Baixe o app para aproveitar ainda mais
Prévia do material em texto
Computação Forense Aula 6: Auditoria de sistemas Apresentação Com o avanço das tecnologias relativas às áreas de informação e comunicação, vastas quantidades de informação tornaram-se disponíveis. Esta disponibilidade também gera riscos signi�cativos para os sistemas, operações e infraestruturas críticas que as suportam. Apesar dos avanços signi�cativos na área de segurança da informação, muitos sistemas ainda são vulneráveis a ataques internos ou externos. A existência de auditoria interna para segurança dos sistemas aumenta a probabilidade de adoção de medidas de segurança adequadas para prevenir ataques ou diminuir suas consequências negativas. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Objetivo Analisar os conceitos gerais sobre a Auditoria de Sistemas; Descrever o processo de Auditoria, apontando brevemente alguns aspectos relevantes; Identi�car e traçar alguns tipos de planos que auxiliem na Segurança das Informações. Auditoria de Sistemas: Conceitos Gerais A auditoria de sistemas de informação faz parte do processo geral de auditoria, que é um dos facilitadores da boa governança corporativa. Embora não haja uma de�nição universal única de auditoria de SI, podemos discorrer como um processo de coleta e avaliação de evidências para determinar se um sistema de informação tem seus ativos de maneira protegida, mantendo a integridade dos dados e atingindo as metas organizacionais de forma e�caz, consumindo assim todos os recursos de forma e�ciente. Os sistemas de informação são a força vital de qualquer grande empresa. Como vem ocorrendo ao longo do tempo, os sistemas de computação não apenas registram as transações comerciais, mas também conduzem os principais processos comerciais de uma empresa. Em tal cenário, a alta administração e os gerentes de negócios se preocupam com os sistemas de informação. O objetivo da auditoria de SI é revisar e fornecer feedback, garantias e sugestões. Essas preocupações podem ser agrupadas em três grandes categorias: Disponibilidade Os sistemas de informação dos quais o negócio depende fortemente estarão disponíveis para o negócio sempre que necessário? Os sistemas estão bem protegidos contra todos os tipos de perdas e desastres? Con�dencialidade As informações nos sistemas serão divulgadas apenas para aqueles que precisam vê-las e usá-las e não para mais ninguém? Integridade As informações fornecidas pelos sistemas serão sempre precisas, con�áveis e oportunas? O que garante que nenhuma modi�cação não autorizada possa ser feita nos dados ou no software dos sistemas? Elementos de auditoria dos Sistemas de Informação Um sistema de informação não é apenas um computador. Os sistemas de informação de hoje são bastante complexos e têm muitos componentes que se juntam para criar uma solução de negócios. As garantias sobre um sistema de informação podem ser obtidas apenas se todos os componentes forem avaliados e protegidos. A frase que a�rma que “uma corrente é tão forte quanto seu elo mais fraco” resume tudo. Os principais elementos da auditoria de SI podem ser classi�cados das seguintes maneiras: Clique nos botões para ver as informações. Inclui a análise da segurança física, energia, abastecimento, ar condicionado, controle de umidade e outros fatores ambientais. Auditoria física e ambiental Inclui a análise de segurança da operação dos sistemas de gerenciamento de banco de dados, todos os procedimentos de administração do sistema e conformidade. Auditoria da administração do sistema O aplicativo de negócios pode ser folha de pagamento, faturamento, um sistema de processamento de pedidos de cliente baseado na web ou um sistema de planejamento de recursos empresariais que realmente administra o negócio. A análise de tal software ou aplicativo inclui controle de acesso e autorizações, validações, tratamento de erros e exceções, �uxos de processos de negócios dentro do software, e controles e procedimentos manuais complementares. Além disso, uma revisão do ciclo de vida de desenvolvimento do sistema deve ser concluída. Auditoria de software ou aplicativo Análise das conexões internas e externas ao sistema, segurança do perímetro, revisão do �rewall, listas de controle de acesso do roteador, varredura de portas e detecção de intrusão são algumas áreas típicas de cobertura. Auditoria de segurança de rede Inclui a existência e manutenção de hardware redundante e tolerante a falhas, procedimentos de backup e armazenamento, plano de recuperação de desastres e plano de continuidade de negócios documentado e testado. Auditoria de continuidade de negócios O objetivo é o escrutínio de dados em tempo real para veri�car a adequação dos controles e o impacto das de�ciências, conforme observado em qualquer uma das revisões acima. Esses testes substantivos podem ser feitos usando software de auditoria automatizado (por exemplo, técnicas de auditoria assistidas por computador). Auditoria de integridade de dados Todos esses elementos precisam ser endereçados de forma a apresentar à administração uma avaliação clara do sistema. Exemplo Por exemplo, o software ou aplicativo pode ser bem projetado e implementado com todos os recursos de segurança, mas a senha de superusuário padrão no sistema operacional que é usado no servidor pode não ter sido alterada, permitindo assim que alguém acesse os arquivos ou dados diretamente. Tal situação anula qualquer segurança embutida no aplicativo. Da mesma forma, �rewalls e soluções de segurança podem ter sido muito bem implementados, mas as de�nições de função e controles de acesso dentro do software do aplicativo podem ter sido tão mal projetados e implementados que, usando seus IDs de usuário, os funcionários podem ver informações críticas e con�denciais que estão além de suas funções. É importante entender que cada auditoria pode consistir nesses elementos em medidas variadas. Algumas auditorias podem examinar minuciosamente apenas um desses elementos ou eliminar alguns deles. Embora permaneça o fato de que é necessário fazer todos eles, não é obrigatório fazer todos em uma única auditoria. As métricas utilizadas para cada um deles são diferentes. Os resultados de cada auditoria precisam ser vistos em relação aos outros. Isso permitirá que o auditor e a administração tenham uma visão total das questões e dos problemas. Esta visão geral é crítica. Abordagem baseada em risco Cada organização usa vários sistemas de informação. Pode haver diferentes aplicações para diferentes funções e atividades e pode haver uma série de computadores instalados em diferentes localizações geográ�cas. O auditor se depara com as questões do que auditar, quando e com que frequência. A resposta para isso é adotar uma abordagem baseada no risco. Embora existam riscos inerentes aos sistemas de informação, esses riscos afetam diferentes sistemas de maneiras diferentes. O risco de indisponibilidade de um sistema de faturamento de uma loja de varejo movimentada, mesmo por um curto espaço de tempo, poderá ser catastró�co. O risco de modi�cação não autorizada pode ser uma fonte de fraudes e perdas potenciais para um sistema de banco online. Um sistema de processamento em lote, ou um sistema de consolidação de dados, pode ser relativamente menos vulnerável a alguns desses riscos. Os ambientes técnicos nos quais os sistemas são executados também podem afetar o risco associado aos sistemas. As etapas que podem ser seguidas para uma abordagem baseada em risco para desenhar um plano de auditoria são: Faça o inventário dos sistemas de informação em uso na organização e categorize-os. Determine quais dos sistemas afetam funções ou ativos críticos, como dinheiro, materiais, clientes, tomada de decisões e quão próximos do tempo real eles operam. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Avalie quais riscos afetam esses sistemas e a gravidade do impacto nos negócios. Classi�que os sistemas com base na avaliação acima e decida aprioridade, os recursos, o cronograma e a frequência da auditoria. Comentário O auditor, então, pode traçar um plano de auditoria anual que relaciona as auditorias que serão realizadas durante o ano, conforme um cronograma, bem como os recursos necessários. Riscos de Segurança Existem duas categorias de riscos contra os quais um sistema de informação deve ser protegido: Riscos físicos e riscos lógicos. Riscos físicos Relacionam-se mais com o equipamento do que com o próprio sistema de informação. Inclui nesse rol desastres naturais como terremotos, furacões, tornados, inundações e tempestades, além de outros perigos como incêndios, picos de energia, furto e vandalismo. Riscos lógicos Referem-se ao acesso não autorizado, destruição, alteração acidental ou intencional dos sistemas de informação e dos dados. Essas ameaças podem ser mitigadas por meio de controles lógicos de segurança que restringem as capacidades de acesso dos usuários ao sistema e evitam que usuários não autorizados o acessem. Saiba mais Existe uma grande lista de controles que protegem os sistemas de informação contra essas ameaças físicas. Esses controles são: Bloqueios de acesso, seguro sobre hardware, recuperação de dados, procedimentos para realizar backups diários do sistema de informações e dados, armazenamento externo e rotação da mídia de backup para um local seguro. Todas essas medidas são ainda mais importantes no caso de sistemas de informação críticos. As organizações hoje devem lidar com quatro tipos principais de riscos de TI: Riscos de segurança, riscos de disponibilidade, riscos de desempenho e riscos de conformidade. Os riscos de segurança: Representam o acesso não autorizado às informações, vazamento de dados, privacidade relativa aos dados, fraude e segurança de endpoint. Incluem também ameaças externas amplas, como vírus e ataques direcionados a ativos especí�cos, usuários especí�cos e informações especí�cas. Saiba mais Uma pesquisa desenvolvida pela IBM mostrou que os incidentes de segurança podem custar às empresas em média 3,86 milhões de dólares para cada ocorrência, sendo o país mais caro os Estados Unidos, com a média de 8,64 milhões de dólares, sendo a indústria mais cara a de saúde, com valor médio de 7,13 milhões de dólares. Outra pesquisa feita pelo CERT.br no ano de 2020 mostrou que os incidentes relativos a scan ocorreram com mais frequência (em 58,81% das organizações). O segundo incidente mais frequente foi a disseminação de worms (17,46%), seguido de fraudes (5,66%). Tipos de incidentes Clique no botão acima. A Figura 1 apresenta os tipos incidentes que mais ocorreram. Legenda: Worm: Noti�cações de atividades maliciosas relacionadas ao processo automatizado de propagação de códigos maliciosos na rede. DoS (DoS -- Denial of Service): Noti�cações de ataques de negação de serviço, em que o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede. Invasão: Ataque bem-sucedido que resulte no acesso não autorizado a um computador ou rede. Web: Caso particular de ataque visando especi�camente o comprometimento de servidores web ou des�gurações de páginas na Internet. Fonte: CERT.br. Disponível em: https://www.cert.br/stats/incidentes/2020-jan-jun/tipos-ataque.html Scan: Noti�cações de varreduras em redes de computadores, com o intuito de identi�car computadores ativos e serviços disponibilizados por eles. Amplamente utilizado por atacantes para identi�car potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador. Fraude: Segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Engloba as noti�cações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem. Outros: Noti�cações de incidentes que não se enquadram nas categorias anteriores. Não confundir scan com scam. Scams (com "m") são esquemas para enganar um usuário, geralmente, com �nalidade de obter vantagens �nanceiras. Ataques deste tipo são enquadrados na categoria fraude. Auditoria de segurança de Sistemas de Informação Apesar dos avanços signi�cativos na área de segurança da informação, como modelo de matriz de acesso, listas de controle de acesso, segurança multinível usando �uxo de informação, criptogra�a de chave pública com protocolo criptográ�co e duplo fator de autenticação, muitos sistemas de informação continuam vulneráveis a ataques internos ou externos. Comentário Essas medidas apenas di�cultam um possível ataque. Uma con�guração de segurança robusta leva tempo e não permite regras frouxas; portanto, se a con�guração for muito permissiva, ninguém perceberá, a menos que haja uma auditoria ou um ataque. E qual é o papel da auditoria interna? Uma auditoria interna visa ao fortalecimento da segurança do sistema de informação de cada organização. Considera-se que três áreas da atividade do computador devem ser monitoradas regularmente: Controle de acesso do usuário Monitoramento da atividade do sistema Trilha de auditoria Essas atividades estão relacionadas aos mecanismos básicos de implementação de segurança: Autenticação Quem acessou o ativo? Quem está recebendo essa informação? Autorização Quem é con�ável para realizar operações neste ativo? Auditoria O que aconteceu e por quê? O objetivo da segurança no controle de acesso do usuário é: 1 Otimizar o tempo produtivo no computador. 2 Mitigar o risco de erro e fraude. 3 Eliminar o acesso não autorizado. 4 Garantir a con�dencialidade das informações. Também é óbvia a necessidade de mitigar os atos maliciosos ou fraudes mais prováveis de ocorrer, se houver poucas chances de detecção. Devemos atentar para quatro questões primordiais sobre as áreas prováveis de risco: Fonte: O autor. Vejamos algumas formas de reduzir a ocorrência de incidentes: Sistemas de segurança e Logs detalhados Outra ação de segurança importante é manter logs detalhados de quem o fez, quando fez e também se houve alguma tentativa de violação de segurança. Todas essas informações são muito importantes para o auditor do sistema. controle A utilização de sistemas de segurança e controles e�cazes pode reduzir consideravelmente a ocorrência de incidentes e consequências negativas, aumentando a possibilidade de prevenção e detecção. O Processo de Auditoria A preparação antes de iniciar uma auditoria envolve os seguintes aspectos: coleta de informações básicas; avaliação dos recursos e habilidades necessárias para realização da auditoria. Isso permite que a equipe com o tipo certo de habilidades seja designada para a tarefa certa. É sempre uma boa prática ter uma reunião formal de início de auditoria com a alta administração responsável pela área que será auditada para �nalizar o escopo, entender as preocupações especiais, se houver, agendar as datas e explicar a metodologia da auditoria. 1 Da mesma forma, depois que o escrutínio da auditoria for concluído, é melhor comunicar os resultados da auditoria e as sugestões de ação corretiva para a alta administração em uma reunião formal usando uma apresentação. Isso irá garantir uma melhor compreensão e aumentará a aceitação da auditoria. Dará também aos auditados a oportunidade de expressar seus pontos de vista sobre as questões levantadas. A redação de um relatório após a reunião em que todos os pontos foram batidos pode aumentar bastante a e�cácia da auditoria. Plano de Auditoria Uma auditoria de segurança tem como principais objetivos: Veri�car a existência de política, normas, diretrizes e procedimentos de segurança. Identi�car as inadequações e examinar a e�cácia da política, padrões existentes, diretrizes e procedimentos. Identi�car e compreender as vulnerabilidades e riscos existentes. https://stecine.azureedge.net/webaula/estacio/go0687/aula6.html Rever os controles de segurançaexistentes sobre questões operacionais, administrativas e gerenciais, e garantir a conformidade com os padrões mínimos de segurança. Fornecer recomendações e ações corretivas para melhorias. A �m de garantir o cumprimento da política de segurança e determinar o conjunto mínimo de controles necessários para reduzir os riscos a um nível aceitável, as auditorias de segurança devem ser realizadas periodicamente, pois vulnerabilidades e ameaças mudam com tempo e ambiente. Comentário As auditorias podem ser novas auditorias de instalação ou aprimoramento, auditorias regulares ou auditorias aleatórias. As técnicas utilizadas para o processo de auditoria podem incluir ferramentas de auditoria automatizadas (sistemas de auditoria de segurança prontos ou desenvolvidas pelos próprios auditores de segurança) ou pode haver utilização de técnicas manuais como, por exemplo, ataques de engenharia social e listas de veri�cação de auditoria. Um processo de auditoria pode ser realizado em sete etapas: 1. Veri�cação de vulnerabilidade e veri�cação da infraestrutura; 2. Veri�cação dos relatórios de Auditoria contendo logs, relatórios de sistemas de detecção de intrusão etc.; 3. Veri�cação da arquitetura de segurança existente; 4. Veri�cação de linha de base visando auditar a con�guração de segurança de modo a certi�car se está de acordo com as diretrizes da organização; 5. Controle interno e veri�cação de �uxo de trabalho; �. Veri�cação de política de segurança para garantir que está alinhada com o objetivo dos negócios; 7. Avaliação de ameaça/risco visando a avaliação dos vários riscos e ameaças enfrentados pelos sistemas de informação da empresa. Durante e no �nal do processo de auditoria uma série de relatórios pode ser elaborada: 1 Relatório de vulnerabilidades Apresenta as vulnerabilidades identi�cadas na organização. 2 Relatório de ameaças e riscos Expõe ameaças e riscos que a organização enfrenta decorrentes das vulnerabilidades encontradas, incluindo política frágil, arquitetura etc. 3 Relatório de auditoria Fornece a visão geral da segurança e os resultados de todas as auditorias. Outra perspectiva sobre o processo de auditoria de segurança seria dividir a auditoria em seis etapas: Planejamento: Para determinar e selecionar métodos e�cazes e e�cientes para a realização da auditoria, obtendo todas as informações necessárias; Coleta de dados: Para determinar quanto e que tipo de informação deverá ser capturada, bem como �ltrar, armazenar, acessar e revisar a auditoria de dados e logs; Realização de testes: Revisão geral das políticas ou padrões de segurança, con�gurações de segurança e investigação das técnicas existentes; Relatório de auditoria: Apresentar o panorama de segurança atual; Proteção dos dados e ferramentas de auditoria: Salvaguardar os dados de auditoria e ferramentas para a próxima auditoria ou uso futuro; Realização de melhorias e acompanhamento: Corrigir ações, se necessário. O processo de auditoria de segurança está cada vez mais difícil de se realizar em virtude da complexidade crescente dos sistemas de informação. Existem ferramentas de auditoria automatizadas que facilitam signi�cativamente este processo. Vários padrões de auditoria de segurança especi�cam os procedimentos que devem ser seguidos para garantir que os recursos de TI sejam protegidos de forma adequada. Com perdas ainda elevadas devido à segurança de infraestrutura de TI inadequada, uma auditoria de segurança deve ser considerada por qualquer organização. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Atividade 1. São fases do processo de investigação de uma cena de crime, exceto: a) Disponibilidade, Confidencialidade e Integridade. b) A parte estática dos sistemas, partes lógicas e os softwares. c) O compartilhamento de recursos de computação, revisão física e ambiental. d) Incrementação da eficiência operacional, promoção da obediência às diretrizes e análise de sistemas. e) Armazenamento, Preservação e Usabilidade. 2. Acerca do conceito de auditoria na segurança da informação, assinale a alternativa correta. a) Consiste em técnicas e métodos para que o remetente da mensagem não possa negar, no futuro, seu envio. b) Consiste em proteger a informação em sistemas, recursos e processos para que eles não possam ser acessados por pessoas não autorizadas. c) Consiste na capacidade de verificação das atividades do sistema e de determinação do que, por quem e quando foi feito e o que foi afetado. d) Consiste na garantia de que a informação não sofra nenhuma espécie de modificação durante sua transmissão ou seu armazenamento. e) Consiste em definir como uma organização vai se proteger de incidentes de segurança. 3. Para assegurar que as medidas de controle estabelecidas estejam funcionando como prescrito de maneira consistente e contínua, e para concluir sobre a adequação do ambiente de controle, os passos de auditoria são estabelecidos, em uma guia de auditoria, na etapa: a) Obtendo um entendimento. b) Avaliando os controles. c) Elaborando o relatório. d) Avaliando a conformidade. e) Evidenciando o risco. Notas Reunião formal1 Essas reuniões envolvem a alta administração, permitindo que as pessoas se encontrem, esclareçam questões e preocupações subjacentes, ajudando a auditoria a ser conduzida sem problemas. Referências ABNT. ABNT NBR ISO/IEC 27701 – Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação. Associação Brasileira de Normas Técnicas, Rio de Janeiro, dez. 2019. GESPUBLICA/MPOG. Guia de Orientação para o Gerenciamento de Riscos. Disponível em: http://www.gespublica.gov.br/sites/default/�les/documentos/p_vii_risco_oportunidade.pdf. Acesso em: 07 dez. 2020. IBM. How much would a data breach cost your business? Disponível em: https://www.ibm.com/security/data-breach. Acesso em 07 dez. 2020. NIST. National Institute of Standards and Technology (2020) Privacy Framework. Disponível em: https://www.nist.gov/privacy- framework/privacy-framework. Acessado em: 08 dez. 2020. Próxima aula Perícia Forense. Explore mais As organizações devem conduzir auditorias internas do SGSI a intervalos determinados pela sua direção visando determinar se os objetivos de controle, processos e procedimentos do seu SGSI atendem aos requisitos da organização e de seus parceiros. Qual deveria ser o tempo mínimo adequado entre as auditorias? Uma boa fonte de consulta é a própria norma que rege as auditorias (ABNT NBR ISO/IEC 27001). javascript:void(0); javascript:void(0); javascript:void(0);
Compartilhar