Baixe o app para aproveitar ainda mais
Prévia do material em texto
Análise de Vulnerabilidade em TI A análise de vulnerabilidade é um dos itens fundamentais no gerenciamento de risco, pois, frequentemente, devem verificadas as vulnerabilidades ou exposições existentes. A segurança de um ambiente de TI requer vigilância e aperfeiçoamento permanentes, de forma que seja possível mapear e tratar os riscos com eficiência. A Análise de Vulnerabilidade de TI oferece à empresa um instrumento eficaz para identificar e combater os riscos inerentes ao ambiente de TI, detectando as vulnerabilidades internas e externas, que podem comprometer a segurança e consequentemente a continuidade dos negócios, já que as empresas hoje são extremamente dependentes de tecnologia. O objetivo com análise de vulnerabilidade é a implementação de controles que visem proteger os ativos da organização. A visão de um analista de risco em TI é poder: 1. identificar uma vulnerabilidade; 2. calcular um score sobre a vulnerabilidade; 3. verificar se essa falha afeta o negócio da empresa e 4. por fim, atuar de maneira a corrigir o problema, devendo o trabalho ser efetuado no menor tempo possível. Aparentemente, o trabalho é simples, pois, são poucos passos a seguir, no entanto as quantidades de ativos e suas respectivas vulnerabilidades vêm crescendo exponencialmente, tornando o trabalho cada vez mais complexo. O resultado da análise de vulnerabilidade é um relatório (Relatório de Análise de Vulnerabilidade), preferencialmente confidencial ,com os resultados das vulnerabilidades detectadas. O relatório, geralmente, precisa conter: 1. Escopo dos serviços, que em última análise é auditar e analisar, internamente, os sistemas e/ou recursos especificados. 2. Para cada vulnerabilidade detectada, apresentar: a) Título (nome) dado a vulnerabilidade b) Ativo (recurso) vulnerável c) Descrever detalhes da vulnerabilidade d) Identificar a taxa (alta, média e baixa) do risco associado à vulnerabilidade e) Ações sugeridas para anular a vulnerabilidade. Ou seja, a análise Incorpora um Relatório contendo as vulnerabilidades internas encontradas, segundo uma classificação que reporta a probabilidade versus o impacto de cada ameaça, além de uma descrição detalhada da forma como cada vulnerabilidade pode ser explorada por um invasor. O relatório, também, aponta as soluções para cada uma das deficiências diagnosticadas Na prática, divide-se em dois tipos, conforme procedimento de execução: Ativa: encontram-se as vulnerabilidades e as corrige. Passiva: encontram-se as falhas para que a empresa se encarregue da solução. Abaixo, alguns exemplos de como apresentar a especificação das vulnerabilidades nos relatórios. Nome: Vulnerabilidade na biblioteca ASN.1 Descrição: Foi detectada a ausência do patch que corrige a vulnerabilidade na biblioteca ASN.1 utilizada em alguns serviços do Microsoft Windows. Essa vulnerabilidade permite um usuário mal intencionado executar comandos remotamente no servidor como usuário SYSTEM. Solução: - Aplique a correção disponibilizada pela Microsoft no boletim MS04-007; URL: http://www.microsoft.com/technet/sec urity/bulletin/ms04-007.mspx 1. Titulo: Acesso anônimo ao servidor FTP. 2. Ativo: Servidor FTP. 3. Descrição: Foi detectado que o servidor FTP possui o acesso anônimo habilitado. Caso não esteja sendo utilizado é aconselhado desabilitar esta função, evitando dessa forma futuros problemas. 4. Taxa: Baixo risco Solução: Desabilite o acesso anônimo ao servidor FTP Deve-se, ainda no relatório, definir e explicar a Taxa (fator) de risco, como por exemplo, conforme abaixo: Alto Risco Todas as ameaças de segurança que possam comprometer a integridade dos dados, expor informações confidenciais ou utilizá-las para tornar indisponível os sistemas da empresa são consideradas de alto risco. Esses tipos de ameaças devem ser tratados com prioridade e são fáceis de serem exploradas. Médio Risco São ameaças de segurança que podem abrir seu sistema para pessoas não autorizadas, expor dados, arquivos e informações ou causar algum tipo de paralisação, normalmente em alguma aplicação específica são consideradas de médico risco. Normalmente, mas não sempre, são mais complexas para serem exploradas sendo necessário prestar uma alta atenção em sua correção. Baixo Risco São ameaças de segurança que não chegam a comprometer o acesso não autorizado aos dados da empresa ou o acesso a um sistema de informação, porém são normalmente combinadas a outro tipo de informação para exploração dos ativos de TI. A figura abaixo mostra as 3 atividades que compõem uma Análise de Vulnerabilidade: 1. Análise das vulnerabilidades. 2. Mapeamento das ameaças. 3. Proposição de melhorias. Figura 7: Atividades do Processo de Análise de Vulnerabilidade.
Compartilhar