08AnaliseVulnerabilidade

Prévia do material em texto

Análise de Vulnerabilidade em TI 
 A análise de vulnerabilidade é um dos itens fundamentais no gerenciamento de risco, 
pois, frequentemente, devem verificadas as vulnerabilidades ou exposições existentes. 
A segurança de um ambiente de TI requer vigilância e aperfeiçoamento permanentes, 
de forma que seja possível mapear e tratar os riscos com eficiência. 
A Análise de Vulnerabilidade de TI oferece à empresa um instrumento eficaz para 
identificar e combater os riscos inerentes ao ambiente de TI, detectando as vulnerabilidades 
internas e externas, que podem comprometer a segurança e consequentemente a continuidade 
dos negócios, já que as empresas hoje são extremamente dependentes de tecnologia. O 
objetivo com análise de vulnerabilidade é a implementação de controles que visem proteger os 
ativos da organização. 
A visão de um analista de risco em TI é poder: 
1. identificar uma vulnerabilidade; 
2. calcular um score sobre a vulnerabilidade; 
3. verificar se essa falha afeta o negócio da empresa e 
4. por fim, atuar de maneira a corrigir o problema, devendo o trabalho ser 
efetuado no menor tempo possível. 
 
Aparentemente, o trabalho é simples, pois, são poucos passos a seguir, no entanto as 
quantidades de ativos e suas respectivas vulnerabilidades vêm crescendo exponencialmente, 
tornando o trabalho cada vez mais complexo. 
 
O resultado da análise de vulnerabilidade é um relatório (Relatório de Análise de 
Vulnerabilidade), preferencialmente confidencial ,com os resultados das vulnerabilidades 
detectadas. O relatório, geralmente, precisa conter: 
1. Escopo dos serviços, que em última análise é auditar e analisar, internamente, os 
sistemas e/ou recursos especificados. 
2. Para cada vulnerabilidade detectada, apresentar: 
a) Título (nome) dado a vulnerabilidade 
b) Ativo (recurso) vulnerável 
c) Descrever detalhes da vulnerabilidade 
d) Identificar a taxa (alta, média e baixa) do risco associado à vulnerabilidade 
e) Ações sugeridas para anular a vulnerabilidade. 
 
 
 
Ou seja, a análise Incorpora um Relatório contendo as vulnerabilidades internas 
encontradas, segundo uma classificação que reporta a probabilidade versus o impacto de cada 
ameaça, além de uma descrição detalhada da forma como cada vulnerabilidade pode ser 
explorada por um invasor. O relatório, também, aponta as soluções para cada uma das 
deficiências diagnosticadas 
Na prática, divide-se em dois tipos, conforme procedimento de execução: 
 Ativa: encontram-se as vulnerabilidades e as corrige. 
 Passiva: encontram-se as falhas para que a empresa se encarregue da solução. 
 
Abaixo, alguns exemplos de como apresentar a especificação das vulnerabilidades nos 
relatórios. 
 
 
 
 
 
 
 
 
Nome: Vulnerabilidade na biblioteca ASN.1 
Descrição: Foi detectada a ausência do patch que 
corrige a vulnerabilidade na biblioteca ASN.1 
utilizada em alguns serviços do Microsoft 
Windows. Essa vulnerabilidade permite um 
usuário mal intencionado executar 
comandos remotamente no servidor como 
usuário SYSTEM. 
Solução: - Aplique a correção disponibilizada 
pela Microsoft no boletim MS04-007; 
URL: 
http://www.microsoft.com/technet/sec
urity/bulletin/ms04-007.mspx 
 
 
1. Titulo: Acesso anônimo ao servidor FTP. 
2. Ativo: Servidor FTP. 
3. Descrição: Foi detectado que o servidor FTP possui o acesso anônimo 
habilitado. Caso não esteja sendo utilizado é aconselhado desabilitar esta 
função, evitando dessa forma futuros problemas. 
4. Taxa: Baixo risco 
Solução: Desabilite o acesso anônimo ao servidor FTP 
 
 
 
Deve-se, ainda no relatório, definir e explicar a Taxa (fator) de risco, como por 
exemplo, conforme abaixo: 
 
Alto Risco 
Todas as ameaças de segurança que 
possam comprometer a integridade dos 
dados, expor informações confidenciais ou 
utilizá-las para tornar indisponível os 
sistemas da empresa são consideradas de 
alto risco. Esses tipos de ameaças devem 
ser tratados com prioridade e são fáceis de 
serem exploradas. 
 
 
Médio Risco 
São ameaças de segurança que podem abrir 
seu sistema para pessoas não autorizadas, 
expor dados, arquivos e informações ou 
causar algum tipo de paralisação, 
normalmente em alguma aplicação 
específica são consideradas de médico risco. 
Normalmente, mas não sempre, são mais 
complexas para serem exploradas sendo 
necessário prestar uma alta atenção em sua 
correção. 
 
Baixo Risco 
São ameaças de segurança que não chegam 
a comprometer o acesso não autorizado aos 
dados da empresa ou o acesso a um 
sistema de informação, porém são 
normalmente combinadas a outro tipo de 
informação para exploração dos ativos de 
TI. 
 
A figura abaixo mostra as 3 atividades que compõem uma Análise de Vulnerabilidade: 
1. Análise das vulnerabilidades. 
2. Mapeamento das ameaças. 
3. Proposição de melhorias. 
 
 
 
Figura 7: Atividades do Processo de Análise de Vulnerabilidade.