Aula 03 Gestão de Segurança da informação

Prévia do material em texto

Gestão da Segurança da Informação
Mairum Ceoldo Andrade
Aula 3
*
Conteúdo da Aula
Vulnerabilidades de Segurança 
3.1.Definição de vulnerabilidades
3.2.Principais tipos de vulnerabilidades. - físicas. - naturais. - hardware. - software. - mídias (meios de armazenamento). - comunicação. - humanas.
3.3.Ferramentas para analise de vulnerabilidades de segurança. 
*
*
Definição de Vulnerabilidades
*
Fragilidades associadas às informações e seus ativos, no qual os mesmos são suscetíveis a ataques
Usadas para invadir os sistemas.
*
Ciclo de vida da Informação
*
Fonte: Adaptado de Muller (2014)
*
Principais tipos de Vulnerabilidades
*
Físicas
Instalações prediais
Data Center
Recursos de segurança
Controle de acesso
Naturais
Incêndios
Enchentes
Terremotos
Tempestades
Humanas
Treinamento
Vandalismo
Sabotagem
Imperícia
Comunicação
Meio
Operação
Protocolo
Tecnologia
Hardware
Conservação
Falha na instalação
Qualidade
Especificação
Software
Atualização
Configuração
Falha
Instalação
Indisponibilidade
Mídias
Utilização
Tecnologia
Armazenamento
Vida Útil
Qualidade
*
Análise de Vulnerabilidade
Identificar a existências de falhas;
Requer levantamento detalhado do ambiente
Abrange:
Tecnologias
Ambiente
Processos
Pessoas
*
*
Análise de Vulnerabilidade
Podemos classificar em diferentes tipos
Bugs específicos dos sistemas operacionais/ aplicativos;
Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos;
Falhas nos softwares dos equipamentos de comunicações; 
Fraquezas nas implementações de segurança dos equipamentos de comunicação; 
Fraqueza de segurança/falhas nos servidores;
Falhas nas implementações de segurança dos recursos de rede.
*
*
Análise de Vulnerabilidade
*
Você:
Guarda as senhas coladas embaixo do teclado ou na mochila?
Guarda as senhas em arquivo armazenado no HD?
Usa a mesma senha em sistemas diferentes?
Troca sua senha regularmente?
Exemplo: uso de senhas fracas
*
Análise de Vulnerabilidade
*
Você:
Guarda as senhas coladas embaixo do teclado ou na mochila?
Guarda as senhas em arquivo armazenado no HD?
Usa a mesma senha em sistemas diferentes?
Troca sua senha regularmente?
Exemplo: uso de senhas fracas
*
Análise de Vulnerabilidade
DoS (Denial of Service)
SQL Injection
CSRF (Cross-Site Request Forgery)
XSS (Cross-Site Scripting)
Buffer Overflow
Format String
Command Injection
Directory Traversal
File Inclusion
Privilege Escalation
*
Ref: https://www.trustsign.com.br/portal/blog/conhecendo-as-vulnerabilidades-web/
*
Análise de Vulnerabilidade
Diversos softwares de acordo com a tecnologia
Exemplos:
Nmap: análise de portas TCP/IP
Nessus: verificação de uma grande diversidade de falhas/vulnerabilidades conhecidas
Languard: registra os eventos e pesquisa vulnerabilidades de segurança em uma rede 
*
*
Análise de Vulnerabilidade
Acompanhar evolução das tecnologias
Manter softwares atualizados
Revisar definições e ambientes
Atenção aos detalhes
Conhecer bem as tecnologias utilizadas
Acompanhar alertas de segurança
Utilizar ferramentas adequadas
*
Gestão da Segurança da Informação
Mairum Ceoldo Andrade
Atividade 3
*
Perguntas 1/2
Marque a opção que é definida como uma característica ou falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador. Combinar competências 
Autenticidade.
Confidencialidade.
Integridade.
Não-repúdio.
Vulnerabilidade
*
*
Perguntas ½
Policia Civil – RJ – Perito - 2013
Marque a opção que é definida como uma característica ou falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador. 
Autenticidade.
Confidencialidade.
Integridade.
Não-repúdio.
Vulnerabilidade
*
*
Pergunta 2/2
BNDES - 2008
Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade.
Funcionário desonesto.
Firewall mal configurado.
Sistema operacional desatualizado.
Links sem contingência.
Rede elétrica instável
*
*
Pergunta 2/2
BNDES - 2008
Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade.
Funcionário desonesto.
Firewall mal configurado.
Sistema operacional desatualizado.
Links sem contingência.
Rede elétrica instável.
*