Baixe o app para aproveitar ainda mais
Prévia do material em texto
Professor - Ricardo Leocádio 1 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Proteção e defesa de ativos e as tecnologias de segurança • Neste capítulo iremos entender os conceitos de autenticação, autorização, controle de acesso e sistemas de gestão de identidade. Objetivos • Apostila de acompanhamento da disciplina, das paginas 26 a 33 Documentos Professor - Ricardo Leocádio 2 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Sistemas que permitam controle total da rede e nos permita detectar as ameaças e potenciais ataques; Sistemas de autenticação confiáveis para prover garantia de identidade daqueles que acessam dados críticos; Sistemas de controle de acesso robustos que garantam sigilo e privacidade aos usuários; Sistemas e protocolos de segurança baseados em criptografia que garantam sigilo e privacidade às comunicações; Sistemas que garantam proteção da rede contra as ameaças de ataques externos e internos; Sistemas que garantam disponibilidade da tecnologia que sustenta os ativos para prover continuidade dos negócios em momentos de crises; Elementos necessários: Professor - Ricardo Leocádio 3 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Sistemas de Autenticação Autenticação é o meio pelo qual se identifica um usuário para que ele possa obter acesso aos recursos de determinado sistema. • O que você tem; • O que você é; • Ou o que você sabe. “A autenticação permite obter a garantia de que o usuário ou entidade que solicita ser autenticado por determinado sistema é realmente quem ele diz que ser.” Leitura obrigatória desse conteúdo. Página 26 Professor - Ricardo Leocádio 4 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Autenticação simples é baseada em um dos fatores citados enquanto Autenticação forte deve ser baseada em mais de um fator de autenticação simultaneamente Autenticação forte não tem haver com a qualidade da senha utilizada pelo usuário Sistemas de Autenticação Professor - Ricardo Leocádio 5 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas One-Time Password (OTP) A senha descartável (em inglês: One-time password - OTP) é uma senha que perde a validade após um processo de autenticação para impedir um phishing da senha. O uso de senhas descartáveis OTP é uma das mais simples soluções e de fácil implementação. A finalidade é fazer com que o usuário informe senhas diferentes a cada acesso. Se porventura uma senha de acesso for capturada, ela não terá nenhum valor, já que para um novo acesso, uma nova senha deverá ser informada, claro que diferente da atual. Isso acontece porque no momento que a conexão é aceita, automaticamente a senha que foi usada para autenticação é descartada, fazendo com que a próxima conexão seja informada uma senha diferente. Sistemas de Autenticação Professor - Ricardo Leocádio 6 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas TOKEN HÍBRIDOS Existem variações de Tokens OTP, chamados de Tokens Híbridos, que suportam também a função PKI (Public Key Infrastructure) ou Tokens Criptográficos, que geram e armazenam as chaves privadas e os certificados digitais, e possuem suporte para vários algoritmos de criptografia como o RSA, DES e 3DES. Esses dispositivos são, geralmente, utilizados como um fator de segurança adicional em transações financeiras realizadas em canais remotos/Internet - conhecidos como segundo fator de autenticação. Esse tipo de dispositivo, eleva o nível de segurança e privacidade em caso de roubo de senhas, através de programas espiões como os trojans. Sistemas de Autenticação Professor - Ricardo Leocádio 7 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Biometria Biometria [bio (vida) + metria (medida)] é o estudo estatístico das características físicas ou comportamentais dos seres vivos. Recentemente este termo também foi associado à medida de características físicas ou comportamentais das pessoas como forma de identificá-las unicamente. Hoje a biometria é usada na identificação criminal, controle de acesso, etc. Os sistemas chamados biométricos podem basear o seu funcionamento em características de diversas partes do corpo humano, por exemplo: os olhos, a palma da mão, as digitais do dedo, a retina ou íris dos olhos. A premissa em que se fundamentam é a de que cada indivíduo é único e possuí características físicas e de comportamento (a voz, a maneira de andar, etc.) distintas. Sistemas de Autenticação Professor - Ricardo Leocádio 8 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Tipos de biometria A- Veias: fiabilidade média , difícil de defraudar, alto custo. B- Impressão digital: método mais rápido, fiabilidade alta e baixo custo. C- Reconhecimento da face: menor fiabilidade, rápido e de baixo custo. D- Identificação pela íris: muito fiável, imutável com o passar dos anos, alto custo. E- Reconhecimento pela retina: fiável, imutável, leitura difícil e incómoda na medida em que exige que a pessoa olhe fixamente para um ponto de luz, alto custo F- Reconhecimento de voz: menos fiável, problemas com ruídos no ambiente, problemas por mudança na voz do utilizador devido a gripes ou stress, demora no processo de cadastramento e leitura, baixo custo G- Geometria da mão: menos fiável, problemas com anéis, o utilizador precisa de encaixar a mão na posição correta, médio custo. H- Reconhecimento da assinatura: menos fiável, algumas assinaturas mudam com o passar do tempo, também há problemas na velocidade e pressão na hora da escrita, médio custo. I - Reconhecimento da digitação: pouco fiável, demora no cadastramento e leitura, baixo custo. J- Tecnologias futuras: odores e salinidade do corpo humano, padrões das veias por imagens térmicas do rosto ou punho, análise de DNA. Sistemas de Autenticação Professor - Ricardo Leocádio 9 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Biometria como funciona? Sistemas de Autenticação Professor - Ricardo Leocádio 10 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Autorização define o que o usuário ou sistema autenticado pode acessar no sistema no qual já está autenticado. A autorização determina as alçadas de autoridade de determinada entidade ou indivíduo frente a um sistema. Este usuário pode ver ou alterar a tabela de salários do RH? Qual o valor dos pedidos ele pode aprovar? Normalmente é uma função da aplicação que decide o nível de acesso baseado na autenticação e nas permissões do usuário frente aos sistemas Sistemas de Autorização Leitura obrigatória desse conteúdo. Página 27 Professor - Ricardo Leocádio 11 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Disciplinas de segurança Autenticação Tem relação direta com a “Gerencia de identidades” digitais de um usuário frente aos diversos sistemas de um ambiente computacional Autorização Tem relação direta com a “Controle de acesso” de um usuário frente aos diversos sistemas de um ambiente computacional Autenticação e Autorização Professor - Ricardo Leocádio 12 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Conceito Administração da identidade digital de uma pessoa em um contexto computacional representada pelas várias contas de usuário e seu ciclo de vida, a saber: – Criação da conta – Provisionamento da conta – Alteração da conta – Bloqueio da conta Gerência de Identidades Leitura obrigatória desse conteúdo. Página 27 e 28 Professor - Ricardo Leocádio 13 Contato- antonio.gomes@prof.unibh.br Auditoriae Segurança de Sistemas Administração do perfil e das permissões de acesso que uma identidade digital possui em um determinado contexto computacional e seu ciclo de vida, a saber: - Definição do perfil - Concessão do acesso - Alterações no acesso e/ou no Perfil - Remoção do acesso Controle de Acesso Professor - Ricardo Leocádio 14 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Alguns fatos O legado - década de 1990 – Aplicações em “Silos” Parceiros Clientes Atendidos basicamente por telefone e Fax ERP Aplicações isoladas Utilizadas por departamentos isolados Controle de Acessos e de Usuários próprios da aplicação Financeiro Manufatura Professor - Ricardo Leocádio 15 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Alguns fatos Hoje : Ganhos na Cadeia de Valor ocorrem quanto maior for a integração entre os diversos agentes da cadeia Interligados via WEB Clientes Parceiros Atendidos basicamente por WEB e Extranet Home - Office Filiais RH ERP Vendas Professor - Ricardo Leocádio 16 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Alguns fatos A situação das empresas hoje: WebSphere WebSphere OS/390 Z/OS Sun Solaris MQ Correio Eletrônico Professor - Ricardo Leocádio 17 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Quantos IDs e Senhas em média , um funcionário de sua empresa possui ? 3, 5, 10 ? Quanto tempo um novo funcionário tem de aguardar para receber acesso para todos os sistemas que necessita ? 3, 5, 15 dias ? Quantos administradores de plataformas tem que criar usuários ? 3, 5, 10 ? Quantos chamados são feitos no Help Desk para problemas com senhas/ IDs ? Quantos ID´s inativos/órfãos sua empresa possui ? Conseqüências Professor - Ricardo Leocádio 18 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Usuários: cada aplicação requer logon Difícil prover alta disponibilidade e escalabilidade Administradores: não existe visão centralizada Arquitetura difícil de suportar diversos mecanismos de autenticação Inclusive Certificados Digitais Desenvolvimento: de 20% a 30% de gastos em controle de acesso Conseqüências Professor - Ricardo Leocádio 19 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Disciplinas de Gerência de identidades e de controle de Acesso desestruturadas. Como fica o controle do ciclo de vida de uma identidade digital e dos perfis e das permissões de acesso nos sistemas internos de TI? Contas de usuários podem permanecer ativas e com as permissões estabelecidas mesmo depois do desligamento do funcionário. Permissões de acessos de determinados usuários podfem migram com ele durante todo o tempo de vida da conta, mesmo com troca de funções e cargos. Conseqüências Professor - Ricardo Leocádio 20 Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Soluções possíveis Criar Visão estratégica e corporativa destas disciplinas de segurança. Criar Processos bem estruturados de controle dos perfis de acesso. Adotar Ferramentas para Gestão centralizada do processo de concessão de acesso e criação e remoção de contas de usuários.
Compartilhar