Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão da Segurança da Informação Mairum Ceoldo Andrade Aula 3 * Conteúdo da Aula Vulnerabilidades de Segurança 3.1.Definição de vulnerabilidades 3.2.Principais tipos de vulnerabilidades. - físicas. - naturais. - hardware. - software. - mídias (meios de armazenamento). - comunicação. - humanas. 3.3.Ferramentas para analise de vulnerabilidades de segurança. * * Definição de Vulnerabilidades * Fragilidades associadas às informações e seus ativos, no qual os mesmos são suscetíveis a ataques Usadas para invadir os sistemas. * Ciclo de vida da Informação * Fonte: Adaptado de Muller (2014) * Principais tipos de Vulnerabilidades * Físicas Instalações prediais Data Center Recursos de segurança Controle de acesso Naturais Incêndios Enchentes Terremotos Tempestades Humanas Treinamento Vandalismo Sabotagem Imperícia Comunicação Meio Operação Protocolo Tecnologia Hardware Conservação Falha na instalação Qualidade Especificação Software Atualização Configuração Falha Instalação Indisponibilidade Mídias Utilização Tecnologia Armazenamento Vida Útil Qualidade * Análise de Vulnerabilidade Identificar a existências de falhas; Requer levantamento detalhado do ambiente Abrange: Tecnologias Ambiente Processos Pessoas * * Análise de Vulnerabilidade Podemos classificar em diferentes tipos Bugs específicos dos sistemas operacionais/ aplicativos; Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos; Falhas nos softwares dos equipamentos de comunicações; Fraquezas nas implementações de segurança dos equipamentos de comunicação; Fraqueza de segurança/falhas nos servidores; Falhas nas implementações de segurança dos recursos de rede. * * Análise de Vulnerabilidade * Você: Guarda as senhas coladas embaixo do teclado ou na mochila? Guarda as senhas em arquivo armazenado no HD? Usa a mesma senha em sistemas diferentes? Troca sua senha regularmente? Exemplo: uso de senhas fracas * Análise de Vulnerabilidade * Você: Guarda as senhas coladas embaixo do teclado ou na mochila? Guarda as senhas em arquivo armazenado no HD? Usa a mesma senha em sistemas diferentes? Troca sua senha regularmente? Exemplo: uso de senhas fracas * Análise de Vulnerabilidade DoS (Denial of Service) SQL Injection CSRF (Cross-Site Request Forgery) XSS (Cross-Site Scripting) Buffer Overflow Format String Command Injection Directory Traversal File Inclusion Privilege Escalation * Ref: https://www.trustsign.com.br/portal/blog/conhecendo-as-vulnerabilidades-web/ * Análise de Vulnerabilidade Diversos softwares de acordo com a tecnologia Exemplos: Nmap: análise de portas TCP/IP Nessus: verificação de uma grande diversidade de falhas/vulnerabilidades conhecidas Languard: registra os eventos e pesquisa vulnerabilidades de segurança em uma rede * * Análise de Vulnerabilidade Acompanhar evolução das tecnologias Manter softwares atualizados Revisar definições e ambientes Atenção aos detalhes Conhecer bem as tecnologias utilizadas Acompanhar alertas de segurança Utilizar ferramentas adequadas * Gestão da Segurança da Informação Mairum Ceoldo Andrade Atividade 3 * Perguntas 1/2 Marque a opção que é definida como uma característica ou falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador. Combinar competências Autenticidade. Confidencialidade. Integridade. Não-repúdio. Vulnerabilidade * * Perguntas ½ Policia Civil – RJ – Perito - 2013 Marque a opção que é definida como uma característica ou falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador. Autenticidade. Confidencialidade. Integridade. Não-repúdio. Vulnerabilidade * * Pergunta 2/2 BNDES - 2008 Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade. Funcionário desonesto. Firewall mal configurado. Sistema operacional desatualizado. Links sem contingência. Rede elétrica instável * * Pergunta 2/2 BNDES - 2008 Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade. Funcionário desonesto. Firewall mal configurado. Sistema operacional desatualizado. Links sem contingência. Rede elétrica instável. *
Compartilhar