Baixe o app para aproveitar ainda mais
Prévia do material em texto
Professor : Joao Vicente Alvarenga, PMP®, ITIL ® SeguranSegurançça a da Informada Informaççãoão Fonte : Fundação Getúlio Vargas Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Conteúdo Conteúdo Cenários Corporativos Anatomia do Problema Empresas Via VAN 2 Tendências Aspectos de Segurança Soluções de Segurança Avaliação e Conclusão Referências Bibliográficas Autenticação e Autorização Combate a ataques e invasões Política de Segurança Criptografia Auditoria Norma x Metodologia ÚLTIMAS Número da Segurança Análise de Riscos Segurança Física Teste de Invasão Plano de Contingência Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Era do conhecimentoEra do conhecimentoEra do conhecimento 70s, 80s Ambiente MainframeMainframe Proteção DadosDados Foco Principal ConfidencialidadeConfidencialidade Posição da Informática RetaguardaRetaguarda Época 80s, 90s MainframeMainframe + + RedeRede DadosDados + + InformaInformaççãoão ConfidencialidadeConfidencialidade + + IntegridadeIntegridade Retaguarda Retaguarda ++AdministraAdministraççãoão e Operae Operaççãoão 90s, 2000 MainframeMainframe + Rede+ Rede + + IPIP DadosDados + Informa+ Informaçção ão + + ConhecimentoConhecimento ConfidencialidadeConfidencialidade + Integridade + Integridade + + DisponibilidadeDisponibilidade NegNegóóciocio Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Desafios da segurança na nova economiaDesafios da seguranDesafios da segurançça na nova economiaa na nova economia Controle centralizado Auditabilidade Ambiente padronizado Conhecimento de ameaças e vulnerabilidades Estratégia de Segurança Pessoal técnico capacitado Velocidade na implementação de soluções Integração com o negócio ! Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Desafios da segurançaDesafios da seguranDesafios da seguranççaa EstratEstratéégia de Segurangia de Segurançça ( Necessidade de ser TOP a ( Necessidade de ser TOP –– DOWN )DOWN ) EstratEstratéégicogico TTááticotico OperacionalOperacional Professor : Joao Vicente Alvarenga, PMP®, ITIL ® ROI - Retorno sobre o InvestimentoROI ROI -- Retorno sobre o InvestimentoRetorno sobre o Investimento MarketMarket ShareShare DisponibilidadeDisponibilidade FraudesFraudesDano Dano àà ImagemImagemVazamentoVazamento de Informade Informaççãoão Valor doValor do NegNegóóciocio Viabilidade Viabilidade de novasde novas aplicaaplicaççõesões InterrupInterrupçção ão do Negdo Negóóciocio Diminui os riscos, custos diretos eDiminui os riscos, custos diretos e indiretos provocados pelos indiretos provocados pelos incidentes de quebra de seguranincidentes de quebra de seguranççaa ControlesControles Agrega valorAgrega valor SeguranSegurançça do Nega do Negóóciocio ConscientizaConscientizaççãoão { } Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Papel da SegurançaPapel da SeguranPapel da Seguranççaa NEGÓCIO e GESTÃO ATIVOS ......EntenderEntendero Mercadoo Mercado DesenvolverDesenvolver ProdutosProdutos ConquistarConquistar ClientesClientes ...... Segredos Segredos de negde negóóciocio RecursosRecursos HumanosHumanos KnowKnow--howhow TTéécnicocnico MetodologiasMetodologias e Processose Processos InformaInformaççõesões de clientesde clientes InfraestruturaInfraestrutura TecnolTecnolóógicagica VULNERABILIDADESAusência deAusência dePolPolíítica paratica paraBackupBackup EstaEstaçção deão deRede com Rede com Modem InternoModem InternoAusência deAusência dePolPolíítica para tica para SenhaSenha Ausência de Ausência de Controle de Controle de Acesso FAcesso Fíísicosico AplicaAplicaçção com ão com BackdoorBackdoorAusência deAusência deFragmentadoraFragmentadora SEGURANÇA AMEAÇASAcessoAcessoIndevidoIndevido Perda de Perda de InformaInformaççãoãoRetrabalhoRetrabalhoIndisponibIndisponib.. FraudesFraudesSabotagensSabotagens PrejuPrejuíízo zo ààImagemImagemInvasõesInvasõesVazamentosVazamentos Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Papel da SegurançaPapel da SeguranPapel da Seguranççaa Eliminar e administrar as vulnerabilidades, Eliminar e administrar as vulnerabilidades, minimizando os riscos e conseqminimizando os riscos e conseqüüentementeentemente reduzindo os impactos no negreduzindo os impactos no negóóciocio SEGURANÇA Risco tendendo a zeroRisco tendendo a zero Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Ação sobre os ativosAAçção sobre os ativosão sobre os ativos InfraInfra--estruturaestrutura TecnologiaTecnologia AplicaAplicaççõesões InformaInformaççõesões PessoasPessoas ATIVO:ATIVO: Tudo que Tudo que manipula diretamanipula direta ou indiretamenteou indiretamente a informaa informaçção, ão, inclusive inclusive ela prela próópria.pria. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Ação sobre os ativosAAçção sobre os ativosão sobre os ativos Soluções pontuais isoladas não resolvem toda a problemática associada à segurança da informação. Segurança se faz protegendo todos os elos da corrente, ou seja, todos os ativos que compõem seu negócio. Afinal, o poder de proteção da corrente está diretamente associado ao elo mais fraco! Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Ativos: peças importantes do quebra-cabeçaAtivos: peAtivos: peçças importantes do quebraas importantes do quebra--cabecabeççaa Em 1987, após 73 segundos de seu lançamento, acabou numa explosão trágica mais uma viagem da Challenger. Os 7 tripulantes morreram... Investigadores concluíram que as baixas temperaturas noturnas afetaram um anel de vedação de um dos motores da aeronave, provocando vazamento de combustível do tanque e o conseqüente incêndio e explosão. O acidente provocou profundas mudanças e revisões nos estudos de layout de novas aeronaves e revisão nos procedimentos das equipes de trabalho envolvidas, incluindo as das empresas fornecedoras... ...a explosão causou prejuízos de cerca de $ 1.2 Bilhão, tendo como origem uma peça de apenas $900 que poderia ter sido substituída a tempo... Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Quebra de paradigmaQuebra de paradigmaQuebra de paradigma Segurança não é somente um problema tecnológico mas... a gestão inteligente da informação em todos os ambientes. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Miopia do IcebergMiopia do IcebergMiopia do Iceberg Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Administração do riscoAdministraAdministraçção do riscoão do risco Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Equação do RiscoEquaEquaçção do Riscoão do Risco XAmeaças X ImpactosVulnerab.R= Medidas de Segurançarisco Segurança da Informação é adotar controles físicos, tecnológicos e humanos personalizados, que viabilizem a redução e administração dos riscos, levando a empresa a atingir o nível de segurança adequado ao seu negócio. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Macro desafio da Segurança da InformaçãoMacro desafio da SeguranMacro desafio da Segurançça da Informaa da Informaççãoão Garantir os conceitos...Garantir os conceitos... IntegridadeIntegridade ConfidencialidadeConfidencialidade DisponibilidadeDisponibilidade das informadas informaçções. ões. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Conceitos da Segurança da InformaçãoConceitos da SeguranConceitos da Segurançça da Informaa da Informaççãoão IntegridadeIntegridade Diferente do que pode parecer, o conceito Integridade estDiferente do que pode parecer, o conceito Integridade estáá ligado ao estado da informaligado ao estado da informaçção no momento de sua geraão no momento de sua geraçção e ão e resgate. Ela estarresgate. Ela estaráá ííntegra se em tempo de resgate, estiver fiel ao ntegra se em tempo de resgate, estiver fiel ao estado original.estado original. Ex.: Ex.: GeraGeraçção ão -- ““2 + 2 = 52 + 2 = 5”” Resgate Resgate -- ““2 + 2 2 + 2 = 5= 5”” A Integridade não se prende SA Integridade não se prendeSÓÓ ao conteao conteúúdo, que pode estar do, que pode estar errado, mas errado, mas àà variavariaçções e alteraões e alteraçções entre o processo de geraões entre o processo de geraçção ão e resgate.e resgate. Integridade não Integridade não éé SOMENTE a exatidão da informaSOMENTE a exatidão da informaçção.ão. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Case que afetou a IntegridadeCase que afetou a IntegridadeCase que afetou a Integridade PRESIDENTE DAS FILIPINAS SOFRE ATAQUES Fonte: Boston Herald; 04/02/2000 Um hacker alterou o site do Presidente das Filipinas Joseph estrada, inserindo imagens eróticas e declarações contra o governante. O site ficou quase 24 horas modificado. Segundo os responsáveis, alguns arquivos de banco de dados foram apagados. A invasão ocorreu apenas duas semanas após ataques aos sites do governo japonês e em um período de grande investimento de países asiáticos na Internet. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Conceitos da Segurança da InformaçãoConceitos da SeguranConceitos da Segurançça da Informaa da Informaççãoão ConfidencialidadeConfidencialidade Diferente do que pode se pensava nas dDiferente do que pode se pensava nas déécadas de 70 e 80, o cadas de 70 e 80, o conceito conceito ConfidencialidadeConfidencialidade não estnão estáá relacionado ao isolamento relacionado ao isolamento da informada informaçção e ao seu não compartilhamento, trancafiandoão e ao seu não compartilhamento, trancafiando--a. a. Pelo contrPelo contráário. O conceito estrio. O conceito estáá ligado ligado àà crescente necessidade crescente necessidade de compartilhamento da informade compartilhamento da informaçção, mas se utilizando de ão, mas se utilizando de controles que permitam o acesso de pessoas e mcontroles que permitam o acesso de pessoas e mááquinas quinas autorizadas, se forma segura. autorizadas, se forma segura. Ex.: informaEx.: informaçção em ão em emailemail que trafega pela Internet com o que trafega pela Internet com o recurso de certificado digital para identificar o emissor e recurso de certificado digital para identificar o emissor e criptografia para garantir sua integridade e criptografia para garantir sua integridade e confidencialidadeconfidencialidade.. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Case que afetou a ConfidencialidadeCase que afetou a Case que afetou a ConfidencialidadeConfidencialidade EX-FUNCIONÁRIO DA INTEL INDICIADO POR ROUBO DE INFORMAÇÕES Fonte: ZDNet, 30/03/2000 A Corte Federal do Estado da Califórnia indiciou um ex-funcionário da Intel pelo roubo de informações sobre o microprocessador Itanium, quando já trabalhava para a concorrente Sun Microsystems Inc. O processo esta baseado no Economic Espionage Act of 1996, que qualificou roubo de segredos comerciais como crime federal. O réu pode ser condenado a 30 anos de prisão, mais multa de US$ 1,5 milhão. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Conceitos da Segurança da InformaçãoConceitos da SeguranConceitos da Segurançça da Informaa da Informaççãoão DisponibilidadeDisponibilidade Este conceito tem despertado maior interesse depois que os Este conceito tem despertado maior interesse depois que os negnegóócios passaram a depender mais da informacios passaram a depender mais da informaçção para serem ão para serem geridos. Afinal, de nada adiantargeridos. Afinal, de nada adiantaráá uma completa infrauma completa infra--estrutura estrutura tecnoltecnolóógica, com recursos que garantam a integridade e gica, com recursos que garantam a integridade e confidencialidadeconfidencialidade das informadas informaçções, se quando por preciso ões, se quando por preciso acessacessáá--la, a mesma não estiver disponla, a mesma não estiver disponíível.vel. Ex.: informaEx.: informaçções financeiras que precisam ser consultadas para ões financeiras que precisam ser consultadas para apoiar tomadas de decisão.apoiar tomadas de decisão. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Case que afetou a DisponibilidadeCase que afetou a DisponibilidadeCase que afetou a Disponibilidade MAIS ATAQUES DDoS Fontes: ABC News.com e CNet, 16 /03/00 Os ataques Distributed Denial of Service continuam nos EUA. Na última semana, foram derrubados os sites da Amazon.com e do FBI. A Amazon ficou 30 minutos fora do ar. No caso do FBI, as páginas ficaram indisponíveis por praticamente um dia inteiro. O ataque foi realizado no dia em que o FBI celebrava os 50 anos da campanha dos "10 fugitivos mais procurados". Professor : Joao Vicente Alvarenga, PMP®, ITIL ® BrainstormBrainstormBrainstorm Quais os obstáculos para implementar segurança?Quais os obstQuais os obstááculos para implementar seguranculos para implementar segurançça?a? Na sua percepção...Na sua percepNa sua percepçção...ão... Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Conscientização Orçamento Recursos Humanos Ferramentas Gerência Performance ConscientizaConscientizaççãoão OrOrççamentoamento Recursos HumanosRecursos Humanos FerramentasFerramentas GerênciaGerência PerformancePerformance ObstObstááculos para implementar seguranculos para implementar seguranççaa Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Alvo temporárioAlvo temporAlvo temporááriorio Acesso à Internet em Banda Estreita: Conexão discada Provedor pago 1:45hs 3:15hsTempo de Conexão Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Alvo 24 horas por dia x 7 dias por semanaAlvo 24 horas por dia x 7 dias por semanaAlvo 24 horas por dia x 7 dias por semana Acesso à Internet em Banda Larga: Internet Grátis (Bancos e Grupos Privados) Links dedicados (56Kbps - linha de dados dedicada) DVI (128Kbps - placa ISDN e linha telefônica) Web TV (56Kbps - NetComputer, linha telefônica, teclado e controle) Virtua (256Kbps - cabo de circuito fechado, cable modem) TVA (1Mbps - antena de rádio e linha telefônica) WAP (Wireless Application Protocol) 24hs Tempo de Conexão Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Alvo atraente - exemploAlvo atraente Alvo atraente -- exemploexemplo Internet Banking Investimentos a l v o m ai s a t ra en t e S e nh a Internet Banking Transferência de Valores Internet Banking Pagamento de Contas Home Banking Consulta de Extrato Agência Cartão Professor : Joao Vicente Alvarenga, PMP®, ITIL ® PerímetrosPerPeríímetrosmetros Internet Proteção Usuários Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Perímetros ( aumentar até o nível do usuário ... )PerPeríímetros ( aumentar atmetros ( aumentar atéé o no níível do usuvel do usuáário ... )rio ... ) Internet Proteção Usuários Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Confiança na Cadeia ProdutivaConfianConfiançça na Cadeia Produtivaa na Cadeia Produtiva FornecedorFornecedor NegócioNegócio DistribuidorDistribuidor GovernoGoverno ClienteCliente Movimento Generalizado ParceiroParceiro Isso 9001 Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Confiança na Cadeia ProdutivaConfianConfiançça na Cadeia Produtivaa na Cadeia Produtiva FornecedorFornecedor NegócioNegócio ParceiroParceiro DistribuidorDistribuidor GovernoGoverno ClienteCliente Movimento Generalizado Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Norma NBR ISO 17799:2000Norma NBR ISO 17799:2000Norma NBR ISO 17799:2000 Professor : Joao Vicente Alvarenga, PMP®, ITIL ® BrainstormBrainstormBrainstorm Como anda a segurança no cenário corporativo?Como anda a seguranComo anda a segurançça no cena no cenáário corporativo?rio corporativo? Na sua percepção...Na sua percepNa sua percepçção...ão... Professor : Joao Vicente Alvarenga, PMP®, ITIL ® BrainstormBrainstormBrainstorm Não conhece o problema Não consegue quantificar os prejuízos Possui um ambiente heterogêneo falando IP A competitividade impõe implementação veloz Possui acessos híbridos ao ambiente Não conhece o problemaNão conhece o problema Não consegue quantificar os prejuNão consegue quantificar os prejuíízoszos Possui um ambienteheterogêneo falando IPPossui um ambiente heterogêneo falando IP A competitividade impõe implementaA competitividade impõe implementaçção velozão veloz Possui acessos hPossui acessos hííbridos ao ambientebridos ao ambiente Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Cenários CorporativosCenCenáários Corporativosrios Corporativos Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Cenas corporativasCenas corporativasCenas corporativas Seu negSeu negóócio opera sob risco cio opera sob risco controlado?controlado? Não 51% Sim 36% Não sabe 13% SIMSIM NÃO SEINÃO SEI NÃONÃO Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Ciclo de Vida da InformaçãoCiclo de Vida da InformaCiclo de Vida da Informaççãoão Manuseio Transporte Armazenamento Descarte Professor : Joao Vicente Alvarenga, PMP®, ITIL ® InformaçãoInformaInformaççãoão armazenada em computador transmitida entre redes impressa ou escrita em papel enviada por fax armazenada em fita ou disco falada via telefone enviada por email armazenada em bancos de dados ... As informações deverão ter tratamento durante os 4 momentos do ciclo de vida, dependendo dos critérios de classificação da informação Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Vulnerabilidades que maximizam os riscosVulnerabilidades que maximizam os riscosVulnerabilidades que maximizam os riscos Ausência de controle de acesso físico Ausência de fragmentadora de papel Senha fraca Criptografia fraca Autenticação fraca Autorização deficiente Sistemas operacionais desatualizados Email sem proteção Bugs de software Backdoors Ausência de rotinas formais de backup Recurso humano inconsciente e incapacitado Ausência de uma Política de Segurança ... Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Riscos e ImpactosRiscos e ImpactosRiscos e Impactos Incêndio Inundação Acesso indevido Fraude Sabotagem Vazamento Invasão Retrabalho Espionagem Industrial Indisponibilidade Perda de imagem Perda financeira ... Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Ameaças que potencializam os riscosAmeaAmeaçças que potencializam os riscosas que potencializam os riscos Naturais Físicas Humanas Engenharia social Tecnológicas Sniffer Vírus DDoS Distributed Denial of Service Spoofing Trashing Password Crackers Trojan Horse ... Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Engenharia SocialEngenharia SocialEngenharia Social Não requer computador, nem tão pouco conhecimento técnico Técnica que explora as fragilidades do comportamento humano, associada a falta de conscientização e capacitação dos usuários, técnicos e funcionários em geral. É aplicada para extrair informação privilegiada da vítima e até mesmo viabilizar o roubo de informações. Normalmente fornece subsídios para a execução de outras técnicas com maior eficiência como: quebra de senhas. Exemplo: em telefonema para o suporte expressando irritação e pressa e se dizendo o novo diretor de operações da empresa, o hacker solicita o cadastramento de uma nova senha de acesso imediatamente. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Engenharia Social - Fax e secretáriaEngenharia Social Engenharia Social -- Fax e secretFax e secretááriaria O famoso hacker Kevin Mitnick, utilizava intensivamente técnicas de engenharia social. Certa vez, se fazendo passar por um alto executivo da Pacific Bell, conseguiu acesso a um memorando interno apenas pedindo à secretária do autor do memorando que enviasse uma cópia via fax. Ele informou o número de uma máquina de fax previamente preparada para parecer a máquina do executivo. Os detalhes do memorando apareceram mais tarde numa reportagem publicada em julho de 1988 por John Markoff no jornal The New York Times. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® SnifferSnifferSniffer Sniffer = farejador Técnica utilizada para “farejar” e capturar informações (pacotes de dados) que trafegam na redes. Apesar de não ser uma ferramenta de invasão, esta técnica é utilizada como um utilitário para a maioria delas. Muitas ferramentas automatizadas e de fácil utilização estão disponíveis na Internet, maximizando ainda mais a ação de indivíduos sem especialização e profundo conhecimento técnico. Depois de capturados - em certas situações - os pacotes podem ser remontados, revelando o conteúdo da mensagem. Exemplo: em condição de visitante, encontra um ponto de rede sem uso e conecta seu notebook enquanto espera o atendimento. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Sniffer - NetXRaySnifferSniffer -- NetXRayNetXRay Hacker Internet Webserver Workstations Webuser X Roteador Firewall Professor : Joao Vicente Alvarenga, PMP®, ITIL ® VírusVVíírusrus Programa de computador desenvolvido com objetivos obscuros como: apagar informações, roubar senhas, causar indisponibilidade do equipamento etc... Originalmente os vírus só podiam contaminar arquivos de programa (executáveis), mas eles também evoluíram e já contaminam documentos (.DOC) e emails através de rotinas Java. Exemplo: por desconhecimento, o usuário recebe por email um arquivo anexo (executável) de um suposto conhecido e o executa, contaminando a estação de trabalho e espalhando o vírus para a rede. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Vírus - I love youVVíírus rus -- I I lovelove youyou O I love you foi potencializado por anexar aos emails um rotina Visual Basic Script (.VBS) originalmente com o nome de ILOVEYOU.TXT.vbs (tecnicamente e humanamente competentes) Utiliza o Outlook para enviar mensagens para todas as pessoas listadas no Catálogo de endereços da vitima. 72 horas depois de seu lançamento, já haviam 19 variações. Existem no mundo atualmente mais de 50 mil vírus de computador em circulação. Webserver Workstations Hacker X Internet X Roteador Firewall Professor : Joao Vicente Alvarenga, PMP®, ITIL ® DDoS Distributed Denial of ServiceDDoSDDoS DistributedDistributed DenialDenial ofof ServiceService Denial of Service = negação de serviço Técnica de ataque que visa a indisponibilidade através da sobrecarga de solicitações de serviço (flood) e não a invasão do alvo. O volume de pacotes e a frequência de envio pode sobrecarregar e esgotar a capacidade de processamento do servidor ou link, indisponibilizando-o. Normalmente muitos computadores com links velozes de acesso à Internet, de forma sincronizada, são programados à solicitar tais serviços simultaneamente (programas zumbis). Exemplo: hackers se reúnem eletronicamente, “contaminam” e instalam programas em computadores de universidades - que possuem links velozes - sincronizando-os para enviar milhares de pacotes à um mesmo endereço eletrônico IP. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® DDoS Distributed Denial of Service - Amazon.com DDoSDDoS DistributedDistributed DenialDenial ofof ServiceService -- Amazon.comAmazon.com Os ataques Distributed Denial of Service continuam nos EUA. Nos últimos grandes ataques, foram derrubados os sites da Amazon.com e do FBI. A Amazon ficou 30 minutos fora do ar. No caso do FBI, as paginas ficaram indisponíveis por praticamente um dia inteiro. O ataque foi realizado no dia em que o FBI celebrava os 50 anos da campanha dos "10 fugitivos mais procurados". Fontes: ABC News.com e CNet, 16 /03/00 Webserver Workstations Hacker X Internet X Roteador X Firewall Professor : Joao Vicente Alvarenga, PMP®, ITIL ® DDoS Distributed Denial of Service - Amazon.com DDoSDDoS DistributedDistributed DenialDenial ofof ServiceService -- Amazon.comAmazon.com Fontes: 15/10/2001 01:23h Professor : Joao Vicente Alvarenga, PMP®, ITIL ® SpoofingSpoofingSpoofing Spoofing = enganar Técnica que visa aproveitar a indisponibilidade do serviço causada pelo ataque DDoS que o sobrecarrega de solicitações, por exemplo, fazendo-se passar por ele. Simulam o serviço original, desviando e capturando todos os pacotes que deveriam chegar ao site verdadeiro. Exemplo: o bombardeio à um site o tira de funcionamento, criando umajanela de tempo para que um site clone tome seu lugar e passe a receber todas as informações dos webusers. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Spoofing - site cloneSpoofingSpoofing -- site clonesite clone Os hackers utilizaram técnica de invasão que permitiu a edição do site web, desta forma, inseriram uma rotina que redirecionou os visitantes para um site falso. Todos os números de cartão de crédito utilizados nos pedidos de compras foram roubados. Fonte: CanalWeb, 06/08/99 Webserver Workstations Hacker X Webserver Hacker XInternet X Roteador Firewall Professor : Joao Vicente Alvarenga, PMP®, ITIL ® TrashingTrashingTrashing Trashing = vasculhar lixo Também chamada de Dumper Diver (mergulhador de lixo), é uma técnica utilizada para conseguir informações privilegiadas que potencializem as tentativas de quebra de senha e invasões. O lixo pode conter informações importantes que tornam mais eficientes os ataques. Exemplo: quando não há conscientização e capacitação, usuários e técnicos não têm qualquer instrução para descartar informações, por isso, ao vasculhar lixo corporativo, é possível encontrar senhas antigas, nomes de usuários, telefones, topologias de rede e relatórios de configuração. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Trashing - quebra de senhasTrashingTrashing -- quebra de senhasquebra de senhas Fonte: Computerworld, 02/05/99 * * * * * * Webserver Workstations Hacker X Informações coletadas no lixo Internet X Roteador Firewall Após vasculhar o lixo corporativo por semanas, os hackers conseguiram coletar o login de alguns usuários, documentos com a configuração de sistemas, rascunhos da topologia da rede e ainda, convites com o nome dos executivos e seus familiares. Estas últimas informações alimentaram ferramentas de quebra de senhas, que por sua vez, combinaram as palavras e conseguiram descobrir a senha - formada pelo nome da filha - de um importante diretor com permissões privilegiadas de acesso. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Password CrackersPasswordPassword CrackersCrackers Password Crackers = quebradores de senhas Técnica utilizada para conseguir identificar uma senha de acesso. O êxito desta técnica está diretamente ligada à complexidade da senha, o poder de processamento aplicado e a janela de tempo disponível. A complexidade da senha esta associada à sua formação. Quanto maior for a senha e mais diversificados forem seus elementos (numéricos, alfanuméricos, caracteres especiais, maiúsculas e minúsculas), mais segura ela será. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Password Crackers - dicionáriosPasswordPassword CrackersCrackers -- diciondicionááriosrios Ferramentas automatizadas aplicam dicionários especializados para dar maior eficiência à quebra de senhas fracas. “Ao analisar o ambiente de uma grande empresa do segmento financeiro, foram encontrados: 12 senhas em branco 23 senhas 123456 37 senhas iguais ao nome ou login 87 senhas iguais a data de nascimento” Fonte: Módulo, 12/03/00 1 2 3 4 5 6 Webserver Workstations Hacker X + Dicionários Internet X Roteador Firewall Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Trojan HorseTrojanTrojan HorseHorse Programa de computador desenvolvido com objetivos nebulosos munido de propriedades de administração remota, como um controle remoto. É composto por um client e um server. Apesar de não ser um vírus, têm sido tratado como tal e já é rastreado e eliminado pelos programas antivírus. É propagado através da execução de outro programa que tem aparência inofensiva, mas que o transporta de forma invisível. Entrega TODO o controle do computador ao invasor. Exemplo: depois de “contaminado” e conectado à Internet, o computador passa a ser um servidor, permitindo ao invasor acompanhar tudo que estiver sendo digitado pelo usuário e ainda manipular programas, arquivos, configurações, drives etc. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Trojan Horse - SubSevenTrojanTrojan HorseHorse -- SubSevenSubSeven Potencial destrutivo Execução de programas Leitura e escrita de arquivos Download e upload Captura de tela Captura de som Captura de teclado Uso do drive disquete Uso do drive cdrom Roubo de senhas Alteração da configuração ... Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Trojan Horse - SubSevenTrojanTrojan HorseHorse -- SubSevenSubSeven Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Trojan Horse - Senna Spy Trojan GeneratorTrojanTrojan HorseHorse -- Senna Senna SpySpy TrojanTrojan GeneratorGenerator Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Trojan Horse - Senna Spy Trojan GeneratorTrojanTrojan HorseHorse -- Senna Senna SpySpy TrojanTrojan GeneratorGenerator Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Trojan Horse - Senna Spy Trojan GeneratorTrojanTrojan HorseHorse -- Senna Senna SpySpy TrojanTrojan GeneratorGenerator Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Trojan Horse - Senna Spy Trojan GeneratorTrojanTrojan HorseHorse -- Senna Senna SpySpy TrojanTrojan GeneratorGenerator Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Trojan Horse - Senna Spy Trojan GeneratorTrojanTrojan HorseHorse -- Senna Senna SpySpy TrojanTrojan GeneratorGenerator Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Hackers - quem são?HackersHackers -- quem são?quem são? Hacker Indivíduo com profundos conhecimentos de sistemas operacionais, linguagens de programação, técnicas e ferramentas que potencializam as tentativas de acesso indevido. Comumente buscam mais conhecimento e evitam corromper informações intencionalmente. Cracker Indivíduo comumente dedicado a quebrar chaves de proteção de programas de computador e invadir sistemas, violando a integridade das informações com intenção maliciosa. Praticamente um Hacker profissionalmente perigoso. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Hackers - quem são?HackersHackers -- quem são?quem são? Lammer Indivíduo com conhecimentos técnicos superficiais, que comumente se utilizam de ferramentas de terceiros disponibilizadas na Internet para realizar suas tentativas de acesso indevido. Importante! Estas definições não são uma verdade absoluta, pois existem muitas outras. Entre elas, há uma grande sobreposição de papeis e áreas de interseção ainda nebulosas. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Hackers - quem são?HackersHackers -- quem são?quem são? Perfis e Objetivos Estudiosos Curiosos Concorrentes Funcionários Fraudadores Especuladores Sabotadores Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Hackers - quem são?HackersHackers -- quem são?quem são? Hacker Ético ou Especialista em Segurança da Informação Muito diferente dos demais, que comumente têm desvios de conduta, estes são profissionais especializados com profundos conhecimentos técnicos e ainda com uma sólida visão dos macro problemas de segurança. Para este profissional, a ética é fator essencial. IMPORTANTE O termo Hacker Ético está caindo em desuso por criar confusão. Esta confusão acaba incentivando a admissão de verdadeiros Hackers (com desvios de conduta) para incorporar erroneamente equipes de segurança que irão estar em contato com os segredos e vulnerabilidades dos clientes. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Macro Solução de SegurançaMacro SoluMacro Soluçção de Seguranão de Seguranççaa SituaSituaçção ão atualatual AnAnááliselise PolPolííticatica ImplementaImplementaççãoão AdministraAdministraççãoão Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Solução Corporativa de Segurança da InformaçãoSoluSoluçção Corporativa de Seguranão Corporativa de Segurançça da Informaa da Informaççãoão Autenticação e AutorizaçãoAutenticação e Autorização Combate a Ataques e InvasõesCombate a Ataques e Invasões Segurança em Comunicação e Privacidade Segurança em Comunicação e Privacidade Políticade SegurançaPolítica de Segurança Internet Cliente Acesso à Internet Web Site Servidor Rede Interna AuditoriaAuditoriaAnálise de RiscosAnálise de Riscos Segurança FísicaSegurança Física Plano de ContingênciaPlano de Contingência Teste de InvasãoTeste de Invasão Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Análise de RiscosAnAnáálise de Riscoslise de Riscos Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Análise de Riscos SoluSoluçções de Seguranões de Seguranççaa AnAnáálise de Riscoslise de Riscos Entrevistas Necessidades de uso dos recursos Cultura da empresa Cultura atual de segurança Práticas de segurança adotadas Relacionamento do usuário com a informação Processos críticos ... Le va nt am en to Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Análise de Riscos SoluSoluçções de Seguranões de Seguranççaa AnAnáálise de Riscoslise de Riscos Le va nt am en to Análise de ambiente físico Conhecer os aspectos da segurança física Exposição do ambiente quanto à vulnerabilidades Incêndio Instalações elétricas Condições climáticas Controle de acesso físico nos ambientes críticos Adequação da infra-estrutura ... Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Análise de Riscos SoluSoluçções de Seguranões de Seguranççaa AnAnáálise de Riscoslise de Riscos Análise de documentos Padronização adotada Especificações técnicas Qualidade total/ISO Políticas corporativas Regras para configuração de ambientes ... Le va nt am en to Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Análise de Riscos SoluSoluçções de Seguranões de Seguranççaa AnAnáálise de Riscoslise de Riscos Le va nt am en to Análise de ambiente informatizado Estação de trabalho Servidor Firewall Proxy Roteador Switch ... Pode ser apoiada por softwares tipo scanner que varrem a rede à procura de vulnerabilidades, mas que não substituem completamente a análise humana presencial. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Segurança FísicaSeguranSegurançça Fa Fíísicasica Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Física SoluSoluçções de Seguranões de Seguranççaa FFíísicasica Manter o controle do ambiente físico e ainda garantir as condições ideais para a manipulação das informações. Climatização da sala dos servidores Sala cofre Infra-estrutura de combate à incêndios Infra-estrutura elétrica Infra-estrutura de telecomunicações Cabeamento de rede Topologia da rede Dispositivos de acesso físico Controle de mídias e equipamentos ... Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Física SoluSoluçções de Seguranões de Seguranççaa FFíísicasica 1 - Entrada do edifício 2 - Sala dos equipamentos 3 - Cabeamento Backbone 4 - Armário de Telecomunicaçõ 5 - Cabeamento Horizontal 6 - Área de Trabalho Cabeamento Estruturado TIA/EIA 568-A 1 2 3 45 6 Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Autenticação e AutorizaçãoAutenticaAutenticaçção e Autorizaão e Autorizaççãoão Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Autenticação SoluSoluçções de Seguranões de Seguranççaa AutenticaAutenticaççãoão Processo de verificação da identidade e autenticidade de usuários e máquinas, permitindo a associação com seus perfis de acesso. A autenticação de usuários acontece através de uma senha ou outros dispositivos. Quanto é realizada entre máquinas, o diálogo entre elas comumente ocorre com base em algoritmos criptográficos. Os processos de autenticação podem ser classificados como fortes ou fracos e o nível de segurança pode variar em função das possíveis combinações. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Autenticação SoluSoluçções de Seguranões de Seguranççaa AutenticaAutenticaççãoão Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Autenticação SoluSoluçções de Seguranões de Seguranççaa AutenticaAutenticaççãoão O que você sabe Senha: Sequência de caracteres - números, letras e caracteres especiais - que permitem acesso à determinado sistema e ou serviço. Fraca: palavras conhecidas, informações do mundo real e de pequeno tamanho (entre 4 e 6 posições). Forte: mix entre letras maiúsculas e minúsculas, números e caracteres especiais (&*^%$#@!), com tamanho entre 6 e 8 posições. IMPORTANTE (Classificação Acadêmica e Prática) Esta classificação está intimamente associada à: o que se quer proteger, contra quem se quer proteger e por quanto tempo se quer proteger. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Autenticação SoluSoluçções de Seguranões de Seguranççaa AutenticaAutenticaççãoão Dicas: construa uma frase de fácil memorização com 8 palavras e forme a senha reunindo as iniciais destas palavras. Exemplo: Dia 26, faço 31 anos de vida = D2,f3adv não adotar a mesma senha para serviços distintos com base na criticidade (valor e volatilidade) das informações que ela irá proteger, defina: a complexidade (tamanho e construção) da senha a periodicidade de troca de senha a proibição de senhas usadas anteriormente a troca de senhas geradas automaticamente pelo sistema Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Autenticação SoluSoluçções de Seguranões de Seguranççaa AutenticaAutenticaççãoão O que você tem Smartcard: cartão inteligente com microprocessador que armazena informações. Estes dispositivos têm evoluído muito. Já podem ser lidos por drives de disquete tradicionais + software, ou ainda, por placas PCMCIA especiais. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Autenticação SoluSoluçções de Seguranões de Seguranççaa AutenticaAutenticaççãoão O que você é Biometria: técnica que utiliza características biológicas do usuário para identificá-lo. Impressão digital Voz Geometria da face Geometria das mãos Reconhecimento de íris O custo ainda é o maior obstáculo para sua disseminação 26 pontos 250 pontos www.msolucao.com.br//loja Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Autenticação SoluSoluçções de Seguranões de Seguranççaa AutenticaAutenticaççãoão O que você sabe + O que você tem Smartcard + Senha: Objetivando elevar ainda mais o nível de segurança, associa-se ao Smartcard ao uso de senhas de acesso, portanto, somando as características de ambas as soluções de autenticação. + Senha Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Autenticação SoluSoluçções de Seguranões de Seguranççaa AutenticaAutenticaççãoão O que você sabe + O que você tem Token: Dispositivo similar à um cartão, sincronizado com um sistema central, que gera senhas válidas à cada curto intervalo de tempo (exemplo: 60 segundos). Semente Bateria Display Relógio Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Autorização SoluSoluçções de Seguranões de Seguranççaa AutorizaAutorizaçção ão O que você pode Vivemos um momento de conectividade e compartilhamento de informações, contudo, é preciso saber definir as permissões de acesso. Classificar as informações, definir regras de leitura e escrita, e segmentar as redes e áreas de acesso aos sistemas, são ações importantes para elevar a eficiência de rastreabilidade e consequentemente o nível de segurança. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Combate a ataques e invasões Combate a ataques eCombate a ataques e invasõesinvasões Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Combate a ataques e invasões SoluSoluçções de Seguranões de Seguranççaa Combate a ataques e invasões Combate a ataques e invasões Estar conectado é estar suscetível à ataques e invasões (internos e externos), portanto, é preciso implementar recursos de software e hardware que segmentem a rede e reajam ou sinalizem situações e comportamentos suspeitos. Switch Roteador com filtro Firewall IDS - Intrusion DetectionSystem ... “Metáfora porteiros” Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Combate a ataques e invasões SoluSoluçções de Seguranões de Seguranççaa Combate a ataques e invasõesCombate a ataques e invasões SwitchSwitch Hardware destinado à interconexão de redes de computadores, cuja função é segmentar redes locais em diferentes grupos físicos, garantindo a distribuição de banda passante entre os usuários e reduzindo sensivelmente as ameaças provocadas pela técnica de Sniffer. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Combate a ataques e invasões SoluSoluçções de Seguranões de Seguranççaa Combate a ataques e invasões Combate a ataques e invasões Roteador com filtroRoteador com filtro Hardware destinado à interconexão de redes de computadores, cuja função é definir as rotas que os pacotes de dados deverão seguir. Muitos roteadores já implementam filtros (firewall), que analisam os pacotes que chegam à rede interna baseando-se no protocolo, na porta de conexão e nos endereços origem e destino e comparando com perfis suspeitos previamente definidos, liberando-os ou não. Webserver Workstations Internet X Roteador Hacker X Firewall Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Combate a ataques e invasões SoluSoluçções de Seguranões de Seguranççaa Combate a ataques e invasões Combate a ataques e invasões FirewallFirewall Software ou hardware destinado à proteção da rede interna de acessos externos indevidos. Implementa regras de filtragem e analisa os pacotes de dados que chegam à rede interna, liberando-os ou não. Dependendo da topologia, pode-se empregar mais de um, segregando melhor o ambiente. Webserver Workstations Internet X Roteador Hacker X Firewall Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Combate a ataques e invasões SoluSoluçções de Seguranões de Seguranççaa Combate a ataques e invasões Combate a ataques e invasões FirewallFirewall Interface gráfica amigável para configuração e criação de regras Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Combate a ataques e invasões SoluSoluçções de Seguranões de Seguranççaa Combate a ataques e invasõesCombate a ataques e invasões IDS IDS -- IntrusionIntrusion DetectionDetection SystemSystem Software complementar ao Firewall, destinado à proteção da rede interna de acessos externos indevidos. Implementa regras de filtragem e analisa profundamente o conteúdo dos pacotes de dados que chegam à rede interna e os compara com situações suspeitas (assinaturas de ataque) previamente inseridas no banco de dados do software, liberando-os ou não. IDS Workstations Internet X Roteador Hacker X Firewall Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Segurança na Comunicação e Privacidade SeguranSegurançça na Comunicaa na Comunicaçção e ão e PrivacidadePrivacidade Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade CriptografiaCriptografia Ciência que estuda os princípios, meios e métodos para tornar ininteligíveis as informações através de um processo de cifração, e para restaurar informações cifradas para sua forma original (inteligível) através de um processo de decifração. É largamente aplicada na comunicação de dados e se utiliza de algoritmos criptográficos que podem variar de acordo com a complexidade, eficiência e performance. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade CriptografiaCriptografia TEXTO COMUM PROGRAMA DE CRIPTOGRAFIA TEXTOCRIPTOGRAFADO PROGRAMA DE CRIPTOGRAFIA TEXTO COMUM 1 O usuário prepara o documento 2 Um programa de criptografia é utilizado para mascarar o conteúdo 3 O conteúdo do texto fica mascarado 4 Um programa de criptografia é utilizado para desmascarar o conteúdo 5 O conteúdo do texto fica desmascarado Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade Criptografia Criptografia -- Simétrica ou de chave privada Técnica que utiliza uma única senha secreta para criptografar as informações. Tem ótima performance, porém, possui um ponto extremamente vulnerável: o momento de enviar a chave privada para o outro interlocutor. Criptografa Decriptografa msg A B C (msg) msg A mesma chave compartilhada por A e B Comumente a chave privada acaba sendo trocada através de meios inseguros: telefone, fax, email etc... Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidadeão e Privacidade Criptografia Criptografia -- Simétrica ou de chave privada O tamanho da chave é muito importante, pois revela o número de chaves possíveis. Exemplo: chave de 40 bits = 240 chaves possíveis. Algoritmo de chave simétrica (chave de 56 bits) muito utilizado é o DES (Data Encryption Standard), criado em 1977. Outros algoritmos simétricos: 3DES, Blowfish, RC2, RC4 Um chip FPGA (US$ 400,00) consegue quebrar chaves de 40 bits em 5 horas, mas demora 38 anos para quebrar uma chave de 56 bits, como a usada pelo DES. 22 horas foi o tempo gasto para se quebrar o DES em um esforço conjunto via Internet. (Fonte: Módulo/1999) Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidadeão e Privacidade Criptografia Criptografia -- Assimétrica ou de chave pública Técnica que utiliza um par de chaves matematicamente relacionadas (uma pública e outra privada para cada interlocutor) para criptografar as informações. Tem baixa performance (100 à 1000 vezes mais lento que a simétrica), porém, possui nível mais alto de segurança, pois elimina a vulnerabilidade da técnica simétrica. Criptografa Decriptografa msg A B C (msg) msg Nesta técnica A e B possuem duas chaves distintas cada um. Uma pública e outra privada (que deve estar protegida). Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade Criptografia Criptografia -- Assimétrica ou de chave pública As chaves pública e privada são matematicamente relacionadas, de forma que o que é criptografado com uma delas só pode ser decriptografado com a outra. As chaves públicas comumente estão disponíveis no próprio site da entidade certificadora que o emitiu, mas ainda pode ser enviada diretamente ao interlocutor mesmo por meios inseguros. Uma implementação comercial do sistema de chave pública bastante conhecida é o RSA, criado por Rivest, Shamir e Adleman do M.I.T. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidadeão e Privacidade Criptografia Criptografia Função HASH: algoritmo que gera uma string de tamanho fixo a partir de uma mensagem de qualquer tamanho. Dificilmente duas mensagens diferentes gerarão o mesmo HASH, portanto, para verificar sua integridade, basta compará- los. Se houver alguma alteração - por menor que seja - os resultados do algoritmo serão muito diferentes. Assinatura Digital: resultado da utilização de uma chave privada ao assinar digitalmenteum documento, o que garante sua autenticidade, afinal, somente uma pessoa possui esta chave. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade Criptografia Criptografia -- SimSiméétrica + Assimtrica + Assiméétricatrica Combinando-se as duas técnicas de criptografia, simétrica para criptografar a mensagem e assimétrica para criptografar somente a chave privada, consegue-se maior segurança sem comprometer a performance do processo de cifragem. Criptografa Decriptografa msg A B C (msg) msg C ( ) Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade Criptografia Criptografia -- Certificado DigitalCertificado Digital Este é o certificado que fora emitido pela entidade certificadora, e que em função da política de emissão vigente, tem validade definida em 1 ano. A chave privada está guardada no computador e corresponde a este certificado. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade Criptografia Criptografia -- Certificado Digital no Certificado Digital no AddressAddress bookbook No Address book é possível armazenar as chaves públicas dos seus interlocutores. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade Criptografia Criptografia -- Certificado DigitalCertificado Digital É sua a opção de assinar digitalmente o email A criptografia depende da chave pública do destinatário Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade VPN VPN -- Virtual Virtual PrivatePrivate NetworkNetwork Hardware e software que implementa proteção na comunicação utilizando criptografia. Viabiliza o uso comercial da Internet como canal de comunicação, criando um “túnel” seguro por onde podem trafegar informações entre dois pontos definidos. VIRTUAL PRIVATE NETWORK Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade VPN VPN -- Virtual Virtual PrivatePrivate NetworkNetwork Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade CriptografiaCriptografia O gerenciamento de chaves é a questão mais difícil da criptografia, pois eventualmente tem que ser revogadas, reemitidas, protegidas e ainda disponibilizadas. Comumente os ataques não visam a quebra da criptografia, mas descobrir chaves que não estejam adequadamente protegidas. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade PKI PKI -- PublicPublic KeyKey InfrastrutureInfrastruture PKI não é uma aplicação. É uma infra-estrutura usada para habilitar aplicações que necessitam de um alto nível de segurança. PKI representa uma nova infra-estrutura segura para ambientes tecnológicos, garantindo a integridade e confidencialidade das informações através da gestão de chaves públicas e privadas. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidadeão e Privacidade PKI PKI -- PublicPublic KeyKey InfrastrutureInfrastruture Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Segurança na Comunicação e Privacidade SoluSoluçções de Seguranões de Seguranççaa SeguranSegurançça na Comunicaa na Comunicaçção e Privacidade ão e Privacidade PKI PKI -- PublicPublic KeyKey InfrastrutureInfrastruture Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Política de SegurançaPolPolíítica de Segurantica de Seguranççaa Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Política de Segurança SoluSoluçções de Seguranões de Seguranççaa PolPolíítica de Segurantica de Segurançça a Pa dr on iz aç ão A co m pa nh am en to ESTRATÉGICO TÁTICO OPERACIONAL APOIO Diretrizes Normas Procedimentos e Instruções A dm in is tra çã o C ul tu ra R ec ur so s Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Política de Segurança – exemplos de normas SoluSoluçções de Seguranões de Seguranççaa PolPolíítica de Segurantica de Segurançça a –– exemplos de normasexemplos de normas Critérios de proteção física Segmentação de responsabilidades, funções e departamentos Direitos, permissões e rotinas de desligamento de RH Relacionamento com recursos terceirizados Classificação de informações Gerenciamento de redes e comunicação de dados Configuração dos dispositivos de segurança Uso da Internet Uso do Correio Eletrônico Uso de Sistemas Uso de Acesso Remoto Uso de modems em estações de rede Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Política de Segurança – exemplos de normas SoluSoluçções de Seguranões de Seguranççaa PolPolíítica de Segurantica de Segurançça a –– exemplos de normas exemplos de normas Trilhas de auditoria e log de eventos Criação e manutenção de senhas Desenvolvimento e manutenção de sistemas Cópias de Segurança - Backup Rotinas de atualização de sistemas Política de Treinamento de usuários e técnicos Manuseio, transporte, armazenamento e descarte de informações Fragmentação de material descartado Plano de Contingência Aspectos legais Termo de Sigilo ... Professor : Joao Vicente Alvarenga, PMP®, ITIL ® AuditoriaAuditoriaAuditoria Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Auditoria SoluSoluçções de Seguranões de Seguranççaa AuditoriaAuditoria Medir os resultados das ações avaliando o atingimento das metas. Policy Enforcement Por exemplo: Soluções de software que apoiam a adesão a Política de Segurança, seguindo critérios personalizados e iniciando ações automaticamente. uso do email (ex.: volume de arquivos anexados) uso da web (ex.: acesso a sites “proibidos”) uso de modem em estações de redes proteção contra contaminação de trojan horse Single Logon - Logon único em diversos ambientes autenticação por smartcard/biométrica ... Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Auditoria SoluSoluçções de Seguranões de Seguranççaa Auditoria Auditoria Valiosas informações que revelam o estado do ambiente, tentativas de ataque e o comportamento dos usuários no uso dos recursos, estão nos diversos arquivos de LOG gerados e normalmente ignorados. Viabiliza a pró-atividade na detecção de: gargalos de performance sobrecargas da infra-estrutura queda de produtividade mau uso de recursos tecnológicos infração das regras de negócio antecipação de investimentos descumprimento da política de segurança tentativas de ataque e invasão Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Teste de InvasãoTeste de InvasãoTeste de Invasão Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Teste de Invasão SoluSoluçções deSeguranões de Seguranççaa Teste de InvasãoTeste de Invasão Recurso utilizado para por à prova um ou mais ambientes. Trata-se de uma ação controlada e previamente especificada: Objetivos Alvos Prazos Técnicas Ferramentas Tem como principal objetivo, simular situações de tentativa de invasão e acesso indevido à informação, utilizando os métodos mais próximos à realizada, praticados por hackers, crackers e qualquer ameaça que coloque em risco a informação. Interno cego Interno não cego Externo cego Externo não cego Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Plano de ContingênciaPlano de ContingênciaPlano de Contingência Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Plano de Contingência SoluSoluçções de Seguranões de Seguranççaa Plano de ContingênciaPlano de Contingência Garantir a continuidade de processos e informações vitais à sobrevivência do negócio, no menor espaço de tempo possível, com o objetivo de minimizar os impactos do desastre. O Plano de Contingência tem que se preocupar com a continuidade do negócio. Estratégia de Contingência Planos de Contingência Plano de Retorno Testes e Manutenção Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Plano de Contingência SoluSoluçções de Seguranões de Seguranççaa Plano de ContingênciaPlano de Contingência Evento Retorno Contingência Operação Normal Operação Normal Recuperação Estratégias de Contingência Planos de Contingência Planos de Retorno Testes Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Plano de Contingência SoluSoluçções de Seguranões de Seguranççaa Plano de ContingênciaPlano de Contingência Estratégias Hot-Site Warm-Site Realocação da Operação Bureau de Serviços Acordo de Reciprocidade Cold-Site Auto-Suficiência Processos e InformaProcessos e Informaççõesões InfraInfra--estruturaestrutura SistemasSistemas Planos de ContingênciaPlanos de Contingência NEGNEGÓÓCIOCIO Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Plano de Contingência SoluSoluçções de Seguranões de Seguranççaa Plano de ContingênciaPlano de Contingência Estratégias Hot-Site local alternativo totalmente equipado, pronto para ser utilizado em caso de necessidade. Por ser a mais completa alternativa é também a mais cara. Warm-Site local alternativo parcialmente equipado. Usualmente este tipo de site possui pronto e em condições de uso os equipamentos referentes a operação das atividades críticas de primeira hora e uma infra-estrutura mínima. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Plano de Contingência SoluSoluçções de Seguranões de Seguranççaa Plano de ContingênciaPlano de Contingência Estratégias Realocação da Operação alternativa quando a mesma operação é realizada em alguma outra Unidade da Organização ou quando os recursos necessários são encontrados em outra Unidade organizacional (com a devida folga de capacidade) Bureaux de Serviços o uso de bureau de serviços é limitado ao processamento de serviços do tipo batch e que tenham suas entradas de dados baseadas em documentos. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Plano de Contingência SoluSoluçções de Seguranões de Seguranççaa Plano de ContingênciaPlano de Contingência Estratégias Acordo de Reciprocidade alternativa que consiste de um acordo entre duas organizações de porte similar e demandas técnicas semelhantes para uso de instalações e equipamentos em comum. Cold-Site local alternativo sem recursos de processamento de dados. Em alguns casos o cold-site (ou empty-shell) possui já instalada recursos de telecomunicações. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Plano de Contingência SoluSoluçções de Seguranões de Seguranççaa Plano de ContingênciaPlano de Contingência Estratégias Auto-Suficiência a Organização não apresenta risco de perda que seja significativo caso ela seja impactada por um desastre, assumindo conscientemente o risco decorrente das possíveis perdas provocadas por um desastre. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Plano de Contingência SoluSoluçções de Seguranões de Seguranççaa Plano de ContingênciaPlano de Contingência Planos de Contingência Documentos completos onde se definem os responsáveis, ações, situações “gatilho” para acionamento da contingência, procedimentos e instruções. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Plano de Contingência SoluSoluçções de Seguranões de Seguranççaa Plano de ContingênciaPlano de Contingência Documentos completos onde se definem os responsáveis, ações, procedimentos e instruções para retornar à operação normal. Podemos encará-lo como o plano de contingência em sentido contrário. Planos de Retorno Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Soluções de Segurança Plano de Contingência SoluSoluçções de Seguranões de Seguranççaa Plano de ContingênciaPlano de Contingência Testes Certifica de forma total ou parcial o Plano de Contingência, permitindo corrigir eventuais problemas. Checklist Verificação dos itens necessários para o sucesso do plano Mesa Simulação em mesa de uma situação de contingência Paralelo Acionamento da contingência em ambiente simulado em paralelo Simulado Simulação da contingência em ambiente real Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Ambiente tecnicamente + seguro Ambiente tecnicamente + Ambiente tecnicamente + seguroseguro Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Ambiente tecnicamente + seguroAmbiente tecnicamente + seguroAmbiente tecnicamente + seguro Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Norma x MetodologiaNorma x MetodologiaNorma x Metodologia Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Norma Européia BS7799Norma EuropNorma Europééia BS7799ia BS7799 A BS7799 cobre as best practices em todas as áreas da segurança da informação: 01. Política de Segurança da Informação 02. Organização da Segurança 03. Classificação e controle de ativos 04. Segurança aplicada a recursos humanos 05. Segurança física e de ambiente 06. Gerenciamento de operações e comunicações 07. Controle de acesso 08. Manutenção e desenvolvimento de sistemas 09. Gerenciamento de Continuidade do Negócio 10. Conformidade Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Norma BS7799 para ISO 17799-1Norma BS7799 para ISO 17799Norma BS7799 para ISO 17799--11 Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Norma NBR ISO/IEC 17799:2000Norma NBR ISO/IEC 17799:2000Norma NBR ISO/IEC 17799:2000 Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Norma ... O que? x Metodologia... Como? Norma ... O que? x Metodologia... Norma ... O que? x Metodologia... Como?Como? Norma (ISO17799) Aponta o que fazer na administração da segurança da informação. Metodologia (em conformidade com a ISO17799) Aponta como fazer a administração da segurança da informação. Norma + Metodologia = Best Practice Professor : Joao Vicente Alvarenga, PMP®, ITIL ® ISO17799 a BS7799ISO17799 a BS7799ISO17799 a BS7799 BS7799:parte 1 = ISO17799:1 Código de Prática (não certificável) BS7799:parte 2 = Em estudos para norma ISO Framework de segurança (certificável) SGSI – Sistema de Gestão de Segurança da Informação Professor : Joao Vicente Alvarenga, PMP®, ITIL ® ConclusõesConclusõesConclusões Professor : Joao Vicente Alvarenga, PMP®, ITIL ® ConclusõesConclusõesConclusões Segurança da Informação é: é um problema físico, tecnológico e humano é um problema cíclico e contínuo tem que ser tratada com processo corporativo é a proteção de todos os ativos equalitariamente é a adoção de controles é eliminar, administrar e reduzir riscos é fator crítico de sucesso! Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Modele uma solução completa e personalizada que proteja as informações que sustentam o seu negócio. Modele uma soluModeleuma soluçção completa e personalizada que ão completa e personalizada que proteja as informaproteja as informaçções que sustentam o seu negões que sustentam o seu negóócio.cio. Evite soluções isoladas!Evite soluEvite soluçções isoladas!ões isoladas! Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Referências bibliográficas Referências bibliogrReferências bibliográáficas ficas 1. NBR/ISO/IEC 17799. Tecnologia da Informação: Código de prática para a gestão da segurança da informação. Associação Brasileira de Normas Técnicas ABNT, 2002. 56p 2. SEMOLA, Marcos: Gestão de Segurança da Informação – uma visão executiva. Editora Campus 2002. 200p. 3. DOU. Decreto nº3.505, que institui Política de Segurança na Administração Federal.13 Jun 2000. 4. DOU. Decreto 3.587. Estabelece a composição de ICP do governo. 5 de setembro de 2000. 5. PARKER, Donn. Fighting Computer Crime: a new framework for protecting information. New York: Willey Computer Publishing. 1998. 512p. 6. GIL, Antonio de Loureiro. Segurança em Informática. 2 ed.. São Paulo: Atlas, 1998. 193p. 7. HUTT, Arthur E. et al. Computer Security Handbook. 3rd Edition. New York: John Wiley & Sons, Inc. 1995. 8. RUSSEL, Deborah e GANGEMI, G.T. Computer Security Basics. California, O'Reilly & Associates, Inc. 1991. 441p. Professor : Joao Vicente Alvarenga, PMP®, ITIL ® Referências bibliográficas Referências bibliogrReferências bibliográáficas ficas 9. KRAUSE TIPON, Handbook of Information Security Management 1999, Editora Auerback 10. VALLABHANENI, S.Rao. CISSP Examination Texbooks. Volume 1: Theory. 1a. Edição. SRV Professional Publications, Illinois. 2000. 519p. 11. ISO/IEC JTC 1/SC 27. Glossary of IT Security Terminology. Information technology - security techniques. 1998. 12. SECINF. Glossary of Terms: Messaging and Network Security. http://secinf.net/info/misc/glossary.html 13. WEBOPEDIA. Security. http://webopedia.internet.com/Networks/Security/ 14. Schneier, Bruce. Segurança.com – Segredos e mentiras sobre a proteção na vida digital. Editora Campus. 15. Coluna eletrônica de Gestão de Segurança da Informação da IDGNow assinada pelo autor: www.idgnow.com.br/idgnow/colunas/firewall/firewall.htm 16. Portal de Segurança da Informação da Módulo Security Solutions, a primeira empresa da América Latina certificada BS7799. www.modulo.com.br
Compartilhar