Prévia do material em texto

Público
Segurança e Auditoria de 
Sistemas
Público
Segurança da 
Informação
01
02
04
03
Introdução à Segurança da 
Informação
Princípios da Segurança da 
Informação
Segurança de Redes 
Criptografia 
Público
Introdução à Segurança da 
Informação
01
Público
Segurança da Informação
Segurança da informação 
envolve identificação, 
proteção, detecção, resposta e 
recuperação (NIST, 2020).
A Segurança da Informação 
protege a informação de 
diversos tipos de ameaça, para 
garantir a continuidade dos 
negócios, minimizando os 
danos aos negócios e 
maximizando o retorno dos 
investimentos e oportunidades. 
(Norma ABNT ISO/IEC 27002 
(2013)).
Fonte: Adaptado de NIST (NIST, 2020). 
Público
Nada é 100% seguro porque os 
elementos do risco são dinâmicos, 
seja quando novas vulnerabilidades 
surgem, quando o ambiente muda 
com novos ativos, ou quando a 
motivação de um agente de 
ameaça alcança níveis que 
aumenta a chance de sucesso de 
um ataque. 
Público
NAKAMURA, 2016
“O que é seguro hoje pode não 
ser amanhã. Além disso, pontos 
de ataques envolvem ativos 
tecnológicos, humanos e 
processuais .” 
Público
Princípios - ABNT NBR ISO/IEC 27001:2013
Autenticidade: busca garantir 
que determinada pessoa ou 
sistema é, de fato, quem ela diz 
ser.
Não-Repúdio 
(Irretratabilidade): busca 
garantir que o usuário não tenha 
condições de negar ou contrariar 
o fato de que foi ele quem gerou 
determinado conteúdo ou 
informação;
Legalidade: é o aspecto de 
legislação e normatização.
Confidencialidade: é a 
propriedade de que a 
informação não esteja 
disponível ou seja revelada a 
indivíduos, entidades ou 
processos não autorizados.
Integridade: é a propriedade 
de salvaguarda da exatidão e 
completeza de ativos.
Disponibilidade: está 
relacionada ao tempo e à 
acessibilidade que se tem dos 
dados e sistemas da 
organização.
Público
Contextualização
• Informação é o principal 
elemento a ser protegido, e 
é aquele que trafega de 
formas diferentes por 
variados elementos, o que 
leva às necessidades de 
proteção também das 
pessoas e dos ativos físicos 
e tecnológicos.
• Informação é um ativo 
que, como qualquer 
outro ativo importante 
para os negócios, tem 
um valor para a 
organização e 
consequentemente 
necessita ser protegida 
adequadamente (ABNT 
NBR 17999, 2005).
Público
Definições
• O ativo é qualquer elemento que 
tenha valor para uma 
organização. Pode ser a 
informação, equipamentos ou 
pessoas. Ele possui riscos e são 
os elementos a serem protegidos.
• possui riscos e são os elementos 
a serem protegidos.
• O agente de ameaça é aquele que 
explora uma vulnerabilidade. 
Pode ter a intenção e utiliza um 
método que visa a explorar 
intencionalmente uma 
vulnerabilidade, como é o caso de 
um cracker que utiliza técnicas de 
ataques para atacar o ativo. 
A gestão de riscos e a 
definição do risco são 
imprescindíveis para a 
segurança da 
informação. 
Quais os elementos que 
devem ser mapeados, 
analisados e avaliados?
Fonte: Nakamura, 2020, 
p.9
Público
Definições 
• O agente de ameaça pode também 
ser uma situação ou método que 
permite acidentalmente disparar 
uma vulnerabilidade, como é o caso 
do administrador de sistemas que 
configura de uma forma incorreta (e 
vulnerável) o servidor de banco de 
dados.
• Técnica de ataque são definidos 
como padrões de atividades ou 
métodos associados a um ator de 
ameaça específico ou grupo de 
atores de ameaça. 
Fonte: Nakamura, 2020, p.9
Público
Definições
• A vulnerabilidade corresponde a 
uma falha ou fraqueza em 
procedimentos de segurança, 
design, implementação ou 
controles internos de sistemas, 
que pode ser disparada 
acidentalmente ou explorada 
intencionalmente, resultando em 
brecha de segurança ou violação 
da política de segurança do 
sistema, que existe em ativos.
Fonte: Nakamura, 2020, p.9
Público
Definições
• Os controles de segurança ou os 
mecanismos de defesa, devem ser 
aplicados em vulnerabilidades para 
evitar que sejam explorados pelos 
agentes de ameaça.
• A ameaça é o potencial de um agente 
da ameaça explorar uma 
vulnerabilidade específica, acidental 
ou intencionalmente. Uma negação 
de serviço e o vazamento de 
informações são exemplos de 
ameaças. 
Fonte: Nakamura, 2020, p.9
Público
Definições
• Quando a ameaça ocorre, se torna um 
incidente de segurança, o que resulta 
em impactos para a organização. 
• Impacto de segurança da informação 
é o resultado dos incidentes de 
segurança da informação.
Fonte: Nakamura, 2020, p.9
Público
Fluxo das Informações
• Com o uso de estratégia como o mapeamento de 
fluxo de informação, você pode entender a amplitude 
de proteção necessária. 
• Basicamente, há três grandes grupos de elementos a 
serem protegidos (NAKAMURA; GEUS, 2007):
• a) Pessoas – possuem a informação,
• b) Ativos – físicos e tecnológicos e
• c) Informação – trafega por vários elementos .
Público
Princípios da Segurança da 
Informação
02
Público
Riscos
 Riscos são eventos que podem ocorrer e precisamos 
conhecê-los para garantir a segurança adequada com 
a implementação de controles. 
 Temos riscos diferentes a serem analisados, há os 
riscos aceitos, riscos residuais e novos riscos não 
identificados ou emergentes, e é necessário estar 
preparado para possíveis incidentes de segurança.
Público
Riscos
 A identificação de riscos envolve a identificação de 
todos estes elementos: ativos, vulnerabilidades, 
ameaças, agentes de ameaças.
 A análise e avaliação de riscos são feitas com o 
cálculo da probabilidade e do impacto de cada um dos 
eventos identificados, formando uma matriz de riscos. 
É a partir deste ponto que os controles de segurança 
ou mecanismos de defesa são definidos e 
implementados, no tratamento dos riscos.
Público
Elementos do Risco - definições
• Risco é o cálculo da probabilidade 
representa o risco, segundo cálculo 
 R=P*I 
• Risco = Probabilidade(de 
ocorrência) * Impacto (gerado)
• Alto, com os valores 6 e 9.
• Médio, com os valores 3 e 4.
• Baixo, com os valores 1 e 2.
Fonte: Nakamura, 2020, p.12
Público
Tratamento de Riscos
 Mitigação ou redução: aplicação de controles de 
segurança, contramedidas ou mecanismos de defesa.
 Aceitação: há situações em que os controles de 
segurança são muito caros, ou o risco é considerado 
muito baixo, o que leva a organização à decisão pela 
aceitação do risco. Nesse caso, o monitoramento é 
fundamental.
 Eliminação: o risco pode ser evitado ou eliminado. Nessa 
situação, para que não haja riscos, um ativo não é mais 
utilizado. 
 Transferência: o risco pode ser transferido, como em um 
seguro ou, no caso de TI, com a contratação de terceiros 
ou de um data center, por exemplo.
Público
Controles de Segurança
Fonte:Nakamura(2020,p.13)
Público
Controles de Segurança -Tipos
Câmeras de 
Vigilância
Biometria
Política de senhas 
fortes
Lei Geral de 
Proteção de Dados
Físicos Tecnológicos
Processuais Regulatórios
Público
Controles de Segurança -Fins
Firewall IDS Análise Forense
Prevenção Detecção Resposta
Público
Segurança de Redes
03
Público
Vulnerabilidades em Redes
 A segurança da informação trata de todas as formas 
de informação, enquanto a segurança de redes foca o 
meio digital.
 Vulnerabilidades em redes de computadores 
representam uma das principais origens de ataques a 
variadas empresas, de diferentes tipos, e existem em 
ativos ou nos elementos a serem protegidos. 
 Entre os exemplos clássicos : 
 Os ataques de negação de serviços (DoS), que 
impedem que usuários legítimos utilizem os serviços.
Público
Portas e Serviços
 É um conceito fundamental para a segurança de redes, 
já que o termo é bastante utilizado para descrever 
ataques e controles de segurança. 
 Uma porta TCP está associada diretamente a um serviço 
da camada de aplicação e representa pontos de conexão 
de rede para aquele serviço específico: o serviço Telnet, 
que possui como porta padrão a 23 do TCP.
 O conceitode porta é importante porque é por meio dela 
que as conexões são realizadas para os ataques, de modo 
que devemos utilizar os controles de segurança 
adequados. 
Público
Portas e Serviços
Fonte: 
Autora
 Porta aberta significa um serviço disponível, que pode ser 
conectado e, consequentemente, pode ser atacado.
Público
Aplicação e Protocolos
 Cada aplicação ou serviço utiliza um protocolo específico 
e funciona em uma porta específica para poder receber 
as conexões. 
 Comunicação colaborativa: Skype (SIP, Session Initiation 
Protocol);
 Servidor de arquivos: Windows (NTFS);
 E-mail: SMTP (Simple Mail Transfer Protocol).
 RH: SAP (SNC, Secure Network Communications), na 
camada de aplicação para segurança fim a fim, 
 e SSL (Secure Sockets Layer) nas conexões HTTP.
 O TLS, SSL e o HTTPS são protocolos de segurança que 
garantem C, I e A das comunicações, o que não acontece 
com o HTTP tradicional.
https://pixabay.com/pt/
https://pixabay.com/pt/
Público
Varredura de 
Vulnerabilidades
 A busca por vulnerabilidades de um ativo pode ser 
realizada nos serviços identificados pela varredura de 
portas.
 Caso uma porta 80, por exemplo, seja identificada, uma 
varredura de vulnerabilidades correspondentes ao 
servidor web poderá ser realizada.
 Além dos conhecimentos sobre vulnerabilidades em 
servidores web, há uma série de ferramentas que podem 
ser utilizadas para o scan (varredura) de vulnerabilidades.
https://pixabay.com/pt/
https://pixabay.com/pt/
Público
Varredura de portas ou port 
scanning
 É uma das principais técnicas para iniciar a identificação 
de vulnerabilidades.
 Uma porta aberta, uma vez acessada, por ela podem ser 
enviados comandos e realizados ataques. 
 Uma pichação de um sítio web, ocorre com ataques à 
porta 80, que corresponde à porta padrão de 
funcionamento de um servidor web.
 Uma das principais ferramentas de varredura de portas é 
o Nmap. A ferramenta “Network Mapper” pode ser 
utilizada por você para verificar os serviços que estão 
rodando em determinado equipamento.
https://pixabay.com/pt/
https://pixabay.com/pt/
Público
Sniffing ou escuta ativa
 Também conhecida como passive eavesdropping 
(espionagem), essa técnica de ataque no nível de rede 
consiste na captura de informações valiosas diretamente 
pelo fluxo de pacotes na rede. 
 As informações que podem ser capturadas pelos sniffers 
são referentes aos pacotes que trafegam no mesmo 
segmento de rede em que o software funciona.
 O Wireshark é uma das principais ferramentas de análise 
de protocolos de redes, que pode ser utilizada também 
para a captura de pacotes que trafegam na rede de uma 
forma passiva (sniffing).
Fonte: https://www.pexels.com/pt-br/ 
https://www.pexels.com/pt-br/
Público
Sniffing ou escuta ativa
 O uso de IPv6 é uma das formas de proteção contra o 
sniffing, já que utiliza o protocolo IPSec, que provê, dentre 
vários mecanismos de segurança, a criptografia dos 
dados, tornando as comunicações protegidas
 com a garantia da confidencialidade.
Fonte: https://www.pexels.com/pt-br/ 
https://www.pexels.com/pt-br/
Público
Outras Vulnerabilidades
 Vulnerabilidades de Hardware; 
 Vulnerabilidades de Software;
 Vulnerabilidades de Protocolos;
 Vulnerabilidades de Aplicações.
Fonte: https://www.pexels.com/pt-br/ 
https://www.pexels.com/pt-br/
Público
Ameaças
 Ameaças podem ser interpretadas como técnicas de 
ataques ou consequências de um ataque.
 Roubo ou vazamento de informações de negócios. 
pessoais, financeiras, credenciais ou de negócios – código 
fonte, projetos, planilhas): cópia ilegal ou obtida de um 
indivíduo ou de um acesso lógico.
 Sequestro de conta com roubo de credenciais de acesso.
 Interceptação de comunicação.
 Alteração ou destruição de dados.
 Vandalismo...
Fonte: https://www.pexels.com/pt-br/ 
https://www.pexels.com/pt-br/
Público
Ameaças
 Spoofing: é a falsificação como meio de ganhar acesso a 
um sistema usando uma identidade falsa. Isso pode ser 
feito usando credenciais roubadas ou um endereço falso 
de IP. 
 Após o invasor ter conseguido ganhar acesso como um 
usuário legítimo ou host, a elevação ou o abuso de 
privilégios usando a autorização pode ser realizado.
 Phishing : pescaria
 76% phishing tem como alvo serviços financeiros. Envio 
de mensagem não solicitada, que se passa por 
comunicação de uma instituição conhecida.
Fonte: https://www.pexels.com/pt-br/ 
https://www.pexels.com/pt-br/
Público
Proteção à rede
Firewall
Atualizaçõe
s de 
Software
Políticas de 
Senha Forte Criptografia
Autenticação 
Forte
Controle de 
Acesso
Público
Proteção à rede
IDS/IPS
Monitorame
nto de Rede
Conscient. 
dos 
Usuários
Políticas de 
Segurança
Backup 
Regular
Segmentaçã
o de Rede
Público
Criptografia
04
Público
MENEZES; OORSCHOT; VANSTONE (2001)
“A criptografia é o estudo de 
técnicas matemáticas relacionadas 
a aspectos da segurança da 
informação como confidencialidade, 
integridade, autenticação de 
entidade e autenticação de origem 
de dados.
A criptografia é baseada em um 
conjunto de técnicas que incluem a 
cifragem, funções de hash e 
assinaturas digitais.” 
Público
A criptografia deriva de duas 
palavras gregas: kryptos, que 
significa oculto, e graphien, que 
significa escrever.
O objetivo da criptografia não é 
esconder a existência da mensagem, 
mas sim de apenas ocultar o seu 
significado.” 
Público
Evolução da Criptografia
 A criptoanálise, que buscava padrões que identificavam 
mensagens ocultas, cresceu na Idade Média. 
 Já a máquina criada pelo alemão Kasiski, o Enigma, foi 
utilizada para a segurança das comunicações na Segunda 
Guerra Mundial. 
 A Teoria Matemática da Comunicação, de Claude 
Shannon, criada em 1948, possibilitou um grande avanço 
em criptografia e criptoanálise, que floresceu ainda mais 
durante a Guerra Fria entre os Estados Unidos e a União 
Soviética.
 Outro avanço importante foi a criação de criptografia de 
chave pública, em 1976, por Diffie e Hellman, que levou 
ao desenvolvimento do algoritmo RSA.
Fonte: Shutterstock
Público
Uso atual da Criptografia
 Exemplo: Apple
 Utiliza práticas de segurança-padrão do setor e emprega 
rígidas políticas para proteção dos dados.
 A segurança dos dados e a privacidade das informações 
pessoais do iCloud (serviço de nuvem da Apple).
 Dados do usuário, são protegidos com a criptografia AES 
de, no mínimo, 128 bits. 
 Já a criptografia AES de 256 bits é utilizada para 
armazenar e transmitir senhas e informações de cartões 
de crédito. 
 Além disso, a Apple também usa criptografia assimétrica 
de curva elíptica e empacotamento de chave.
Fonte: Shutterstock
Público
Uso atual da Criptografia
 Exemplo: Whatsapp
 Já o serviço de mensagens WhatsApp começou em abril 
de 2016 a utilizar criptografia em todas as suas 
comunicações, incluindo mensagens de voz e outros 
arquivos, entre seus usuários.
 Com a "criptografia de ponta a ponta", as mensagens 
são embaralhadas ao deixar o telefone da pessoa que as 
envia e só conseguem ser decodificadas no telefone de 
quem as recebe. 
 “Quando você manda uma mensagem, a única pessoa 
que pode lê-la é a pessoa ou grupo para quem você a 
enviou. Ninguém pode olhar dentro da mensagem. Nem 
cibercriminosos. Nem hackers. Nem regimes opressores. 
Nem mesmo nós" (COSTA, 2016, p. 1).
Fonte: Shutterstock
Público
Uso atual da Criptografia
 Exemplo: Whatsapp
 Já o serviço de mensagens WhatsApp começou em abril 
de 2016 a utilizar criptografia em todas as suas 
comunicações, incluindo mensagens de voz e outros 
arquivos, entre seus usuários.
 Com a "criptografia de ponta a ponta", as mensagens 
são embaralhadas ao deixar o telefone da pessoa que as 
envia e só conseguem ser decodificadas no telefone de 
quem as recebe. 
 “Quando você manda uma mensagem, a única pessoa 
que pode lê-la é a pessoa ou grupo para quem você a 
enviou. Ninguém pode olhar dentro da mensagem. Nem 
cibercriminosos. Nem hackers.Nem regimes opressores. 
Nem mesmo nós" (COSTA, 2016, p. 1).
Fonte: Shutterstock
Público
Criptografia Chave Privada ou 
Simétrica
Fonte: Nakamura (2016)
Público
Criptografia Chave Pública ou 
Assimétrica
Fonte: Nakamura (2016)
Público
Encerrament
o da Unidade
Público
Princípios da Segurança da 
Informação
 A CID (confidencialidade, integridade e 
disponibilidade), faz parte do pilar da segurança da 
informação, que devemos trabalhar para garantirmos a 
proteção da empresa.
Fonte: Shutterstock
Público
Diferentes dimensões da Informação
 Com diferentes dimensões da informação, a sua 
segurança se mostra mais complexa do que se imagina....
Fonte: Nakamura (2006, p. 20)
Meio Físico Meio Digital Pessoas
Público
Elementos a serem 
protegidos
Possuem informações 
que podem ser obtidas 
de várias formas. 
Ameaças: engenharia 
social, e suborno.
Hardwares, locais 
físicos ou 
sistemas e 
softwares de 
uma forma 
geral.
Principal elemento. 
Trafega de formas 
diferentes por 
variados elementos.
Pessoas Ativos Informação
Público
Ações maliciosas, não intencionais?
 O agente de ameaça pode provocar ações de três formas:
Ação maliciosa: invasão, um roubo ou uma destruição.
Ação não intencional: falha, engenharia social ou acidente.
Ação natural: terremoto, enchente ou congelamento.
 Desastres: Ex.: ataque de cracker, ou terremoto. 
 Acidentes: Resultam em incidentes de segurança ou desastres. 
Ex.: divulgação acidental, apertar botão errado.
 Falhas: Humanas ou tecnológicas : Ex.: falhas de sistemas, 
cansaço/desatenção.
 Engenharia Social: explorar a natureza humana, como a 
bondade, a inocência ou o medo. Ex.: Phishing, ou ligações 
telefônicas
 Terrorismo: Ativos físicos sendo destruídos. Ativos humanos 
sendo afetados e Terrorismo cibernético.
Público
Riscos
 Conceito de risco é uma combinação da probabilidade de 
um evento acontecer e a sua consequência.
Fonte: Shutterstock
Público
Metodologia para mapear riscos
Riscos
Mapeie os elementos 
do risco: ativos, 
vulnerabilidades, 
agentes de ameaça e 
ameaças.
Defina qual é o 
contexto da análise de 
riscos, tal como um 
data center, um 
servidor, um produto ou 
um sistema, por 
exemplo.
Defina a probabilidade e o 
impacto para o que foi 
mapeado na etapa 
anterior. Nesse ponto, o 
resultado é uma matriz de 
riscos.
Definição do 
Contexto
Identificação 
de Riscos
Análise 
de Riscos
Público
Controles de segurança ou mecanismos de 
defesa
 Os controles de segurança ou mecanismos de defesa são os 
controles de segurança utilizados para a proteção do 
ambiente.
 São salvaguardas ou contramedidas que visam:
Proteger as propriedades básicas (CID).
Cumprir um conjunto definido de requisitos de segurança e 
Cumprir requisitos de negócios.
 Ciclo fundamental relacionado com controles de segurança 
que deve ser sempre cumprido:
a) O controle de segurança deve ser selecionado.
b) O controle de segurança deve ser implementado.
c) O controle de segurança deve ter sua efetividade avaliada.
d) O controle de segurança deve ser monitorado.
Público
Vulnerabilidades/Ameaças à Rede
 As ameaças enfrentadas pela aplicação podem ser 
categorizadas com base nos objetivos e propósitos dos 
ataques.
 Denial of service: é a negação de serviço ou o processo 
que torna um sistema ou aplicação indisponível. 
 DDoS- Ataques distribuídos e coordenados. O cracker 
define alguns sistemas master, que se comunicam com 
os daemons ou zombies que realizam os ataques à 
vítima. Há uso de scanning de portas e de 
vulnerabilidades para a busca de hosts vulneráveis que 
são explorados para fazer parte da rede de ataque, 
também conhecida como botnets.
Fonte: https://www.istockphoto.com/
Fonte: https://www.istockphoto.com/
Público
Proteção à rede
o controle de segurança adota 
cada vez mais a inteligência 
artificial para detectar 
comportamentos anômalos
A técnica de DMZ é uma rede específica que fica entre 
uma rede pública como a internet e a rede interna. Com 
esta segmentação, a rede interna conta com uma camada 
adicional de proteção, pois os acessos são permitidos 
para os serviços disponibilizados na DMZ, mas não para a 
rede interna.
Antimalware
Zonas Desmilitarizadas
Fonte: https://www.istockphoto.com/
Público
“Criptografia é o estudo 
científico de técnicas para a 
segurança de informações, 
transações e computação 
distribuída .” 
Público
Blockchain
Fonte: Junges(2018)
Público
Dê o play
Público
Vamos brincar 
com a 
criptografia?
https://www.onlinecryptographytoo
ls.com/
Acesso em: 26nov23
http://blockchain.mit.edu/how-block
chain-works
Acesso em: 26nov23
https://www.onlinecryptographytools.com/
https://www.onlinecryptographytools.com/
http://blockchain.mit.edu/how-blockchain-works
http://blockchain.mit.edu/how-blockchain-works
	Segurança e Auditoria de Sistemas
	Segurança da Informação
	Introdução à Segurança da Informação
	Segurança da Informação (2)
	Slide 5
	NAKAMURA, 2016
	Princípios - ABNT NBR ISO/IEC 27001:2013
	Contextualização
	Definições
	Definições
	Definições (2)
	Definições (3)
	Definições (4)
	Fluxo das Informações
	Princípios da Segurança da Informação
	Riscos
	Riscos (2)
	Elementos do Risco - definições
	Tratamento de Riscos
	Controles de Segurança
	Controles de Segurança -Tipos
	Controles de Segurança -Fins
	Segurança de Redes
	Vulnerabilidades em Redes
	Portas e Serviços
	Portas e Serviços (2)
	Aplicação e Protocolos
	Varredura de Vulnerabilidades
	Varredura de portas ou port scanning
	Sniffing ou escuta ativa
	Sniffing ou escuta ativa (2)
	Outras Vulnerabilidades
	Ameaças
	Ameaças (2)
	Proteção à rede
	Proteção à rede (2)
	Criptografia
	MENEZES; OORSCHOT; VANSTONE (2001)
	Slide 39
	Evolução da Criptografia
	Uso atual da Criptografia
	Uso atual da Criptografia (2)
	Uso atual da Criptografia (3)
	Criptografia Chave Privada ou Simétrica
	Criptografia Chave Pública ou Assimétrica
	Encerramento da Unidade
	Princípios da Segurança da Informação (2)
	Diferentes dimensões da Informação
	Elementos a serem protegidos
	Ações maliciosas, não intencionais?
	Riscos (3)
	Metodologia para mapear riscos
	Controles de segurança ou mecanismos de defesa
	Vulnerabilidades/Ameaças à Rede
	Proteção à rede (3)
	Slide 56
	Blockchain
	Dê o play
	Vamos brincar com a criptografia?