Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prof. Me. Ricardo Sewaybriker UNIDADE IV Gestão da Segurança da Informação Criptografia e infraestrutura de chaves A criptografia é uma ciência fundamental para a segurança, servindo de base para diversas tecnologias e protocolos. Suas propriedades de confidencialidade, autenticidade, integridade, autenticação e não repúdio garantem o armazenamento, a comunicação e as transmissões de forma segura. Esta unidade irá discutir o papel da criptografia, sua segurança e também a PKI (Public Key Infraestructure) ou Infraestrutura de Chaves Públicas. Tecnologia de segurança e aspectos físicos e lógicos Utilizando os mecanismos disponíveis hoje para o processo de criptografia, descrevemos abaixo um resumo dos serviços de segurança que a criptografia pode nos oferecer: Confidencialidade: protege o sigilo das informações contra acesso de terceiros não autorizados. Autenticação: verifica a identidade de um indivíduo ou um sistema. Autenticidade: serve para assegurar que a mensagem foi gerada por quem realmente alega ser. Integridade: garante que as informações não foram alteradas desde a sua geração. Não repúdio: impede que uma pessoa ou sistema negue sua responsabilidade sobre seus atos. Tecnologia de segurança e aspectos físicos e lógicos Criptografia simétrica Fonte: autoria própria Mensagem Original Mensagem Original Chave Criptografia Chave Criptografia Mensagem Cifrada Criptografia mensagem Criptografia mensagem Exemplos de algoritmos simétricos Fonte: autoria própria Algoritmo Comprimento da Chave Descritivo DES 56 bits Primeiro padrão mundial 3DES 168 bits (efetivo de 112) Nova versão do DES Blowfish Variável até 448 bits Alternativa ao DES RC4 Variável de 40 a 256 bits Utilizado nos protocolos SSL, WEP e WPA Criptografia assimétrica Fonte: autoria própria INTERNET Chave Pública Usuário A Chave Pública Usuário A Utiliza a chave privada de A para decodificar o texto Criptografa o texto utilizando a chave publica de A Mensagem Cifrada Mensagem Original Até os dias de hoje, a grande complexidade desses problemas, além do tamanho das chaves utilizadas, garante o sucesso desse algoritmo; entretanto, devido à quantidade de cálculos processados, o modelo exige uma grande capacidade de processamento. Para resolver problemas de verificação de autenticidade de uma mensagem, os sistemas de chaves públicas utilizam as chamadas assinaturas digitais, que funcionam da seguinte forma: o remetente gera um hash da mensagem a ser enviada; codifica com sua chave privada, gerando uma assinatura digital; adiciona a mensagem, que é cifrada com a chave pública do destinatário. Dessa forma, se o hash da assinatura for igual ao gerado a partir da mensagem recebida, a assinatura é confirmada e a mensagem é autêntica e está íntegra. Com base nesses conceitos, podemos perceber que tanto os algoritmos simétricos como os assimétricos possuem vantagens e desvantagens. Para uma melhor visualização desse conteúdo, descrevemos a seguir uma tabela comparando os dois modelos: Criptografia assimétrica Comparativo entre criptografia assimétrica x simétrica Sistema Criptografia Assimétrica Criptografia Simétrica Vantagens Chaves podem ser negociadas por meio de um canal inseguro Velocidade Maior escalabilidade Elevado nível de segurança Utilizada em outros serviços, como assinatura digital Desvantagens Lentidão A troca das chaves deve ocorrer em um canal seguro Necessita de uma chave maior para obter segurança Baixa escalabilidade Não proporciona outros serviços Fonte: autoria própria Nos certificados digitais por sua vez, os sistemas de chaves públicas e seus conceitos resolveram uma série de problemas e a utilização de sistemas híbridos também; entretanto ficou uma pergunta: como é possível garantir a propriedade de uma chave pública em todos esses processos? Para isso, é necessário que nesses processos exista uma entidade terceira, com a responsabilidade de verificar a identidade do proprietário de uma chave pública, assinando digitalmente sua comprovação. Para isso foram criadas as ACs (Autoridades Certificadoras), cujo objetivo é atestar a propriedade de sua chave pública, em que na troca de informações, cada uma das partes solicita seus respectivos certificados digitais para as ACs. Entretanto, esse modelo não seria viável devido às diferenças de localização e à quantidade de solicitações para uma única AC. Certificados digitais Essa demanda foi resolvida com o relacionamento entre as ACs, a qual podemos dividir basicamente em três formatos: hierárquico, em que uma AC raiz tem a função de assinar o certificado de outras ACs, sendo que essas ACs podem ter outras ACs subordinadas e assim por diante; certificação cruzada, em que a AC raiz de uma cadeia assina o certificado de outra AC raiz de uma nova cadeia; híbrido, em que são utilizados os dois conceitos. Por exemplo, se a AC raiz “x” assina o certificado da AC raiz “y”, consequentemente todas as ACs abaixo dessas cadeias confiam entre si. Certificados digitais Quando uma organização se depara com os recursos tecnológicos para proteção dos ativos de informação, logo se preocupará em defender três ativos de informação em especial: seus dados, seus recursos e sua reputação diante dos clientes e do mercado. Para que uma organização consiga uma melhor eficácia na utilização dos recursos tecnológicos para a proteção à segurança da informação, alguns itens como vulnerabilidades, ameaças, possíveis formas de ataque, quem são os atacantes e principalmente como se proteger, devem estar bem definidos na mente dos profissionais de segurança da informação e dos profissionais de TI. Vulnerabilidades, ameaças e mecanismos de proteção O vírus é um programa capaz de infectar outros programas e arquivos de um computador. Para realizar a infecção, o vírus embute uma cópia de si mesmo em um programa ou arquivo, que quando executado também executa o vírus, dando continuidade ao processo de infecção. O worm (verme) é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não necessita ser explicitamente executado para se propagar. Sua propagação se dá pela exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. No caso dos backdoors ocorre quando um atacante procura garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos métodos utilizados na realização da invasão. Na maioria dos casos, a intenção do atacante é poder retornar ao computador comprometido sem ser notado. Vulnerabilidades, ameaças e mecanismos de proteção Conta a mitologia grega que o “Cavalo de Troia” foi uma grande estátua, utilizada como instrumento de guerra pelos gregos para obter acesso à cidade de Troia. A estátua do cavalo foi recheada com soldados que, durante a noite, abriram os portões da cidade possibilitando a entrada dos gregos e a dominação de Troia. Daí surgiram os termos “Presente de Grego” e “Cavalo de Troia”. Spyware é um software malicioso que, uma vez instalado no computador, monitora as atividades de seus usuários, coletando informações (senhas, logins, documentos) e enviando para terceiros. Phishing é um golpe em que o fraudador envia mensagens em nome de instituições oficiais com o objetivo de induzir o acesso a páginas falsas. Para tanto são utilizadas imagens, textos e links reais para instalar um programa que tenta furtar dados pessoais e financeiros de usuários ou induzir a vítima a fornecer seus dados pessoais como número de cartão de crédito, senhas de acesso e outros. Vulnerabilidades, ameaças e mecanismos de proteção Nos ataques de negação de serviço (DoS – Denial of Service), o atacante utiliza um computador para tirar de operaçãoum serviço ou computador conectado à internet para gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usuário não consiga utilizá-lo. Exemplos desse tipo de ataque são: ações para gerar um grande tráfego de dados para uma rede, ocupando toda a banda disponível, de modo que qualquer computador dessa rede fique indisponível, tirar serviços importantes de um provedor do ar, impossibilitando o acesso dos usuários às suas caixas de correio no servidor de e-mail ou ao servidor web. O DDoS (Distributed Denial of Service) constitui um ataque de negação de serviço distribuído, ou seja, um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à internet. Vulnerabilidades, ameaças e mecanismos de proteção Engenharia Social é o termo utilizado para descrever um método de ataque, em que alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Boatos (Hoaxes) são e-mails que possuem conteúdos alarmantes ou falsos e que geralmente têm como remetente ou apontam como autor da mensagem alguma instituição, empresa importante ou órgão governamental. Por meio de uma leitura minuciosa desse tipo de e-mail, normalmente é possível identificar em seu conteúdo mensagens absurdas e muitas vezes sem sentido. Vulnerabilidades, ameaças e mecanismos de proteção Spam é o termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, esse tipo de mensagem também é referenciada como UCE (do inglês Unsolicited Commercial Email). Vulnerabilidades, ameaças e mecanismos de proteção Os antivírus são programas que procuram detectar e, então, anular ou remover os vírus de computador. Atualmente, novas funcionalidades têm sido adicionadas aos programas antivírus, de modo que alguns procuram detectar e remover Cavalos de Troia, barrar programas hostis e verificar e-mails. O uso de criptografia para informações sigilosas armazenadas em cópias de segurança também é recomendado. Nesse caso, os dados que contenham informações sigilosas devem ser armazenados em algum formato criptografado. Cuidados com a senha de acesso à rede, sistemas, e-mails devem ser tomados como, por exemplo: elaborar sempre uma senha que contenha pelo menos oito caracteres, compostos de letras números e símbolos, jamais utilizar como senha o nome, sobrenome, números de documentos, placas de carros, números de telefones, datas que possam ser relacionadas com você ou palavras constantes em dicionários; utilizar uma senha diferente para cada serviço, alterar a senha com frequência. Vulnerabilidades, ameaças e mecanismos de proteção Termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Estamos falando de: a) Vírus. b) Cavalo de Troia. c) Spam. d) Boatos. e) Phishing. Interatividade Termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Estamos falando de: a) Vírus. b) Cavalo de Troia. c) Spam. d) Boatos. e) Phishing. Resposta Diante das responsabilidades da área de segurança da informação dentro do ambiente corporativo, a resposta a incidentes tem papel fundamental na eficácia do processo de gestão dos ativos de informação. Uma das camadas de segurança que as empresas adotam para gerenciar o risco de segurança é a criação de um CIRT (Computer Incident Response Team – Time de Resposta a Incidentes Computacionais). Evento é uma ocorrência observável a respeito de um sistema de informação a exemplo de um e-mail, um telefonema, o travamento de um servidor (crash). Incidente é um evento ou uma cadeia de eventos maliciosos sobre um sistema de informação que implica em comprometimento ou tentativa de comprometimento da segurança. Resposta a incidentes O CIRT é formado por um grupo de profissionais pertencentes a diversos departamentos da corporação, devidamente treinados com larga experiência nas suas respectivas áreas cuja missão é atender e acompanhar, imediatamente, incidentes de segurança no ambiente computacional da empresa, seguindo procedimentos previamente estabelecidos. Quando uma organização tem a intenção de criar um CIRT, normalmente procura verificar como esse processo ocorreu em outras empresas, além de estabelecer requerimentos que devem ser atendidos por esse time. Resposta a incidentes Resposta a incidentes Fonte: autoria própria Líder do CIRT Área de Seg. Info. Tecnologia da Informação Desenvol- vimento Tecnologia da Informação Mainframe Telecom/ Redes Auditoria Engenharia Recursos Humanos Jurídico Relações Públicas Ao final do trabalho, ou mesmo durante sua execução, o líder do CIRT apresentará ao comitê de segurança um resumo desse relatório, que deverá conter os seguintes pontos: Descrição sucinta do incidente. Causa do incidente. Forma de identificação do incidente. Classificação se pode ou não haver consequências financeiras e de imagem avaliadas. Contra medidas tomadas. Plano de ação para a contenção de incidentes semelhantes. Resposta a incidentes Resposta a incidentes Fonte: autoria própria Acionamento da Área de Segurança da Informação Documentação da ampliação da base de conhecimento Apresentação do Relatório ao Comitê de Segurança Elaboração do plano de ação Avaliação das consequências financeiras e imagem Aplicação do Plano de Continuidade de Negócios Relações Públicas Jurídico Recursos Humanos Auditoria / Inspetoria Reunião Emergencial do CIRT Identificação da causa e coleta de rastros Suspeita de Incidente T e c n o lo g ia d a In fo rm a ç ã o Parceiros de Segurança A segurança física cuida da proteção de todos os ativos valiosos da organização, por essa razão sua abrangência é extensa e vai desde as instalações físicas, internas e externas em todas as localidades da organização. A segurança física também cuida da proteção dos ativos quando estão sendo transportados como valores ou fitas de backup. Segurança física Fonte: autoria própria Compreender o ambiente físico da organização é o primeiro passo para a identificação das vulnerabilidades que podem estar abrindo brechas para as ameaças que podem comprometer o ambiente físico da organização. Segurança física Fonte: autoria própria Barreiras perimetrais ou periféricas Segurança física Fonte: autoria própria é Formados por colunas de concreto ou metal, colocados nas calçadas cujo objetivo é impedir a aproximação ou estacionamento de veículos, sem atrapalhar o tráfego de pedestre. Componentes básicos de sistemas CFTV Segurança física Fonte: autoria própria A luz é um fator primordial para a captação de imagens, em última instância é exatamente aquilo que é captado pela câmera. Utilizados na visualização de imagens, a tecnologia dos monitores interfere na qualidade das imagens apresentadas. Medidas de proteção para as mídias Segurança física Fonte: autoria própria Uso de rótulos para identificação de mídias com conteúdo confidencial, e adoção de serviços e mecanismos compatíveis. Melhores práticas para cabeamento ISO IEC 27001 Segurança física Fonte: autoria própria Quando falamos do controle de acesso lógico e na interligação em redes, os problemas de segurança se multiplicam de forma alarmante. Basta um único usuário descuidado para comprometer toda a segurança de uma rede inteira. No caso das redes conectadas à internet, a proteção física já não garante a segurança da informação onde os equipamentos físicos se tornam lógicos no chamado ciberespaço. Nesse ambiente, as ameaças sãomultiplicadas e potencializadas com ameaças externas como invasões, ataques de negação de serviço e ameaças internas como erros, abusos de privilégios, fraudes etc. A segurança em redes sempre foi considerada uma alternativa à segurança em estações de trabalho. Os argumentos sempre foram a praticidade e a facilidade. Achava-se que se a rede estivesse protegida, as máquinas estariam seguras. Com o passar do tempo, a adoção de criptografia nos protocolos de rede fez que essa abordagem perdesse parte de sua eficácia. Segurança lógica As ameaças às redes de dados podem ser tipificadas dependendo dos objetivos que elas possuem em relação ao alvo atacado. As ameaças podem ser de interceptação, modificação, interrupção ou de fabricação. Na interceptação, o atacante se posiciona entre dois dispositivos que estão se comunicando e faz com que essa comunicação passe por ele. Dessa forma, o atacante consegue copiar as informações que estão sendo transmitidas. Segurança lógica Fonte: autoria própria Estação 1 Estação 2 Tráfego Normal ATACANTE Atacante redireciona o tráfego, fazendo-o passar pela sua máquina O ataque de modificação visa alterar a comunicação entre duas partes, atacando assim a integridade das informações comunicadas naquele canal. Segurança lógica Estação 1 Estação 2 Tráfego Normal ATACANTE Atacante redireciona o tráfego, fazendo-o passar pela sua máquina Fonte: autoria própria O ataque de interrupção acontece quando o atacante se posiciona entre as partes que estão em comunicação, conseguindo assim que o tráfego gerado pela origem não chegue ao destino. Segurança lógica Estação 1 Estação 2 Tráfego Normal ATACANTE Atacante ataca a estação 2, comprometendo o seu funcionamento normal, indisponibilizando os seus serviços Fonte: autoria própria Quando um ataque de fabricação é proferido, o atacante produz mensagens para um destino, passando-se por algum outro componente, como se elas estivessem sido originalmente produzidas por ele. Segurança lógica Estação 1 Estação 2 Tráfego Normal ATACANTE Pacotes IP falsificados com o endereço IP de rede da estação 1 Fonte: autoria própria É um evento ou uma cadeia de eventos maliciosos sobre um sistema de informação que implica em comprometimento ou tentativa de comprometimento da segurança. Estamos falando de: a) Evento. b) Incidente. c) Golpe. d) Extorsão. e) Vírus. Interatividade É um evento ou uma cadeia de eventos maliciosos sobre um sistema de informação que implica em comprometimento ou tentativa de comprometimento da segurança. Estamos falando de: a) Evento. b) Incidente. c) Golpe. d) Extorsão. e) Vírus. Resposta Algumas estratégias de proteção podem ser implantadas para assegurar a proteção dos ativos de informação no seu caminho na rede. A estratégia de confiança se assemelha à situação que quando uma pessoa passa o cartão em uma loja ela está confiando os dados do cartão ao estabelecimento. A confiança não deve ser utilizada de forma irresponsável, pois, como toda medida de segurança, ela é fruto de uma relação custo/benefício com riscos calculados e conhecidos. Existe um número imenso de situações para as quais não existe controle e, por isso, decidimos simplesmente confiar, pois normalmente o custo de proteção não compensa. Segurança lógica A estratégia de privilégio mínimo parte da ideia de que os usuários tenham apenas os privilégios necessários para desempenhar suas tarefas e nunca possuir privilégios adicionais desnecessários, pois eles aumentam os riscos sem nenhum benefício em troca. A estratégia de defesa em profundidade tem como objetivo implantar diversos tipos de controles. É mais eficaz que os nossos recursos sejam divididos em diversos controles, que se complementam e servem de redundância entre si, ao invés de um único controle, dito infalível. A estratégia de ponto de estrangulamento se refere a reduzir o número de entradas, ou seja, quanto menos entradas o prédio tem, mais fácil e mais barato fica protegê-las e vigiá- las, isso pode ser repassado para o conceito de redes. Segurança lógica Na estratégia do elo mais fraco, os profissionais redobram a atenção, uma vez que quem protege deve ter atenção a todos os pontos, quem ataca precisa achar apenas um ponto falho para obter sucesso. A estratégia de fail-safe prega que em controles de segurança, é preferível que, em caso de falha, eles bloqueiem todos os acessos ao invés do contrário. A estratégia de participação universal busca uniformidade na aplicação, envolvendo procedimentos de treinamento e conscientização de usuários. A estratégia de diversidade é uma técnica utilizada em conjunto com a de profundidade, variando os tipos de controle utilizados. A estratégia de simplicidade prevê que ambientes podem se tornar desnecessariamente complexos, fazendo com que a simples avaliação de brechas, por exemplo, torne-se uma tarefa mais difícil do que deveria. Segurança lógica Os elementos básicos para proteção de rede incluem dispositivos como roteadores de borda, firewalls, NAT (Network Address Translation), VPN (Redes Virtuais Privadas), Bastion Host, perímetro lógico, IDS (Intrusion Detection System), IPS (Intrusion Prevention System) e Política de Segurança. Segurança lógica Fonte: autoria própria Internet Roteador Externo Roteador Interno DMZ – Zona desmilitarizada Rede de Perímetro Bastion Host Servidor Web WWW Rede Interna Firewall O roteador de borda é o último gateway (interconecta redes diferentes) que conecta a rede interna da empresa à internet. Primeira linha de defesa da empresa contra ameaças externas. O firewall (parede de fogo) é um conjunto de hardware e software que permite a criação de regras definindo que tipos de serviços e tráfegos são permitidos entre as redes que ele conecta. São dispositivos de controle de acesso em que sua função principal é a proteção das estações e da segmentação de perímetros. Geralmente colocado na junção de duas redes com níveis de confiança distintos. O NAT (Network Address Translation) foi criado para permitir que máquinas possam acessar a internet sem que necessariamente tivesse um endereço IP válido, já que os endereços válidos são centralmente distribuídos e controlados. Oferece benefícios do ponto de vista de segurança, pois máquinas a partir da internet não conseguem, normalmente, acessar de forma direta máquinas que estão na rede interna. Segurança lógica As VPNs (Redes Virtuais Privadas) se referem ao acesso entre redes por meio seguro por uma rede insegura. Segurança lógica Fonte: autoria própria Rede Interna Rede Externa Criptografia Internet Criptografia Rede Externa Rede Interna Os bastion host são estações de trabalho que são adicionados fora da rede interna dentro da rede perimetral que visa focar o aspecto de segurança da máquina que é acessada pela internet, pois se ela não for comprometida e o firewall estiver configurado corretamente para bloquear os acessos por meio dela, não sobram muitas opções para o intruso. É necessário que os equipamentos colocados nessa posição não possuam vulnerabilidades. O perímetro de segurança significa uma faixa de delimitação territorial. A utilização de uma DMZ (DeMilitarized Zone) consiste em uma rede perimetral que concentra máquinas que são acessadas externamente. Sempre que as máquinas são acessadas por clientes externos vindo de um ambiente não confiável, deve-se considerar a hipótese de invasão ou comprometimento da segurança. O IDS (Intrusion Detection System) ou sistema de detecção de intrusos auxilia na DMZ, em que automatiza essas tarefas por meio da coleta de informações na rede ou dentro de estações, analisando-as por uma série de métodos em busca de padrões que caracterizem ataques. Segurança lógica É fundamental para a segurançalógica. As políticas de segurança são um conjunto de regras, que visa definir quais serviços são permitidos e quem pode usá-los, regras devem ser pensadas antes do seu uso e não o contrário. Segurança para softwares – quando é falado de ameaças à segurança da informação física, o assunto é simples de ser tratado, porém quando o assunto são as ameaças ao ambiente lógico, as possibilidades de ataques são bem maiores. Segurança lógica Fonte: autoria própria É necessária a atualização constante da lista de vírus conhecidos Não apenas na Rede, mas também nas estações de trabalho individualmente Relacionados ao uso de equipamentos portáteis, como notebooks e celulares. Controle de acesso: o controle de acesso lógico visa criar medidas que impeçam o acesso não autorizado aos ativos de informação. Por essa razão, os direitos de acesso aos usuários e o estabelecimento de níveis básicos e fundamentais são necessários para proteger os princípios de segurança da informação, a confidencialidade, a disponibilidade e a integridade das informações da organização. Segurança lógica Fonte: autoria própria CONFIABILIDADE CONTROLE DO ACESSO INTEGRIDADE DISPONIBILIDADE Direito à informação Garantia de acesso à informação necessária para a realização do trabalho Informação completa, autêntica e dentro do nível de precisão exigido Revelação controlada, sigilo, privacidade, intimidade Os métodos de autenticação podem ser divididos em três grandes grupos de acordo com a técnica utilizada: O método de autenticação baseado no que você sabe se refere ao que os usuários sabem utilizar, o meio mais comum dessa técnica é o uso de senhas para autenticação. Nas redes, a senha é o meio mais comum de permissão de acesso em que o usuário deve ter um número identificador e uma senha validada para acessar a rede. O método de autenticação que utiliza o que você tem é baseado em dispositivos físicos como tokens ou smartcards que são entregues aos usuários que devem guardar para uso no momento em que o sistema faça a requisição. O método de autenticação por o que você é se baseia em características físicas (reconhecimento biométrico) como o uso de impressão digital para o acesso a sistemas. A combinação dos três métodos fortalece o controle de acesso a sistemas e consequentemente a segurança da informação. Segurança lógica A atenção à segurança da informação para sistemas de informação deve ser tratada logo no início do projeto de um novo sistema e em todas as etapas do processo como: especificação, desenvolvimento, teste, colocação em produção, operação, manutenção, descarte. A ISO 27001 recomenda que sempre que possível exista uma separação clara também entre desenvolvimento e teste, em que estão dispostas as seguintes recomendações: Execução do software em desenvolvimento em processador, domínio ou diretório diferente do usado para o software em produção. Atividades de desenvolvimento e teste realizadas, tanto quanto possível, de forma separada. Compiladores, editores e outros programas utilitários não acessíveis a partir do ambiente de produção quando isso não for uma necessidade. Segurança no ciclo de vida de sistemas Diferenciação de processos e senhas de acesso e das telas de entrada para ambiente de produção e de desenvolvimento, a fim de reduzir a possibilidade de confusão e erros entre esses ambientes. Senhas de produção concedidas de forma controlada ao pessoal de desenvolvimento, apenas para suporte a sistemas no ambiente de produção e com controles para garantir que essas senhas sejam alteradas após o uso. Segurança no ciclo de vida de sistemas Os controles sugeridos pela ISO 27001 com relação à aceitação de sistemas são: Identificação dos requisitos de desempenho e demanda da capacidade computacional. Procedimentos de recuperação de erros, reinicialização e contingência. Elaboração e teste de procedimentos operacionais para o estabelecimento de padrões. Aceitação pelos responsáveis do conjunto de controles de segurança adotados. Procedimentos manuais eficazes. Plano de continuidade de negócio. Confirmação de que a instalação do novo sistema não afetará de forma adversa os sistemas já existentes, particularmente nos períodos de pico de demanda do processamento, como, por exemplo, em final de mês. Verificação do impacto do novo sistema na segurança da organização como um todo. Treinamento na operação ou uso de novos sistemas. Segurança no ciclo de vida de sistemas Relacionados pela ISO 27001, os aspectos a serem considerados com relação aos riscos de terceirização de serviços de processamento da informação: Identificação das aplicações críticas e sensíveis que devem ser processadas internamente. Obtenção da aprovação dos gestores ou responsáveis pelos processos ou sistemas para o esquema de terceirização. Análise das implicações da terceirização nos planos de continuidade do negócio. Estabelecimento de normas de segurança e de processos de aferição de conformidade com essas normas. Definição de procedimentos e responsabilidades de monitoração para garantir o adequado acompanhamento das atividades que afetem a segurança. Definição de procedimentos e responsabilidades em relação à comunicação e ao tratamento de incidentes. Segurança no ciclo de vida de sistemas Quando o assunto é terceirização de serviços de desenvolvimento, as melhores práticas recomendam: Acordos sobre licenças, propriedade do código-fonte e direitos de propriedade intelectual. Certificação da qualidade e da exatidão do trabalho implementado. Acordos na eventualidade de haver falha por parte de prestadores de serviços. Direitos de acesso para auditoria da qualidade e da exatidão do trabalho executado. Requisitos de qualidade do software. Teste antes da instalação para detecção de código que possa afetar o sistema de forma não autorizada, não controlada e não solicitada pelo cliente (tal como Cavalos de Troia). Segurança no ciclo de vida de sistemas Tem como objetivo implantar diversos tipos de controles. Estamos falando da estratégia de: a) Elo mais fraco. b) Diversidade. c) Participação universal. d) Fail-safe. e) Defesa em profundidade. Interatividade Tem como objetivo implantar diversos tipos de controles. Estamos falando da estratégia de: a) Elo mais fraco. b) Diversidade. c) Participação universal. d) Fail-safe. e) Defesa em profundidade. Resposta Uma organização pode estar sujeita a diversos incidentes, os quais podem apresentar prejuízos ainda não previstos ou ainda não imagináveis. Essas peculiaridades necessitam de tratamentos diferenciados, sempre objetivando a proteção dos ativos de informação da organização. Etapas do PCN A primeira fase para implantação é o entendimento do negócio, que deve ser feito sob a ótica da continuidade de processos, identificando os principais objetivos e aspectos críticos a serem preservados. Também devem ser levados em consideração os argumentos que serão utilizados para justificar a execução do plano. Para isso é importante realizar análise e avaliação de riscos, cujo objetivo é identificar os processos críticos da empresa que devem ser considerados na elaboração do plano, com o objetivo de garantir a continuidade deles, em caso de incidentes ou desastres. Plano de Continuidade do Negócio Após isso, o próximo passo é a execução do BIA (Business Impact Analysis) ou AIN (Análise de Impacto nos Negócios), que, de forma macro, tem o objetivo de avaliar quais impactos a organização sofrerá por conta da ocorrência de um incidente ou desastre, além de analisar também o tempo máximo permitido de parada. Nesse momento não é necessário se preocupar com a probabilidade de acontecer ou não o evento, e sim atentar para o impacto que o evento pode trazer, caso ele ocorra. Plano de Continuidadedo Negócio A próxima etapa é voltada para a definição estratégica de garantir a disponibilidade de recursos, metodologias e processos de modo a permitir a continuidade dos processos críticos, caso ocorra um desastre. Existem três modelos de estratégias a serem adotados: Ativo/backup: utilização de recursos sobressalentes, podendo ser utilizados em caso de desastre. Ativo/ativo: duas ou mais localidades operacionais separadas geograficamente, dividindo as operações, sendo uma contingência da outra. Localidade alternativa: modelo intermediário entre os outros dois apresentados, sendo que uma localidade receba parte das operações de forma periódica, para homologar seu funcionamento. Plano de Continuidade do Negócio Gestão de Continuidade de Negócios. Plano de Continuidade do Negócio Fonte: autoria própria Exercício, manutenção e auditoria Entender o negócio Estratégias de continuidade do negócio Gerenciamento do programa Construir e incorporar a cultura de gestão de continuidade de negócio Desenvolver e implementar um plano de respostas 1 2 34 5 6 Manutenção do Plano Na elaboração do Plano de Continuidade de Negócios, sempre imaginamos diversas situações e quais procedimentos podemos adotar caso algum desses incidentes ocorra. Entretanto, a melhor forma de validar essas atividades é a execução e a simulação de testes. Nenhum plano pode ser considerado maduro se não forem realizadas essas simulações. Plano de Continuidade do Negócio Estratégias de Recuperação As estratégias de recuperação são procedimentos e ferramentas que têm por objetivo garantir a continuidade dos processos críticos, previamente mapeados, atendendo ao TMP (Tempo Médio de Parada) já estabelecido. Para escolher as estratégias, também deve ser levado em consideração os custos diretos e indiretos, além de avaliar o pior cenário possível diante de um desastre. Vale ressaltar que, em diversos casos, uma estratégia utilizada pode servir para diversos processos mapeados. Vamos entender um pouquinho alguns exemplos de estratégias? Plano de Continuidade do Negócio Usuários: são a parte mais importante de um PCN, devendo garantir que, em caso de um desastre, suas atividades possam continuar sendo realizadas. Para isso devem ser verificados os aspectos de integridade física, ambiente de trabalho, disponibilidade de informações médicas, entre outros. Logística: é extremamente importante, pois afeta diretamente as entregas de uma empresa, mesmo quando um possível desastre não afeta diretamente a organização. Podemos citar como exemplos greves de correios e caminhoneiros até gargalos de transporte por falta de infraestrutura. Instalações: deve-se atentar para os serviços básicos como água, energia elétrica, ar-condicionado e gás; além de espaço físico e toda a infraestrutura de comunicação. Plano de Continuidade do Negócio Dados: o armazenamento de informações é um ponto também bastante crítico. Diversas tecnologias podem ser utilizadas objetivando garantir a disponibilidade das informações, em caso de desastre. Podemos citar: ― backups, considerando que as informações devem ser armazenadas em outro site da empresa; ― transferência remota de informações, ou seja, por meio de mecanismos de comunicação (internet por exemplo), enviar as informações para outro site da empresa. Essa estratégia evita problemas de transporte de mídias, entretanto seu custo é mais elevado; ― espelhamento de aplicações, que pode considerar como a replicação total das informações em um outro site da organização. Plano de Continuidade do Negócio Tipos de sites Dependendo da criticidade do processo e de quanto a empresa pode gastar para definir a estratégia de recuperação, alguns tipos de sites podem ser utilizados. Vejamos agora quais são estes modelos e suas principais características: Cold site: apenas um local físico que pode receber os equipamentos, sem nenhuma instalação básica de comunicação ou energia. É a opção mais barata, entretanto leva muito tempo para entrar em funcionamento, caso ocorra um desastre. Warm site: contempla as instalações de um cold site mais os serviços básicos de infraestrutura, como instalações elétricas, links de comunicação, cabeamento interno de rede e pode até conter alguns computadores também. Entretanto para esse modelo não estão contemplados os servidores, mainframes etc. Esses equipamentos somente são disponibilizados na ocorrência de um desastre. Plano de Continuidade do Negócio Hot site: podemos considerar que o hot site é uma estrutura igual ao ambiente de produção em termos de infraestrutura, aguardando apenas a ocorrência de um incidente para entrar em funcionamento. Entretanto, as informações nesse hot site não estão sincronizadas, sendo necessário o envio dos dados para seu completo funcionamento. Mirror site: igual ao hot site, porém contemplando o sincronismo das informações. É a estratégia que oferece o tempo de resposta mais rápido, porém a de maior custo. Plano de Continuidade do Negócio Fonte: autoria própria Tempo Cold Site Worm Site Hot Site Mirror Site custo O escopo dos testes de invasão pode variar de cliente para cliente, assim como ocorrerá com as tarefas. Algumas organizações terão uma postura excelente quanto à segurança, enquanto outras terão vulnerabilidades que permitiriam aos invasores violar o perímetro e obter acesso aos sistemas internos. Às vezes, também será necessário ser responsável pela avaliação de uma ou mais aplicações web personalizadas. Isso poderá exigir ataques de engenharia social e do lado do cliente, para obter acesso à sua rede interna. Alguns testes de invasão exigirão atuações como se o invasor fosse alguém de dentro (um funcionário mau-caráter ou descontente) ou um invasor que já tenha violado o perímetro. Testes de invasão Os testes de invasão têm início com a fase de preparação (pre-engagement), que envolve definir os objetivos para o teste de invasão, o mapeamento do escopo (a extensão e os parâmetros do teste) e assim por diante. Quando o pentester e a organização chegarem a um acordo sobre o escopo, a composição do relatório e o formato do teste de invasão, o teste será iniciado. Na fase de coleta de informações (information-gathering), o pentester procura informações disponíveis publicamente sobre a organização e identifica maneiras em potencial de se conectar com seus sistemas. Na fase de modelagem das ameaças (threat-modeling), o pentester usa essas informações para determinar o valor de cada descoberta e o impacto sobre o cliente caso a descoberta permita que alguém invada um sistema. Essa avaliação permite ao pentester desenvolver um plano de ação e métodos de ataque. Testes de invasão Antes que o pentester possa começar a atacar os sistemas, ele realiza uma análise de vulnerabilidades (vulnerability analysis). Nessa fase, o pentester procura descobrir vulnerabilidades nos sistemas que poderão ser exploradas na fase de exploração de falhas (exploitation). Um exploit bem-sucedido pode conduzir a uma fase de pós-exploração de falhas (post-exploitation), tirando vantagem do resultado da exploração de falhas, de modo a descobrir informações adicionais, obter dados críticos, acessar outros sistemas etc. Por fim, na fase de geração de relatórios (reporting), o pentester sintetiza as descobertas tanto para os profissionais executivos quanto para os técnicos. Testes de invasão O sumário executivo descreve os objetivos do teste e oferece uma visão geral das descobertas. O público-alvo que se pretende atingir são os executivos responsáveis pelo programa de segurança. Seu sumário executivo deve incluir o seguinte: Histórico: cria-se uma descrição do propósito do teste e definições de qualquer termo que possa não ser familiar aos executivos, bem como vulnerabilidades e medidas de prevenção. Postura geral: é uma visão geral da eficiência do teste, destacando os problemas encontrados (por exemplo, a exploração da vulnerabilidade MS08-067 da Microsoft) e os problemas gerais que causam vulnerabilidades, como a ausência de gerenciamento de patches. Perfil do risco: faz-se uma classificação geral da postura da empresa quanto à segurança, quando comparada com organizações semelhantes, com medidas – como alto, moderado ou baixo. Você também deve incluir uma explicação sobre a classificação ou utilizar a matriz de risco da organização caso ela tenha. Testes de invasão Descobertas gerais: envolvem uma sinopse geral dos problemas identificados, com estatísticas e métricas sobre a eficiência de qualquer medida de prevenção implantada. Resumo das recomendações: é uma visão geral das tarefas necessárias para corrigir os problemas descobertos no teste de invasão. Mapa estratégico: oferece objetivos de curto e de longo prazo ao cliente para melhorar a sua postura quanto à segurança. Por exemplo, você pode dizer ao cliente para aplicar determinados patches agora para endereçar as preocupações de curto prazo. Contudo, sem um plano de longo prazo para o gerenciamento de patches, o cliente estará na mesma posição após novos patches terem sido disponibilizados. Testes de invasão O relatório técnico oferece detalhes técnicos sobre o teste. Ele deve incluir o seguinte: Introdução: traz um inventário dos detalhes, como escopo e contatos. Coleta de informações: indica detalhes das descobertas da fase de coleta de informações. Os rastros do cliente (footprint) deixados na internet ganham destaque. Avaliação de vulnerabilidades: acentua os pormenores das descobertas da fase de análise de vulnerabilidades. Exploração de falhas/verificação de vulnerabilidades: expressa detalhes das descobertas da etapa de exploração de falhas. Pós-exploração de falhas: destacam-se particularidades das descobertas da fase de pós-exploração de falhas. Risco/exposição: faz-se uma descrição quantitativa do risco identificado. Essa seção traz uma estimativa das perdas caso as vulnerabilidades identificadas sejam exploradas por um invasor. Conclusão: indica uma visão geral do teste. Testes de invasão Tem o objetivo de avaliar quais impactos a organização sofrerá por conta da ocorrência de um incidente ou desastre. Estamos falando do: a) Plano de Continuidade do Negócio. b) Plano de Resposta a Incidentes de Segurança da Informação. c) Plano de Recuperação de Desastre. d) BIA (Business Impact Analysis) ou AIN (Análise de Impacto nos Negócios). e) Questionário de Gestão da Continuidade do Negócio. Interatividade Tem o objetivo de avaliar quais impactos a organização sofrerá por conta da ocorrência de um incidente ou desastre. Estamos falando do: a) Plano de Continuidade do Negócio. b) Plano de Resposta a Incidentes de Segurança da Informação. c) Plano de Recuperação de Desastre. d) BIA (Business Impact Analysis) ou AIN (Análise de Impacto nos Negócios). e) Questionário de Gestão da Continuidade do Negócio. Resposta ATÉ A PRÓXIMA!
Compartilhar