Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prof. Dr. Anderson Silva UNIDADE IV Auditoria de Sistemas (Conceito e Aplicação) Unidade IV Agenda Auditando Sistemas Operacionais e Aplicativos Auditando a Computação Forense Auditando a Governança de TI Auditando a Segurança Auditoria de Sistemas Gerenciando logs de sistemas De acordo com a norma ABNT NBR ISO/IEC 27002 É muito importante o armazenamento dos registros de atividades de usuários e sistemas Os logs ou trilhas de auditoria devem prover dados pertinentes sobre o sistema A integridade é imprescindível Hashes Atributo “só leitura” O timestamp deve ser preciso Auditando Sistemas Operacionais e Aplicativos Gerenciando logs de sistemas Pontos importantes na análise de logs A identificação precisa das atividades: datas, horários, logins, logoff, eventos A identificação dos usuários A localização dos dispositivos utilizados A quantidade de sucessos ou falhas nos logins Auditando Sistemas Operacionais e Aplicativos Gerenciando logs de sistemas Pontos importantes na análise de logs As alterações nos sistemas Quais os privilégios em uso Quais os serviços em uso Quais as transações executadas Quais os arquivos e os diretórios acessados Quais os atributos de rede utilizados Auditando Sistemas Operacionais e Aplicativos Logs do Windows Auditando Sistemas Operacionais e Aplicativos Fonte: acervo pessoal Analisando logs de acesso indevido A partir da real natureza e detecção de um evento, um registro pode ser classificado em: Auditando Sistemas Operacionais e Aplicativos Fonte: autoria própria Ação Detectada pelo controle? Positivo Negativo Verdadeiro Ameaça real? Falso Falso Positivo (FP) Falso Negativo (FN) Verdadeiro Negativo (VN)Verdadeiro Positivo (VP) Analisando logs de acesso indevido Os problemas acarretados pelos alertas VN e FP Auditando Sistemas Operacionais e Aplicativos Fonte: autoria própria Falso Positivo (FP) Pacote legítimo bloqueado Verdadeiro Negativo (VN) Pacote malicioso liberado Vítima Controle de Segurança Site legítimo Atacante Correlacionamento de logs Busca por relacionamento entre logs para encontrar justificativas para alguns eventos Pode gerar mais informações sobre os acontecimentos ou dados investigados Um mesmo aplicativo pode gerar diferentes categorias de logs Sistemas operacionais podem gerar categorias de logs bastante difusas Auditando Sistemas Operacionais e Aplicativos Multicorrelacionamento de logs Mapeamento entre logs de diferentes fontes Controles de segurança Equipamentos de rede Sistemas operacionais Sincronia baseada em Timestamp Eventos Causas/consequências Auditando Sistemas Operacionais e Aplicativos Multicorrelacionamento de logs Técnica descendente Analisa-se o comportamento de um ataque conhecido e se verifica em outros logs (sistema operacional, por exemplo) onde há traços de sua atuação com base no timestamp Trata-se de um estudo dos registros deixados por aquele evento conhecido O objetivo é entender quais são os traços que ele costuma deixar em outros logs A técnica é útil para o rastreamento das estratégias do evento até sua fonte Auditando Sistemas Operacionais e Aplicativos Multicorrelacionamento de logs Técnica ascendente A busca por problemas é realizada em diversos logs desde o início Se uma anomalia é detectada no log, outros logs são checados com base no timestamp Consegue descobrir eventos maliciosos diretamente da análise de diversos logs Apesar de mais custosa computacionalmente, permite a detecção de ataques novos Auditando Sistemas Operacionais e Aplicativos Em uma rede com um controle de segurança aconteceram dois eventos: (1) um tráfego malicioso foi bloqueado; (2) um arquivo benigno foi bloqueado. Marque a alternativa correta a respeito desses eventos: a) O evento (1) é um FN já que uma ameaça potencial foi bloqueada. b) O evento (2) é um VN já que o arquivo não representava uma ameaça. c) Os dois eventos mostram que o controle de segurança funcionou adequadamente. d) O evento (1) é um VN já que a ameaça não significava um problema. e) O evento (2) é um FP já que o arquivo não era uma ameaça. Interatividade Resposta Em uma rede com um controle de segurança aconteceram dois eventos: (1) um tráfego malicioso foi bloqueado; (2) um arquivo benigno foi bloqueado. Marque a alternativa correta a respeito desses eventos: a) O evento (1) é um FN já que uma ameaça potencial foi bloqueada. b) O evento (2) é um VN já que o arquivo não representava uma ameaça. c) Os dois eventos mostram que o controle de segurança funcionou adequadamente. d) O evento (1) é um VN já que a ameaça não significava um problema. e) O evento (2) é um FP já que o arquivo não era uma ameaça. Computação Forense Ramo da criminalística voltado para a análise e o estudo de evidências cibernéticas Abrange a investigação computacional realizada em hardware e software Procura preservar os vestígios levantados e o objeto de estudo para a reprodutibilidade Contém 5 etapas primordiais Identificação Isolamento Registro Coleta Preservação Auditando a Computação Forense Etapas primordiais da Computação Forense Identificação Busca a correta identificação das evidências É preciso conhecer bem o que se pretende investigar Não se pode basear a investigação em dados escassos, saturados ou irrelevantes Auditando a Computação Forense Etapas primordiais da Computação Forense Isolamento Busca garantir a integridade dos vestígios, evitando alterações, inserções e destruições Pode ser executada junto com a identificação Exemplos Um computador pode permanecer isolado desligado para investigação Um sistema operacional ou ambiente pode ser travado para impedir alterações Auditando a Computação Forense Etapas primordiais da Computação Forense Registro Forma de documentação das evidências Lista detalhes de locais, envolvidos, objetos, evidências... Resguarda a segurança das evidências Auditando a Computação Forense Etapas primordiais da Computação Forense Coleta Extração das evidências identificadas, isoladas e registradas em um cenário de crime Apesar de historicamente mais relacionada ao meio físico, também ocorre no meio lógico Cuidado no manuseio de equipamentos e dispositivos sensíveis é essencial Auditando a Computação Forense Etapas primordiais da Computação Forense Preservação Busca garantir que os dados ou objetos coletados estejam seguros e íntegros Envolve os cuidados com acondicionamento, transporte e manuseio Para dados lógicos recomenda-se a criação de backups Também busca garantir a integridade, com a criação de hashes e assinaturas digitais Criptografia para garantir a confidencialidade também é bastante recomendável Auditando a Computação Forense Auditoria de métodos forenses A transformação das evidências em provas exige a reprodutibilidade A auditoria da computação forense deve garantir a conformidade Técnica Gerencial Legal Auditando a Computação Forense Auditoria de conteúdos forenses A exigência de reprodutibilidade também se aplica ao conteúdo forense coletado A auditoria pode garantir a veracidade dos dados coletados Procedimento Operacional Padrão (POP) – regido por SENASP/MJ e ABNT 27037:2013 Padroniza o trabalho Minimiza os riscos da execução das análises forenses Evita falhas e erros do processo Auditando a Computação Forense Principais formas de auditoria em conteúdo computacional forense Recuperação e análise sobre sistemas de arquivos Exame de mídias fiscais Exame de eventos de telefonia e internet Análise de dados computacionais e de rede Investigação de imagens e vídeos Investigação em dispositivos móveis Auditando a Computação Forense POP: Perícia Criminal Publicado pelo Ministério da Justiça, trazalguns padrões sobre as perícias criminais: Exame pericial de mídia de armazenamento computacional Exame pericial de equipamento computacional portátil e de telefonia móvel Exame pericial de local de informática Exame pericial de local de internet Auditando a Computação Forense A auditoria de uma investigação forense mostrou que o profissional designado para a tarefa não seguiu os padrões expressos no POP. Foram constatadas irregularidades no transporte das evidências (alguns equipamentos foram avariados), na maneira como o ambiente foi isolado e na integridade de alguns arquivos. A esse respeito marque a alternativa correta. a) Os problemas de integridade dos equipamentos provavelmente aconteceram na fase de registro. b) Os padrões do POP que não foram seguidos representam um problema de conteúdo da análise forense. c) A auditoria conseguiu provar falhas nos métodos e no conteúdo investigado. d) No caso, a auditoria deveria ser realizada antes da análise forense. e) O isolamento deveria ser realizado após o transporte do conteúdo investigado. Interatividade Resposta A auditoria de uma investigação forense mostrou que o profissional designado para a tarefa não seguiu os padrões expressos no POP. Foram constatadas irregularidades no transporte das evidências (alguns equipamentos foram avariados), na maneira como o ambiente foi isolado e na integridade de alguns arquivos. A esse respeito marque a alternativa correta. a) Os problemas de integridade dos equipamentos provavelmente aconteceram na fase de registro. b) Os padrões do POP que não foram seguidos representam um problema de conteúdo da análise forense. c) A auditoria conseguiu provar falhas nos métodos e no conteúdo investigado. d) No caso, a auditoria deveria ser realizada antes da análise forense. e) O isolamento deveria ser realizado após o transporte do conteúdo investigado. Governança de TI Corresponde a um conjunto de estruturas organizacionais, ferramentas e processos gerenciados de forma que a TI sustente e estenda as estratégias e os objetivos da organização É preciso o respaldo da administração Auditando a Governança de TI Governança de TI Motivadores Auditando a Governança de TI Fonte: autoria própria Modelos usados na implantação da Governança de TI Capability Maturity Model Integration (CMMI) Desenvolvimento de produtos e projeto de sistemas e software Information Technology Infrastructure Library (ITIL) Serviços de TI, segurança da informação, gerenciamento da infraestrutura, gestão de ativos e aplicativos Norma ABNT NBR ISO/IEC 38500 Trata a Governança Corporativa da TI Auditando a Governança de TI Modelos usados na implantação da Governança de TI Norma ABNT NBR ISO/IEC 27001 Requisitos e códigos de práticas para gestão da segurança da informação Complementa a norma ABNT NBR 19011 Norma ABNT NBR ISO/IEC 27007 Oferece diretrizes sobre o gerenciamento de um processo de auditoria em um SGSI Complementa a norma ABNT NBR ISO/IEC 19011, pois funciona interna e externamente Project Management Body of Knowledge (PMBOK) Baseado em conhecimentos de gestão de projetos Auditando a Governança de TI Modelos usados na implantação da Governança de TI Project in Controlled Enviroment (PRINCE2) Metodologia de gerenciamento de projetos Balanced Scorecard (BSC) Metodologia de planejamento e gestão da estratégia Control Objectives for Information and related Technology (COBIT) Modelo para governança e o gerenciamento da TI no âmbito corporativo Auditando a Governança de TI COBIT 5 Modelo de governança da Information Systems Audit and Control Association (ISACA) Orienta a gestão e a auditoria de uma área departamental de TI Tem a função de melhorar os processos por meio do desenvolvimento de capacidades associadas a ativos de pessoal, software, hardware, políticas e procedimentos Tudo monitorado por métricas predefinidas Auditando a Governança de TI O COBIT 5 é categorizado em 5 princípios 7 habilitadores 37 processos Auditando a Governança de TI Fonte: autoria própria 1. Atender as necessidades das partes interessadas 2. Cobrir totalmente a empresa 5. Distinguir a governança da gestão 4. Permitir uma abordagem holística 3. Aplicar um framework único e integrado Princípios do COBIT 5 O processo de auditoria no modelo COBIT é composto por algumas etapas/atividades: 1. Determinação dos requisitos de processo Define o escopo das atividades, elencando processos, plataformas e responsabilidades 2. Seleção de áreas a serem auditadas Definição dos ambientes que devem passar pelo processo de auditoria 3. Avaliação e consideração sobre os controles Avaliação prévia sobre os controles existentes 4. Uso de documentação Verificação sobre como deve ser a documentação do processo Auditando a Governança de TI O processo de auditoria no modelo COBIT é composto por algumas etapas/atividades: 5. Entendimento dos requisitos de negócios Entendimento do negócio em relação à sua indisponibilidade e impactos 6. Avaliação e medição dos controles São definidas a partir dos requisitos de negócio e consequentes impactos 7. Verificação de ineficiência dos controles Realizada por meio de técnicas analíticas Auditando a Governança de TI A respeito do COBIT nos processos de auditoria, marque a alternativa errada. a) O COBIT é fortemente baseado em processos e métricas. b) O uso de métricas implica em avaliação e aproxima o COBIT do processo de auditoria. c) Um dos princípios do COBIT é que ele deve cobrir apenas alguns setores da empresa. d) O COBIT pode ser usado como uma ferramenta da auditoria. e) Uma auditoria pode ser usada como uma ferramenta para a implementação do COBIT. Interatividade Resposta A respeito do COBIT nos processos de auditoria, marque a alternativa errada. a) O COBIT é fortemente baseado em processos e métricas. b) O uso de métricas implica em avaliação e aproxima o COBIT do processo de auditoria. c) Um dos princípios do COBIT é que ele deve cobrir apenas alguns setores da empresa. d) O COBIT pode ser usado como uma ferramenta da auditoria. e) Uma auditoria pode ser usada como uma ferramenta para a implementação do COBIT. A auditoria de sistemas busca Entender e descrever os sistemas Documentar e até delimitar escopos Avaliar riscos Garantir integridade, eficácia, eficiência, confidencialidade, disponibilidade, conformidade, confiabilidade, auditabilidade, privacidade, precisão e legalidade Auditando a Governança de TI Para auditar sistemas 1. Verificar a estrutura dos sistemas e seus controles 2. Realizar testes 3. Analisar resultados Tudo isso depende dos requisitos levantados para essas tarefas Requisitos funcionais Requisitos não funcionais Auditando a Governança de TI Requisitos funcionais Expressam como um produto ou resultado deve ser Forma, características gerais Objetivo, missão Ambiente, necessidades Resultados gerados, escalabilidade Exemplo: a escolha do aplicativo usado no processo de auditoria Auditando a Governança de TI Requisitos não funcionais Estão relacionados a atributos de qualidade Portabilidade Eficiência Manutenibilidade Usabilidade Confiabilidade Exemplo: o nível aceitável de desempenho ou precisão que um sistema deve ter Auditando a Governança de TI Identificar e avaliar os controles de segurança Proporciona a descoberta de ameaças e vulnerabilidades A norma ABNT NBR ISO/IEC 27001 sugere a avaliação dos seguintes domínios: PSI Organização de SI Segurança em recursos humanos Gestão de ativos Controle de acesso Criptografia Segurança física e do ambiente Auditando a Segurança Identificar e avaliar os controles de segurança Proporciona a descoberta de ameaças e vulnerabilidades A norma ABNT NBR ISO/IEC 27001sugere a avaliação dos seguintes domínios: Segurança nas operações Segurança nas comunicações Aquisição, desenvolvimento e manutenção de sistemas Relacionamento na cadeia de suprimentos Aspectos de SI na gestão da continuidade do negócio Gestão de incidentes de SI Conformidade Auditando a Segurança A norma ABNT 27002 sugere quatro etapas para o gerenciamento de incidentes: 1. Notificação Investiga a veracidade do incidente, qual a sua relevância e efeito Surge de um alerta de segurança, reclamação ou análise de evento histórico 2. Resposta Procedimentos com informações sobre como reagir perante o incidente Cuidados com FP são importantes pois afetam a confiabilidade O sistema deve ter bom planejamento para responder adequadamente ao incidente Auditando a Segurança A norma ABNT 27002 sugere quatro etapas para o gerenciamento de incidentes: 3. Recuperação Deve haver um plano de resposta a incidentes que permita o início da recuperação A preparação antecipada facilita o gerenciamento do incidente Além da solução, o plano deve levar em conta a causa raiz do incidente 4. Documentação Como deve ser feita a documentação de incidentes A base histórica de ocorrências é útil para treinamento de prevenção Auditando a Segurança A Auditoria em Sistemas de Gerenciamento de Segurança da Informação (SGSI) Auxilia no gerenciamento de incidentes e na garantia da continuidade dos negócios Serve para verificação e identificação de vulnerabilidades do negócio Deve considerar quatro fases: Identificação de vulnerabilidades em relação ao negócio Mapeamento, por prioridade, de riscos e recomendações Roadmap de aplicação das recomendações da fase anterior Avaliação da justificativa dos controles e suas efetividades Auditando a Segurança Controles (ferramentas) de segurança que precisam ou geram auditoria Firewalls Sniffers Vulnerability scans Sistemas de detecção/prevenção de intrusões Proxies Virtual Private Networks (VPN) Auditando a Segurança Em qual das situações o controle de segurança está sendo auditado? a) Um sniffer captura dados de tráfego que passam por um firewall para conferência dos resultados. b) Um SDPI é utilizado para verificação do tráfego entre um servidor e uma estação. c) Um proxy controla quais usuários podem acessar a internet. d) Uma VPN impede a entrada de usuários não autorizados na rede. e) Um scanner de vulnerabilidades é usado para descobrir vulnerabilidades em um site externo. Interatividade Resposta Em qual das situações o controle de segurança está sendo auditado? a) Um sniffer captura dados de tráfego que passam por um firewall para conferência dos resultados. b) Um SDPI é utilizado para verificação do tráfego entre um servidor e uma estação. c) Um proxy controla quais usuários podem acessar a internet. d) Uma VPN impede a entrada de usuários não autorizados na rede. e) Um scanner de vulnerabilidades é usado para descobrir vulnerabilidades em um site externo. ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27005: Tecnologia da Informação – Técnicas de Segurança – Gestão de Riscos de Segurança da Informação, v. 18. Rio de Janeiro, 2008, p. 59. ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 19011: Diretrizes para auditoria de sistemas de gestão, v. corrigida 2019. Rio de Janeiro, 2019, p. 53. ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Normalização. Disponível em: http://www.abnt.org.br/normalizacao/o-que-e/o-que-e. Acesso em: 19 jul. 2020. AKUNE, L. Y. Um sistema de prevenção de vazamento de dados de imagens baseado em aprendizado de máquina. Dissertação de mestrado – Engenharia da Computação – Instituto de Pesquisas Tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2019. AVANCO, L.; et al. An effective intrusion detection approach for jamming attacks on RFID systems. 2015 International EURASIP Workshop on RFID Technology (EURFID), Rosenheim, 2015, p. 73-80, doi: 10.1109/EURFID.2015.7332388. Referências BARROS FILHO, A. C. Processo e uso da Biometria de Comportamento na Autenticação Contínua em redes BYOD. Dissertação de mestrado – Engenharia da Computação – Instituto de Pesquisas Tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2019. BENETON, E. Auditoria e controle de acesso. São Paulo: Editora Senac, 2019, p. 177. BOLLE, Ruud et al. Guide to biometrics. Nova Iorque: Springer, 2004, p. 364. CARVALHO, K. S. Uma proposta para automatização e continuidade de serviços em nuvens públicas. Dissertação de mestrado – Engenharia da Computação – Instituto de Pesquisas Tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2020. DANTA, L. M. S. Método preventivo baseado em esquema de ranking e votação para detecção de intrusão em webservice. Dissertação de mestrado – Engenharia da Computação – Instituto de Pesquisas Tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2018. Referências FERNANDES, J. H. C. Auditoria e Certificação de Segurança da Informação. Especialização em Ciência da Computação – Gestão da Segurança da Informação e Comunicações – UNB, 2008, p. 26. FERREIRA, H. S. Identificação de anomalias geradas por sensores que usam variantes do protocolo LEACH. Dissertação de mestrado – Engenharia da Computação – Instituto de Pesquisas Tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2019. GREVE, F. et al. Blockchain e a Revolução do Consenso sob Demanda. Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos. (SBRC) Minicursos, 2018. HOWARD, M.; LEBLANC, D. Escrevendo Código Seguro: Estratégias e técnicas práticas para codificação segura de aplicativos em um mundo em rede. 2. ed. Trad. Edson Furmankieni - Cz. Porto Alegre: Bookman, 2005, p. 704. Referências KREPS, J. I Love Logs: Event Data, Stream Processing, and Data Integration. First Edition. ed. [S.l.]: O’Reilly Media, Inc, 2014. ISBN 9789351108641, p. 60. MONTEIRO, G. B. Auditoria de Tecnologia da Informação na Administração Pública no Âmbito dos Municípios do Estado do Rio de Janeiro. Dissertação de Mestrado – EBAPE-GV. 2008, p. 132p. NIST – NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. NIST SP 800-30, Revision 1. Guide for Conducting Risk Assessments, EUA, 2012, p. 95. NUNES, A. J. V. Governança da tecnologia da informação: uma análise das práticas de avaliação, direção e monitoramento utilizando o COBIT 5 na Universidade Federal Rural do Semiárido. Dissertação de Mestrado. Brasil, 2019, p. 223. PONTES, E.; GUELFI, A. E.; KOFUJI, S. T.; SILVA A. A. A.; GUELFI, A. E. Applying multi-correlation for improving forecasting in cyber security. Sixth International Conference on Digital Information Management, Melbourn, QLD, 2011, p. 179- 186, doi: 10.1109/ICDIM.2011.6093323. Referências SAVINO, M. (Ed.). Risk Management in Environment, Production and Economy. BoD–Books on Demand, 2011, p. 226. SILVA, A. A. A.; GUELFI, A. E. Sistema para identificação de alertas falso positivos por meio de análise de correlacionamentos e alertas isolados. The 9th IEEE I2TS, 2010, p. 7. SILVA, J. M. Uma arquitetura para processamento de fluxos contínuos de dados em sistemas de transações de cartões de crédito. Dissertação de mestrado – Engenharia da Computação – Instituto de Pesquisas Tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2020. STALLINGS, W. Computer Security: Principles and Practice (7th Edition) Pearson Education, 2017, p. 767. TIA – TELECOMMUNICATIONS INDUSTRY ASSOCIATION. ANSI/EIA/TIA 942: Padrão de Infraestrutura de Telecomunicações, Arlington, EUA, 2005, p. 148. VELHO, J. A. et al. Tratado de Computação Forense. Campinas: Millenium, 2016, p. 610. WETHERALL, J.; TANENBAUM, A. S. Redes de Computadores. 5. ed. Rio de Janeiro: Editora Campus, 2011. Referências ATÉ A PRÓXIMA!
Compartilhar