Prévia do material em texto
30/7/2010 1 Professor - Ricardo Leocádio 1Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Gestão de Segurança em Ambientes de TI • Nestes capítulos iremos entender o que é Segurança da Informação, noções fundamentais, conceito de risco ameaça e vulnerabilidades. Objetivos • Apostila de acompanhamento da disciplina, das paginas 4 a 25 Documentos Professor - Ricardo Leocádio 2Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Evolução da tecnologia ... arquitetura heterogênea ... convergência voz e dados 30/7/2010 2 Professor - Ricardo Leocádio 3Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas A segurança da informação na Era do conhecimento 90s, 2000 70s, 80s Ambiente Mainframe Proteção Dados Foco Principal Confidencialidade Posição da Informática Retaguarda Época 80s, 90s Mainframe + Rede Dados + Informação Confidencialidade + Integridade Retaguarda +Administração e Operação Mainframe + Rede + IP Dados + Informação + Conhecimento Confidencialidade + Integridade + Disponibilidade Negócio Professor - Ricardo Leocádio 4Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Macro desafio da Segurança da Informação 30/7/2010 3 Professor - Ricardo Leocádio 5Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Base da Segurança da informação A segurança das informações deve caracterizar-se por preservar: Confidencialidade: Para que a informação seja acessível somente por pessoas autorizadas, garantindo a privacidade de seu possuidor e o sigilo da informação. Integridade: Para manter salvaguarda da exatidão e inteireza da informação e dos métodos de processamento. Disponibilidade: Para garantir que informações e serviços computacionais vitais estejam disponíveis sempre que requeridos. Irretratabilidade: Para garantir que as informações sejam autenticas e que não possam ser repudiadas quanto à sua legalidade Leitura obrigatória desse conteúdo. Página 4 Professor - Ricardo Leocádio 6Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Os fatos Negócios estão cada vez mais dependentes da tecnologia da informação; Os ambientes estão cada vez mais complexos, heterogêneos e integrados; As fraudes são cada vez mais realizadas por meios digitais; Marcos regulatórios exigindo controles cada vez mais efetivos sobre os riscos que TI impõe aos negócios. Desafios da segurança na nova economia 30/7/2010 4 Professor - Ricardo Leocádio 7Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Desafios da segurança na nova economia As necessidades de Segurança A informação, seus processos de apoio, as aplicações que a manipulam, sistemas de redes e de proteção da infra- estrutura são os mais importantes ativos para os negócios; Mutações acentuadas estão ocorrendo na forma da empresas realizarem negócios na nova economia; Crescimento acentuado dos crimes relacionados à violação de informações. Leitura obrigatória desse conteúdo. Página 5 Professor - Ricardo Leocádio 8Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas As necessidades de Segurança Tecnologias nunca estiveram tão expostas à vulnerabilidades as quais aumentam na mesma velocidade de expansão do mercado de TI; Riscos aos quais as tecnologias estão expostas transferem-se para os negócios; Controles difíceis em ambiente de TI altamente heterogêneo, integrado e interligado. Desafios da segurança na nova economia Leitura obrigatória desse conteúdo. Página 5 30/7/2010 5 Professor - Ricardo Leocádio 9Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas As necessidades de Segurança A simples Implementação de tecnologia não resolve todos os problemas nem diminuem os riscos aos quais estamos expostos; Necessidade de controles é iminente. Controles de segurança são mais baratos se implementados nas etapas de projeto e especificação de soluções de tecnologia; Controles devem ser baseados em processos muito bem estruturados e não somente em software. Desafios da segurança na nova economia Leitura obrigatória desse conteúdo. Página 5 Professor - Ricardo Leocádio 10Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Controle centralizado Auditabilidade Ambiente padronizado Conhecimento de ameaças e vulnerabilidades Pessoal técnico capacitado Velocidade na implementação de soluções Integração com o negócio Gestão do investimento Desafios da segurança na nova economia 30/7/2010 6 Professor - Ricardo Leocádio 11Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas O desafio Professor - Ricardo Leocádio 12Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas O Cenário desejado em Segurança nas corporações atuais Novas aplicações e negócios viabilizados rapidamente e com segurança; Baixo índice de perdas por fraudes e erros; Baixo índice de vazamento de informações, objetivo de tender a zero; Clientes, fornecedores e parceiros com alto nível de segurança; Funcionários e parceiros atentos e conscientes quanto aos quesitos e regras de segurança estabelecidos. 30/7/2010 7 Professor - Ricardo Leocádio 13Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Conceitos de Segurança da Informação Segurança da informação é uma disciplina relativamente nova no contexto de tecnologia da informação. É uma palavra de amplo espectro quando abordamos questões pertinentes aos requisitos necessários para proteger os ativos e acervos computacionais das corporações. A proteção da informação e do seu ciclo de vida é seu ponto de foco. Neste contexto, Informação pode e deve ser tratada como qualquer outro ativo que sustenta um negócio. A Segurança da informação protege a informação contra diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócios. Leitura obrigatória desse conteúdo. Página 9 Professor - Ricardo Leocádio 14Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Alguns elementos são considerados essenciais na prática da segurança da informação, dependendo do objetivo que se pretende alcançar: Autenticação – processo de identificação e reconhecimento formal da identidade dos elementos que entram em comunicação ou fazem parte de uma transação eletrônica que permite o acesso à informação. Autorização – concessão de uma permissão para o acesso às informações e funcionalidades das aplicações aos participantes de um processo de troca de informações. Aspectos da Segurança da Informação 30/7/2010 8 Professor - Ricardo Leocádio 15Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Auditoria – processo de coleta de evidências de uso dos recursos existentes, a fim de identificar as entidades envolvidas num processo de troca de informações, ou seja, a origem, destino e meios de tráfego de uma informação. Autenticidade – garantia de que as entidades (informação, máquinas, usuários) identificadas em um processo de comunicação como remetentes ou autores são exatamente aqueles que dizem ser e que a mensagem ou informação nãofoi alterada após o seu envio ou validação. Legalidade – característica das informações que possuem valor legal dentro de um processo de comunicação; Aspectos da Segurança da Informação Professor - Ricardo Leocádio 16Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Severidade – gravidade do dano que um determinado ativo pode sofrer devido à exploração de uma vulnerabilidade por qualquer ameaça aplicável. Relevância do ativo– grau de importância de um ativo para a operacionalização de um processo de negócio. Relevância do processo de negócio – grau de importânciade um processo de negócio para o alcance dos objetivos e sobrevivência de uma organização. Criticidade – gravidade referente ao impacto ao negócio causado pela ausência de um ativo, pela perda ou redução de suas funcionalidades em um processo de negócio. Aspectos da Segurança da Informação 30/7/2010 9 Professor - Ricardo Leocádio 17Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas A Informação Quanto ao manuseio: Impressa, falada ou escrita em papel Quanto ao armazenamento: Armazenada em computador pessoal, em fita ou disco, em bancos de dados Quanto ao transporte: Transmitida entre redes, enviada por fax, falada via telefone, enviada por e-mail Quanto ao descarte: Descarte das informações por processo digital - deleção ou Wiping - ou por processo físico. Proteger o ciclo de vida da informação e seus aspectos Informação Manuseio Transporte ArmazenamentoDescarte Co nf id en ci al id ad e Integridade Disponibilidade Autenticidade Legalidade Leitura obrigatória desse conteúdo. Página 5 Professor - Ricardo Leocádio 18Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas A FUNÇÃO DA TECNOLOGIA na segurança da informação As tecnologias são necessárias para prover infra- estrutura segura e ferramentas sobre a qual as aplicações serão utilizadas e ainda para defender a estrutura de TI e negócios contra ataques. 30/7/2010 10 Professor - Ricardo Leocádio 19Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas A FUNÇÃO DOS CONTROLES Os controles provem forma de monitorar o ambiente para validar o funcionamento da estrutura de segurança e mensurar seus resultados. Estes controles podem ser políticas, práticas, procedimentos ou funções de software e/ou hardware. Professor - Ricardo Leocádio 20Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas A ESTRUTURA DE GESTÃO Ambos tecnologia e controles, em ações coordenadas e abrangentes, provem processos de segurança que devem estar alicerçados em estruturas organizacionais responsáveis pelo seu acompanhamento e/ou implementação e precisam ser estabelecidos para garantir que as estratégias de segurança específicas da organização sejam atendidas Leitura obrigatória desse conteúdo. Página 9 30/7/2010 11 Professor - Ricardo Leocádio 21Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Estrutura de segurança das informações conforme prescrita na norma ISO/IEC 27002. Professor - Ricardo Leocádio 22Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Estrutura de segurança das informações conforme prescrita na norma ISO/IEC 27002. Fórum de Segurança da Informação Esta estrutura é formada por integrantes do grupo executivo juntamente com o CSO. Atua na análise estratégica e no planejamento das principais atividades relacionadas à segurança da informação, no desenvolvimento e avaliação das Diretrizes de Segurança da Informação e na definição do Plano de Metas, visando estabelecer objetivos estratégicos relacionados à segurança. Este plano contempla todo o ambiente organizacional, novas estruturas, novos processos e serviços que virão a fazer parte da realidade da empresa. Devem ser realizadas análises críticas e monitoração de incidentes de segurança da informação, munindo os executivos de informações, essenciais ao aceite das principais iniciativas para aumentar o nível da segurança corporativo. Leitura obrigatória desse conteúdo. Página 9 30/7/2010 12 Professor - Ricardo Leocádio 23Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Estrutura de segurança das informações conforme prescrita na norma ISO/IEC 27002. Chief Security Officer (CSO) O nome exato talvez seja de menor importâncias, alguns chamam de Security Officer, outros de Information Security Officer. Funcionalmente é o administrador de Segurança da Informação: profissional responsável por coordenar, planejar e organizar todas as atividades relacionadas à segurança da informação corporativa. O CSO é o elo entre o Fórum de Segurança da Informação e a Coordenação da Segurança da Informação, compreendendo as particularidades de cada departamento, seja através do planejamento de atividades de implementação de controles de segurança junto à Coordenação, ou na apresentação dos resultados à alta administração Leitura obrigatória desse conteúdo. Página 9 Professor - Ricardo Leocádio 24Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Estrutura de segurança das informações conforme prescrita na norma ISO/IEC 27002. Coordenação da Segurança da Informação Estrutura constituída por profissionais subordinados ao CSO e pelos disseminadores da cultura de segurança dentro dos diversos setores da organização. Entre as atividades da Coordenação da Segurança podemos destacar: • Análise de incidentes de segurança; • A avaliação e coordenação de implementações de controles; • Elaboração do Plano de Ação - um planejamento tático e operacional para implementação de controles de segurança. Tão importante quanto a estrutura geral – Fórum, Coordenação e CSO -, é a relação entre suas diferentes partes, fazendo com que interajam com os diversos ambientes organizacionais, contemplando tecnologias, processos, perímetros e, principalmente, as pessoas que fazem a “máquina” funcionar. Os benefícios que a Estrutura de Segurança da Informação agrega à organização são claros. A consolidação desta estrutura orienta o direcionamento de investimentos e esforços em segurança da informação em um mesmo sentido, não somente constituindo um novo setor dentro da organização, mas transformando seus diferentes setores em mecanismos simbióticos, formando uma estrutura eficiente, flexível às particularidades corporativa e acima de tudo, econômica. Leitura obrigatória desse conteúdo. Página 10 30/7/2010 13 Professor - Ricardo Leocádio 25Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas As ameaças hoje Incidentes de paralisação de negócios; Fraudes; Vazamento de informações e perdas de imagem; Falta de conformidade com marcos regulatórios; Agentes de ameaças Crime organizado Especuladores Chantagistas Ausência e/ou falta de aderência de controles Ineficácia de controles Engenharia Social Professor - Ricardo Leocádio 26Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Eliminando as vulnerabilidades, minimizamos os riscos e reduzimos os impactos no negócio Risco tendendo a zero SEGURANÇA Papel da Segurança 30/7/2010 14 Professor - Ricardo Leocádio 27Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Ação sobre os ativos Infra-estrutura Tecnologia Aplicações Informações Pessoas ATIVO: Tudo que manipula informação, inclusive ela própria. Professor - Ricardo Leocádio 28Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Soluções pontuais isoladas não resolvem toda o problema associada à segurança da informação. Segurança se faz protegendo todos os elos da corrente, ou seja, todos os ativos que compõem seu negócio. Afinal, o poder de proteção da corrente está diretamente associado ao elo mais fraco! Infraestrutura Tecnologia Aplicações Pessoas Informações Ação sobre os ativos 30/7/2010 15 Professor - Ricardo Leocádio 29Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Comodidade x nível de segurança Cada tipo de negócio requer um nível distinto de segurança Comodidade do ConsumidorNível de Segurança Professor - Ricardo Leocádio 30Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Os riscos, ameaças e vulnerabilidades em TI. Considerações sobre os riscos em TI Abordagem conceitual de riscos Risco é qualquer evento que possa causar impacto na capacidade de uma empresa em atingir seus objetivos de negócio; Pode ser classificado e tratado como uma oportunidade,uma incerteza ou uma ameaça; Riscos em tecnologia apresentam-se na dimensão de uma ameaça São proporcionais à quantidade e variedade de tecnologias heterogêneas existentes em um contexto computacional e às suas vulnerabilidades. Leitura obrigatória desse conteúdo. Página 11 e 12 30/7/2010 16 Professor - Ricardo Leocádio 31Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Considerações sobre os riscos em TI Riscos são proporcionais à probabilidade de uma determinada ameaça explorar vulnerabilidades, causando impacto nos negócios. RISCO = (Ameaça) x (Vulnerabilidade) x (Valor do Ativo ou custo do evento) Vulnerabilidade podem ser relativas à tecnologias, processo ou pessoas Os riscos, ameaças e vulnerabilidades em TI. Leitura obrigatória desse conteúdo. Página 12 Professor - Ricardo Leocádio 32Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Compreensão de Risco Risco Impacto VS Probabilidade Impacto Prejuízo potencial (patrimônio, negócios, imagem) Ameaças VS Vulnerabilidades É a probabilidade de ameaças explorarem vulnerabilidades, provocando impacto nos negócios tais como perdas financeiras e de imagem devido de quebra de confidencialidade, de integridade e de disponibilidade Probabilidade 30/7/2010 17 Professor - Ricardo Leocádio 33Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Os riscos, ameaças e vulnerabilidades em TI. Classificacao das vulnerabilidades Professor - Ricardo Leocádio 34Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Considerações sobre os riscos em TI Quaisquer eventos de segurança são o resultado de determinada ameaças que exploram vulnerabilidades tecnológicas, de processo ou pessoas Os riscos, ameaças e vulnerabilidades em TI. 30/7/2010 18 Professor - Ricardo Leocádio 35Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Considerações sobre os riscos em TI Terminologia Os riscos, ameaças e vulnerabilidades em TI. Professor - Ricardo Leocádio 36Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Considerações sobre os riscos em TI Categorias de ameaças Os riscos, ameaças e vulnerabilidades em TI. 30/7/2010 19 Professor - Ricardo Leocádio 37Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Considerações sobre os riscos em TI Agentes de ameaça Os riscos, ameaças e vulnerabilidades em TI. Professor - Ricardo Leocádio 38Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Conhecendo os potenciais atacantes • Script Kiddies Também conhecidos como “Newbies”, estes tipos são a grande maioria Hackers. Eles normalmente possuem pouca experiência e conseguem programas de ataques prontos para serem usados diretamente obtidos na Internet. Exploram vulnerabilidades básicas como a configuração equivocada de serviços e sistemas operacionais e servidores sem os Patchs de segurança recomendados. Na maioria das vezes não sabem a extensão dos danos que estão causando. • CyberPunks São os Hackers dos velhos tempos. Invadem sistemas motivados por puro divertimento e desafio. Tem grande conhecimento de protocolos e atuam contra os Governos, principalmente o Norte Americano. São os mais paranóicos e costumam acreditar em teorias da conspiração. Atuam muito em pesquisas e descobrem várias vulnerabilidades prestando assim enormes serviços à indústria. • Insiders Os “Insiders” são os Hackers internos das organizações. São os responsáveis pelos incidentes de segurança mais graves nas empresas. Estatísticas mostram que grande parte dos ataques parte das próprias redes internas, mas os números são contraditórios. Os motivos são geralmente insatisfação com o trabalho, com o chefe ou com a estratégia da empresa em algum campo. Podem estar associados à subornos externos e espionagem industrial. • Coders São os Hackers que resolvem em certo momento compartilhar suas informações e conhecimentos publicando livros e proferindo palestras. São normalmente motivados por questões financeiras. 30/7/2010 20 Professor - Ricardo Leocádio 39Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Conhecendo os potenciais atacantes • White Hat São conhecidos como os Hackers do bem ou Hackers éticos. Eles utilizam seus conhecimentos prestando serviços profissionais na proteção das redes e Sites de várias organizações. São responsáveis pelos testes de invasão, nos quais apresentam relatórios que medem o nível de segurança das organizações. • Black Hat Eles são os tradicionais e antigos Crackers. Usam seus conhecimentos para invadir sistemas e roubar informações confidenciais das organizações. Geralmente tentar vender as informações roubadas para a própria vítima. Usam esta chantagem para conseguir vantagens financeiras. Casos notórios de ação deste grupo é o evento de invasão do Site CD Universe em 2000 no qual foi obtida a base de dados de cartões de crédito dos clientes do Site e seguida divulgada na Internet porque os donos do Site se recusaram a pagar pela sua devolução. • Grey Hat São os Hackers que se fazem passar por White Hat´s para trabalharem na área de segurança. Divulgam seus trabalhos como consultores de segurança mas não detêm o conhecimento daqueles. Diferentemente dos White Hat´s, tem a cultura de Hacker muito forte tornando um risco sua contratação. Cabe salientar que não só Hackers causam problemas de segurança. Usuários, sejam eles autorizados ou não, causam grandes problemas. Normalmente com ações baseadas em imperícia ou imprudência. Professor - Ricardo Leocádio 40Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Considerações sobre os riscos em TI. O perigo do desconhecimento dos riscos. “Para que iremos nos preocupar com segurança se usamos os melhores sistemas de mercado”. “Nossos fornecedores irão nos avisar caso alguma vulnerabilidade seja encontrada”. “Vamos colocar para funcionar depois resolvemos os problemas de segurança.” “Nosso parceiro é confiável, podemos liberar o acesso para eles”. “A empresa de TI com a qual fizemos o “Outsourcing” irá cuidar da segurança”. Os riscos, ameaças e vulnerabilidades em TI. 30/7/2010 21 Professor - Ricardo Leocádio 41Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Considerações sobre os riscos em TI. O perigo da obscuridade. “Ninguém vai descobrir esta brecha em nossa segurança.” “Esta situação nunca ocorrerá conosco”. “Esta vulnerabilidade é improvável de ser explorada.” Os riscos, ameaças e vulnerabilidades em TI. Leitura obrigatória desse conteúdo. Página 15 Professor - Ricardo Leocádio 42Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Protegem contra Ameaças Vulnerabilidades Riscos Ativos Valores e impacto potencial em negócios Necessidades de segurança Controles Aumentam Aumentam Implementadas com Indicam Tem Exploram ExpõemAumentam Entendendo a relação entre ameaças, vulnerabilidades e riscos Os riscos, ameaças e vulnerabilidades em TI. Leitura obrigatória desse conteúdo. Página 16 30/7/2010 22 Professor - Ricardo Leocádio 43Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Considerações sobre os riscos em TI Cuidados com os erros mais freqüentes cometidos pelas pessoas Senhas anotadas em Post-it – É a mais freqüente falha de segurança. Pesquisas indicam que um em cada 5 pessoas cometem este erro. É equivalente a perda de identidade. Deixar o computador desguarnecido – PC´s solitários sem proteção de tela. É como sair de casa e não fechar a porta. Os riscos, ameaças e vulnerabilidades em TI. Professor - Ricardo Leocádio 44Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Considerações sobre os riscos em TI Cuidados com os erros mais freqüentes cometidos pelas pessoas Abrir correios eletrônicos de estranhos –Não seja tão curioso. 98% dos e-mails com arquivos atachados não solicitados são cavalos de Tróia. Ataques de Vírus custam caro. Sua conta no Banco pode reduzir dramaticamente. Senhas fracas e óbvias – Não deixe senhas default. Seja original e crie sua própria combinação de letras e números. A rede da corporação pode ir por terra. Os riscos, ameaças e vulnerabilidades em TI. 30/7/2010 23 Professor - Ricardo Leocádio 45Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Considerações sobre os riscos em TI Cuidados com os erros mais freqüentes cometidos pelas pessoas Perda ou furto de Laptop´s – Cuidado nos aeroportos. Mais cuidado ainda no trabalho. Laptop´s podem sair andando sozinhos durante a noite. Divulgar informações confidenciais – Falar sobre informações confidenciais da empresa no Bar, na academia ou na escadaria da igreja não é lá muito correto. Os riscos, ameaças e vulnerabilidades em TI. Professor - Ricardo Leocádio 46Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Considerações sobre os riscos em TI Cuidados com os erros mais freqüentes cometidos pelas pessoas Conexões imprudentes – Conectar Modem em servidores, servidores fora do perímetro de segurança da Internet por fora dos roteadores ou dispositivos Wireless em Notebook´s são um prato cheio para as invasões. Não reportar violações de segurança – Ciência das normas e políticas de segurança é fundamental. Alguém na mesa ao lado se comporta estranhamente? Os riscos, ameaças e vulnerabilidades em TI. 30/7/2010 24 Professor - Ricardo Leocádio 47Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Considerações sobre os riscos em TI Cuidados com os erros mais freqüentes cometidos pelas pessoas Correndo atrás do tempo perdido. – Não ignore as correções de segurança por mais simples e triviais que possam parecer. Pode custar muito caro à sua carreira. Dormindo com o inimigo – Fique de olhos bem abertos “dentro de casa”. Atacantes internos podem causar grandes prejuízos. Observe qualquer comportamento estranho. É importante entender que a segurança da empresa depende de cada um. Os riscos, ameaças e vulnerabilidades em TI. Professor - Ricardo Leocádio 48Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Principais formas de ataques - Engenharia social Explora as fraquezas e vulnerabilidades humanas. Está baseada na confiança adquirida e na habilidade de manipular pessoas, na subversão psicológica e no uso de identidade falsa. Educação e conscientização é a única forma de deter estes tipos de ataques Os riscos, ameaças e vulnerabilidades em TI. 30/7/2010 25 Professor - Ricardo Leocádio 49Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Principais formas de ataques - Engenharia social Dumpster Diving ou Trashing - Esta é uma técnica baseada na análise do lixo para obtenção de informações confidenciais Necessários cuidado com a eliminação de documentos sigilosos e utilização de fragmentadores de papéis Como você elimina seu arquivos confidenciais na sua casa? E Aquela senha do banco? E na empresa ?? Os riscos, ameaças e vulnerabilidades em TI. Professor - Ricardo Leocádio 50Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Principais formas de ataques -Ataques físicos Estes ataques baseiam-se em furtos de informações, fitas magnéticas, software e/ou hardware ( Laptop s !! ) com a presença física do atacante nas instalações do alvo atacado Medidas de proteção físicas dos ambientes são necessárias Os riscos, ameaças e vulnerabilidades em TI. 30/7/2010 26 Professor - Ricardo Leocádio 51Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Os ataques em TI podem ser classificados em ataques passivos ou ativos. – Os ataques Passivos são aqueles onde a informação é apenas observada ou copiada. É um exemplo deste ataque: • Interceptação de informações Os ataques ativos são aqueles nos quais as informações sofrem alteração ou são desviadas. São exemplos destes ataques. • Interrupção ou negação de serviços • Modificação de informações • Fabricação de informações Os riscos, ameaças e vulnerabilidades em TI. Professor - Ricardo Leocádio 52Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Principais formas de ataques - Interceptação de informações São ataques que visam obter informações privilegiadas atacando a confidencialidade. Utilizam técnicas de Packet Sniffing – Escutar o tráfego da rede. Os riscos, ameaças e vulnerabilidades em TI. 30/7/2010 27 Professor - Ricardo Leocádio 53Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Principais formas de ataques - Interceptação de informações Port Scanning – Quais portas estão abertas ?? Scanning de vulnerabilidade – Ferramentas grátis na internet. Receita de bolo pronta para o ataque. Compartilhamentos, Bug s não corrigidos, configurações incorretas, Buffer Overflow Os riscos, ameaças e vulnerabilidades em TI. Professor - Ricardo Leocádio 54Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Principais formas de ataques - Interrupção ou negação de serviços São ataques que visam interromper a continuidade de determinado serviço e são chamados no jargão técnico de negação de serviços ou “Denial of Services”. Os riscos, ameaças e vulnerabilidades em TI. 30/7/2010 28 Professor - Ricardo Leocádio 55Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Principais ataques: Negação de serviços Os ataques de negação de serviços (Denial of Service - DoS), fazem com que os recursos de determinados sistemas sejam explorados de forma tão contundente que os serviços disponíveis naquele servidor ficam indisponíveis, causando negação dos serviços válidos para usuários legítimos do sistema. Distributed Denial of Service Attack – DDoS, fazem exploração coordenada de diversas vulnerabilidades em diversos tipos de sistemas diferentes ao mesmo tempo. Os ataques DDoS fazem com que diversos hosts ou computadores distribuídos sejam coordenados para um ataque maciço direcionados a um ou mais alvos. Eles se baseiam em agentes chamados Deamons em máquinas escravas infectadas e em Masters porções do software que comandam os Deamons. Os riscos, ameaças e vulnerabilidades em TI. Professor - Ricardo Leocádio 56Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Principais ataques: DDOS Os riscos, ameaças e vulnerabilidades em TI. Leitura obrigatória desse conteúdo. Página 21 30/7/2010 29 Professor - Ricardo Leocádio 57Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Os riscos, ameaças e vulnerabilidades em TI. • Buffer overflow Neste tipo de ataque, o invasor explora bug´s de implementação de serviços ou aplicativos, nos quais o controle de Buffer de memória temporária usada para armazenamento de dados, não é feito. Para efetivação do ataque, o hacker envia mais dados do que o buffer é capaz de manipular. O atacante inunda o espaço de memória alocado e sem controle, tipicamente uma barra de endereço com mais caracteres que ele pode acomodar. Os caracteres excedentes em muitos casos podem “rodar” como programas executáveis, efetivamente dando ao invasor controle total do computador, atacado sem ser notado. A forma mais eficaz e talvez única para combater estes problemas é o engajamento da indústria de software e dos programadores em aplicar técnicas mais robustas e cuidadosas de Programação. Os programadores podem proteger seus códigos com práticas simples de controles de tratamento de strings longas. Ferramentas tem sido desenvolvidas pela industria para fazer checagens automáticas dos códigos gerados contra o problema de Buffer OverFlow. Professor - Ricardo Leocádio 58Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Principaisformas de ataques - Fabricação de informação Estes ataques baseiam-se em forjar informações de um usuário para transmitir informações como se fosse este. Ataca-se a autenticidade das informações. A forma de ataque mais comum é o IP Spoofing – Falsificação eletrônica de identidade, personificação. Os riscos, ameaças e vulnerabilidades em TI. 30/7/2010 30 Professor - Ricardo Leocádio 59Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Principais formas de ataques - Modificação São ataques que requerem a captura prévia das informações e em seguida seu envio para o servidor como se fora a origem verdadeira. “Man in the middle” é o nome dado a este tipo de intruso. Os riscos, ameaças e vulnerabilidades em TI. Professor - Ricardo Leocádio 60Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Principais formas de ataques – Vírus, Worm´s e Cavalos de tróia • Pode ser considerada uma classe especial de ataque e talvez a mais amplamente destrutiva delas. • Podem mais corretamente ser identificadas como ferramentas de exploração de vulnerabilidades. • Capacidade de gerar múltiplos ataques à múltiplas vulnerabilidades. • Ataque silencioso, de baixo impacto . Os riscos, ameaças e vulnerabilidades em TI.