Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança e Auditoria de Sistemas Segurança e informação de redes Não da para se ter 100% de segurança, pois o número de problemas que temos a cada dia é infinitamente maior do que poderíamos dar conta na parte da detecção e solução. CID é o pilar da segurança da informação, não são os únicos (existem 6), e nem os mais importantes, mas são os três primeiros que sustentam a segurança da informação, eles são confidencialidade, integridade e disponibilidade. A segurança da informação protege a informação de diversos tipos de ameaça, para garantir a continuidade dos negócios, minimizando os danos aos negócios e maximizando o retorno de investimentos de oportunidades. A segurança da informação envolve identificação, proteção, detecção, resposta e recuperação. Nada é 100% seguro porque os elementos do risco são dinâmicos, seja quando novas vulnerabilidades surgem, quando o ambiente muda com novos ativos, ou quando a motivação de um agente de ameaça alcança níveis que aumenta a chance de sucesso de ataque. Assim o que é seguro hoje pode não ser amanhã. Além disso pontos de ataques envolvem ativos tecnológicos, humanos (pessoas podem ser subornadas) e processuais. Pilares da S.I Para a ABNT NBR ISO/IEC 27001:2013 Confidencialidade é a propriedade de que a informação não esteja disponível ou seja revelada a indivíduos, entidades ou processos não autorizados. Ou seja, um segredo, algo confidencial que só deve ir para quem eu mandar. Integridade é a propriedade de salvaguarda da exatidão e completeza de ativos. Ou seja, a mensagem de um emissor deve chegar a uma pessoa receptora sem que aja modificações pelo caminho retirando a integridade. Disponibilidade diz respeito a eficácia do sistema e do funcionamento da rede para que seja possível utilizar a informação quando necessário. Ou seja, a informação tem que estar disponível para mim, sem que tenha problemas na rede. Segurança e Auditoria de Sistemas Outras três propriedades tão importantes quanto são: Autenticidade: busca garantir que determinada pessoa ou sistema é de fato quem ela diz ser. Irretratabilidade (Não-Repúdio): busca se garantir que o usuário não tenha condições de negar ou contrariar o fato de que foi ele quem gerou determinado conteúdo ou informação. Diante desse universo de fake News é possível se fazer uma engenharia reversa e descobrir de onde saiu aquela informação. Legalidade: aspecto de legislação e normatização que devemos seguir. Exercício para trabalhar o que foi apresentado A proteção de três princípios é a razão de ser da segurança da informação. As medidas que garantem que a informação seja mantida nas mesmas condições disponibilizadas pelo proprietário atendem ao princípio da I..., a garantia de que estará à disposição dos usuários sempre que eles precisarem é o princípio da II..., ao estabelecer graus de sigilo, no tocante ao conteúdo, visando o acesso apenas a determinadas pessoas observamos o princípio da III... a) Conformidade, Confidencialidade, Sensibilidade b) Integridade, Disponibilidade, Confidencialidade c) Sensibilidade, Conformidade, Integridade Risco é a probabilidade de algo errado acontecer. A vida virtual é muito semelhante à nossa vida real. Fazendo um parâmetro, quando falamos de crackers ou concorrentes invadindo nossos sistemas, nos referimos a ladrões (hackers) invasores que vão roubar nossos dados, projetos e etc. Mais um parâmetro com a vida real, é que quando vamos dormir a noite não deixamos nossa porta de casa aberta, nós fechamos e trancamos para ter um pouco mais de segurança. Já na vida virtual, fazemos tudo errado, deixamos aberto a nossa porta da frente, no caso possuímos computadores e celulares sem sequer ter antivírus. Elementos do Risco – definições Segurança e Auditoria de Sistemas A gestão de riscos e a definição de risco são imprescindíveis para segurança da informação. O ativo possui riscos e são elementos a serem protegidos. Ou seja, o que tiver mais risco deverá ser protegido. Se uma pessoa possuir um muro baixo em sua casa ela terá um cuidado maior com ele e colocará arames como forma de proteção O agente de ameaça é aquele que explora uma vulnerabilidade. Pode ter a intenção e utilizar um método que visa explorar intencionalmente uma vulnerabilidade, como é o caso de um cracker que utiliza técnicas de ataques para atacar o ativo. Ele também pode ser uma situação ou método que permite acidentalmente disparar uma vulnerabilidade, como é o caso do administrador de sistemas que configura de uma forma incorreta e vulnerável o servidor de banco de dados. A vulnerabilidade corresponde a uma falha ou fraqueza em procedimentos de segurança, design e implementação ou controles internos de sistemas, que pode ser disparada acidentalmente e explorada intencionalmente, resultando em brecha de segurança e violação da política de segurança do sistema que existe em ativos. Os controles de segurança ou mecanismos de defesa, devem ser aplicados em vulnerabilidades para evitar que sejam explorados pelos agentes de ameaça. Ameaça é o potencial que um agente da ameaça tem de explorar uma vulnerabilidade específica, acidental ou intencionalmente. Uma negação de serviço e o vazamento de informações são exemplos de ameaças. Quando isso ocorre, a ameaça se torna se torna um incidente de segurança, o que resulta em impactos para a organização. O cálculo da probabilidade de tudo acontecer representa o risco, segundo a fórmula R=P*I, no qual R= Risco, P= Probabilidade e I = Impacto As empresas que mais investem em segurança da informação são os bancos. Se fosse necessário fazer uma apresentação aos diretores mostrando como fazer para tentar proteger ao máximo os produtos da empresa e a estratégia de marketing, a estrutura dela pode ser como essas sugestões abaixo: Segurança e Auditoria de Sistemas 1) Resumo da empresa 2) Ativos envolvidos no projeto, não se esquecendo que eles podem ser as pessoas, os equipamentos e artefatos físicos, os processos, os sistemas e tecnologias. Não é necessário citar todos, mas uma boa representatividade é importante. Resumindo tenho que proteger tudo que envolve o surgimento desse novo produto. 3) Considere cracks e concorrentes como agentes de ameaça. Cite uma ameaça de cada tipo que afeta a confidencialidade, integridade e disponibilidade 4) Justifique que os ativos podem ter vulnerabilidades explicando sobre elas 5) Explique sobre os impactos de uma ameaça se tornar um incidente de segurança. Você deve considerar a tríade CID e descrever impactos incrementais que iniciam com a equipe e incluem o projeto, indo até a empresa e as perdas financeiras, de mercado e reputação por exemplo causando um grande prejuízo 6)Faça uma relação entre os elementos do risco juntando as informações anteriores, como por exemplo as perdas. 7) Defina uma proposta de implementação de controles de segurança, mecanismos de defesa e técnicas de segurança de redes. Aponte quais são eles. Detalhes importantes Atenção para os princípios de segurança da informação: Confidencialidade, Integridade e Disponibilidade. São eles que precisam ser protegidos como um todo. Uma falha comum é focar em apenas um dos aspectos da segurança da informação, negligenciando os outros. Há muitas ameaças rodando o ambiente da empresa e as vulnerabilidades precisam ser identificadas Com a apresentação você estará respondendo uma série de questões, dentro da sua empresa. Controles de Segurança Atualidade Em agosto de 2020, a bolsa de valores da Nova Zelândia sofreu paralização Segurança e Auditoria de Sistemas de suas operações em virtude de ataques de negação de serviços por quatro dias Hoje em dia ataques de ransonware estão muito na moda. Eles sequestram dados de servidorese usuários com finalidades de resgates, fazendo vítimas em todo mundo. Esses dois casos mostram que os ataques de crackers ou ataques cibernéticos, continuam acontecendo e evoluindo numa alta velocidade, atingindo desde pequenos negócios a infraestruturas Ataque de hansonware nada mais é do que uma pessoa colocar uma criptografia nos seus dados, e se você não tiver a chave de acesso você não poderá fazer a decodificação e perderá todos os seus dados. Por isso é necessário que aja um mecanismo anterior bem feito de backup para que não aja perdas Órgãos que regulam CERT.br Grupo de Resposta a Incidentes de Segurança para a Internet no Brasil, mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil. É responsável por tratar incidentes de segurança em computadores que envolvam redes conectadas a Internet no Brasil. Ou seja ele mapeia ataques relatados. Lei Geral de Proteção de Dados (LGPD) Os dados gerais devem ser protegidos para a garantia da privacidade Ataques podem ser realizados para vazar dados pessoais e comprometer a privacidade, e ataques podem ocorrer com dados em processamentos (DIU), dados em transmissão (DIM), ou dados armazenados (DAR). Ataques a bancos de dados visam os dados armazenados enquanto ataques a rede visam os dados de transmissão. Já os dados em processamento podem sofrer ataques mais sofisticados. Agentes de Ameaça, Ameaças e Técnicas de Ataque Os agentes de ameaças são elementos importantes para o entendimento dos riscos e da segurança Segurança e Auditoria de Sistemas Os agentes de Ameaças mais comuns são as pessoas, que possuem facetas diferentes de acordo com o ambiente em avaliação. Por exemplo, os crackers, funcionários mal- intencionados, insatisfeitos ou fraudadores. Há ainda os agentes de Ameaças Naturais, que podem comprometer a disponibilidade da informação em caso de uma inundação de datacenter Um outro agente de ameaça bastante crítico é o malware ou código malicioso. Malwares são programas desenvolvidos com o objetivo de gerar alguma ação danosa ou maliciosa em um computador Ataque- DOS Denial of service: Negação de serviço ou o processo que torna um sistema ou aplicação indisponível. Exemplo, um ataque pode ser feito por meio do bombardeamento de solicitações que consomem todos os recursos disponíveis do sistema ou da transmissão de dados de entrada defeituosos que podem acabar com o processo de uma aplicação. Exploração de recursos de maneira agressiva, impossibilitando usuários de utilizá-los. É como se quisesse acessar um site e não conseguisse pelo excesso de pessoas acessando ao mesmo tempo. Ataque- MITM Man- In – The-Middle (Sequestro de Conexões) É ativo, ou seja, a manipulação ocorre em tempo real, com o agente de ameaça tendo o controle dela, redirecionando as conexões TCP para uma determinada máquina. Além de permitir as injeções de tráfego, permite ainda driblar proteções geradas por protocolos de autenticação comprometendo assim a confidencialidade (tendo acesso as informações em trânsito), a integridade (alterando ou injetando informações na conexão) e mesmo a disponibilidade (descartando informações que deixam de chegar ao seu destino). Ou seja, formas de desviar uma informação. Controles de Segurança e Proteção- DMZ A proteção à rede considera que, no fluxo da informação, todo acesso passa pela rede, sendo este, Segurança e Auditoria de Sistemas portanto, um bom local para controles de segurança. Uma boa estratégia de segurança deve levar em consideração a rede, com uma arquitetura de redes segura, considerando segmentação, uso de zonas desmilitarizadas, controle de acesso de rede e detecção de ataques A técnica DMZ é uma rede específica que fica entre uma rede pública como a internet e a rede interna. Com esta segmentação, a rede conta como uma camada adicional de proteção, pois os acessos são permitidos para os serviços disponibilizados na DMZ, mas não para a rede interna Controles de Segurança e Proteção- Firewall É o controle de segurança mais famoso, responsável pelo controle de acesso de rede. Ele começou funcionando na camada de rede, e atualmente ele atua também na camada de aplicação, realizando a proteção contra ataques que vão além de ataques de rede, com o Web Application Firewall (WAF) Enquanto um firewall faz a filtragem de um tráfego, o WAF faz o filtro e monitora o tráfego entre os usuários e a aplicação Web, na camada de aplicação WEB, na camada de aplicação HTTP. O firewall é como um aguarda na porta de um banco, ele ajuda a proteger, mas não resolve todos os problemas. IDS – Sistemas de Detecção de Intrusão Permitem a detecção de ataques em andamento. Monitoramento e análise das atividades dos usuários e sistemas Análise baseada em assinaturas de ataques desconhecidos Análise estatística do padrão de atividade funcionam de forma mais ativa que um IDS IPS – Sistemas de Prevenção de Intrusão Após a detecção de atividades suspeitas, tomam ações diretas, como o término daquela conexão Atua de uma forma in-line, de modo similar ao firewall Os sistemas de detecção e prevenção de intrusão atuais incorporam técnicas de inteligência artificial para Segurança e Auditoria de Sistemas diminuir a quantidade de falsos positivos (alarmes falsos) e falsos negativos (ataques não detectados). Antimalware É um antivírus que busca códigos maliciosos, e basicamente funcionam com a verificação e assinaturas ou códigos que identificam um malware já identificado anteriormente e que possuem vacina específica. Se por um lado os códigos maliciosos podem alterar seu próprio código ou gerar polimorfismo para não serem detectados pelo antimalware, do outro lado o controle de segurança adota cada vez mais a inteligência artificial para detectar comportamentos anômalos que podem representar perigos para as empresas. A seguir mais passos do que apresentar aos diretores: 1.Pense sempre nos pontos de ataques. No caso da loja virtual, você não possui controle sobre os dispositivos de seus clientes, ou os endpoints. 2.O que resta é partir para a arquitetura de rede segura, que começa com a segmentação de rede 3.O servidor deve estar em uma DMZ, para proteger a sua rede interna, que deve estar isolada. 4.A segmentação e o controle de acesso de rede podem ser feitos pelo firewall, que bloqueia as tentativas de ataques a portas filtradas. Porém, para as portas liberadas pelo firewall, necessários para que os clientes cheguem ao servidor, ataques podem ocorrer por ali. 5. Outro controle é o IDS, que faz a detecção de ataques. Para que as detecções reflitam em ações como o encerramento das conexões dos ataques, um IPS deve ser utilizado. O problema do IPS é que ele atua na rede, e ataques com construções de pacotes de rede que são mais difíceis de serem detectados podem ser feitos contra sua empresa 6. Neste caso a correlação de eventos que considera logs de ativos como o servidor de aplicação ou middleware, além da aplicação e das autenticações, podem ser correlacionadas com informações da camada de rede, resultando em detecções mais assertivas 7. Você ainda pode explorar novas tecnologias de detecção que utilizam técnicas de inteligência artificial, que Segurança e Auditoria de Sistemas detectam situações como desvios de padrão. Criptografia Arte de escrever ou resolver códigos. Funciona através de chaves e algoritmos criptográficos. Ela faz parte da vida de todos. Quem acessa a internet o faz usando o SSL, que adota a criptografia para criar um canal seguro entre o navegador e o website. No whatsAPP e no Skype também se adotam a criptografia A segurança em camadas é fundamental, já que a criptografia foi utilizada em conjunto com outros clientes de segurança, como autenticação, para protegeros dados de legítimo dono Criptografia de chave privada A pessoa envia uma mensagem cifrada para a outra. Ambos possuem a mesma chave privada. A mensagem de quem envia é misturada com a chave e criptografada, ao chegar na pessoa que vai recebe, ele colocará a sua chave para que a mensagem seja decifrada. Criptografia de chave pública Utiliza um par de chaves para a troca de mensagens. Uma chave pública para cifrar a mensagem e outra chave privada para decifrar a mensagem (chave exclusiva do receptor) Esteganografia: esconder a mensagem em uma foto ou som.
Compartilhar