Prévia do material em texto
Inserir Título Aqui Inserir Título Aqui Análise de Riscos e Vulnerabildades em Redes e Sistemas Ameaças e Vulnerabilidade Responsável pelo Conteúdo: Prof.ª Esp. Renata Farragoni Rodrigues da Silva Sodré Revisão Textual: Prof.ª Dr.ª Selma Aparecida Cesarin Nesta unidade, trabalharemos os seguintes tópicos: • Introdução; • Conceitos e Definições; • Segurança da Informação; • Gestão de Riscos; • Ameaças; • Vulnerabilidades. Fonte: iStock/Getty Im ages Objetivo • Compreender e identificar as ameaças que causam vulnerabilidades aos Sistemas e às Redes de Computadores, com o uso das ferramentas existentes no Mercado corporativo. Caro Aluno(a)! Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl- timo momento o acesso ao estudo, o que implicará o não aprofundamento no material trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas. Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns dias e determinar como o seu “momento do estudo”. No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões de materiais complementares, elementos didáticos que ampliarão sua interpretação e auxiliarão o pleno entendimento dos temas abordados. Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e aprendizagem. Bons Estudos! Ameaças e Vulnerabilidade UNIDADE Ameaças e Vulnerabilidade Contextualização Na Unidade anterior, você aprendeu como os dados são transportados entre compu- tadores e Sistemas, os meios físicos existentes que interligam esses recursos de tecnolo- gia, topologias de Redes, seus equipamentos e Protocolos de comunicação. Agora, nesta Unidade, você aprenderá que surgem ameaças e vulnerabilidades que po- dem impactar o funcionamento de todo esse ambiente apresentado na Unidade anterior. Esperamos que você aproveite a leitura e que os temas abordados sirvam de base para seus estudos futuros. 6 7 Introdução Antes de iniciarmos nosso estudo relacionado à identificação de prováveis ameaças que causam vulnerabilidades aos Sistemas e às Redes de Computadores, apresentarei o que vem a ser o conceito de Segurança da Informação e sua aderência à Norma Técnica ABNT NBR ISO/IEC 27001:2013. Acesse o link a seguir para saber quais Normas Técnicas são recomendadas para o esta- belecimento dos níveis adequados de proteção e acesso à informação, para tratamento e Segurança da Informação. Disponível em: https://goo.gl/7FRXBM Ademais, apresentarei o conceito do que vem a ser uma Norma ISO/IEC ou ABNT, porque uma Empresa decide optar por essa normatização em seus processos e os con- ceitos de Dados, Informações, Conhecimento e Sabedoria para fecharmos o conheci- mento do ciclo de vida da informação. Conceitos e Definições O que são Normas ISO/IEC? A ISO é uma Organização Internacional de Normalização criada em 1946, com sede em Genebra, na Suíça. Ela tem como associados organismos de normalização de cerca de 160 países, que estabelecem por consenso, salvaguardando não infringir as Leis locais de nenhum dos países participantes (desde que indicado por seus especialistas), a criação de Normas Téc- nicas que facilitem o comércio e promovam boas práticas de gestão e o avanço tecnológico. O IEC é uma Organização internacional de Normatização criada em 1906, também com sede em Genebra, Suíça, que tem a finalidade de padronização, não para promover boas práticas e gestão (como a ISO), mas para promover a padronização de tecnologias elétricas, eletrônicas e aquelas relacionadas; porém, não podemos deixar de falar que alguns dos seus padrões são desenvolvidos juntamente com a Organização Internacional para Padronização (ISO). Ambas criam documentos internacionais que fornecem, para o uso comum e repeti- tivo, regras, diretrizes ou características para as atividades ou seus resultados, visando à obtenção de um grau ótimo de ordenação num dado contexto. No que a Norma ISO/IEC difere das apresentadas como Norma ABNT NBR ISO/IEC? São apenas traduções adotadas pela ABNT (Associação Brasileira de Normas Técnicas) das Normas Técnicas da ISO (International Organization for Standardization – Organi- zação Internacional de Normalização) e IEC (International Electrotechnical Commission – É a Comissão Eletrotécnica Internacional). 7 UNIDADE Ameaças e Vulnerabilidade Toda e qualquer Norma, seja ela ISO ou IEC, assegura que as características desejá- veis de um produto ou serviço sejam entregues ao cliente final, atendendo a qualidade, a segurança, a confiabilidade, a eficiência e a intercambialidade, bem como o respeito ambiental – e tudo isso feito a um custo econômico. O que uma Organização ganha ao adotar uma Norma em seus processos operacionais? Quando os produtos e os serviços atendem às nossas expectativas, tendemos a tomar isso como certo e a não ter consciência do papel das Normas que fizeram parte do seu processo de desenvolvimento e fabricação. Porém, rapidamente, nós nos preocupamos quando os produtos mostram ser de má qualidade, por não se encaixarem, por serem incompatíveis com outros equipamentos que já temos etc. Por exemplo: a padronização das roscas de parafusos ajuda a fixar cadeiras, bicicletas para crianças e aeronaves, bem como resolve os problemas de reparo e manutenção causados pela falta de padronização, que um dia foram um grande problema para os fabricantes e para os usuários de produtos. Quando produtos, sistemas, máquinas e dispositivos trabalham bem e com segu- rança, quase sempre é porque eles atendem às normas. Pirâmide do conhecimento ou Hierarquia DIKW Provavelmente, você já tenha ouvido falar a respeito da “Pirâmide do Conhecimento” ou da “Hierarquia DIWK”, pois mesmo parecendo tão diferentes uma da outra, ambas têm o mesmo significado. Comecemos, então, por aquela que aparenta ser a mais distante do nosso conheci- mento: a Hierarquia DIKW. A Hierarquia DIKW é acrônimo para as palavras Data – Information – Knowledge – Wisdom que nada mais vem a ser em Português do que Dado – Informação – Conhe- cimento – Sabedoria. E mesmo parecendo tão diferentes um conceito do outro, ambos os termos tratam do mesmo assunto e produzem o mesmo conhecimento e são muito usados em áreas como Ciência da Informação, Gestão de Conhecimento e também em Segurança da Informação, por traduzirem o valor da informação que deve ser protegida por meio dos controles estabelecidos. Controles estabelecidos para implementar a Segurança da Informação geram cus- tos e são muitas vezes entendidos como burocracia por alguns que não entendem da sua importância. Conseguir obter o entendimento do que cada um desses conjuntos de caracteres re- presentam para a Empresa e estabelecer os controles e tratamentos adequados a cada um deles trará o sucesso para a Organização. 8 9 Sabedoria Conhecimento Informação Dado Figura 1 – Pirâmide do conhecimento ou Hierarquia DIKW O que é dado? Esse componente que anda lado a lado com números, palavras e imagens consegue esclarecer e facilitar a compreensão das informações. São caracteres que juntos, em sua forma “bruta”, não passaram por nenhum processo e nenhuma organização para serem utilizados. Por exemplo: apenas um pingo d’água no para-brisa do carro pode ser o início de uma chuva ou pode ser que você tenha passado ao lado de um prédio e que alguém do apartamento esteja lavando uma vidraça e atingiu o carro. O que é informação? São dados que apresentados em sua forma “bruta” foram processados e já sofreram al- gum tipo de organização para estabelecerem valores de bases qualitativas ou quantitativas. A informação é basicamente a descrição ou a perspectiva de algo.É como se, para captar as informações corretas, fosse preciso usar as perguntas “O que?”, “Quem?”, “Quando?” e “Onde?”. Por exemplo: depois de o pingo d’água ter caído no para-brisa, você pode olhar para o céu e observar que uma chuva está se formando, pelas nuvens densas no céu e por mais pingos d’água aparecerem em seu para-brisa. O que é conhecimento? O conhecimento seria a forma adequada de utilizar a informação. É como se enten- dem as estratégias e como as colocamos em prática. É o processo que se inicia a partir do momento em que a pessoa passa a utilizar a informação por meio da interpretação. É a ideia própria que a pessoa gera a partir da informação observada. Por exemplo: com diversos pingos d’água no para-brisa, você sabe que o trânsito passará a ficar mais lento e assim você não conseguirá chegar a tempo para entregar antecipadamente os relatórios da reunião que se encontra agendada para daqui alguns minutos. 9 UNIDADE Ameaças e Vulnerabilidade O que é sabedoria? A sabedoria é o porquê de tudo. É a percepção que se tem do todo. É a capacidade do homem de saber seus erros e os da Sociedade e corrigi-los, conseguindo colocar em prá- tica o que possui de conhecimento, tanto na vida pessoal quanto no trabalho. É trabalhar o entendimento de quando usar as informações corretas e criar o seu próprio contexto. Por exemplo: você toma a decisão de encaminhar os relatórios da reunião para o e-mail de alguma pessoa na qual você confia muito, para que ela imprima o documento e informe aos participantes da reunião que você pode chegar atrasado. Ciclo de vida da informação Já sabemos que a informação é um conjunto de caracteres que foram ordenados e passaram por um processo de atribuição de valor. Agora, afirmo que todo e qualquer momento vivido por essa informação é designado como ciclo de vida da informação. Esses momentos são vivenciados, justamente, quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que, por sua vez, mantêm a operação da Empresa. Assim, existem 4 (quatro) momentos do ciclo de vida da informação que são mere- cedores de atenção, pois correspondem às situações em que a informação é exposta a ameaças, colocando em risco a sua integridade. • Manuseio – O manuseio corresponde ao momento em que a informação é criada e manipulada, seja ao folhar papéis, digitar informações recebidas, seja em senha de acesso para autenticação; • Armazenamento – O armazenamento corresponde ao momento em que a informação é guardada, seja em banco de dados, seja em anotações em papel, mídia óptica etc.; • Transporte – Transporte corresponde ao momento em que a informação é trans- portada, seja por correio eletrônico, seja postal, telefone etc.; • Descarte – O descarte é o momento em que a informação já não é mais útil, po- dendo ser depositada numa lixeira, apagada do Banco de Dados etc. Criação/ Manuseio Transporte Descarte Informação Armazenamento Figura 2 – Ciclo de vida da informação 10 11 Segurança da Informação Segundo o item 4.2.3 da Norma ISO/IEC 27000: 2018, Segurança da Informação é uma prática que, se bem aplicada, garantirá que as informações do ambiente corpo- rativo sejam disponibilizadas no momento em que forem solicitadas (disponibilidade) igualmente como foram armazenadas (integridade) somente àqueles que tenham per- missão para acessá-las (confidencialidade). Na Norma ISO/IEC 27000: 2018 o termo segurança da informação é especificado em sua seção 3.28 como sendo a preservação da confidencialidade (seção 3.10 da Norma), integridade (seção 3.36 da Norma) e dis- ponibilidade (seção 3.7 da Norma) da informação. Norma ISO/IEC 27000: 2018, disponível em Língua Inglesa, no link: https://goo.gl/R6U2Db Normalmente, no Mercado de TI Confidencialidade, Integridade e Disponibilidade (CID), são tidos como os pilares de sustentação da Segurança da Informação, porém em nota da própria seção ao CID é adicionado que outras características, como autenticida- de (seção 3.6 da Norma), responsabilidade, não-repúdio (seção 3.48 da Norma) e con- fiabilidade (seção 3.55 da Norma) também podem ser envolvidas durante os processos e atividades para serem garantidos os objetivos de segurança. Con�dencialidade Integridade Não repúdioResponsabilidade Con�abilidade Autenticidade Con�dencialidade Figura 3 – Pilar da segurança da informação A autenticidade vêm para trazer a certeza da originalidade de algo ou sua vera- cidade. O seu objetivo em segurança da informação é garantir que a mensagem ou documento que foi transmitido de uma ponta à outra não passou por processos de mutações ou reproduções indevidas. O destinatário comprova a origem e autoria de um determinado documento. Ademais, o termo “accountability” ou conformidade traz aos processos de seguran- ça da informação a obrigação de que eles obedeçam a leis e regulamentos. E por conta disso, foi também estabelecido o pilar da conformidade, garantindo que sejam seguidos os devidos protocolos, dentro do setor ao qual a organização opera. 11 UNIDADE Ameaças e Vulnerabilidade A irretratabilidade ou não repúdio é a propriedade que garante a impossibilidade de alguém que gerou um documento (ou tenha o assinado através de certificados digitais) negue tê-lo criado (ou assinado). E por fim a confiabilidade é a propriedade que determina o grau de fidelidade de uma informação em relação ao original. Ou de acordo com a Norma ISSO/IEC 27000 é a propriedade que garante que o comportamento e resultados pretendidos sejam consistentes. Tais controles envolvem o levantamento e o entendimento de como as ameaças são apreciadas pela Organização, considerando o apetite que ela têm para analisá-los conti- nuamente e tratá-los. A essa prática damos o nome de análise de riscos. A prática de Segurança da Informação, somada à análise de riscos, visa a garantir o sucesso e a continuidade do negócio. Ambas têm por objetivo minimizar as consequências dos incidentes de Segurança da Informação que podem acarretar desde o dano à imagem da Organização até a aplicação de sanções administrativas expressas pela Lei nº 13.709, de 14 de agosto de 2018. Tal Lei aplica uma multa de até 2% (dois por cento) do faturamento do último exer- cício da Organização (limitado ao total de R$ 50.000.000,00 – cinquenta milhões de reais – por infração); texto expresso no capitulo VIII, Art. 52 da referida Lei. Assim, menos impactante será adotar as práticas diárias da Segurança da Informa- ção, em que ela será obtida por meio da implementação de um processo de gerencia- mento de riscos (que permitirá, por vezes, que a Organização enxergue oportunidades de negócio com essas análise), somada a um Sistema de Gestão de Segurança da Infor- mação (SGSI), implementando controles, políticas, processos, procedimentos, estrutu- ras organizacionais e, quando justificáveis as aquisições de softwares e hardwares, para proteger os ativos de informações identificados. A todo momento, o texto diz que a Segurança da Informação é uma prática. Isso porque você não implementará um SGSI de uma única vez. De Departamento em Departamento, você irá especificando e implementando os controles presentes em Normas, juntamente com seus pares, aqueles que ajudarão nesse processo, expli- cando como eles executam suas tarefas diárias para que assim você estabeleça os controles necessários. Como exemplo de Norma que apresenta as técnicas de segurança para um Sistema de Gestão da Segurança da Informação, temos a ABNT NBR ISO/IEC 27001:2013. Em seu “Anexo A” são apresentados os controles e seus objetivos de controles ne- cessários para aderência à Norma. Os atendimentos e esses requisitos são entendidos e mais bem explicados por meio do código de prática para controles de Segurança da Informação, exposto pela Norma ABNT NBR ISO/IEC 27002:2013. 12 13 Gestão de Riscos Como o maior patrimônio das Organizações é a Informação, o modo como ela cui- da das informações faz toda a diferençana continuidade da operação do seu negócio. Por isso, é importante que toda Organização, ao lidar com a informação, avalie os riscos, a vulnerabilidade e as ameaças que ela pode sofrer; isto é, a Gestão de Riscos. Considerando que a quantidade de vulnerabilidades e riscos que podem comprometer as informações de uma Organização é cada vez maior, a Gestão de Riscos é fundamental Para garantir o perfeito funcionamento de toda a estrutura tecnológica que a organiza- ção tem em seu parque tecnológico. Ao englobar a gestão da Segurança da Informação, a Gestão de Riscos tem como principais desafios: • Proteger um dos principais ativos da Organização – a Informação, assim como a reputação e a marca da Empresa; • Implementar e gerir controles que tenham como foco principal os objetivos do negócio; • Promover ações corretivas e preventivas de forma eficiente; • Garantir o cumprimento de regulamentações; • Definir os processos de Gestão da Segurança da Informação. Entre as vantagens de investir na Gestão de Riscos voltada para a Segurança da In- formação está a priorização das ações de acordo com a necessidade e os objetivos da Empresa e a utilização de métricas e indicadores de resultados. Identificação dos riscos O propósito da identificação de riscos é encontrar, reconhecer e descrever riscos que possam ajudar ou impedir que uma Organização alcance seus objetivos. Informações pertinentes, apropriadas e atualizadas são importantes na identificação de riscos, pois riscos não identificados podem se tornar uma ameaça à Organização ou fazer com que se percam oportunidades importantes. Componentes de um risco Um risco está relacionado a: • Uma fonte de risco, ameaça ou perigo – Aquilo que tem o potencial intrínseco de prejudicar ou auxiliar, por exemplo, um produto químico perigoso, os concorrentes, o Governo; • Um evento – Algo que acontece de tal forma que a fonte do risco tem um impacto envolvido como, por exemplo, um vazamento, um concorrente que expande ou abandona o seu segmento de Mercado, regulamentações novas ou revisadas, ou alguma medida ou observação que atinge um nível que desencadeia algo; 13 UNIDADE Ameaças e Vulnerabilidade • Uma consequência, resultado ou impacto em relação a diversas partes interessadas e ativos, como danos ambientais, perda ou aumento de mercado/lucros, regula- mentações que aumentam ou diminuem a competitividade; • Uma causa (o quê e porque) (normalmente uma série de causas diretas e intrínsecas) para a presença do perigo/ameaça ou ocorrência do evento, tais como um projeto, intervenção humana, financiamento, previsão ou falha em prever a atividade do concorrente, falha em expandir ou expansão da presença no Mercado; • Controles e seus níveis de eficácia, como Sistemas de detecção, Sistemas de depu- ração, políticas, segurança patrimonial, treinamento, pesquisa de Mercado e acom- panhamento do Mercado; • Quando e onde o risco poderia se materializar. Por exemplo: • Um temporal danifica mercadorias e gera custos de retrabalho; • Identificamos um nicho de Mercado que leva a um aumento nas vendas; • Um derramamento de petróleo denigre nossa reputação na comunidade local. O processo de identificação Para desenvolver, por exemplo, uma lista abrangente de riscos, deveria ser utilizado um processo sistemático, iniciando com o estabelecimento do contexto para conseguir demonstrar que os riscos foram identificados de forma eficaz. Convém trabalhar com um processo definido, projeto ou atividade que demonstre um modelo estruturado, usando os elementos-chave definidos durante o estabelecimento do contexto. Isso pode ajudar a transmitir confiança de que o processo de identificação é completo e de que grandes problemas não passaram despercebidos. Convém, também, fazer as seguintes perguntas sobre cada um dos elementos-chave: • Qual é a fonte de cada risco? • O que poderia acontecer que pudesse: » aumentar ou diminuir a consecução eficaz dos objetivos; » tornar a consecução dos objetivos mais ou menos eficiente (finanças, pessoas, tempo); » fazer com que as partes interessadas tomem atitudes que possam influenciar a consecução dos objetivos; » gerar benefícios adicionais? • Qual seria o efeito nos objetivos? • Quando, onde, porque e qual a probabilidade desses riscos se materializarem (tanto aqueles com consequências positivas quanto aqueles com consequências negativas)? • Quem poderia estar envolvido ou sofrer os impactos? 14 15 • Que controles existem atualmente para tratar esse risco (maximizar os riscos com consequências positivas ou minimizar os riscos com consequências negativas)? • O que poderia fazer com que o controle não tivesse o efeito desejado sobre o risco? Após analisar criticamente cada elemento, as seguintes questões gerais deveriam ser consideradas: • Qual é a confiabilidade das informações? • Quão confiantes estamos de que a lista de riscos (se for o caso) é abrangente? • Há necessidade de pesquisa adicional sobre riscos específicos? • Os objetivos e o escopo foram cobertos adequadamente? • O processo de identificação de riscos envolveu as pessoas certas? Informações para a identificação de riscos Informações de boa qualidade são importantes na identificação de riscos. O ponto de par- tida para isso pode ser o histórico sobre a Organização ou Organizações similares, e posterior discussão com ampla gama de partes interessadas sobre questões passadas, atuais e futuras. Alguns exemplos são: • Experiência local ou internacional; • Opinião de um perito; • Entrevistas estruturadas; • Discussões dirigidas em grupo; • Planos estratégicos e de negócios que incluem análise SWOT e avaliação ambiental; • Relatórios de solicitação de pagamento de seguro; • Relatórios pós-eventos; • Experiência pessoal ou experiência organizacional anterior; • Resultados e relatos de auditorias, inspeções e visitas; • Pesquisas e questionários; • Listas de verificação; • Registros históricos, Banco de Dados de incidentes e acidentes, e análise de falhas e registros anteriores de riscos, quando houver. É essencial que as pessoas envolvidas na identificação de riscos tenham conhecimen- to dos aspectos detalhados do estudo de riscos que está sendo realizado. Identificar riscos também pode exigir pensamento criativo e experiência adequada. As equipes tornam possível o acúmulo de experiências. O envolvimento da equipe também ajuda a criar o comprometimento e a responsabi- lidade em relação ao processo de Gestão de Riscos e ajuda a garantir que sejam consi- derados riscos para diferentes partes interessadas, como apropriado. 15 UNIDADE Ameaças e Vulnerabilidade Abordagens para a identificação de riscos A abordagem usada para a identificação de riscos depende do contexto da Gestão de Riscos. Ao selecionar uma abordagem para identificar riscos, são feitas as seguintes considerações: • Sessões de brainstorming em Equipe, por exemplo, para os quais convém dar preferência a uma abordagem de workshops com o uso de facilitadores, pois desenvolve o comprometimento, considera diferentes perspectivas e incorpora experiências variadas; • Técnicas estruturadas como diagramas de fluxo, análise crítica do projeto do siste- ma, análise de sistemas, estudos de perigos e operabilidade (HAZOP) e modelagem operacional, deveriam ser usadas quando as consequências potenciais forem catas- tróficas e o uso de tais técnicas for eficaz em termos de custo; • Para situações não tão claramente definidas, tais como a identificação de riscos estratégicos, podem ser usados processos com uma estrutura mais genérica como “what-if” e análise de cenários; • Quando os recursos disponíveis para a identificação e análise de riscos forem limi- tados, sua estrutura e abordagem podem ter que ser adaptadas, para alcançar resul- tados eficientes dentro das limitações orçamentárias. Por exemplo, onde há menos tempo disponível, pode-se considerar um número menor de elementos-chave num nível mais alto, ou se pode usar umalista de verificação; • Em muitos casos, a identificação de riscos em múltiplos níveis é útil e eficiente. Numa etapa inicial ou preliminar da definição do escopo, pode-se identificar os riscos num nível superior, e definir as prioridades, aplicando-se uma identificação e análise de nível detalhado a uma subsérie de áreas de alta prioridade. Por fim, a documentação dessa etapa Convém que a documentação dessa etapa inclua: • A abordagem ou método usado; • O escopo coberto pela identificação; • Os participantes da identificação de riscos e as fontes de informação consultadas; e • O registro dos riscos. Ameaças Segundo o item 3.74 da Norma ISO/IEC 27000:2018, ameaça é a causa potencial de um incidente indesejado, que pode resultar em danos a um Sistema ou Organização. Porém, de forma geral, a ameaça pode ser entendida como a expectativa de um acon- tecimento indesejável que cause danos a um recurso de TI (removendo, desabilitando ou 16 17 destruindo aquele recurso). Uma ameaça é um fato não concretizado. Ela serve como aviso para proteger aquele recurso que não se quer perder. Esse acontecimento danoso pode ser ocasionado de forma acidental ou proposital, sendo ele causado por um agente, interno ou externo à Organização, que pode afetar um ambiente, sistema ou ativo de informação causando impactos na capacidade opera- cional do negócio no que tange o cumprimento dos seus objetivos de negócio. • Exemplos de ameaças: Falhas de hardware quando uma atualização do sistema operacional interrompe o seu funcionamento; relacionadas à ação humana de um empregado descontente com a própria Empresa; possíveis incêndios que podem afetar os computadores e outros equipamentos importantes da Empresa se somen- te tivermos os sprinters de água para apagar o incêndio. Vulnerabilidades Segundo o item 3.77 da Norma ISO/IEC 27000:2018, vulnerabilidade é a fraqueza de um ativo ou controle que pode ser explorada por uma ou mais ameaças. Ela está associada ao próprio ativo que pode sofrer o ataque. Assim, em segurança de computadores, uma vulnerabilidade é uma fraqueza que permite que o atacante reduza a garantia da informação do sistema. • Exemplos de vulnerabilidades: quando o controle de acesso às instalações do am- biente corporativo não estão implementados e pessoas sem autorização circulam por entre os funcionários (física); quando pessoas mal intencionadas conseguem acesso a credenciais de super-usuários (ou têm o conhecimento das credenciais de outro usuário) coisas ruins podem acontecer causando indisponibilidade do sistema ou quebrando a integridade de alguns dados (lógica – falha no gerenciamento de credenciais de acesso). A vulnerabilidade se apresenta como uma falha ou “fraqueza” de um procedimento, implementação ou controles internos de um sistema que possa ser acidental ou propo- sitalmente explorada; resultando numa brecha de segurança ou violação da política de segurança do sistema. Ela se apresenta pela interseção de três elementos: • Uma suscetibilidade ou falha do sistema; • Acesso do atacante a falha; • A capacidade de o atacante explorar a falha. Os principais ataques relacionados à exploração de vulnerabilidade de tecnologia são os ataques ativos e os ataques passivos. Os ataques ativos são ataques que intervêm no fluxo normal da informação, alteran- do o seu conteúdo e produzindo informações que não são consideradas válidas. Eles têm o intuito de atentar contra a segurança de um sistema. Exemplos de ataques ativos: DoS, DDoS, buffer overflow, inundação de SYN etc. 17 UNIDADE Ameaças e Vulnerabilidade Os ataques passivos são aqueles que não alteram a informação e nem seu fluxo normal. Eles apenas ficam sob canal de escuta. Exemplos de ataques passivos: pesquisa de vulnerabilidade, sniffing etc. Fontes de Vulnerabilidades, onde encontrá-las? • BugTraq – https://goo.gl/mR86b3; • Full Disclosure – https://goo.gl/EZUPnT; • US-CERT – https://goo.gl/maKoPU; • CAIS – https://goo.gl/CiKKjF; • Symantech – https://goo.gl/pkZsRG; • Mcafee – https://goo.gl/dQtZwx; • National Vulnerability Database: CVSS – https://goo.gl/vpQQde; • SANS: CIS Critical Security Controls – https://goo.gl/jntPSK; • BSIMM – Building Security in Maturity Model – https://goo.gl/KSgJRd; • Fabricantes, comunidades e projetos. 18 19 Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Sites Cert.br Site interessante, apresentando conceitos diversos de Segurança da Informação, com diversos tutoriais. https://goo.gl/11wYnX Livros Comunicação de dados ROCHOL, Juergen. Comunicação de dados. Porto Alegre: Bookman, 2012. (E-Book); Redes de Computadores TANENBAUM, A. S. Redes de Computadores. 5.ed. São Paulo: Pearson, 2011. Vídeos Aula 02: Ameaças, Riscos e Vulnerabilidades I - Parte 1 Para entender melhor a respeito de ameaças e vulnerabilidades, aqui há um bom tutorial. https://youtu.be/36MXBTRMMfY Qual a diferença entre RISCO e AMEAÇA? (Análise e Gestão de Riscos) [Concurso Público] https://youtu.be/jxBEuDVCMgU 19 UNIDADE Ameaças e Vulnerabilidade Referências ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Duvidas frequentes. Dis- ponível em: <http://www.abnt.org.br/informacao/duvidas-frequentes>. Acesso em: dez. 2018. ______. Importância/Benefícios. Disponível em: <http://www.abnt.org.br/ normalizacao/o-que-e/importancia-beneficios>. Acesso em: dez. 2018. INMETRO. O que é ISO?. Disponível em: <http://www.abnt.org.br/normalizacao/o- -que-e/importancia-beneficios>. Acesso em: dez. 2018. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27001 In- formation technology — Security techniques — Information security management systems — Overview and vocabulary. ISO/IEC, 20018. LAUREANO, M. A. P; MORAES, Paulo Eduardo Sobreira. Segurança como estraté- gia de gestão da informação. Revista Economia & Tecnologia, v. 8, fasc. 3, p. 38-44, 2005. Disponível em: <http://www.mlaureano.org/projects/seguranca/economia_tec- nologia_seguranca.pdf>. Acesso em: dez. 2018. 20