingerprinta tecnologias, serviços e versões de software detectáveis nos ativos expostos. É uma visão externa e parcial — não substitui um inventário de software autorizado em endpoints e servidores internos.
Controle 4Configuração Segura de Ativos e Software Parcial Detecção externa de configurações inadequadas em ativos expostos — serviços desnecessários publicados, painéis administrativos acessíveis, cabeçalhos e TLS fracos, buckets e diretórios abertos. Cobre o que se observa de fora; o hardening interno permanece com a organização.
Controle 7Gestão Contínua de Vulnerabilidades Alta Monitoramento contínuo de vulnerabilidades na superfície externa, com priorização por exploitabilidade real — threat intelligence e indicadores de exploração ativa reconhecidos pelo setor. Cobertura alta no perímetro externo; vulnerabilidades em ativos internos exigem varredura complementar.
Controle 12Gestão da Infraestrutura de Rede Parcial Mapeia a presença de rede exposta à internet — domínios, faixas de IP, serviços de borda e portas acessíveis — apontando exposições não documentadas. Não administra a configuração interna da infraestrutura de rede.
Controle 13Monitoramento e Defesa de Rede Parcial O monitoramento contínuo do perímetro sinaliza novas exposições e mudanças relevantes na superfície externa. É uma camada de observação externa, complementar — não substitui SIEM, IDS/IPS ou monitoramento de tráfego interno.
Controle 15Gestão de Provedores de Serviço Boa A análise da cadeia digital de fornecedores avalia a exposição externa de terceiros conectados ao seu ambiente, ajudando a sustentar a inclusão do risco de provedores no programa de segurança. O processo contratual e de governança com os fornecedores segue com a organização.
Controle 18Testes de Invasão Parcial A validação de exploitabilidade confirma, de forma ativa quando há módulos disponíveis, se exposições externas são realmente exploráveis — um insumo contínuo que apoia o programa de testes. A plataforma também ajuda a definir o escopo certo do teste de invasão: em vez de repetir sempre os mesmos alvos já conhecidos, o inventário externo contínuo direciona o pentest para os ativos que estão de fato expostos — incluindo shadow IT, subsidiárias e a cadeia de fornecedores. O atacante segue o caminho de menor resistência; o escopo do teste precisa refletir essa realidade. Não substitui um teste de invasão formal e abrangente, conduzido por especialistas.

Escopo: a contribuição da CSURFACE concentra-se na exposição externa — o que sua organização publica para a internet. Controles relativos a endpoints, identidade e acesso, proteção de dados, e-mail e navegadores, recuperação, treinamento e resposta a incidentes não são endereçados pela plataforma e permanecem sob responsabilidade do programa interno de segurança.

O QUE VOCÊ GANHA

Evidência concreta para os controles de perímetro

Inventário externo sempre atualizado

A descoberta contínua sustenta os Controles 1 e 2 na parcela exposta: você sabe o que está publicado para a internet, mesmo o que não foi cadastrado.

Vulnerabilidades priorizadas pelo risco real

O Controle 7 deixa de ser uma lista estática: a fila de correção acompanha o que está sendo explorado agora, no perímetro que importa.

Trilha para auditoria e maturidade

Cada achado gera evidência datada e auditável, útil para demonstrar a evolução dos controles de exposição externa em avaliações de maturidade dos CIS Controls.

PERGUNTAS FREQUENTES

FAQ

A CSURFACE cobre os 18 CIS Controls?

Não. A plataforma atua na parcela de exposição externa e contribui para um subconjunto de controles — entre eles os Controles 1, 2, 4, 7, 12, 13, 15 e 18. Controles que dependem de processos internos, endpoints, identidade ou pessoas não são endereçados pela CSURFACE e permanecem sob responsabilidade do programa de segurança da organização.

A CSURFACE substitui um programa de CIS Controls?

Não. Os CIS Controls formam um framework abrangente que envolve tecnologia, processos e pessoas. A CSURFACE é um componente que fortalece os controles dependentes da exposição externa — ela complementa o programa, não o substitui.

Por que alguns controles aparecem como cobertura "parcial"?

Porque a CSURFACE observa apenas o que está visível a partir da internet. Em controles como o 2 (inventário de software) ou o 12 (infraestrutura de rede), a visão externa traz parte das informações, mas não alcança endpoints, servidores internos e configurações que só são visíveis de dentro da rede. Marcar "parcial" é uma escolha de transparência.

A CSURFACE é certificada pelo Center for Internet Security?

O CIS publica o framework de controles, que é de adoção aberta; não há certificação de produtos individuais nesse modelo. A CSURFACE não é certificada pelo CIS — a matriz desta página descreve, com transparência, em quais controles e em que nível a plataforma contribui na superfície externa.

Veja sua superfície externa pela ótica dos CIS Controls.

Informe o domínio da sua empresa e receba uma análise preliminar da sua exposição externa. Sem cartão, sem reunião.

Receber análise preliminar