Conceitos Básicos

Prévia do material em texto

Segurança e Auditoria de Sistemas 
 
Segurança e informação de redes 
Não da para se ter 100% de 
segurança, pois o número de 
problemas que temos a cada dia é 
infinitamente maior do que 
poderíamos dar conta na parte da 
detecção e solução. 
CID é o pilar da segurança da 
informação, não são os únicos 
(existem 6), e nem os mais 
importantes, mas são os três 
primeiros que sustentam a segurança 
da informação, eles são 
confidencialidade, integridade e 
disponibilidade. 
A segurança da informação protege a 
informação de diversos tipos de 
ameaça, para garantir a continuidade 
dos negócios, minimizando os danos 
aos negócios e maximizando o 
retorno de investimentos de 
oportunidades. 
A segurança da informação envolve 
identificação, proteção, detecção, 
resposta e recuperação. 
Nada é 100% seguro porque os 
elementos do risco são dinâmicos, 
seja quando novas vulnerabilidades 
surgem, quando o ambiente muda 
com novos ativos, ou quando a 
motivação de um agente de ameaça 
 
alcança níveis que aumenta a chance 
de sucesso de ataque. 
Assim o que é seguro hoje pode não 
ser amanhã. Além disso pontos de 
ataques envolvem ativos 
tecnológicos, humanos (pessoas 
podem ser subornadas) e 
processuais. 
Pilares da S.I 
Para a ABNT NBR ISO/IEC 27001:2013 
Confidencialidade é a propriedade de 
que a informação não esteja 
disponível ou seja revelada a 
indivíduos, entidades ou processos 
não autorizados. Ou seja, um 
segredo, algo confidencial que só 
deve ir para quem eu mandar. 
Integridade é a propriedade de 
salvaguarda da exatidão e 
completeza de ativos. Ou seja, a 
mensagem de um emissor deve 
chegar a uma pessoa receptora sem 
que aja modificações pelo caminho 
retirando a integridade. 
Disponibilidade diz respeito a eficácia 
do sistema e do funcionamento da 
rede para que seja possível utilizar a 
informação quando necessário. Ou 
seja, a informação tem que estar 
disponível para mim, sem que tenha 
problemas na rede. 
Segurança e Auditoria de Sistemas 
 
Outras três propriedades tão 
importantes quanto são: 
Autenticidade: busca garantir que 
determinada pessoa ou sistema é de 
fato quem ela diz ser. 
Irretratabilidade (Não-Repúdio): 
busca se garantir que o usuário não 
tenha condições de negar ou 
contrariar o fato de que foi ele quem 
gerou determinado conteúdo ou 
informação. Diante desse universo de 
fake News é possível se fazer uma 
engenharia reversa e descobrir de 
onde saiu aquela informação. 
Legalidade: aspecto de legislação e 
normatização que devemos seguir. 
Exercício para trabalhar o que foi 
apresentado 
A proteção de três princípios é a razão 
de ser da segurança da informação. 
As medidas que garantem que a 
informação seja mantida nas mesmas 
condições disponibilizadas pelo 
proprietário atendem ao princípio da 
I..., a garantia de que estará à 
disposição dos usuários sempre que 
eles precisarem é o princípio da II..., 
ao estabelecer graus de sigilo, no 
tocante ao conteúdo, visando o 
acesso apenas a determinadas 
 
 
pessoas observamos o princípio da 
III... 
a) Conformidade, 
Confidencialidade, 
Sensibilidade 
b) Integridade, Disponibilidade, 
Confidencialidade 
c) Sensibilidade, Conformidade, 
Integridade 
 
Risco é a probabilidade de algo 
errado acontecer. A vida virtual é 
muito semelhante à nossa vida real. 
Fazendo um parâmetro, quando 
falamos de crackers ou concorrentes 
invadindo nossos sistemas, nos 
referimos a ladrões (hackers) 
invasores que vão roubar nossos 
dados, projetos e etc. Mais um 
parâmetro com a vida real, é que 
quando vamos dormir a noite não 
deixamos nossa porta de casa aberta, 
nós fechamos e trancamos para ter 
um pouco mais de segurança. Já na 
vida virtual, fazemos tudo errado, 
deixamos aberto a nossa porta da 
frente, no caso possuímos 
computadores e celulares sem sequer 
ter antivírus. 
Elementos do Risco – definições 
 
Segurança e Auditoria de Sistemas 
 
A gestão de riscos e a definição de 
risco são imprescindíveis para 
segurança da informação. 
O ativo possui riscos e são elementos 
a serem protegidos. Ou seja, o que 
tiver mais risco deverá ser protegido. 
Se uma pessoa possuir um muro baixo 
em sua casa ela terá um cuidado 
maior com ele e colocará arames 
como forma de proteção 
O agente de ameaça é aquele que 
explora uma vulnerabilidade. Pode 
ter a intenção e utilizar um método 
que visa explorar intencionalmente 
uma vulnerabilidade, como é o caso 
de um cracker que utiliza técnicas de 
ataques para atacar o ativo. 
Ele também pode ser uma situação ou 
método que permite acidentalmente 
disparar uma vulnerabilidade, como é 
o caso do administrador de sistemas 
que configura de uma forma incorreta 
e vulnerável o servidor de banco de 
dados. 
A vulnerabilidade corresponde a uma 
falha ou fraqueza em procedimentos 
de segurança, design e 
implementação ou controles internos 
de sistemas, que pode ser disparada 
acidentalmente e explorada 
intencionalmente, resultando em 
brecha de segurança e violação da 
 
política de segurança do sistema que 
existe em ativos. 
Os controles de segurança ou 
mecanismos de defesa, devem ser 
aplicados em vulnerabilidades para 
evitar que sejam explorados pelos 
agentes de ameaça. 
Ameaça é o potencial que um agente 
da ameaça tem de explorar uma 
vulnerabilidade específica, acidental 
ou intencionalmente. Uma negação 
de serviço e o vazamento de 
informações são exemplos de 
ameaças. Quando isso ocorre, a 
ameaça se torna se torna um 
incidente de segurança, o que resulta 
em impactos para a organização. 
O cálculo da probabilidade de tudo 
acontecer representa o risco, 
segundo a fórmula R=P*I, no qual R= 
Risco, P= Probabilidade e I = Impacto 
As empresas que mais investem em 
segurança da informação são os 
bancos. 
Se fosse necessário fazer uma 
apresentação aos diretores 
mostrando como fazer para tentar 
proteger ao máximo os produtos da 
empresa e a estratégia de marketing, 
a estrutura dela pode ser como essas 
sugestões abaixo: 
Segurança e Auditoria de Sistemas 
 
1) Resumo da empresa 
2) Ativos envolvidos no projeto, 
não se esquecendo que eles 
podem ser as pessoas, os 
equipamentos e artefatos 
físicos, os processos, os 
sistemas e tecnologias. Não é 
necessário citar todos, mas uma 
boa representatividade é 
importante. Resumindo tenho 
que proteger tudo que envolve 
o surgimento desse novo 
produto. 
3) Considere cracks e concorrentes 
como agentes de ameaça. Cite 
uma ameaça de cada tipo que 
afeta a confidencialidade, 
integridade e disponibilidade 
4) Justifique que os ativos podem 
ter vulnerabilidades explicando 
sobre elas 
5) Explique sobre os impactos de 
uma ameaça se tornar um 
incidente de segurança. Você 
deve considerar a tríade CID e 
descrever impactos 
incrementais que iniciam com a 
equipe e incluem o projeto, indo 
até a empresa e as perdas 
financeiras, de mercado e 
reputação por exemplo 
causando um grande prejuízo 
 
 
6)Faça uma relação entre os 
elementos do risco juntando as 
informações anteriores, como por 
exemplo as perdas. 
7) Defina uma proposta de 
implementação de controles de 
segurança, mecanismos de defesa e 
técnicas de segurança de redes. 
Aponte quais são eles. 
Detalhes importantes 
Atenção para os princípios de 
segurança da informação: 
Confidencialidade, Integridade e 
Disponibilidade. 
São eles que precisam ser protegidos 
como um todo. Uma falha comum é 
focar em apenas um dos aspectos da 
segurança da informação, 
negligenciando os outros. 
Há muitas ameaças rodando o 
ambiente da empresa e as 
vulnerabilidades precisam ser 
identificadas 
Com a apresentação você estará 
respondendo uma série de questões, 
dentro da sua empresa. 
Controles de Segurança 
Atualidade 
Em agosto de 2020, a bolsa de valores 
da Nova Zelândia sofreu paralização 
Segurança e Auditoria de Sistemas 
 
de suas operações em virtude de 
ataques de negação de serviços por 
quatro dias 
Hoje em dia ataques de ransonware 
estão muito na moda. Eles 
sequestram dados de servidorese 
usuários com finalidades de resgates, 
fazendo vítimas em todo mundo. 
Esses dois casos mostram que os 
ataques de crackers ou ataques 
cibernéticos, continuam acontecendo 
e evoluindo numa alta velocidade, 
atingindo desde pequenos negócios a 
infraestruturas 
Ataque de hansonware nada mais é 
do que uma pessoa colocar uma 
criptografia nos seus dados, e se você 
não tiver a chave de acesso você não 
poderá fazer a decodificação e 
perderá todos os seus dados. Por isso 
é necessário que aja um mecanismo 
anterior bem feito de backup para 
que não aja perdas 
Órgãos que regulam 
CERT.br 
Grupo de Resposta a Incidentes de 
Segurança para a Internet no Brasil, 
mantido pelo NIC.br, do Comitê 
Gestor da Internet no Brasil. 
 
 
É responsável por tratar incidentes de 
segurança em computadores que 
envolvam redes conectadas a 
Internet no Brasil. Ou seja ele mapeia 
ataques relatados. 
Lei Geral de Proteção de Dados 
(LGPD) 
Os dados gerais devem ser protegidos 
para a garantia da privacidade 
Ataques podem ser realizados para 
vazar dados pessoais e comprometer 
a privacidade, e ataques podem 
ocorrer com dados em 
processamentos (DIU), dados em 
transmissão (DIM), ou dados 
armazenados (DAR). 
Ataques a bancos de dados visam os 
dados armazenados enquanto 
ataques a rede visam os dados de 
transmissão. Já os dados em 
processamento podem sofrer 
ataques mais sofisticados. 
Agentes de Ameaça, Ameaças e 
Técnicas de Ataque 
Os agentes de ameaças são 
elementos importantes para o 
entendimento dos riscos e da 
segurança 
 
 
Segurança e Auditoria de Sistemas 
 
Os agentes de Ameaças mais comuns 
são as pessoas, que possuem facetas 
diferentes de acordo com o 
ambiente em avaliação. Por exemplo, 
os crackers, funcionários mal-
intencionados, insatisfeitos ou 
fraudadores. 
Há ainda os agentes de Ameaças 
Naturais, que podem comprometer a 
disponibilidade da informação em 
caso de uma inundação de datacenter 
Um outro agente de ameaça bastante 
crítico é o malware ou código 
malicioso. 
Malwares são programas 
desenvolvidos com o objetivo de 
gerar alguma ação danosa ou 
maliciosa em um computador 
Ataque- DOS 
Denial of service: Negação de serviço 
ou o processo que torna um sistema 
ou aplicação indisponível. Exemplo, 
um ataque pode ser feito por meio do 
bombardeamento de solicitações que 
consomem todos os recursos 
disponíveis do sistema ou da 
transmissão de dados de entrada 
defeituosos que podem acabar com o 
processo de uma aplicação. 
Exploração de recursos de maneira 
 
 
agressiva, impossibilitando usuários 
de utilizá-los. É como se quisesse 
acessar um site e não conseguisse 
pelo excesso de pessoas acessando 
ao mesmo tempo. 
Ataque- MITM 
Man- In – The-Middle (Sequestro de 
Conexões) 
É ativo, ou seja, a manipulação ocorre 
em tempo real, com o agente de 
ameaça tendo o controle dela, 
redirecionando as conexões TCP para 
uma determinada máquina. 
Além de permitir as injeções de 
tráfego, permite ainda driblar 
proteções geradas por protocolos de 
autenticação comprometendo assim 
a confidencialidade (tendo acesso as 
informações em trânsito), a 
integridade (alterando ou injetando 
informações na conexão) e mesmo a 
disponibilidade (descartando 
informações que deixam de chegar ao 
seu destino). Ou seja, formas de 
desviar uma informação. 
Controles de Segurança e Proteção- 
DMZ 
A proteção à rede considera que, no 
fluxo da informação, todo acesso 
passa pela rede, sendo este, 
Segurança e Auditoria de Sistemas 
 
portanto, um bom local para 
controles de segurança. 
Uma boa estratégia de segurança 
deve levar em consideração a rede, 
com uma arquitetura de redes 
segura, considerando segmentação, 
uso de zonas desmilitarizadas, 
controle de acesso de rede e 
detecção de ataques 
A técnica DMZ é uma rede específica 
que fica entre uma rede pública como 
a internet e a rede interna. Com esta 
segmentação, a rede conta como uma 
camada adicional de proteção, pois os 
acessos são permitidos para os 
serviços disponibilizados na DMZ, 
mas não para a rede interna 
Controles de Segurança e Proteção- 
Firewall 
É o controle de segurança mais 
famoso, responsável pelo controle de 
acesso de rede. 
Ele começou funcionando na camada 
de rede, e atualmente ele atua 
também na camada de aplicação, 
realizando a proteção contra ataques 
que vão além de ataques de rede, 
com o Web Application Firewall 
(WAF) 
 
 
Enquanto um firewall faz a filtragem 
de um tráfego, o WAF faz o filtro e 
monitora o tráfego entre os usuários 
e a aplicação Web, na camada de 
aplicação WEB, na camada de 
aplicação HTTP. O firewall é como um 
aguarda na porta de um banco, ele 
ajuda a proteger, mas não resolve 
todos os problemas. 
IDS – Sistemas de Detecção de 
Intrusão 
Permitem a detecção de ataques em 
andamento. 
Monitoramento e análise das 
atividades dos usuários e sistemas 
Análise baseada em assinaturas de 
ataques desconhecidos 
Análise estatística do padrão de 
atividade funcionam de forma mais 
ativa que um IDS 
IPS – Sistemas de Prevenção de 
Intrusão 
Após a detecção de atividades 
suspeitas, tomam ações diretas, 
como o término daquela conexão 
Atua de uma forma in-line, de modo 
similar ao firewall 
Os sistemas de detecção e prevenção 
de intrusão atuais incorporam 
técnicas de inteligência artificial para 
Segurança e Auditoria de Sistemas 
 
diminuir a quantidade de falsos 
positivos (alarmes falsos) e falsos 
negativos (ataques não detectados). 
Antimalware 
É um antivírus que busca códigos 
maliciosos, e basicamente funcionam 
com a verificação e assinaturas ou 
códigos que identificam um malware 
já identificado anteriormente e que 
possuem vacina específica. 
Se por um lado os códigos maliciosos 
podem alterar seu próprio código ou 
gerar polimorfismo para não serem 
detectados pelo antimalware, do 
outro lado o controle de segurança 
adota cada vez mais a inteligência 
artificial para detectar 
comportamentos anômalos que 
podem representar perigos para as 
empresas. 
A seguir mais passos do que 
apresentar aos diretores: 
1.Pense sempre nos pontos de 
ataques. No caso da loja virtual, você 
não possui controle sobre os 
dispositivos de seus clientes, ou os 
endpoints. 
2.O que resta é partir para a 
arquitetura de rede segura, que 
começa com a segmentação de rede 
 
3.O servidor deve estar em uma DMZ, 
para proteger a sua rede interna, que 
deve estar isolada. 
4.A segmentação e o controle de 
acesso de rede podem ser feitos pelo 
firewall, que bloqueia as tentativas de 
ataques a portas filtradas. Porém, 
para as portas liberadas pelo firewall, 
necessários para que os clientes 
cheguem ao servidor, ataques podem 
ocorrer por ali. 
5. Outro controle é o IDS, que faz a 
detecção de ataques. Para que as 
detecções reflitam em ações como o 
encerramento das conexões dos 
ataques, um IPS deve ser utilizado. O 
problema do IPS é que ele atua na 
rede, e ataques com construções de 
pacotes de rede que são mais difíceis 
de serem detectados podem ser 
feitos contra sua empresa 
6. Neste caso a correlação de eventos 
que considera logs de ativos como o 
servidor de aplicação ou middleware, 
além da aplicação e das 
autenticações, podem ser 
correlacionadas com informações da 
camada de rede, resultando em 
detecções mais assertivas 
7. Você ainda pode explorar novas 
tecnologias de detecção que utilizam 
técnicas de inteligência artificial, que 
Segurança e Auditoria de Sistemas 
 
detectam situações como desvios de 
padrão. 
Criptografia 
Arte de escrever ou resolver códigos. 
Funciona através de chaves e 
algoritmos criptográficos. Ela faz 
parte da vida de todos. Quem acessa 
a internet o faz usando o SSL, que 
adota a criptografia para criar um 
canal seguro entre o navegador e o 
website. No whatsAPP e no Skype 
também se adotam a criptografia 
A segurança em camadas é 
fundamental, já que a criptografia foi 
utilizada em conjunto com outros 
clientes de segurança, como 
autenticação, para protegeros dados 
de legítimo dono 
Criptografia de chave privada 
A pessoa envia uma mensagem 
cifrada para a outra. Ambos possuem 
a mesma chave privada. A mensagem 
de quem envia é misturada com a 
chave e criptografada, ao chegar na 
pessoa que vai recebe, ele colocará a 
sua chave para que a mensagem seja 
decifrada. 
Criptografia de chave pública 
Utiliza um par de chaves para a troca 
de mensagens. Uma chave pública 
 
para cifrar a mensagem e outra chave 
privada para decifrar a mensagem 
(chave exclusiva do receptor) 
Esteganografia: esconder a 
mensagem em uma foto ou som.