Aulas 06, 07 e 08 - Segurança, Vulnerabilidades, Ameaças e Riscos

01/02/2013
Universidade Federal de Ouro Preto Campus Joo Monlevade
Joo Monlevade, 1 de fevereiro de 2013
Prof. Mateus Ferreira Satler
O que poderia acontecer se tentssemos conectar Internet se um firewall ou software antivrus?
CEA 463 Segurana e Auditoria de Sistemas

PROF. MATEUS FERREIRA SATLER
01/02/2013
Caso 1: Spitfire Novelties (e-commerce)

Data: 12 de setembro de 2002 Local: Los Angeles Dia normal: gera entra 5 e 30 transaes com carto de crdito. Online Data Corporation processou 140.000 transaes no valor de US$ 5,07 cada uma. 62.000 foram aprovados US$ 300.000,00
Caso 2: MTS Moscou (Telefonia Mvel)

Data: Janeiro de 2003 Roubo de informaes pessoais (nmero de passaporte, idade, endereo, nmero de identidade, etc.) de 6 milhes de clientes. Banco de dados em CD-ROM vedido por US$15,00. Informaes usadas para crimes como roubo de identidade.

01/02/2013
Caso 3: Morgan Stanley (Servios Financeiros)

Anncio do eBay: Vendo BlackBerry US$15,50. Mais de 200 e-mails comerciais internos. Banco de dados com mais de 1.000 nomes, cargos (de vice-presidentes e diretores), endereos de e-mail e nmeros de telefone (alguns residenciais) de executivos da empresa em todo o mundo. Vendedor: antigo vice-presidente que havia sado meses antes.
Estes incidentes ilustram:

Vulnerabilidade dos Sistemas de Informao Diversidade de causas de problemas de segurana dos computadores Danos substanciais que podem ser causados s organizaes
A computao est longe de ser segura!

01/02/2013
Objetivos:
Conhecer Vulnerabilidades
Detectar Ameaas
Desenvolver Solues de Segurana e Controle
Calcular os Riscos

J dissecamos os desafios associados segurana com superficialidade executiva. necessrios agora definir com mais detalhes alguns aspectos e conceitos slidos amplamente reconhecidos da segurana da informao.

01/02/2013
rea do conhecimento dedicada proteo de ativos de informao contra acessos no autorizados, alteraes indevidas ou sua indisponibilidade.
Prtica de gesto de riscos de incidentes que impliquem no comprometimento dos trs principais conceitos da segurana:
Confidencialidade Integridade Disponibilidade da informao
Confidencialidade
Toda informao deve ser protegida de acordo com o grau de sigilo do seu contedo, visando a limitao do seu acesso e uso apenas s pessoas que so destinadas
Integridade
Toda informao deve ser mantida na mesma condio que foi disponibilizada pelo seu proprietrio, visando proteg-la contra alteraes indevidas, intencionais ou acidentais
Disponibilidade
Toda informao gerada ou adquirida por um indivduo ou instituio deve estar disponvel aos seus usurios no momento em que os mesmos necessitem delas para qualquer finalidade
01/02/2013
O Modelo de Gesto Corporativo de Segurana da Informao empresta expresso um sentido mais amplo, considerando em primeiro plano os desafios do negcio como um todo. Diante desta abrangente orientao, ganham autonomia mais dois conceitos de segurana:
Autenticidade Legalidade

Autenticidade
Garantia de que as entidades (informao, mquinas, usurios) identificadas em um processo de comunicao com remetentes ou autores sejam exatamente o que dizem ser e que a mensagem ou informao no foi alterada aps o seu envio ou validao.
Legalidade
Caracterstica das informaes que possuem valor legal dentro de um processo de comunicao, onde todos os ativos esto de acordo com as clusulas contratuais pactuadas ou a legislao poltica institucional, nacional ou internacional vigentes.

01/02/2013
Segurana de Informao, por si s, um termo ambguo, podendo assumir dupla interpretao:

Segurana como uma prtica adotada para tornar um ambiente seguro, de carter interdisciplinar, composta de um conjunto de metodologias e aplicaes que visam estabelecer: controle de segurana dos elementos constituintes de uma rede de comunicao e/ou que manipulem a informao; e procedimentos para garantir a continuidade de negcios na ocorrncia de incidentes. Resultado da prtica adotada, objetivo a ser alcanado. a caracterstica que a informao adquire ao ser alvo de uma prtica da segurana.
Logo, ao se utilizar este termo, deve-se ter conscincia desta ambiguidade, a fim de se identificar o conceito mais apropriado a ser absorvido. Por exemplo: Segurana como um meio
A segurana da informao visa garantir a confidencialidade, integridade e disponibilidade da informao, a impossibilidade de que agentes participantes em transaes ou na comunicao repudiem a autoria de suas mensagens, a conformidade com a legislao vigente e a continuidade dos negcios A segurana da informao alcanada por meio de prticas e polticas voltadas a uma adequada padronizao operacional e gerencial dos ativos, e processos que manipulem e executem a informao
Segurana como um fim
01/02/2013
Outros elementos importantes da Segurana da Informao: Informao

Conjunto de dados utilizados para a transferncia de uma mensagem entre indivduos e/ou mquinas em processos comunicativos (isto , baseados em troca de mensagens) ou transacionais (processos em que sejam realizadas operaes que envolvam transferncia de valores monetrios) A informao pode estar presente ou ser manipulada por inmeros elementos deste processo, chamados ativos, os quais so alvos de proteo da segurana da informao
Ativo
Todo elemento que compe os processos que manipulam e processam a informao, a contar a prpria informao, o meio em que ela armazenada, os equipamentos em que ela manuseada, transportada e descartada. Nome oriundo da rea financeira
Elemento de valor para um indivduo ou organizao Necessita de proteo adequada

01/02/2013
Ativo
Exemplo de diviso e agrupamento de ativos:
Equipamentos Aplicaes Usurios Ambientes Informaes Processos
Possibilita identificar melhor as fronteiras de cada grupo, tratando-os com especificidade e aumentando qualitativamente as atividades de segurana.
Auditoria
Processo de coleta de evidncias de uso dos recursos existentes, a fim de identificar as entidades envolvidas num processo de troca de informaes, ou seja, a origem, destino e meios de trfego de uma informao
Severidade
Gravidade do dano que um determinado ativo pode sofrer devido explorao de uma vulnerabilidade por qualquer ameaa aplicvel

01/02/2013
Relevncia do Ativo
Grau de importncia de um ativo para a operacionalizao de um processo de negcio
Relevncia do Processo de Negcio

Grau de importncia de um processo de negcio para o alcance dos objetivos e sobrevivncia de uma organizao

Criticidade
Gravidade referente ao impacto ao negcio causado pela ausncia de um ativo, pela perda ou reduo de suas funcionalidades em um processo de negcio, ou pelo seu uso indevido e no autorizado
Irretratabilidade
Caracterstica de informaes que possuem uma identificao do emissor que o autentica como o autor de informaes por ele enviadas e recebidas

10
01/02/2013
Fragilidade presente ou associada a ativos que manipulam e/ou processam informaes que, ao ser explorada por ameaas, permite a ocorrncia de um incidente de segurana.
Um ponto falho ou de fraqueza que pode ser explorado negativamente de forma proposital ou inadvertida. So os elementos que afetam negativamente um ou mais princpios da segurana da informao: confidencialidade, disponibilidade e integridade.
O conhecimento do maior nmero de vulnerabilidades possveis permite equipe de segurana tomar medidas para proteo, evitando assim ataques e consequentemente perda de informao. No h uma receita ou lista padro de vulnerabilidades. Esta deve ser levantada junto a cada organizao ou ambiente em questo. Sempre se deve ter em mente O QUE precisa ser protegido e DE QUEM precisa ser protegido de acordo com as ameaas existentes.
11
01/02/2013
Situao:
Grandes quantidades de dados armazenados em formato eletrnico: vulnerveis a muito mais tipos de ameaas. Sistemas de Informao formados por muitos componentes que podem estar situados em diversos locais. Mundo da computao em rede (Internet): acesso informao de qualquer lugar.

Exemplo inicial: Uma anlise de ambiente em uma sala de servidores de conectividade e Internet com a seguinte descrio: a sala dos servidores no possui controle de acesso fsico!! Eis a vulnerabilidade detectada nesse ambiente.

12
01/02/2013
Outros exemplos de vulnerabilidades:

uso de senhas no encriptadas, mal formuladas e mal utilizadas; software mal desenvolvido; hardware sem o devido acondicionamento e proteo; falta de atualizao de software e hardware; falta de mecanismos de monitoramento e controle (auditoria); ausncia de pessoal capacitado para a segurana; inexistncia de polticas de segurana.

Vulnerabilidades segundo classificao prpria da rea:

1. 2. 3. 4. 5. 6. 7. Vulnerabilidades Fsicas Vulnerabilidades de Hardware Vulnerabilidades de Software Vulnerabilidades de Armazenamento Vulnerabilidades de Comunicao Vulnerabilidades Humanas Vulnerabilidades Naturais

13
01/02/2013
1.
Vulnerabilidades Fsicas:
So aquelas presentes em ambientes onde se armazenam as informaes, como:
instalaes prediais fora do padro; CPDs mal planejados; disposio desorganizada de fios de energia e cabos de rede; ausncia de controle de acesso fsico, etc.

2.
Vulnerabilidades de Hardware:
Compreendem possveis defeitos de fabricao, erros de configurao ou falhas nos equipamentos.
Erros decorrentes da instalao, desgaste, obsolescncia ou m utilizao do equipamento.
importante observar detalhes como o dimensionamento adequado do equipamento, ou seja, se sua capacidade de armazenamento, processamento e velocidade esto compatveis com as necessidades, de modo a no sub ou super dimension-lo.

14
01/02/2013
3.
Vulnerabilidades de Software:
So possveis falhas de programao, erros de instalao e configurao, que podem, por exemplo, causar acesso indevido, vazamento de informaes, perda de dados, etc. Sistemas operacionais so altamente visados para ataque, pois atravs deles possvel ter acesso ao hardware do computador. Ataques como estes so de alta gravidade, e podem comprometer todo o sistema. Algumas empresas, ao identificarem alguma vulnerabilidade em seus softwares, lanam boletins informativos a fim de alertar os usurios, e normalmente disponibilizam pacotes de atualizao, denominados Service Packs, para correo desta vulnerabilidade.

4.
Vulnerabilidades de Armazenamento:
Relacionadas com a forma de utilizao das mdias (disquetes, CD-ROMs, fitas magnticas, discos rgidos dos servidores, etc.) em que esto armazenadas as informaes, como armazenamento de disquetes em local inadequado, etc.

15
01/02/2013
5.
Vulnerabilidades de Comunicao:
Relacionadas com o trfego de informaes, independente do meio de transmisso, podendo envolver ondas de rdio, satlite, fibra tica, etc.
Podem, por exemplo, permitir acesso no autorizado ou perda de dados durante a transmisso de uma informao.
A escolha do meio de transmisso e das medidas de segurana de suma importncia, pois a informao poder ser interceptada antes de chegar ao destino. Uma opo de segurana nesse contexto envolveria, por exemplo, o uso de criptografia.

6.
Vulnerabilidades Humanas:
Relacionadas aos danos que as pessoas podem causar s informaes e ao ambiente tecnolgico que as suporta, podendo ser intencionais ou no. Pode ocorrer devido a desconhecimentos das medidas de segurana, falta de capacitao para execuo da tarefa dentro dos princpios de segurana, compartilhamento de informaes confidenciais, erros e omisses, etc.

16
01/02/2013
7.
Vulnerabilidades Naturais:
Relacionadas aos danos naturais aos quais os computadores esto propensos a sofrer.
Tempestades Incndio falta de energia acmulo de poeira aumento da umidade e temperatura, etc.


17
01/02/2013
Vulnerabilidades no seriam um problema se no houvesse elementos capazes de explor-las, causando danos. Estes elementos so conhecidos como:
Ameaas
Vulnerabilidades so claramente associadas com ameaas.

Definio:
Ameaa algo que pode provocar danos segurana da informao, prejudicar as aes da empresa e sua sustentao no negcio, mediante a explorao de uma determinada vulnerabilidade.
Agentes ou condies que causariam incidentes que comprometem os ativos, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negcios de uma organizao.
18
01/02/2013
Em outras palavras, uma ameaa tudo aquilo que pode comprometer a segurana de um sistema. As ameaas podem ser:
Acidentais: falha de hardware, erros de programao, desastres
naturais, erros do usurio, bugs de software, uma ameaa secreta enviada a um endereo incorreto, etc.
Deliberadas: roubo, espionagem, fraude, sabotagem, invaso de hackers, entre outros.
Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de causar dano a um recurso ou ativo.
As ameaas so muitas das vezes consequncias das vulnerabilidades existentes. Seguindo o exemplo da sala dos servidores, poderamos identificar a ameaa da seguinte forma:
Fraudes Sabotagens Roubo de informaes Paralisao dos servios, etc.

19
01/02/2013
A ameaa a acesso no autorizado est ligada a controles de acesso inadequados. A ameaa de incndio est associada a vulnerabilidade da preveno contra incndio inadequada.

Vulnerabilidade X Ameaa Imagine o seguinte: Quando voc se sente ameaado, seja por qualquer tipo de fator ou circunstncia, voc no se sente necessariamente vulnervel. Mas quando voc se considera vulnervel a alguma situao ou momento, instintivamente voc se v, ou se acha ameaado. No uma regra, mas vale principalmente no contexto do que se diz respeito as informaes.
20
01/02/2013
Podem ser divididas em:

Ameaas internas: esto presentes, independentemente das empresas estarem ou no conectadas Internet. Podem causar desde incidentes leves at os mais graves, como a inatividade das operaes da empresa. Ameaas externas: so aqui representadas por todas tentativas de ataque e desvio de informaes vindas de fora da empresa. Normalmente essas tentativas so realizadas por pessoas com a inteno de prejudicar a empresa ou para utilizar seus recursos para invadir outras empresas.

Tambm podemos dividir as ameaas em:

Ameaas Naturais: ameaas decorrentes de fenmenos da natureza, como incndios naturais, enchentes, terremotos, tempestades eletromagnticas, maremotos, aquecimento, poluio, etc. Involuntrias: ameaas inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causadas por acidentes, erros, falta de energia, etc. Voluntrias: ameaas propositadas causadas por agentes humanos: os invasores.
21
01/02/2013
Alguns tipos de invasores:

Espies Ladres Incendirios Invasores Digitais

Caractersticas de um Invasor Digital:

Sabem codificar em vrias linguagens de programao. Conhecimentos aprofundados sobre ferramentas, servios e protocolos. Grande experincia com Internet . Conhecem intimamente pelo menos dois sistemas operacionais. Tm um tipo de trabalho que usa redes.
22
01/02/2013
1.
Script Kiddie
No possui muita habilidade, mas teve a sorte de encontrar um sistema remoto que no aplicou o patch de correo a tempo. So bons na razo inversamente proporcional negligncia de administradores/usurios que no acompanham listas de segurana. Um invasor que faz intruso vinculada a uma falha conhecida.

1.
Script Kiddie
Sua tcnica consiste em ficar revirando a Internet atrs de mquinas vulnerveis e invadir utilizando ferramentas que permitam explorar as falhas em servios. Podem desenvolver suas prprias ferramentas. Existem os que no conhecem nenhuma tcnica, e tudo o que sabem executar as ferramentas fornecidas por outro Script Kiddie.

23
01/02/2013
2.
Hacker
So aqueles que utilizam seus conhecimentos para invadir sistemas, no com o intuito de causar danos s vtimas, mas sim como um desafio s suas habilidades. Ganharam, junto opinio pblica influenciada pelos meios de comunicao, uma conotao negativa, que nem sempre corresponde realidade. Tem conhecimentos avanados de informtica e exploram falhas de segurana em sistemas de informao.

2.
Hacker
Eles invadem os sistemas, capturam ou modificam arquivos para provar sua capacidade e depois compartilham suas proezas com os colegas. Eles no tm a inteno de prejudicar, mas sim de apenas demonstrar que conhecimento poder. Exmios programadores e conhecedores dos segredos que envolvem as redes e os computadores, eles geralmente no gostam de ser confundidos com crackers.

24
01/02/2013
3.
Hacker tico
Programador ou administrador que se reserva a questionar os problemas de segurana nas tecnologias disponveis e as formas de provar o conceito do que discutido. Se dedica a investigar a integridade e a segurana de uma rede ou sistema operacional. Usa o conhecimento avanado sobre software e hardware para entrar no sistema atravs de formas inovadoras.

3.
Hacker tico
Programador ou administrador que se reserva a questionar os problemas de segurana nas tecnologias disponveis e as formas de provar o conceito do que discutido. Se dedica a investigar a integridade e a segurana de uma rede ou sistema operacional. Usa o conhecimento avanado sobre software e hardware para entrar no sistema atravs de formas inovadoras.

25
01/02/2013
3.
Hacker tico
Compartilha seu conhecimento gratuitamente atravs da Internet . No usa de ms intenes. Tenta oferecer um servio comunidade interessada.

4.
Cracker
um hacker que usa seus conhecimentos para quebrar sistemas de segurana, danificar os dados acessados e/ou obter vantagens ilcitas. Normalmente uma ameaa e gera prejuzos. Tambm uma denominao utilizada para aqueles que decifram cdigos e destroem protees de software.

26
01/02/2013
4.
Cracker
Um invasor de bons conhecimentos tcnicos e assim sendo, ele ser capaz de apagar seus rastros de maneira mais sutil. Se caracteriza pelo alto nvel tcnico, na medida em que cada passo da invaso realmente estudado e bem pensado. Busca dados como configuraes padres ou senhas padres que ele possa explorar. Realiza ataques inteligentes para comprometer a segurana da rede.
Motivos para as ameaas

Explorao de emoes (Notoriedade, Diverso). Concorrncia de mercado. Inimigos polticos. Ladres (atividades furtivas). Espies (Espionagem industrial). Funcionrios hostis: empregados ou antigos empregados, vingana, ataque de troca de senhas ou sesses abertas. Investigao legal.

27
01/02/2013
Spoofing (Disfarce)
Envolve o redirecionamento de um link para um endereo diferente do desejado, estando o site esprio disfarado como o destino pretendido. Phishing: montar sites falsos ou enviar mensagens de email parecidas com as enviadas por destinatrios legtimos, a fim de pedir aos usurios dados pessoais confidenciais.
Evil Twins: redes sem fio falsas, similares s verdadeiras. Pharming: redireciona usurios pginas Web falsas, mesmo quando o endereo correto digitado.
Sniffer (Farejador)
Programa espio que monitora as informaes transmitidas por uma rede. Permitem o roubo de informaes de qualquer parte da rede.
Mensagens de e-mail Arquivos da empresa Relatrios confidenciais

28
01/02/2013
DoS denial of service (Recusa de Servio)

Inundam um servidor de rede ou servidor Web com centenas de falsas comunicaes ou requisies de informao, a fim de inutilizarem a rede. A rede recebe tantas consultas que no consegue lidar com elas, ficando indisponvel para solicitaes de servio legtimas.
DDoS distributed denial of service

Utiliza inmeros computadores para inundar e sobrecarregar a rede a partir de diferentes pontos.
Malware (Software mal intencionado)

Expresso usada para todo e quaisquer softwares maliciosos, ou seja, programados com o intuito de:
Prejudicar os sistemas de informao, Alterar o funcionamento de programas Roubar informaes, Causar lentides de redes computacionais, etc.
Malware so programas que executam deliberadamente aes mal-intencionadas em um computador.

29
01/02/2013
Os tipos mais comuns de Malware so:

1. 2. 3. 4. 5. 6. 7. Vrus Worms Bots Cavalos de Tria Spyware Keylogger Screenlogger

1.
Vrus
So pequenos cdigos de programao maliciosos que se agregam a arquivos e so transmitidos com eles. Quando o arquivo aberto na memria RAM, o vrus tambm , e, a partir da se propaga infectando, isto , inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vrus depende da execuo do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infeco. Alguns vrus so inofensivos, outros, porm, podem danificar um sistema operacional e os programas de um computador.
30
01/02/2013
2.
Worms So programas parecidos com vrus, mas que na verdade so capazes de se propagarem automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador. Os Worms apenas se copiam, no infectam outros arquivos, eles mesmos so os arquivos. Alm disso, geralmente utilizam as redes de comunicao para infectar outros computadores (via e-mails, Web, FTP, redes das empresas, etc). No necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores.

3.
Bots
De modo similar ao Worm, um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configurao de software instalado em um computador. Adicionalmente ao Worm, dispe de mecanismos de comunicao com o invasor, permitindo que o Bot seja controlado remotamente.

31
01/02/2013
4.
Trojan horse (Cavalo de Tria)

um programa aparentemente inofensivo que entra em seu computador na forma de carto virtual, lbum de fotos, protetor de tela, jogo, etc., e que, quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre portas de comunicao do seu computador para que ele possa ser invadido. Distingue-se de um vrus ou de um worm por no infectar outros arquivos, nem propagar cpias de si mesmo automaticamente. O trojans ficaram famosos na Internet pela facilidade de uso, e por permitirem a qualquer pessoa possuir o controle de um outro computador apenas com o envio de um arquivo.
5.
Spyware
Programa que tem por finalidade monitorar as atividades de um sistema e enviar as informaes coletadas para terceiros.

32
01/02/2013
6.
Keylogger
Tipo de malware que capaz de capturar e armazenar as teclas digitadas pelo usurio no teclado de um computador. Dentre as informaes capturadas podem estar o texto de um e-mail, dados digitados na declarao de Imposto de Renda e outras informaes sensveis, como senhas bancrias e nmeros de cartes de crdito. Em muitos casos, a ativao do keylogger condicionada a uma ao prvia do usurio, como por exemplo, aps o acesso a um site especfico de comrcio eletrnico ou Internet Banking. Normalmente, o keylogger contm mecanismos que permitem o envio automtico das informaes capturadas para terceiros (por exemplo, atravs de e-mails).
7.
Screenlogger
Forma avanada de keylogger, capaz de armazenar a posio do cursor e a tela apresentada no monitor, nos momentos em que o mouse clicado, ou armazenar a regio que circunda a posio onde o mouse clicado.

33
01/02/2013
Incidente:
Fato ou evento decorrente de ao de uma ameaa, que explora uma ou mais vulnerabilidades, levando perda de princpios da segurana da informao. Gera impactos aos processos de negcio da empresa, devendo ser evitado. A gravidade de um incidente pode ser analisada em termos qualitativos e quantitativos, sendo medida pelo seu impacto.

Impacto:
Resultados indesejados da ocorrncia de uma ameaa contra um bem, que resulta em perda mensurvel para uma organizao. Abrangncia dos danos causados por um incidente de segurana por um ou mais processos de negcio. Quase todo risco tem um impacto, embora de difcil previso.

34
01/02/2013
Definio:
Risco a probabilidade de ameaas explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negcios.
Smola (2003)

Risco a medida da exposio qual o sistema computacional est sujeito. Depende da probabilidade de uma ameaa atacar o sistema e do impacto resultante desse ataque. Como exemplo de um risco pode-se imaginar um funcionrio insatisfeito e um martelo ao seu alcance; nesse caso o funcionrio poderia danificar algum ativo da informao. Assim pode-se entender como risco tudo aquilo que traz danos s informaes e com isso promove perdas para a organizao.
35
01/02/2013
O risco medido pela probabilidade de uma ameaa acontecer e o dano potencial empresa. Existem algumas maneiras de se classificar o grau de risco no mercado de segurana, mas de uma forma simples, poderamos tratar como alto, mdio e baixo risco. No caso do nosso exemplo da sala dos servidores, poderamos dizer que, baseado na vulnerabilidade encontrada, a ameaa associada de ALTO RISCO.
Moreira (2001)
36
01/02/2013
Anlise de riscos:
uma medida que busca rastrear vulnerabilidades nos ativos que possam ser explorados por ameaas. Pode ser realizada em vrios mbitos: tecnolgico, humano e fsico. Todos devem ser considerados, pois a segurana deve ser implantada visando a correo de todo o ambiente. Se um desses ambientes no for considerado, poder deixar vulnerabilidades crticas.
Anlise de riscos: Elementos

Ameaa: quanto mais ameaa, maior a chance de risco. Probabilidade: a chance de alguma ameaa se concretizar. Impacto: a medida de dano que o risco pode causar pessoa ou ao objeto. Ao Alternativa: determinao de aes para eliminar ou mitigar o risco.
37
01/02/2013
Anlise de riscos:
Uma metodologia simples de clculo de risco seria:

Anlise de riscos e suas consequncias
Estimativa das probabilidades de ocorrncia Estimativa do dano causado pela ocorrncia do incidente
RISCO = PROBABILIDADE X GRAU DAS CONSEQUNCIAS

Anlise de riscos:
Contudo, alguns negcios, independente de seus segmentos de mercado, podem possui dezenas, talvez centenas de variveis que se relacionam direta e indiretamente com a definio do seu nvel de risco. Identificar estas variveis passa a ser a primeira etapa do desafio.

38
01/02/2013
Anlise de riscos:
Por melhor que estejam protegidos os ativos, novas tecnologias, mudanas organizacionais e novos processos de negcio podem criar vulnerabilidades ou identificar e chamar a ateno para as j existentes. Alm disso, novas ameaas podem surgir e aumentar significativamente a possibilidade de impactos ao negcio. Sendo assim, medidas corretivas de segurana precisam ser consideradas, pois sempre haver a possibilidade de um incidente ocorrer, por mais que tenhamos tomado todas as medidas preventivas adequadas.
Anlise de riscos:
Outra proposta para a equao de risco de segurana da informao poderia ser:
Vul Ame Im Risco Med Seg

39
01/02/2013
Risco tendendo a Zero

fundamental que todos tenhamos a conscincia de que no existe segurana total e, por isso, devemos estar bem estruturados para suportar mudanas nas variveis da equao, reagindo com velocidade e ajustando o risco novamente aos padres pr-estabelecidos como ideal para o negcio. Diante disso, conclumos que no h um resultado R (risco) igual para todos. Sempre ser necessrio avaliar o nvel de segurana apropriado para cada momento vivido pela empresa.
O que so?
Prticas, procedimentos e mecanismos utilizados para proteo da informao e seus ativos
Buscam:
Reduzir vulnerabilidades Minimizao do risco Limitao do impacto

40
01/02/2013
1.
Caractersticas: Preventivas: Tem como objetivo evitar que incidentes venham a ocorrer. Visam manter a segurana j implementada por meio de mecanismos que estabeleam a conduta e a tica da segurana a instituio.

Exemplos:
Polticas de segurana Instrues e procedimentos de trabalho Ferramentas para implementao da poltica de segurana
Firewall Antivrus Configuraes adequadas de roteadores e sistemas operacionais

Caractersticas: Detectveis: Identificar condies ou indivduos causadores de ameaas, a fim, de evitar que as mesmas explorem vulnerabilidades. Exemplos
2.
Anlise de riscos Sistemas de deteco de intruso Cmeras de segurana Alarmes

41
01/02/2013
Caractersticas: Corretivas: aes voltadas correo de uma estrutura tecnolgica e humana para que as mesmas se adaptem s condies de segurana estabelecidas pela instituio. Exemplos
3.
Equipes para emergncias Restaurao de backup Plano de continuidade operacional Plano de recuperao de desastres
Muitas medidas de segurana podem se encaixar em mais de uma caracterstica: Ex.: Plano de continuidade de negcios
Ao preventiva (criao) Ao corretiva (utilizao)
Logo, esta categorizao serve apenas para a identificao do foco que o trabalho de segurana est se propondo, quando o mesmo est sendo realizado.
42
01/02/2013
Baseada na estratgia militar de segmentar os ambientes fsicos para adotar as medidas de defesa adequadas a cada um Aplicvel ao ambiente de segurana das empresas, contudo, extrapolando a segmentao tambm para ambientes lgicos
Exemplo: Acessos Internet e sistemas segmentados por departamentos
Para garantir melhor retorno dos mecanismos que garantam os nveis de proteo da informao importante se pensar na segmentao inteligente dos ativos.
Assim possvel se aplicar os controles adequados, cada um oferecendo um nvel previamente dosado de proteo.

43
01/02/2013

Cumpre importante papel de alerta e de mecanismo de resistncia distribudo por reas Visa permitir que tentativas de acesso indevido e invaso gerem sinais de alerta e se deparem com a resistncia que propiciar tempo para que as medidas contingenciais sejam tomadas antes da ao avanar ainda mais em direo ao alvo
44
01/02/2013
Exemplo: Auditoria restritiva de acesso Internet

necessrio que os funcionrios sejam logicamente segmentados na rede. Assim minimiza-se o risco de exceder o nvel de controle para uns ou oferecer-lhes um nvel aqum das necessidades.

Devido amplitude e complexidade do papel da segurana, comum estudarmos os seus desafios em camadas ou fases, dividindo o trabalho para melhor o conquistarmos! A esta diviso damos o nome de Barreiras de Segurana. As barreiras de segurana tm como principal objetivo reduzir os riscos, e so dimensionadas adequadamente para proporcionar a mais perfeita interao e integrao como se fossem peas de um quebra-cabea.
45
01/02/2013
O modelo de barreiras de segurana implementa a teoria do permetro, segmentando permetros fsicos ou lgicos, e oferecendo nveis de resistncia e proteo complementares e crescentes


46
01/02/2013
Primeira das barreiras e cumpre o papel importante de desencorajar as ameaas. As ameaas podem ser desmotivadas ou perder o estmulo por efeito de mecanismos fsicos, tecnolgicos ou humanos. Exemplos
Presena de cmeras de vdeo Aviso de existncia de alarmes Campanhas de divulgao da Poltica de Segurana Treinamento dos funcionrios informando as prticas de auditoria e monitoramento de acesso aos sistemas
O papel desta barreira complementar anterior atravs da adoo efetiva dos controles que iro dificultar o acesso indevido Exemplos
Dispositivos de autenticao para acesso fsico
Roletas Detectores de metal Alarmes
Ou acesso lgico
Leitores de carto magntico Senhas, Smartcards, Certificados digitais Criptografia, Firewall

47
01/02/2013
Permite identificar e gerir os acessos, definindo perfis e autorizando permisses Exemplos

Os sistemas so largamente empregados para monitorar e estabelecer limites de acesso aos servios de telefonia, permetros fsicos, aplicaes de computador e bancos de dados Os processos de avaliao e gesto do volume de uso dos recursos, como e-mail, impressora, ou at mesmo o fluxo de acesso fsico aos ambientes
Adiciona soluo de segurana dispositivos que sinalizem, alertem e instrumentem os gestores da segurana na deteco de situaes de risco
Tentativas de invaso, contaminao por vrus, descumprimento da Poltica de Segurana, cpia e envio de informaes sigilosas de forma inadequada
Exemplos
Sistemas de monitoramento e auditoria para auxiliar na identificao de atitudes de exposio, como o antivrus e o sistema de deteco de intrusos
48
01/02/2013
Impede que a ameaa atinja os alvos que suportam o negcio. O acionamento desta barreira, ativando seus mecanismos de controle, um sinal de que as barreiras anteriores no foram suficientes para conter a ao da ameaa Exemplos
Medidas de deteno
Aes administrativa e punitivas Bloqueio de acessos fsicos e lgicos, respectivamente a ambientes e sistemas
Apesar de ser a ltima barreira do diagrama, esta fase representa continuidade do processo de gesto de segurana da informao. Elo de ligao com a primeira barreira, criando um movimento cclico e contnuo. Barreira de maior importncia
Anlise de riscos (aspectos fsicos, tecnolgicos e humanos) Diagnstico mal feito pode ocasionar muitas falhas de segurana e impedir ou dificultar o ROI.
49
01/02/2013
Ter instalado, em seu computador e no da empresa, um programa antivrus capaz de detectar a presena de Malware em e-mails ou arquivos do computador.
Os antivrus so programas de computador capazes de reconhecer diversos cdigos computacionais maliciosos, impedir seu funcionamento, retir-los do sistema e em diversos casos, desfazer o mal feito ocasionado pelos mesmos.
No executar ou abrir arquivos recebidos por e-mail ou por outras fontes, mesmo que venham de pessoas conhecidas (caso seja necessrio abrir o arquivo, certifique-se de que ele foi verificado pelo programa antivrus).
Procurar utilizar na elaborao de documentos formatos menos suscetveis propagao de vrus, tais como RTF, ou PDF, dentre outros; No abrir arquivos anexos a e-mails de pessoas que voc no conhece e cuidado ao arquivos anexos a e-mails de pessoas que voc conhece.
Os Worms atuais atacam um computador e usam a sua listagem de endereos para mandar um e-mail para cada pessoa da lista como se fosse o dono do computador

50
01/02/2013
Evitar utilizao de software piratas. Desconfiar de arquivos com duplas-extenses (ex: .txt.exe ou jpg.vbs). Evitar troca de dados com computadores pblicos (Ex: lan house). Manter uma rotina eficiente de cpia dos dados armazenados (backup).
Laudon, K. C., & Laudon, J. P. (2005). Sistemas de informao gerenciais: administrando a empresa digital: Pearson Prentice Hall. Ramos, A.; Bastos, A.; Layra, A. (2006). Guia oficial para formao de gestores em segurana da informao. 1. ed. Rio Grande do Sul: ZOUK. Smola, M. (2003). Gesto da segurana da informao. 2 ed. So Paulo: Campus Elsevier. Turban, E., Rainer, R. K., & Potter, R. E. (2005). Administrao de tecnologia da informao: teoria e prtica: Campus.

51

Aulas 06, 07 e 08 - Segurança, Vulnerabilidades, Ameaças e Riscos

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Aulas 06, 07 e 08 - Segurança, Vulnerabilidades, Ameaças e Riscos

Caricato da

Copyright:

Formati disponibili

01/02/2013

Universidade Federal de Ouro Preto Campus Joo Monlevade

Joo Monlevade, 1 de fevereiro de 2013

Prof. Mateus Ferreira Satler

O que poderia acontecer se tentssemos conectar Internet se um firewall ou software antivrus?

CEA 463 Segurana e Auditoria de Sistemas

Caso 1: Spitfire Novelties (e-commerce)

Caso 2: MTS Moscou (Telefonia Mvel)

CEA 463 Segurana e Auditoria de Sistemas

Caso 3: Morgan Stanley (Servios Financeiros)

Estes incidentes ilustram:

A computao est longe de ser segura!

Desenvolver Solues de Segurana e Controle

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

Segurana de Informao, por si s, um termo ambguo, podendo assumir dupla interpretao:

Segurana como um fim

Outros elementos importantes da Segurana da Informao: Informao

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

Relevncia do Processo de Negcio

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

Outros exemplos de vulnerabilidades:

CEA 463 Segurana e Auditoria de Sistemas

Vulnerabilidades segundo classificao prpria da rea:

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

Vulnerabilidades so claramente associadas com ameaas.

CEA 463 Segurana e Auditoria de Sistemas

Deliberadas: roubo, espionagem, fraude, sabotagem, invaso de hackers, entre outros.

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

Podem ser divididas em:

CEA 463 Segurana e Auditoria de Sistemas

Tambm podemos dividir as ameaas em:

Alguns tipos de invasores:

CEA 463 Segurana e Auditoria de Sistemas

Caractersticas de um Invasor Digital:

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

Motivos para as ameaas

CEA 463 Segurana e Auditoria de Sistemas

CEA 463 Segurana e Auditoria de Sistemas

DoS denial of service (Recusa de Servio)

DDoS distributed denial of service

Malware (Software mal intencionado)