Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE PAULISTA FULANO DE TAL - 0123456 PIM –PROJETO INTEGRADO MULTIDICIPLINAR: SISTEMAS DE SEGURANÇA - UNIP SÃO PAULO 2021 FULANO DE TAL PIM –PROJETO INTEGRADO MULTIDICIPLINAR: SEGURANÇA DA INFORMAÇÃO - UNIP Trabalho para a conclusão do bimestre, requisito parcial na obtenção do título de graduação em segurança da Informação apresentado à Universidade Paulista – UNIP. Orientador: Prof. BELTRANO DA SILVA São Paulo 2021 RESUMO O desenvolvimento deste projeto será elaborado uma clinica médica fictícia onde terá o principal objetivo buscar o entendimento de mapeamento dos riscos que ameaçam esse tipo de setor, propondo medidas preventivas de ação aos riscos e ameaças encontradas, no desenrolar da ação será analizado e proposto um método de forense computacional na simulação de um vazamento de informação devido a um furto cibernético, a empresa ficticia terá todos os prontuários médicos alimentados, acessados e armazenados em uma plataforma em núvem da Amazon ao mesmo tempo que o contrato de fornecimento não foi previsto nenhum contigenciamento fora dos padrões estabelecidos pela fornecedora, será proposto a documentação descrevendo a proposta de medidas que serão tomadas na prevenção, identificação e recuperação por meio de um plano de continuidade de negócios, também serão mapeados os princípais riscos a segurança da informação no ambiente do cliente onde estão sendo manipuladas e armazenadas as informações de prontuários médicos com isso identificando todas as possíveis vulnerabilidades, o projeto foi desenvolvido com base em todos os fundamentos e conhecimentos adquiridos em disciplinas de Computação Forense, Gestão e Análise de Riscos, e Desastre, Recuperação e Gestão de Continuidade de Negócios, sendo o alicerce no desenvolvimento desse projeto. Palavras-Chaves: Computação Forense, Gestão, Análise de Riscos, Desastre, Recuperação, Continuidade do Negócio, Ameaças. ABSTRACT The development of this project will be a fictitious medical clinic where the main objective will be to seek the understanding of mapping the risks that threaten this type of sector, proposing preventive action measures against the risks and threats found, in the course of the action, a computational forensics method will be analyzed and proposed to simulate an information leak due to cyber theft, the fictitious company will have all medical records fed, accessed and stored on an Amazon cloud platform at the same time that the supply contract has not foreseen any contingency outside the standards established by the supplier, documentation will be proposed describing the proposed measures that will be taken in prevention, identification and recovery through a business continuity plan, the main risks to information security in the client's environment will also be mapped, where the information from medical records is being manipulated and stored, thereby identifying all possible vulnerabilities, the project was developed based on all the fundamentals and knowledge acquired in the disciplines of Computer Forensics, Risk Management and Analysis, and Disaster, Recovery and Business Continuity Management, being the foundation in the development of this project. Keywords: Computer Forensics, Management, Risk Analysis, Disaster, Recovery, Business Continuity, Threats. SUMÁRIO 1 INTRODUÇÃO ...................................................................................................... 8 2 METODOLOGIA – Desenvolvimento do Projeto ................................................... 9 3 Monitorar os Riscos ............................................................................................ 10 3.1 Mapeamento dos Risco................................................................................11 4 Aplicação do Método de Computação Forense .................................................. 12 4.1 Manipulação de evidências......................................................................... 12 4.2 Comparação de Hash .................................................................................... 12 4.3 Preservação das Evidências ......................................................................... 13 5 Análise Criptográfica.............................................................................................. 14 5.1 Quebra de senha do Windows ....................................................................14 6 Análise de Malwares identificados ..............................................................15 7 Gestão da Continuidade de Negócios ....................................................... 16 7.1 Etapas do plano de Continuidade de Negócios ........................................ 17 7.2 Determinar o tempo de inatividade aceitável para cada atividade crítica... 18 8 Criando o plano de Ação e Recuperação de Desastres ............................ 18 9 Conclusão do Projeto ................................................................................. 19 10 REFERÊNCIAS BIBLIOGRÁFICAS ........................................................... 20 8 1 INTRODUÇÃO O projeto trata se de uma empresa fictícia no setor de saúde, uma clinica médica que atualmente utiliza a plataforma de armazenamento em nuvém da Amazon, atualmente ela oferece um espaço de 10GB gratuito, porém a plataforma possui recursos limitados se comparado com o rival Google Drive, com poucos serviços integrados e possibilidades reduzidas de compartilhamento e documentos colaborativos. A empresa citada, clínica médica que por meio de um plano de continuidade de negócio será proposto medidas a serem adotadas após o mapeamento dos possíveis riscos que envolvem o negócio. Em tempos de uma pândemia global a Gestão e Análise de Riscos em uma organização acaba por se tornar vital para sobrevivência da empresa, identificar, monitorar e fazer gestão e análise de riscos de maneira eficaz fará toda a diferença no resultado final da empresa, a gestão e análise de riscos nada mais é que um processo de identificação, avaliação e controle de ameaças ao capital e lucro da empresa. Qualquer empresa que não tenha um plano pré desenvolvido para enfrentar qualquer situação de crise não conseguirá passar por ela, por esse motivo a necessidade da Continuidade do Negócio se faz tão importante, o conhecimento, desenvolvimento e sua composição são fundamentais para a sobrevivência da empresa em momentos de crise. 9 2 Metodologia - Desenvolvimento do Projeto Tipo de pesquisa: O trabalho realizado a seguir é de natureza qualitativa e acadêmica. Dados a serem obtidos: Baseado no conhecimento adquirido na disciplina de Desastre, Recuperação e Gestão da Continuidade do Negócio a preparação para emergências não é mais uma preocupação de empresas localizadas em áreas propensas a terremotos ou tornados, a preparação agora leva em consideração desastres provocados pelo homem, como ataques cibernéticos, ataques terroristas, crises politicas, crises financeiras, além de pandemias e desastres naturais, por esses motivos se dá a necessidade de um planejamento. Baseado no conhecimento adquirido na disciplina de Computação Forense será exemplificado o conjunto de praticas adotadas para a preservação,coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidencias digítais que tenham validade em processos digitais. Baseado no conhecimento adquirido na disciplina de Gestão e Análise de Riscos será aplicado um conjunto de atividades coordenadas para identificar, analisar, avaliar, tratar e monitorar riscos, um processo que visa conferir razoável segurança quanto ao alcance dos objetivos. Como resultado deste trabalho, o que se espera é contribuir para a implementação da gestão de riscos de processos na Clínica Médica e por consequência, para o aperfeiçoamento de seus controles internos, minimização de riscos a níveis aceitáveis e tomada de decisão fundamentada e tempestiva. Limitações da pesquisa: Tendo em vista a realidade da pesquisa ser apenas teórica, ou seja, não ser apresentado traços práticos, nos impede de termos os reais resultados na prática do projeto abordado. Outra limitação será o teste prático em campo, que não será realizado. Tratamento e análise dos dados: Separação por assunto, leitura e resumo dos artigos e matérias, para que seja realizado o trabalho. Forma de pesquisa: Serão realizadas pesquisas através de sites da internet e e-boks. 10 3 Monitorar os Riscos Conforme descrito pela ISO 31000/18 , o monitoramento é parte integrante e essencial da gestão de riscos, cuja finalidade é: Identificar alterações no contexto interno e externo, incluindo alterações nos critérios de risco e no próprio risco, que podem requerer revisão dos tratamentos atualmente adotados e suas prioridades, e levar a identificação de riscos emergentes; Obtenção de informações adicionais para melhoria na política, a estrutura e o processo de gestão de risco; Analisar os eventos – adicionando os “quase incidentes”, mudanças, tendências, fracassos e sucesso e com eles aprender; Garantir que os controles sejam eficientes e eficazes no desenho e na operação O monitoramento dos riscos fornecerão as informações atualizadas e objetivas, identificar fragilidades e possibilidades de melhorias, como aprimorar o fluxo de processos, bem como verificar a eficiência e o desempenho do Plano de Ação,operacionalizado por meo dos controles implementados. Um fator importantissimo é que mesmo a empresa tomando todas as medidas de segurança possíveis, sempre ocorrerá a chance de arquivos maliciosos enviados para o mesmo servidor onde os dados da empresa estão hospedados podem também infectá-los ou de alguma outra forma impactar em suas operaões. Alguns serviços de armazenamento em nuvem disponibilizam recursos de segurança adicionais que podem ser adquiridos para evitar perda de dados, no entanto interrupções podem ocorrer a qualquer momento, até mesmo em infraestruturas de TI sem histórico prévio de problemas . 11 3.1 Mapeamento dos Risco Ataques ocasionado como o ransomware WannaCry continuam a integrar a lista de preocupações com a segurança, uma simples vulnerabilidade descoberta no sistema operacional da empresa acabou por gerar estragos gigantescos devido a contaminação desta ameaça, prejudicando os usuários e a empresa Mesmo que o provedor de nuvem esteja oferecendo uma criptografia, mantendo uma robusta política de segurança e de privacidade, sem a restrição de dados e mantendo uma equipe interna longe das senhas de seus clientes, cada empresa possui diferentes políticas de atualização para o software e hardware de sua estrutura nelas instaladas, exatamente o que ocorreu na clinica onde as políticas acabam se chocando com regras importantes de segurança. Durante o processo de mapeamento foi verificado que todos os prontuarios são disponibilizados em uma pasta compartilhada na nuvem sem utilização de qualquer tipo de backup, com usuário e senha únicos disponibilizado para utilização de todos os funcionários, o que acabou por gerar brechas na segurança, tendo em vista a falta de controle para o acesso em nuvem de todos os prontuários da clinica informações valiosas sobre pacientes acabaram vazando. Após efetuado o mapeamento de risco na empresa se chegou a conclusão de que há abertura para vulnerabilidades, o que implica em medidas protetivas urgentes, tendo em vista a urgência para a retomada do processo de atualização dos prontuários de seus pacientes. 12 4 Aplicação do Método de Computação Forense A computação Forense pode se definir como uma área da ciência da computação que evoluiu gradativamente para atender a uma demanda oriunda da criminalística e como uma parte da criminalística que se apropria de fundamentos da Ciência da Computação. Resumidamente será utilizado o conjunto de práticas de preservação, coleta, validação, identificação, analise, interpretação, documentação e apresentação de evidências digitais que tenham validade em processos judiciais. 4.1 Manipulação de evidências As evidências são peças utilizadas por advogados em tribunais e cortes no mundo inteiro, para que sejam consideradas provas válidas é muito importante que o perito realize o processo de investigação de maneira cuidadosa e sistemática. Portanto, todas as evidências devem ser preservadas e detalhadamente documentadas. O propósito do exame forense será a extração de informações de qualquer vestígio relacionado ao episódio investigado que permitam a formulação de conclusões acera da inocência ou infração do crime cibernético. Para a aquisição de dados, será importante também a definição de padrões, será estabelecido políticas para a manipulação destes e por meio delas desenvolver os protocolos e procedimentos. 4.2 Comparação de Hash As Hashes serão utilizadas para comprovar se determinada cópia ou versão de um suposto arquivo tem os mesmo dados armazenados da versão original. O Hash averigua a autenticidade de uma evidência. A Hash é gerada por meio de um script que irá analisar byte a byte de determinado arquivo para gerar de maneira única, um código que só aquele arquivo terá. Portanto, hashing é um mecanismo para descobrir se duas coisas são semelhantes e se trata de um processo unidirecional. Utilizando um objeto (arquivo, sequência de texto, ISO) e o converte a uma string de tamanho fixo, podemos então utilizar essa chave para verificar se alguma outra coisa é a mesma coisa. 13 4.3 Preservação das Evidências Nessa etapa a preservação das evidências é inicializada com os procedimentos relativos à documentação do material recebido, onde constará o relato de todas as caracteristicas individuais e o estado de conservação de uma possível midea recebida, no caso de um disco rígido por exemplo, o conjunto das seguintes caracteristicas permite identífica-los de forma inequívoca: nome do fabricante, modelo, numero de série e a capacidade nominal, já o estado de conservação no momento do recebimento pode conter algumas informações, como existência de riscos e danos ou a ausênsia de alguma parte. Algo importante a ser citado é de que nunca devemos fazer a investigação na unidade original, portanto deve se fazer várias cópias para iniciar o trabalho investigativo. Com a utilização do CAINE (Computer Aided Ingestigative Environment) uma distribuição da GNU/Linux italiana que oferece um ambiente forense completo e organizado para integrar ferramentas de softwares existentes como módulos de software fornecendo excelente interface gráfica, sua distribuição feita para Digital Forensics e resposta a incidentes, com o objetivo de executar sistemas sem adulterar ou corromper dispositivos (discos rígidos, pendrives, entre outros) conectados ao micro em que o processo de inicialização ocorre. Dando a sequência, a equipe do DEFT se dedicará na implementação e no desenvolvimento de aplicativos que serão liberados para a empresa de consultoria Digital Forensicse Mobile Forensics, o Enforcement Officer e os investigadores. 14 5 Análise Criptográfica No período do processo de coleta de evidências foi verificado a utilização da cifra de Vinegère, a condição com essa cifra tem muitas semelhanças com a codificação César, com exeção que a primeira usa uma chave mais longa para neutralizar o principal problema da codificação César, isso é, o fato de uma letra só pode ser codificado de uma maneira. Então este problema para ser resolvido, utiliza- se uma palavra chave ao invés de um simples caracter. Em primeiro lugar, cada letra é associada a um número correspondente. Nesse tipo de ataque, o retorno obtido foi de algumas prováveis chaves, então sendo definido quais delas fizeram mais sentido, se apenas parte do texto descriptografado fizer sentido, fica a probabilidade de que a chave real corresponda à parte da chave indicada pela plataforma. 5.1 Quebra de senhas do Windows Em meio ao processo da investigação forense é muito normal encontrar arquivos, partições, discos ou maquinas inteiras protegidas por senha, nesses casos foram utilizados alguns softwares para a quebra das senhas, esses programas atacam o sistema operacional Windows nos retornando com a própria senha, retornando o hash da senha ou mesmo promovendo o ataque de força bruta. Retornando a própria senha: Não é comum, mas alguns programas são tão vulneráveis que exibem facilmente a senha procurada, sem dificuldades Retornando a Hash da senha: Alguns programas não armazenam senha em si, mas fica armazenada a Hash correspondente, comum para contas de usuários Windows. Ataque de força bruta: Essa técnica é usada quando não se tem acesso à senha ou à sua Hash. O Windows costuma armazenar a Hash da senha de suas contas de usuário, essas Hashs podem ser adquiridas com softwares como o OSForensics ou o Cain & Abel. 15 6 Análise de Malwares identificados A forma mais comum e simples para esse processo de primeiro identificar um malware é através da execução de um antivírus confiável, segundo algumas diretrizes, pois a preservação dos elementos a serem investigados são uma prioridade, tendo em vista que ao menos dois fatores indesejados podem ocorrer durante esse processo: o primeiro seria a aliminação automática da ameaça causada pelo antivírus, a segunda seria as mudanças de comportamento ou a ofuscação geeradas pelo próprio script malicioso quando o mesmo é aborado por um antivírus, seguiremos o seguinte roteiro para a detecção do possível Malware: Gerar uma cópia do disco que estará sob a análise. Em outra maquina montar uma imagem física no formato só leitura. Na imagem montada só como leitura será executado o antivírus. Corremos o risco de em uma maquina existir malwares que nunca foram executados, que por alguma razão estão inativos, os mesmos assim que identificados serão eliminados, pois a permanencia deles podem confundir o desenrolar da investigação, o foco da investigação são malwares em execução. Mesmo cientes de que na maioria das vezes é muito difícil saber quais estão sendo executados, como por exemplo na inicialização do sistema operacional Windows. 16 7 Gestão da Continuidade de Negócios Todos os prontuários médicos dos pacientes são alimentados e acessados pela plataforma em núvem da Amazon, necessáriamente proposto um plano de ação para a segurança e acessibilidade dos arquivos lá mantidos, uma interrupção no acesso a plataforma pode gerar transtornos irreversíveis. O plano de ação terá a função de cumprir com os objetivos organizacionais e proporcionar confiança no que diz respeito à eficácia e eficiência aos recursos, atravéz da minimização dos riscos relevantes. O tratamento dos riscos, pressupõe a elaboração de um plano de ação, o qual estabelecerá o que será feito, qual controle será implementado ou aperfeiçoado, a implementação e os responsáveis pelo acompanhamento. Como já foi noticiado algumas vezes na internet o serviços de nuvem da Amazon já caiu, deixando fora do ar (off-line) sites como Foursquare, Reddit e Quora, com isso afetando milhares de consumidores da Amazon, isso não significa que os serviços de nuvem são simplismente muito arriscados e que as empresas devem evitar utilizar esse tipo de serviço, existem muitos benefícios na utilização desses serviços, a Nuvem precisa ser tratada como qualquer outra tecnologia na qual a empresa confia e depende. Para isso será muito importante as tratativas locais durante o mapeamento de riscos e durante o a investigação forense, onde foram apontados falhas e possíveis ameaças a serem tratadas. 17 7.1 Etapas do plano de Continuidade de Negócios O desenvolvimento do plano de continuidade de negócios não é complexo, porém muito abrangente, afinal, já conhecendo os processos internos da empresa não será difícil para definir como eles devem ser adaptados em caso de desastres. Definição do objetivo do Plano: o primeiro passo para a a elaboração do PCN será definir o objetivo, se não soubermos onde se quer chegar, não se chegará a lugar algum, então definido de maneira clara o escopo em que ele se desenrola e seus objetivos que serão alcançados. Para qualquer organização a finalidade do PCN é única para manter as atividades durante um eventual desastre Identificando as áreas principais: Na empresa haverá algumas áreas que não será necessário entrar no PDC, já estão estruturadas ou porque não são vitais de forma que uma catastrofe não afetará as atividades. O setor de TI figura praticamente em todos os planos de continuidade de negócios, isso se torna fácil entender, porque simplesmente se trata de um setor vital para o andamento das demais áreas nos dias atuais. Identificando as atividades críticas: Após ser definidas as áreas internas da clínica que farão parte do PCN o seguinte passo é identificar as atividades de cada uma que são críticas para a continuidade do negócio, é de conhecimento que existem tarefas que são menos ou mais vitais dentro da organização, mas isso não significa que são dispensáveis. Durante essa fase o objetivo deve ser de diferenciá-las para detectar quais operações necessitam obrigatóriamente, entrar no plano de continuidade de negócios para atividade da empresa não ser gravemente afetada quando ocontecer um desastre . 18 7.2 Determinar o tempo de inatividade aceitável para cada atividade crítica Torna se indiscutível que a ocorrência de um desastre causará algum impacto nas atividades da organização, por esse motivo a proposta do plano de continuidade de negócios é minimizar esse impacto reduzindo ao máximo o tempo de reação da empresa. Para isso, será determinado o tempo aceitável que cada atividade crítica pode ficar comprometida, atividades mais vitais terão mais prioridade no restabelicimento das funções normais da empresa, sendo assim, além de definir os prazos de inatividade aceitáveis, será também estabelecido a ordem de prioridade da lista de atividades criticas. 8 Criando o plano de Ação e Recuperação de Desastres Com os objetivos já definidos, as áreas principais da empresa envolvidas e as atividades críticas definidas, ´chega o momento de criar e apresentar o plano de ação e recuperação de desastres, traduzindo o mesmo deverá ser incluido no PCN como ele será implementado quando necessário. Em termos práticos o plano de ação simplesmente resume o plano de continuidade de negócios, nesta etapa será analisado as opções de software de continuidade de negócio e selecionado o que melhor se adapta as definições efetuadas até o momento. Para completar de maneira abrabgente será efetuado a inclusão do responsáveis e osprazos de cada ação, essencialmente haverá os pontos de controle para que seja verificado se a implementação do plano está conforme o esperado, será efetuado algumas simulações antes da ocorrência de um caso real. O PCN é como um seguroque não se quer utilizar nunca, mas também oferece para a empresa a tranquilidade de ter um plano de ação para mantê-la em atividade caso algum desastre ocorra. 19 9 Conclusão do projeto Conclui-se deste trabalho acadêmico que toda empresa está propensa a desastres ou interrupções críticas, mas uma empresa que se prepara para isso está a frente da concorrência, um plano pré desenvolvido para enfrentar situações de crise traz maior segurança na continuidade do negócio. No desenvolvimento do projeto o aprendizado sobre desastre, recuperação e gestão da continuidade do negócio mostrou a importância da prevenção e obtenção de um plano de ação para situações de risco, minimizando impactos e priorizando situações de maior urgência o que pode gerar menos impacto em situações de risco, uma empresa sem qualquer plano pré desenvolvido em uma situação de crise claramente não conseguira se manter após ela. A computação forense se mostrou indispensável na concretização dos riscos expostos, ameaças reais e perigos que levam a desastres e prejuizos em qualquer empresa, o uso de ferramentas específicas na obtenção de evidencias se torna crucial para o desenrolar da investigação forense dentro da empresa. Por fim a gestão e análise de riscos mapeou os pontos críticos e frágeis da empresa, apontando as vulnerabilidades no sistema e nas politicas de segurança da empresa, a falta de controle no acesso a informações armazenadas na nuvém foi algo critico e determinante para mudanças, foi apontado o vazamento de informações sigilosas sobre prontuários de pacientes. Encerrando com a afirmação de que se torna indispensável para toda empresa a necessida de um plano de ação para a gestão da continuidade do negócio na melhoria de qualidade e entrega dos resultados. 20 10 REFERÊNCIAS BIBLIOGRÁFICAS Livro - Computação Forense (Sandro de Araujo): <https://plataforma.bvirtual.com.br/Leitor/Publicacao/186353/pdf/0?code=QS QHwPCoGoZKiwVG/w+ZgtxfYYS7tmVq0HGTvHtaXSOdTTHXpCajpqCCLq4ZJ2jA25 veWYLMDlYNHnuk47glew==>. Acesso em: 09 de Novembro de 2021. Livro - Crimes Cibernéticos e Computação Forense - Wilson Leite da Silva F: < http://sbseg2016.ic.uff.br/pt/files/MC2-SBSeg16.pdf>. Acesso em: 14 de Novembro de 2021. Website Telium < https://telium.com.br/blog/recuperacao-de-desastres-ou-continuidade-dos- negocios-veja-o-que-garantir> Acesso em: 15 de Novembro de 2021 Livro - Gestão de continuidade de negócios - (GTAG) < https://iiabrasil.org.br/korbilload/upl/ippf/downloads/livro-1-gesto-d-ippf- 00000001-12122018093750.pdf> Acesso em: 15 de Novembro de 2021 Livro - GESTÃO DE RISCOS - Eduardo Person Pardini < https://www.legiscompliance.com.br/images/pdf/ebook_pardini.pdf> Acesso em: 15 de Novembro de 2021 Website maislaudo <https://maislaudo.com.br/blog/aprenda-a-elaborar-o-planejamento- estrategico-para-clinica-medica/> Acesso em: 19 de Novembro de 2021 Website Amazon <https://aws.amazon.com/pt/what-is-cloud-storage/> Acesso em: 19 de Novembro de 2021
Compartilhar