Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE PAULISTA – EAD PROJETO INTEGRADO MULTIDISCIPLINAR SEGURANÇA DA INFORMAÇÃO Projeto – Plano de Auditoria de Sistemas, amparado em testes de invasão com foco específico para organização selecionado e devidamente alinhado ao Plano de Negócios da Organização – PIM VII. UNIP EAD Polo Jabaquara 2022 UNIVERSIDADE PAULISTA – EAD PROJETO INTEGRADO MULTIDISCIPLINAR SEGURANÇA DA INFORMAÇÃO Projeto – Plano de Auditoria de Sistemas, amparado em testes de invasão com foco específico para organização selecionado e devidamente alinhado ao Plano de Negócios da Organização – PIM VII. Nome(s) Ra Curso: Segurança da informação Semestre: 2° Semestre de 2022 Orientador: Professor Ricardo Swaybriker UNIP EAD Polo Jabaquara 2022 RESUMO O trabalho a seguir tem o objetivo de apresentar uma auditoria devidamente alinhado com os Planos de negócios de uma organização. Periodicamente são descobertas novas vulnerabilidades no ambiente tecnólogo, que são utilizadas por pessoas mal intencionadas para obter lucros financeiros, reconhecimento, espionagem etc. É recomendado que todas as organizações que utilizam serviços de ti pratiquem testes de invasão periodicamente no ambiente afim de identificar vulnerabilidades e promover melhorias. De nada adianta investir tempo e dinheiro em políticas, normas, procedimentos se não houver auditorias que comprovem que essas ferramentas estão implementadas e que funcionam. Utilizou-se como base para montar esse projeto os conhecimentos adquiridos nas disciplinas de Gestão da Qualidade, Auditoria de Sistemas (conceito e aplicação), Pareceres e teste de invasão e Empreendedorismo. Serão utilizados duas empresas fictícia para ilustrar o processo de auditoria e pentest, onde a empresa Yasmin Corporation é a empresa que será auditada e a Tada Consultoria será empresa terceirizada responsável pela realização do pentest nos sistemas. Palavras Chaves: Segurança da informação; Pentest; Vulnerabilidade. ABSTRACT The following work aims to present an audit properly aligned with an organization's business plans. Periodically, new vulnerabilities are discovered in the technological environment, which are used by malicious people for financial gain, reconnaissance, espionage, etc. It is recommended that all organizations that use IT services practice periodic penetration testing of the environment in order to identify vulnerabilities and promote improvements. There is no point in investing in policies, standards, procedures and there are no audits to prove that these tools are equipped and that they work. The knowledge acquired in the disciplines of Quality Management, Systems Auditing (concept and Systems), Opinions and Invasion and Entrepreneurship Test was used as a basis for setting up this project. Two fictitious companies will be used to illustrate the audit and pentest process, where the company Yasmin Corporation is the company that will be audited and Ta will be the outsourced company responsible for carrying out the pentest consultancy in the systems. Keywords: Information Security; Pentest; Vulnerability. SUMÁRIO 1. INTRODUÇÃO……………………………………………………………….……….6 2. PLANO DE NEGÓCIO YASMIN CORPORATION………………………………...7 2.1 ESTRUTURA ORGANIZACIONAL…………………………………….…………..7 2.2 MERCADO E COMPETIDORES…………………………………………………...8 2.3 MARKETING E VENDAS…………………………………………………………....8 2.4 ESTRATÉGIAS DE CRESCIMENTO……………………………………………....8 2.5 PREVISÃO DE RESULTADOS FINANCEIROS E INVESTIMENTOS………....8 3. SISTEMAS CRÍTICOS………………………………………………………………....9 3.1 IDENTIFIER…………………………………………………………………………….9 3.2 PRIUSLA………………………………………………………………………………..9 4. PLANO DE AUDITORIA……………………………………………………………….10 4.1 OBJETIVOS…………………………………………………………………………...10 4.2 PLANEJAMENTO……………………………………………………………………..10 5. RELATÓRIO EXECUTIVO……………………………………………………………..11 5.1 HISTÓRICO…………………………………………………………………………….11 5.2 CLASSIFICAÇÃO DOS IMPACTOS DAS VULNERABILIDADES……………..12 5.3 POSTURA GERAL…………………………………………………………………….12 5.3.1 VARREDURA NA INFRAESTRUTURA DA EMPRESA………………………..12 5.3.2 ATAQUE DE ENGENHARIA SOCIAL…………………………………………….13 5.3.3 ACESSO REMOTO NÃO AUTORIZADO………………………………………..15 5.4.4 FUNCIONÁRIOS CONSEGUEM LISTAR AS PERMISSÕES DE ARQUIVOS DA COMPANHIA………………………………………………………………………..…16 6. RESULTADO AUDITORIA…………………………………………………………….16 CONCLUSÃO………………………………………………………………………………17 REFERÊNCIA……………………………………………………………………………...18 1 INTRODUÇÃO Abrir um negócio não é uma tarefa fácil, requer compreensão da área que se deseja atuar, criatividade e muito trabalho. O primeiro passo para abrir um negócio é desenvolver um plano de negócios para reunir informações, definir metas e objetivos. Além disso, devemos ter uma boa gestão de qualidade para que serviço prestado supra as necessidades dos cliente. Devemos implementar uma política de segurança afim de garantir que as informações dos negócios e clientes não caiam em mãos erradas. Realizaremos testes de penetração nos dois sistemas principais da empresa, tentando simular o mais próximo de um ataque Hacker, procurando brechas e fraquezas no sistema. Também realizaremos uma auditoria nos sistemas para o monitoramento e melhoria contínua para fornecer o mais alto nível de segurança para os clientes. 6 2. PLANO DE NEGÓCIO YASMIN CORPORATION A Yasmin Corporation foi fundada em 2020 em São Paulo. Somos especializados em infraestrutura e segurança da informação, fornecendo os melhores produtos e serviços na área de tecnologia e inovação. Temos o orgulho de estar e ser uma das principais companhias fornecedoras de serviços Cloud, Onprimeces, Antivírus, Service Desk, Segurança dos dados, Monitoramento e sustentação para empresas. Com um portfólio completo, 360 graus, a Yasmin Corporation apoia seus clientes numa Jornada completa de transformação Digital. Missão: Com base em princípios éticos, melhorar a rentabilidade dos clientes através de serviços e soluções técnicas na área de prevenção de perdas e fraudes. Visão: Torne-se uma empresa certificada reconhecida e admirada por clientes e colaboradores por meio da excelência em serviços tecnológico. Valores: Respeito, Honestidade, Empatia, Solidariedade. Legalidade e Adaptabilidade. 2.1 Estrutura organizacional A estrutura organizacional da Yasmin Corporation é feita utilizando a estrutura linear, ou seja, nossa gestão é feita conforme a hierarquia dos cargos. Esse modelo de gestão foi adotado devido a sua hierárquica clara e bem definida. Nossa gestão se caracteriza pela autoridade única e absoluta do superior em relação a seus subordinados. As linhas de comunicação são formais, e as decisões são centralizadas. Imagem 1 – Estrutura organizacional Fonte: Autoria própria, 2022. Atualmente a Yasmin Corporation tem 6 setores definidos: Segurança da informação: setor responsável pela administrar informações e disponibilidade de recursos, implementar processos e políticas de segurança dos dados, identificar vulnerabilidades em sistemas, servidores, aplicações e networking. Recursos humanos (RH): setor responsável por recrutar, selecionar e alinhas os talentos que combinam com a cultura e objetivos da empresa. 7 Financeiro: setor responsável pela administração dos recursos financeiro da empresa. Administração: setor responsável pela administração da empresa, desde a definição de metas de negócios, até a formação de equipes, orientando a equipe operacional sobre o desempenho ideal do trabalho. Marketing: setor responsável por estudar o mercado e os clientes, afim de elaborar estratégias que tornem a marca relevante. Tecnologia da informação(TI): responsável pela manutenção de sistemas, inovação, automatização de rotinas, criação de sistemas, processamento de dados, backups. 2.2 Mercado e Competidores O segmento de B2B (Business to Business) vem apresentando um crescimento expressivo. A pandemia gerado pelo vírus Covid-19 acelerou o setor de tecnologia e com isso aumentou a demanda por serviços tecnológicos. Devido a esse aumentoexpressivos de demandas de tecnologia, muitas empresas no Brasil ainda estão em fase de absorção do senário pós pandemia e não estão prontas para dar grandes saltos na rede. A carência por mão de obra qualificada inibe a participação destas empresas no ambiente eletrônico. A proposta da Yasmin Corporation procura ocupar esse espaço e oferecer uma alternativa para a inserção desse público-alvo no ambiente digital. 2.3 Marketing e vendas A estratégia de marketing da Yasmin Corporation visa ganhar mercado de forma rápida, focando em empresas de pequenos portes, onde a mão de obra é escassa. Ajudaremos essas empresas a se modernizar usando soluções mais baratas mas com eficiência. Os principais fundamentos de marketing foram montados considerando um plano que tem a intenção de atingir tanto consumidores quanto fornecedores que se associarão a empresa. 2.4 Estratégias de crescimento Faremos a divulgação dos nosso produtos nas principais redes sociais usando uma linguagem clara, faremos comerciais mostrando a viabilidade das nossas tecnologias e focaremos em diminuir o custo operacional das empresas com tecnologias, usaremos software livres para diminuir esses gastos. Após conquistar uma parte do mercado de empresas de pequenos portes, focaremos em empresas de médio porte e assim por diante. Faremos parcerias com as principais plataformas de inovação, afim de trazer novidades para os nosso clientes. 2.5 Previsão de resultados financeiros e investimentos A implementação dos nosso serviços, dentro dos planos e condições preestabelecidos, resultará num empreendimento de alta rentabilidade, quando se compara as diversas oportunidades financeiras existentes no mercado. A operação, resultará num valor atual do Lucro Líquido, descontada a taxa de IGPM + 13% ao ano, equivalente a R$1,2 milhões e uma taxa interna de retorno de 20% ao ano . O investimento definido para implementação desse plano de negócios, é de R$500,00 mil. Venderemos 15% de nossas ações para investidores dispostos a investir na empresa. 8 3. Sistemas Críticos 3.1 Identifier Identifier é um sistema crítico de login onde ele verificar se usuário que está tentando se conectar ao sistema é realmente quem diz ser. A ideia principal desse sistema é centralizar o provedor de autenticação da organização. A aplicação Identifier utiliza uma api de ASP .NET Core Web API utilizando o IdentityServer4 (IS4) que é framework OpenID Connect e OAuth 2.0 gratuito. A Yasmin Corporation tem diversos api e microsserviços que precisam da segurança da autenticação. Usando o IdentityServer4 (IS4) não é preciso definir a lógica de autenticação de cada aplicativo. Em vez disso, usando o IS4 é possível centralizar o controle de Acesso. Como funciona o Identifier? - Os usuários usam os 'clientes', como uma aplicação ASP .NET Core MVC, para acessar os dados; - Os usuários serão autenticados pelo IdentityServer para usar o cliente; - Depois que os usuários são autenticados para usar o Cliente, o cliente envia uma solicitação ao Recurso da API; - Tanto o Cliente quanto os Recursos da API são protegidos por uma única entidade, o IdentityServer; - O cliente pode solicitar um token de acesso com o qual ele pode acessar as respostas da API; Imagem 2 – arquitetura sistema Identifier Fonte: Autoria própria, 2022. O Identifier funciona com método de Sigle Sign-ON (SSO), esse método de autenticação permite que usuários acessem múltiplas aplicações com apenas um único login. 3.2 PriuSLa PriuSLa é um sistema da Yasmin Corporation que facilita a comunicação e compartilhamento de arquivos dentro da empresa. Nela você pode encontrar os seguintes dados: comunicados importantes, campanhas de conscientização, politica de segurança da informação da companhia, normas, regras, relatórios 9 financeiros, abertura e acompanhamento de chamados, informações sobre funcionários, campanha de marketing da organização. Esse sistema uni informações de diversos setores da empresa afim de centralizar os dados em uma só base. Como funciona o PriuSLa? O PriuSla é um servidor Web feito com Apache2. O PriuSLa é responsável por armazenar arquivos que compõem um servidor web como: imagens, folhas de estilo, arquivos Javascript etc. 4. Plano de Auditoria 4.1 Objetivos O plano de auditoria a seguir tem o objetivo de auditar os dois sistemas mais críticos da Empresa Yasmin Corporation. A afim de encontrar vulnerabilidades e potenciais falhas de configurações. 4.2 Planejamento Para o planejamento da Auditoria foi feita diversas reuniões entre Tada Consultoria e os diretores da Empresa Yasmin Corporation afim de definir bem o escopo do serviço de Pentesting que será executado. A Yasmin Corporation deseja se submeter aos testes de invasão buscando alcançar os seguintes objetivos: • Encontrar vulnerabilidades nos sistemas; • Testar a efetividade das suas soluções tecnológicas implementadas; • Encontrar falhas de configurações no desenvolvimento do sistema; • Encontrar melhorias; • Testar se as politicas de conscientização da segurança dos dados da empresa estão surtindo efeitos nos funcionários; • Avaliar a reação do departamento de Segurança da informação em identificar e responder aos ataques de segurança; • Avaliar se pode ocorrer um possível vazamento de dados na companhia; Para não causar uma indisponibilidade nos sistemas da empresa, foi solicitado um Pentesting menos agressivo. O prazo estipulado e acordado para Penteste será de uma semana, Iniciando no dia 10/10/2022 com término no dia 17/10/2022. Esse prazo pode ser alterado devido a imprevisto que pode ocorrer como falta de luz, falta de internet, falta de recursos necessário para auditoria. O tipo de teste que será usado é o não anunciado e o Gray Box. Onde o não anunciado significa que todos os funcionários não sabem que estão sendo auditados, somente o presente da empresa sabe dessa auditoria. E por ser Gray Box, a equipe de pentesting da Tada Consultoria teve acesso somente algumas informações como endereços de Ips, sendo eles responsáveis por descobrir as outras informações necessárias para invasão. 10 As informações que serão coletadas na auditoria estão asseguradas por meio de um contrato formal, onde Tada Auditoria juntamente com a Yasmin Corporation concordou em não divulgar as informações compreendidas pelo acordo. Sistemas Alvos Lista de URL e IP dos sistemas definidos como alvo para os testes de invasão: Imagem 3 – Desenho do sistema Identifier Fonte: Autoria própria, 2022. 5. Relatório executivo 5.1 Histórico O teste de invasão tem como proposito propor melhorias nos sistemas da companhia e encontrar vulnerabilidades que possam ser explorados por pessoas mal intencionadas. O pentesting foi realizado pela empresa Tada Consultoria conforme o cronograma definido no planejamento da Auditoria. Apesar de existirem diversas metodologias no mercado para aplicar Pentesting, a Tada Consultoria baseou-se em sua própria metodologia criada conforme sua experiência de mercado, onde é composta por quatro fases: Imagem 4 – Metodologia Fonte: Autoria própria, 2022. Coleta de informações: O objetivo dessa etapa é coletar o máximo de informações possíveis do cliente, nessa fase foi verificado redes sociais de funcionários, sites da empresa, noticias sobre a empresa, balanços financeiros da organização, quais são os softwares executados nos servidores, quais são os cargos mais importantes da empresa. identificação de vulnerabilidades: Nessa fase foi testado o ambiente afim de mapear as vulnerabilidades da companhia. 11 Exploração: Nessa etapa foi dedicada aos ataques a todos os ativos já registrados na organização, levamos em consideração o seu contexto e probabilidade de sucesso. Pós exploração: Após a exploração verificamos o que poderia ser feito com as vulnerabilidades que coletados, nessa fase testamos ate que ponto uma pessoa mal intencionada conseguiria ir dentro da empresa. 5.2 Classificaçãodos impactos das vulnerabilidades Cada vulnerabilidade descrita no documento foi classificada com níveis de severidade. Esta classificação de severidade foi definida conforme o impacto que as mesmas podem causar se exploradas. As categorias são Baixo e Alto: Baixo: São condições identificadas que não resulta diretamente no comprometimento de uma rede, sistema, aplicação ou informação. Mas pode ser usado em conjunto com outras informações para ganhar o conhecimento para comprometer estes recursos. Alto: São condições identificadas que podem comprometer diretamente uma rede, sistema, aplicação ou informação. Exemplo de vulnerabilidade altas: senha fraca, dados não criptografados, máquinas sem antivírus instalado e atualizado, senhas fracas. 5.3 Postura geral 5.3.1 Varredura na infraestrutura da empresa. Segundo o contratado firmado com Yasmin Corporation, somente os sistemas Idenfier e PriuSLA poderia ser testado. Sabendo disso, iniciamos o pentesting realizando um mapeamento, para coleta de informações, dos alvos com a ferramenta Nmap. A ferramenta Nmap pode trazer dados importantes sobre o ambiente como Ips, portar abertas, ver ficar status de serviços, detectar características de hardware. 12 Imagem 5 – Metodologia Fonte: Autoria própria, 2022. Utilizando a ferramenta NMAP foi possível verificar que existem duas portas abertas no servidor, uma é a 80/TCP onde roda o serviço http, nota-se que essa porta está em uso pelo serviço apache. A outra porta aberta é a 1010/TCP que não deveria estar aberta pois um usuário mal intencionado poderia entrar por ela e fazer modificações no sistema, causando assim um possível prejuízo a empresa. Nível de severidade: Alto Recomendação: Para evitar que este tipo de vulnerabilidade ocorra nos servidores, é necessário que seja rodado um scanning em todos os servidores de produção, mapeando as portas abertas. Após o mapeamento as portas que estão abertas sem necessidade deveram ser fechadas. Para que esse tipo de situação não ocorra novamente é necessário a implementação de uma rotina de scanning para verificar periodicamente as portas. 5.3.2 Ataque de Engenharia Social Esse teste de invasão foi feito no sistema Identifier utilizando engenharia social para testar os funcionários da empresa. Neste teste foi usado a ferramenta SET (SOCIAL ENGINNER TOOLKIT). Foi criado uma página falsa que se parece com a página do sistema Identifier afim de enganar os funcionários, onde eles logariam nessa página com seus usuários e senha da companhia e assim as credenciais seriam capturadas para serem usadas por pessoas não autorizadas. 13 Imagem 6 – página falsa. Fonte: Autoria própria, 2022. Quando o colaborador coloca a senha e login o sistema captura essas informações e com esses dados um invasor consegue acessar os sistemas da empresa usando um usuário legitimo. Imagem 7 – SET capturando senha. Fonte: Autoria própria, 2022. 14 Para o usuário ele mostra uma mensagem como se ele tivesse digitado a senha errada, então ele nem percebe que não está logando no site correto. Nível de severidade: Alto Recomendação: Aplicar treinamentos periodicamente nos funcionários explicando como os criminosos virtuais agem e como reconhecer um possível ataque de engenharia social. 5.3.3 Acesso remoto não autorizado Dentro do Servidor do sistema PriuSLa foi encontrado uma porta aberta (1010/TCP) onde é possível fazer acesso remoto utilizando o reverse Shell. Utilizando o NetCat foi possível fazer com que a máquina do PriuSLa conectar-se voluntariamente na máquina do atacante. Como a conexão foi feita de dentro pra fora, as proteções como firewall, antivírus não notaria essa invasão, pois eles normalmente monitoram o tráfego de fora pra dentro. Imagem 8 – Máquina invadida e máquina do atacante Fonte: Autoria própria, 2022. Nível de Severidade: Alto Recomendação: Fechar postas que estão abertas mas que não estão sendo usadas pelas aplicações da organização, configurar nos antivírus da companhia verificações nos tráfego enviados de dentro para fora. 15 5.4.4 Funcionários conseguem listar as permissões de arquivos da companhia Após conseguir invadir os sistemas usando a senha de um colaborador que coletamos no ataque de engenharia social foi possíveis listas as permissões de arquivos dentro do servidores da companhia. Nota- se que essa não é vulnerabilidade grave mas com essa informação o funcionário consegue listas as permissões que cada nível hierárquico tem na companhia e assim utilizar essa informação para montar um ataque mais especifico. Imagem 9 – Permissionamentos no terminal. Fonte: Autoria própria, 2022. Nível de severidade: Baixo Recomendação: Remover a permissão que é libera que usuários comuns possam verificar os permissionamentos de arquivos dentro de servidores criticos. 6. Resultado Auditoria. Foi identificado diversas falhas com severidade alta que podem comprometer o funcionamento do negócio durante o teste de invasão. É necessário que Yasmin Corporation implemente as recomendações que foram descritas no tópico Postual Geral para que esses tipos de vulnerabilidades não voltem a ocorrer. Os objetivos principais definidos no escopo como Encontrar vulnerabilidade e melhorias foram alcançados. Desta maneira a Tada Consultoria sugere que todas as recomendações sejam adotadas pela equipe de Segurança da informação da Yasmin Corporation, pois elas irão mitigar riscos ao negócio. É recomendado que seja realizado uma auditoria nos sistemas da empresa no prazo de 6 meses a um 1 ano. 16 CONCLUSÃO Com as pesquisas realizas neste projetos aprendemos que para ser um bom empreendedor a pessoa precisa se dedicar, criar plano de negócio bem detalhado, ser criativa e inovador. Referente a gestão da qualidade é importante estar sempre buscando conhecimentos, avaliando continuamente os resultados da empresa, implementado melhorias, avaliando os clientes e não se esquecer dos cliente internos da companhia (funcionários). Realizar auditorias internar e externas na companhia é importante para descobrir pontos fortes e pontos a melhorar, usando o teste de invasão foi descoberto diversas vulnerabilidades, onde precisam ser corrigidas para que não aconteça uma invasão nos sistemas por pessoas mal intencionadas. Um vazamento de dados pode manchar a imagem de uma empresa e ser irreparável. 17 REFERÊNCIA Relatório de Teste de invasão fictício. Disponível em: <https://pt.slideshare.net/VitorMelo8/relatrio-testes-de- invaso>. Acessado em: 12 de Outubro de 2022. Modelo de plano de negócios para sua próxima empresa. Disponível em: <https://www.shopify.com/br/blog/modelo-de-plano-de-negocios>. Acessado: 12 de Outubro de 2022. Plano de negócio. Disponível em: <https://edisciplinas.usp.br/pluginfile.php/3447563/mod_resource/content/1/farofino.pdf> Acessado em: 16 de Outubro de 2022. Tipos de Organização Empresarial: como escolher o modelo de negócio? Disponível em: <https://www.estrategiaparaacao.com.br/tipos-de-organizacao-empresarial-como-escolher-o-modelo-de- negocio/>. Acessado em: 10 de Outubro de 2022. Asp .net Core – Usando IdentityServer4. Disponível em: <https://www.macoratti.net/21/03/aspn_idserv41.htm>. Acessado em: 09 de Outubro de 2022. IdentityServer para aplicativos nativos de nuvem. Disponível em:<https://learn.microsoft.com/pt-br/dotnet/architecture/cloud-native/identity-server> Acessado em: 10 de Outubro de 2022. IdentifyServer4. Disponível em: <https://identityserver4.readthedocs.io/en/latest/>. Acessado em: 16 de Outubro de 2022. O que é Apache? Uma Visão Aprofundada do Servidor Apache. Disponível em: <https://www.hostinger.com.br/tutoriais/o-que-e-apache>. Acessado em: 16 de Outubro de 2022. Auditoria de sistemas de informação: saiba o que e como é feita. Disponível em: <https://yssy.com.br/update/artigos/auditoria-sistemas-de-informacao/> Acessado em: 12 de Outubro de 2022. High Level Organization of the Standard.Disponível em: <http://www.pentest-standard.org/index.php/Main_Page>. Acessado em: 16 de Outubro de 2022. 18 Página 1 Página 2 Página 3 Página 4 Página 5 Página 6 Página 7 Página 8 Página 9 Página 10 Página 11 Página 12 Página 13 Página 14 Página 15 Página 16 Página 17 Página 18
Compartilhar