Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prof. Ricardo Sewaybriker UNIDADE VII Segurança Física e Lógica Após a implantação dos dispositivos tecnológicos de segurança, a grande dificuldade dos administradores de rede é saber se tudo aquilo que foi implantado e investido está efetivamente protegendo as informações que trafegam na rede. Para isso, os administradores podem aplicar os testes de invasão, que podem verificar na prática se os dispositivos tecnológicos estão atendendo seu propósito e também já pensando nas mais diversas formas de ataque, que pode incorrer de uma hora para outra e, assim, reconfigurar os dispositivos para evitar esses ataques, inclusive nas tecnologias eminentes. 7. Teste de invasão e segurança em tecnologias emergentes Testes de invasão ou pentesting (não confundir com testes de caneta esferográfica ou de canetas-tinteiro) envolvem a simulação de ataques reais para avaliar os riscos associados a potenciais brechas de segurança. Em um teste de invasão (em oposição a uma avaliação de vulnerabilidades), os pentesters não só identificam vulnerabilidades que poderiam ser usadas pelos invasores, mas também exploram essas vulnerabilidades, sempre que possível, para avaliar o que os invasores poderiam obter após uma exploração bem-sucedida das falhas (WEIDMAN, 2014, p. 30). 7.1 Teste de invasão, conceito O escopo dos testes de invasão pode variar de cliente para cliente, assim como ocorrerá com as tarefas. Algumas organizações terão uma postura excelente quanto à segurança, enquanto outros terão vulnerabilidades que permitiriam aos invasores violar o perímetro e obter acesso aos sistemas internos. Às vezes será necessário também ser responsável pela avaliação de uma ou mais aplicações web personalizadas. Isso poderá exigir ataques de engenharia social e do lado do cliente para obter acesso à sua rede interna. Alguns testes de invasão exigirão atuações como se fosse alguém de dentro – um funcionário mal caráter ou descontente ou um invasor que já tenha violado o perímetro – à medida que realizar um teste de invasão interno. 7.1 Teste de invasão, conceito Algumas situações exigirão um teste de invasão externo, em que será necessário simular um ataque por meio da internet. E algumas organizações podem querer que seja avaliada a segurança das redes wireless de seus escritórios. Em alguns casos, você poderá até mesmo efetuar uma auditoria nos controles de segurança físicos da organização. 7.1 Teste de invasão, conceito Os testes de invasão têm início com a fase de preparação (pre-engagement), que envolve definir os objetivos para o teste de invasão, o mapeamento do escopo (a extensão e os parâmetros do teste) e assim por diante. Quando o pentester e a organização chegarem a um acordo sobre o escopo, a formatação do relatório e outros assuntos, sobre o formato do teste de invasão, após essas definições, o teste terá início. 7.2 Processos de um teste de invasão Na fase de coleta de informações (information-gathering), o pentester procura informações disponíveis publicamente sobre a organização e identifica maneiras em potencial de conectar-se com seus sistemas. Na fase de modelagem das ameaças threat-modeling, o pentester usa essas informações para determinar o valor de cada descoberta e o impacto sobre o cliente caso a descoberta permita que alguém invada um sistema. Essa avaliação permite ao pentester desenvolver um plano de ação e métodos de ataque. 7.2 Processos de um teste de invasão Antes que o pentester possa começar a atacar os sistemas, ele realiza uma análise de vulnerabilidades (vulnerability analysis). Nessa fase, o pentester procura descobrir vulnerabilidades nos sistemas que poderão ser exploradas na fase de exploração de falhas (exploitation). Um exploit bem-sucedido pode conduzir a uma fase de pós-exploração de falhas (post-exploitation), em que se tira vantagem do resultado da exploração de falhas, de modo a descobrir informações adicionais, obter dados críticos, acessar outros sistemas e assim por diante. Por fim, na fase de geração de relatórios (reporting), o pentester sintetiza as descobertas tanto para os profissionais executivos quanto para os técnicos. 7.2 Processos de um teste de invasão Por fim, na fase de geração de relatórios (reporting), o pentester sintetiza as descobertas tanto para os profissionais executivos quanto para os técnicos. Assim que termina a fase de coleta de informações, chega a hora da modelagem das ameaças, em que de acordo com o conhecimento obtido na fase de coleta de informações, será dada sequência à modelagem das ameaças. Nesse ponto, pensaremos como os invasores e desenvolveremos planos de ataque de acordo com as informações coletadas. 7.2 Processos de um teste de invasão Por exemplo, se o cliente desenvolver um software proprietário, um invasor poderá devastar a empresa ao obter acesso aos seus sistemas de desenvolvimento internos, em que o código-fonte é desenvolvido e testado, e vender os segredos comerciais da empresa a um concorrente. De acordo com os dados encontrados durante a fase de coleta de informações, desenvolveremos estratégias para invadir os sistemas da organização. 7.2 Processos de um teste de invasão A análise de vulnerabilidades representam a etapa a seguir do processo em que os pentesters começam a descobrir ativamente as vulnerabilidades a fim de determinar até que ponto suas estratégias de exploração de falhas poderão ser bem-sucedidas. Os exploits que falharem poderão desativar serviços, disparar alertas de detecção de invasão e arruinar suas chances de efetuar uma exploração de falhas bem-sucedida. 7.2 Processos de um teste de invasão O que é realizado na fase de modelagem das ameaças nos testes de invasão? a) Define os objetivos para o teste de invasão e o mapeamento do escopo. b) Usa informações para determinar o valor de cada descoberta e o impacto sobre o cliente. c) Procura informações disponíveis publicamente. d) Gera relatórios sobre os testes de invasão. e) Exploração das vulnerabilidades levantadas. Interatividade O que é realizado na fase de modelagem das ameaças nos testes de invasão? a) Define os objetivos para o teste de invasão e o mapeamento do escopo. b) Usa informações para determinar o valor de cada descoberta e o impacto sobre o cliente. c) Procura informações disponíveis publicamente. d) Gera relatórios sobre os testes de invasão. e) Exploração das vulnerabilidades levantadas. Resposta Com frequência, durante essa fase, os pentesters executam scanners de vulnerabilidades, que usam bancos de dados de vulnerabilidades e uma série de verificações ativas para obter um palpite melhor a respeito de quais vulnerabilidades estão presentes no sistema de um cliente. Entretanto, embora os scanners de vulnerabilidade sejam ferramentas eficazes, elas não podem substituir totalmente o raciocínio crítico, portanto, também devem ser realizadas análises manuais nessa etapa. 7.2 Processos de um teste de invasão A exploração de falhas vem a seguir e é com certeza a parte mais interessante: nesse ponto, executamos exploits contra as vulnerabilidades descobertas (às vezes, usando uma ferramenta como o Metasploit) em uma tentativa de acessar os sistemas de um cliente. Algumas vulnerabilidades são muito fáceis de serem exploradas, por exemplo, fazer login com senhas default. 7.2 Processos de um teste de invasão No pós-exploração de falhas, os testes de invasão realmente começam somente após a exploração de falhas, na fase de pós-exploração. Agora que você conseguiu entrar no sistema, mas o que essa invasão realmente significa para a organização? Sevocê invadir um sistema legado, sem patches (correções), que não faça parte de um domínio ou que não esteja ligado a alvos muito valiosos, e esse sistema não contiver nenhuma informação que interesse a um invasor, o risco dessa vulnerabilidade será significativamente menor do que se você pudesse explorar um controlador de domínio ou um sistema de desenvolvimento de um cliente. 7.2 Processos de um teste de invasão Durante a fase de pós-exploração de falhas, reunimos informações sobre o sistema invadido, procuramos arquivos interessantes, tentamos elevar o nível de nossos privilégios quando necessário e assim por diante. Por exemplo, podemos fazer um dump das hashes de senha para ver se podemos revertê-las ou usá-las para acessar sistemas adicionais. Também podemos tentar usar o computador explorado para atacar sistemas que não estavam anteriormente disponíveis a nós se efetuarmos um retorno para esses sistemas. 7.2 Processos de um teste de invasão 7.2 Processos de um teste de invasão Processo Realiza Preparação Define os objetivos para o teste de invasão e o mapeamento do escopo. Coleta de informações Procura informações disponíveis publicamente. Modelagem das ameaças Usa essas informações para determinar o valor de cada descoberta e o impacto sobre o cliente. Análise de vulnerabilidades Procura descobrir vulnerabilidades nos sistemas que poderão ser exploradas na fase de exploração de falhas. Exploração de falhas Exploração das vulnerabilidades levantadas. Pós-exploração de falhas Tira vantagem do resultado da exploração de falhas, de modo a descobrir informações adicionais. Geração de relatórios Sintetiza as descobertas tanto para os profissionais executivos quanto para os técnicos. Fonte: adaptado do livro-texto Na geração de relatórios está descrita a última etapa do processo. É nessa etapa que informamos as nossas descobertas de maneira significativa. Dizemos o que eles estão fazendo corretamente, os pontos em que devem melhorar sua postura quanto à segurança, como você conseguiu invadir, o que você descobriu, como corrigir os problemas e assim por diante. 7.2 Processos de um teste de invasão O relatório do teste de invasão deve incluir tanto um sumário executivo como um relatório técnico. O sumário executivo descreve os objetivos do teste e oferece uma visão geral das descobertas. O público-alvo que se pretende atingir são os executivos responsáveis pelo programa de segurança. Seu sumário executivo deve incluir o seguinte: 7.2 Processos de um teste de invasão Histórico – uma descrição do propósito do teste, definições de qualquer termo que possa não ser familiar aos executivos, vulnerabilidades e medidas de prevenção. Postura geral – uma visão geral da eficiência do teste, os problemas encontrados (por exemplo, a exploração da vulnerabilidade MS08-067 da Microsoft) e problemas gerais que causam vulnerabilidades, como a ausência de gerenciamento de patches. 7.2 Processos de um teste de invasão Perfil do risco – uma classificação geral da postura da empresa quanto à segurança, quando comparada com organizações semelhantes, com medidas – como alto, moderado ou baixo. Você também deve incluir uma explicação sobre a classificação, ou utilizar a matriz de risco da organização caso ela o tenha. Descobertas gerais – uma sinopse geral dos problemas identificados, juntamente com estatísticas e métricas sobre a eficiência de qualquer medida de prevenção implantada. 7.2 Processos de um teste de invasão Resumo das recomendações – uma visão geral das tarefas necessárias para corrigir os problemas descobertos no teste de invasão. Mapa estratégico – oferece objetivos de curto e de longo prazo ao cliente para melhorar a sua postura quanto à segurança. Por exemplo, você pode dizer a eles para aplicarem determinados patches agora para endereçar as preocupações de curto prazo, porém, sem um plano de longo prazo para o gerenciamento de patches, o cliente estará na mesma posição após novos patches terem sido disponibilizados. 7.2 Processos de um teste de invasão O relatório técnico oferece detalhes técnicos sobre o teste. Ele deve incluir: Introdução – um inventário dos detalhes como escopo, contatos e assim por diante. Coleta de informações – detalhes das descobertas da fase de coleta de informações. De particular interesse, são os rastros do cliente (footprint) deixados na internet. 7.2 Processos de um teste de invasão Avaliação de vulnerabilidades – detalhes das descobertas da fase de análise de vulnerabilidades do teste. Exploração de falhas/verificação de vulnerabilidades – detalhes das descobertas da etapa de exploração de falhas do teste. Pós-exploração de falhas – detalhes das descobertas da fase de pós-exploração de falhas do teste. Risco/exposição – uma descrição quantitativa do risco identificado. Essa seção faz uma estimativa das perdas caso as vulnerabilidades identificadas sejam exploradas por um invasor. Conclusão – uma visão geral final do teste. 7.2 Processos de um teste de invasão Relatórios dos testes de invasão. 7.2 Processos de um teste de invasão Relatório executivo Relatório técnico Histórico Coleta de informações Postura geral Avaliação de vulnerabilidades Perfil do risco Exploração de falhas/verificação de vulnerabilidades Descobertas gerais Pós-exploração de falhas Resumo das recomendações Risco/exposição Mapa estratégico Conclusão Fonte: adaptado do livro-texto O relatório executivo do teste de invasão tem como objetivo: a) Descrever os objetivos do teste e oferecer uma visão geral das descobertas. b) Demonstrar dados técnicos do teste de invasão. c) Descrever dados operacionais do teste de invasão. d) Gerar relatório tático sobre os testes de invasão. e) Demonstrar soluções operacionais de segurança. Interatividade O relatório executivo do teste de invasão tem como objetivo: a) Descrever os objetivos do teste e oferecer uma visão geral das descobertas. b) Demonstrar dados técnicos do teste de invasão. c) Descrever dados operacionais do teste de invasão. d) Gerar relatório tático sobre os testes de invasão. e) Demonstrar soluções operacionais de segurança. Resposta Os administradores de Redes devem estar em constante aperfeiçoamento de suas habilidades, atualizando seus conhecimentos sobre as novas tecnologias e suas implicações no quesito segurança, uma vez que essas tecnologias demostram quase sempre redução de custos ou melhoras significativas de desempenho e que, na grande maioria das vezes, a segurança das informações fica em segundo plano e é responsabilidade dos Administradores de Redes trazerem à tona discussões sobre as implicações de segurança nas implantações ou adesões a essas tecnologias. 7.3 Segurança em tecnologias emergentes A computação em nuvem, ou cloud computing, refere-se a uma tecnologia antiga que ganhou força em 2008. Nada mais é do que utilizar, armazenar, desenvolver dados, informações ou aplicações das mais variadas formas e formatos utilizando aplicações independentemente do local ou da plataforma e de maneiras variadas por meio da internet. 7.3 Segurança em tecnologias emergentes – cloud computing ou computação na nuvem Dessa forma, aquele e-mail que acessamos por meio do nosso navegador está na nuvem, desde sempre, porém a partir de 2008 foram desenvolvidas soluções comerciais que, além de facilitar a administração, também reduzem custos. Com a computação em nuvem, os aplicativos e os arquivos não precisam mais estar instalados ou armazenados no computador do usuário ou em um servidorpróximo. Esse conteúdo está disponível nas nuvens, isto é, na internet. 7.3 Segurança em tecnologias emergentes – cloud computing ou computação na nuvem 7.3 Segurança em tecnologias emergentes – cloud computing ou computação na nuvem Fonte: adaptado do livro-texto Exemplo prático dessa situação é o Office 386, da Microsoft, serviço que disponibiliza aos usuários acesso aos recursos do pacote Office de forma inteiramente online, basta ao usuário possuir acesso à internet, pagar o serviço e criar sua conta e senha e, por meio de qualquer navegador, o acesso será fornecido. 7.3 Segurança em tecnologias emergentes – cloud computing ou computação na nuvem Benefícios da nuvem. 7.3 Segurança em tecnologias emergentes – cloud computing ou computação na nuvem Fonte: livro-texto Estão disponibilizados os mais diversos serviços em nuvem, em que os mais comumente oferecidos são: No Software as a Service (SaaS) ou, Software como Serviço refere a um formato de serviço em que o contratante não necessita adquirir a licença de uso para instalação ou mesmo investir em computadores, ele simplesmente contrata os serviços de software por assinatura e paga-se um valor periódico pelo uso do mesmo e por um tempo definido em contrato. 7.3 Segurança em tecnologias emergentes – cloud computing ou computação na nuvem A Platform as a Service (PaaS): Plataforma como Serviço é uma solução completa que, na maioria das vezes, inclui quase todos os recursos necessários ao trabalho como armazenamento, banco de dados, escalabilidade (aumento automático da capacidade de armazenamento ou processamento), suporte a linguagens de programação, segurança, entre outros. 7.3 Segurança em tecnologias emergentes – cloud computing ou computação na nuvem A Database as a Service (DaaS): Banco de Dados como Serviço. É oferecido aos clientes que desejam o fornecimento de serviços para armazenamento e acesso de volumes de dados. A vantagem está na flexibilidade para expandir o banco de dados, compartilhar as informações com outros sistemas. 7.3 Segurança em tecnologias emergentes – cloud computing ou computação na nuvem Infrastructure as a Service (IaaS): Infraestrutura como Serviço. Muito semelhante ao PaaS, porém destinado à estrutura de hardware ou de máquinas virtuais, com o usuário tendo inclusive acesso a recursos do sistema operacional. Testing as a Service (TaaS): disponibiliza ambiente de teste das aplicações de sistemas desenvolvidos pelo cliente, inclusive como simulações do comportamento destes em nível de execução. 7.3 Segurança em tecnologias emergentes – cloud computing ou computação na nuvem Não podemos considerar como característica da implantação da computação em nuvem: a) Diversidade. b) Disponibilidade. c) Unicidade de informações em qualquer lugar. d) Custo elevado quando comparado à implantação física. e) Controle de gastos. Interatividade Não podemos considerar como característica da implantação da computação em nuvem: a) Diversidade. b) Disponibilidade. c) Unicidade de informações em qualquer lugar. d) Custo elevado quando comparado à implantação física. e) Controle de gastos. Resposta Quando os administradores de Redes se deparam com a implantação de um ou mais desses serviços em nuvem devem ter consciência que os problemas de segurança apenas mudaram de endereço, não simplesmente deixaram de existir. A análise no aspecto de segurança ficará a cargo de qual formato de nuvem a organização adotou. 7.3 Segurança em tecnologias emergentes – cloud computing ou computação na nuvem As nuvens podem ser estruturadas em três formatos diferentes, sendo públicas, privadas ou híbridas. Quando falamos de nuvem pública nos referimos ao conceito do fornecimento de determinados serviços em plataformas distantes, gerenciadas por um terceiro que são acessadas pela internet. 7.3 Segurança em tecnologias emergentes – cloud computing ou computação na nuvem Já a nuvem privada ou private cloud apresenta os mesmos benefícios inclusive os usuários da rede nem percebem a diferença entre as duas, porém o que ocorre por trás faz toda diferença. Os equipamentos e os sistemas utilizados para constituir a nuvem ficam dentro da infraestrutura da própria corporação, em outras palavras é uma nuvem particular. Um terceiro modo aparece para unificar as duas nuvem híbridas mesclam as nuvens privadas que, geralmente, ficam para as atividades mais críticas ao negócio ou que sofrem imposição legal e para o modelo privado resta tudo que não for crítico ou imposto pela lei, proporcionando segurança, desempenho e redução de custos. 7.3 Segurança em tecnologias emergentes – cloud computing ou computação na nuvem Aparentemente, as nuvens híbridas parecem mais eficazes, pensando em segurança da informação. Realmente elas são, isso pelo motivo bem óbvio de que a esta (terceirizada) apenas as informações menos importantes da organização e o restante está protegido com as políticas de segurança da própria e mantidas devidamente gerenciadas pela própria. 7.3 Segurança em tecnologias emergentes – cloud computing ou computação na nuvem É impossível separar os conceitos de criptomoedas e blockchain, mas a pergunta é até onde essas tecnologias podem atrapalhar ou ajudar os administradores de rede quando falamos em segurança da informação? A criptomoeda é a composição de uma programação aritmética complexa que requer grande processamento dos processadores e que gera um número único que, por usa vez, é registrado sequencialmente em uma cadeia de blocos (blockchain). 7.3 Segurança em tecnologias emergentes – criptomoedas e blockchain Desenvolvido para alicerçar as operações em Bitcoin o Blockchain (cadeia de blocos) pode ser definido como uma estrutura composta de banco de dados compartilhado, no qual cada integrante é capaz de ler tudo, mas não há controle de uma única entidade e de quais integrantes podem escrever. A grosso modo, podemos entender o blockchain como registro ou livro razão distribuído, que providencia uma forma de gravar e compartilhar informações (imutáveis e atualizadas) dentro de determinada estrutura (comunidade/serviço). 7.3 Segurança em tecnologias emergentes – criptomoedas e blockchain Comparativo entre os modelos transacionais centralizados e descentralizados 7.3 Segurança em tecnologias emergentes – criptomoedas e blockchain Fonte: livro-texto Modelo Descentralizado (Criptomoedas - Blockhain) Modelo Centralizado (Sistema Financeiro) Relação de Confiança Blockchain 7.3 Segurança em tecnologias emergentes – criptomoedas e blockchain Fonte: livro-texto O conceito de internet das coisas (do inglês, Internet of Things, IoT) foi um termo definido em 1992 para definir algo que estava sendo viabilizado com a introdução do IPV6 (que multiplicou o número de endereços IP válidos na internet). A partir desse momento, iniciaram os estudos para introduzir exatamente tudo na internet, desenvolvendo uma rede de objetos físicos, veículos, prédios e outros que possuem tecnologia embarcada, sensores e conexão com rede capaz de coletar e transmitir dados. 7.4 IOT – Internet das Coisas Os administradores de Rede, que antes deveriam se preocupar apenas com sua segurança perimetral, agora devem enfrentar o avanço dessa tecnologia rumo à sua convergência com as demais como bigdata, inteligência artificial, mobilidade, moedas criptográficas, blockchain e computação na nuvem. 7.4 IOT – Internet das Coisas É correto afirmar sobre o uso das cadeias de confiança do Blockchain: a) Trata-se de modelo descentralizado de confiança nas transações.b) Não possui controle das transações. c) Não apresenta segurança nas transações. d) Trata-se de um modelo centralizado de confiança nas transações. e) Não apresenta integridade nas transações. Interatividade É correto afirmar sobre o uso das cadeias de confiança do Blockchain: a) Trata-se de modelo descentralizado de confiança nas transações. b) Não possui controle das transações. c) Não apresenta segurança nas transações. d) Trata-se de um modelo centralizado de confiança nas transações. e) Não apresenta integridade nas transações. Resposta ATÉ A PRÓXIMA!
Compartilhar