Exercício Segurança

Prévia do material em texto

Disciplina: SR
Semestre: 2017.2
Professor: Byron Lanverly
	Aluno:
Alan Wagner Martins de Oliveira
	
	
	Data:
28/10/2017
 
Lista​ ​de​ ​exercícios​ ​– ​ ​SRC 
 
Levando​ ​em​ ​consideração ​ os ​​o objetivos ​para​ segurança ​ d​ e ​ Redes:​ 	 ​pensar preventivamente​ ​e ​ ​tratar​ ​os​ ​incidentes​ ​quando ​​não​ ​for​ ​possível​ ​evitá-los. 
Defina ​ o​s ​ i​tens ​ a​ baixo: 
Sigilo:
Secreto é um modo de dizer que alguma coisa ou alguém é um segredo, está escondido, não é público; pode ser descoberto, mas não é recomendado.
Forma de se manter algo em segredo, onde o item ou o contexto tem algo sigiloso. Segredo é uma informação valiosa, mas que se for tornada pública pode comprometer algo ou alguém, geralmente não podendo ser revelada a determinadas pessoas.
Autenticação: 
É o ato de estabelecer ou confirmar algo (ou alguém) como autêntico, isto é, que reivindica a autoria ou a veracidade de alguma coisa. A autenticação também remete à confirmação da procedência de um objeto ou pessoa, neste caso, frequentemente relacionada com a verificação da sua identidade.
Não-repúdio: 
O Não-Repúdio é importante no comércio eletrônico para prevenir que as partes integrantes de uma transação venham a contestar ou negar uma transação após sua realização.
Controle ​ d​a ​ ​ integridade:
 
Defina​ ​o s​ ​conceitos ​​a cerca​ ​da​ ​segurança ​ e​m​ redes 
Riscos​ ​( Lógicos​ ​e Físicos): 
Físicos - > Incêndio, Roubos e furtos, Sabotagem, Desastres naturais (enchentes, vendavais, raios, etc.), Paradas do sistema, Defeitos nas instalações (calor, falta de energia, falha de um componente), Erros humanos.
Lógicos -> Vírus, Erros de softwares, Uso inadequado, Erros humanos, Hackers, Sniffers e Crackers (acessos indevidos, violação).
A proteção da informação é uma responsabilidade gerencial.
Vulnerabilidade: 
É a característica de quem ou do que é vulnerável, ou seja, frágil, delicado e fraco. A vulnerabilidade é uma particularidade que indica um estado de fraqueza, que pode se referir tanto ao comportamento das pessoas, como objetos, situações, ideias e etc
Incidente: 
Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou à redes de computadores. - O ato de violar uma política de segurança, explícita ou implícita.
Ataque: 
Os ataques são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Porém existem os que visam os dados do usuário, com a captura de informações sigilosas (senhas e números de cartões de créditos entre outros), além da captura de informações de caráter íntimo.
 
Defina​ ​a ​ ​tríade​ ​dos​ ​princípios​ ​básicos ​ ​da ​ segurança ​ d​a ​ ​informação 
DISPONIBILIDADE
Garante que uma informação estará disponível para acesso no momento desejado. Diz respeito à eficácia do sistema, ao correto funcionamento da rede para que quando a informação for necessária ela poderá ser acessada. A perda da disponibilidade se dá quando se tenta acessar uma informação e não se consegue o acesso esperado.
INTEGRIDADE:
Garante que o conteúdo da mensagem não foi alterado ou violado indevidamente. Ou seja, mede a exatidão da informação e seus métodos de modificação, manutenção, validade. Há perda da integridade quando a informação é alterada indevidamente ou quando não se pode garantir que a informação é a mais atualizada, por exemplo.
CONFIDENCIALIDADE:
Garantir que a informação só será acessível por pessoas autorizadas. A principal forma de garantir a confidencialidade é por meio do controle de acesso (autenticação), já que este controle garante que o conteúdo da mensagem somente será acessado por pessoas autorizadas. A confidencialidade (privacidade) se dá justamente quando se impede que pessoas não autorizadas tenham acesso ao conteúdo da mensagem. Refere-se à proteção da informação contra a divulgação não permitida. A perda da confidencialidade se dá quando alguém não autorizado obtém acesso a recursos/informações.
AUTENTICIDADE:
Garante a identidade de quem está enviando a informação, ou seja, gera o não-repúdio que se dá quando há garantia de que o emissor não poderá se esquivar da autoria da mensagem (irretratabilidade). Normalmente não entre como um dos pilares da segurança da informação, mas fica aqui para fechar o mnemônico
Qual​ ​o ​ ​ciclo​ ​de​ ​vida​ ​da​ ​informação?
 Após justificar a importância da informação para o negócio, é igualmente importante descrever que características devem ser preservadas na informação, de forma a considerá-la útil para o negócio. Três propriedades são consideradas principais, por serem primitivas. São elas:
Confidencialidade (privacidade) – pode variar de acordo com o nível de sensibilidade da mesma, e do conjunto de elementos (pessoas) que devam conhecê-la.
Integridade – é uma propriedade que garante que a informação tem as mesmas características que tinha quando foi manipulada legalmente pela última vez.
Disponibilidade – permite que a informação possa ser usada sempre que necessária.
Convém ressaltar que essas propriedades, apesar de isoladas, apenas tem valor se complementares. Por exemplo, não adianta uma informação estar disponível se a mesma não estiver integra.
Outros aspectos, complementares a estes três, são eles:
Autenticidade – garante que a informação efetivamente foi criada ou manipulada por quem reivindica sua autoria. Exemplo: uso de uma senha de acesso.
Legalidade – permite garantir alguns aspectos interessantes. Um deles é a compatibilidade com as leis, regulamentos e normas que cercam o ambiente onde a mesma é utilizada. O outro aspecto atual é a não-repudiação de auditoria, ou seja, mesmo que um usuário tente negar que realizou uma determinada transação qualquer que ele efetive tenha realizado, isso não seja possível através de algum mecanismo de comprovação com documentos digitais particulares. A Autenticidade também contribuiu para a obtenção desta característica.
O ciclo de vida diz respeito a todos os momentos onde a informação é exposta a riscos, e agora já podemos dizer, de comprometimento de um ou mais aspectos de segurança citados acima. Estes momentos são vivenciados quando os ativos da empresa sejam eles físicos tecnológicos ou humanos, fazem da informação disponível, alimentando os processos de negócio e fazendo a empresa funcionar.
No​ ​contexto​ ​de​ ​segurança​ ​da ​​informação, ​ f​aça​ uma ​ ​Breve ​ ​explanação, ​ bem como​ ​a ​ ​definição​ ​de​ ​conceito, ​ ​sobre​ ​os ​ ​elementos: ​ ​ativos ​ e​ ​ ameaças 
O ativo é um elemento de valor para um indivíduo ou para uma organização, que por essa razão precisa de proteção adequada. Esses ativos compõem os processos que manipulam e processam a informação. Os ativos, para serem tratados de forma adequada, devem ser divididos e agrupados para melhor identificação de suas fronteiras. Com a definição destes grupos, pode-se tratar com mais especificidade e melhor avaliação qualitativa das ações de segurança pertinentes. Não área de Segurança da informação, a forma mais usual de identificação dos ativos envolve equipamento, aplicações, usuários, ambientes, informações e processos. Mas nada impede que outros ativos sejam identificados de acordo com as particularidades do negócio de sua empresa.
Ativo:
Elemento de valor para a empresa.
Equipamentos, meio de armazenamento e a própria informação.
Para a busca dos atributos, citados abaixo, alguns aspectos são especificamente importantes para sua avaliação:
Autorização – Concessão de permissões para acesso à informações e aplicações que as manipulem. É concedida após a correta identificação e autenticação do usuário ou processo que pretenda acessar a informação, e é dependentede corretos controles de acesso precisamente definidos, como por exemplo, a definição de direitos em áreas de dados de servidores, de acordo com o respectivo logon. Permissão de Acesso.
Auditoria – Coleta de evidências de uso dos recursos para acesso à informação, bem como o tipo de manipulação envolvida. Um exemplo é o log de acesso tipicamente implementado por Sistemas Operacionais e Sistemas Gerenciadores de Banco de Dados. Coleta de Evidências.
Autenticidade – garantia que autoria de qualquer transação é autentica, ou seja, está ou foi realizada por quem se credenciou a fazê-la. Hoje em dia há recursos criptológicos como as assinaturas digitais que possibilitam um grau de autenticidade digital semelhante aos obtidos através de métodos físicos tradicionais. Garantir identidade, autoria, originalidade, integridade e não-repudiação.
Severidade – Caso uma ameaça explore uma vulnerabilidade, um ativo poderá sofrer danos que serão dimensionados de acordo com a gravidade deste dano para o negócio. Gravidade do dano.
Criticidade – A redução ou a perda de algumas funcionalidades, podendo chegar até mesmo à perda total da disponibilidade de um ativo provocará naturalmente um impacto ao negócio, cuja gravidade será dimensionada como criticidade do evento. Impacto ao negócio pela ausência de um ativo.
As AMEAÇAS que são personificadas em agentes ou condições que efetivamente causem incidentes que possam comprometer informações e os ativos e ela relacionados, através da exploração de vulnerabilidades existentes, são chamadas de ameaças. Essas ameaças provocam impactos ao negócio, através do comprometimento dos atributos confidencialidade, integridade e disponibilidade. É importante destacar que estas ameaças tipicamente se utilizam de ferramentas disponíveis, que não são, por si só ameaças. Um exemplo são os exploits para vulnerabilidades em um Sistema Operacional. A ameaça é o invasor, e não o exploit. Estas ameaças podem ser naturais, ou seja, provocadas por um fenômeno de natureza, como incêndios, enchentes, etc. As ameaças involuntárias são causadas quase sempre por desconhecimento ou descuido, como acidentes, erro, falta de energia, etc. As ameaças voluntárias, por sua vez, são propositais e causadas por agentes humanos que tem a intenção premeditada de criar um incidente de segurança.
Ameaças:
Naturais, Voluntárias ou Involuntárias.
As VULNERABILIDADES são elementos infelizmente sempre presentes nos ambientes computacionais, estão presentes ou associados a ativos que manipulam informações, e que podem ser objetivamente exploradas por ameaças, conscientemente ou não, causando incidentes de segurança que comprometam um ou mais aspectos da Segurança da Informação. A vulnerabilidade, por si só, não causa dano algum, ou seja, são elementos eminentemente passivos. Um exemplo disso é quando instalamos um Sistema Operacional em nosso computador e iniciamos imediatamente a usar aplicações como browsing, e-mail, etc. O Sistema Operacional possui várias falhas que são corrigidas através de patches de segurança disponíveis no site do fornecedor e devem ser instaladas para reduzir o número de vulnerabilidades. Não ter instalado um firewall pessoal e um antivírus também aumentou bastante o índice de vulnerabilidade desse sistema em particular.
As vulnerabilidades podem ser:
Físicas – Falta de extintores, sensores de fumaça, riscos de acesso indevido, vazamentos, etc.
Naturais – Alta umidade, poeira excessiva, calor excessivo, etc.
Hardware – Desgaste, obsolescência, erros de instalação, etc.
Software – Erros de configuração permitindo acessos indevidos, etc.
Mídias – Sensíveis à radiação eletromagnética, etc.
Comunicação – Perda de comunicação em rede, etc.
Humanas – Mais presente a todas as instalações. Falta de treinamento de funcionários, não cumprimento de precauções básicas de segurança, sabotagens, vandalismo, roubo, invasões, etc.
Fale ​ s​obre ​ medidas ​d​e ​ ​segurança, ​​preventivas, ​ detectáveis ​ e​ ​ ​corretivas.
Preventivas – Visam evitar incidentes ocorrem. Investem especialmente no ativo humano, e mesmo as ações tecnológicas e físicas dependem do fator humano para terem sua eficiência intensificada. São exemplos às ferramentas de controle de acessos e vírus, e as regras de segurança corporativa, que devem ser intensamente divulgadas e discutidas até que haja uma mentalidade corporativa de segurança.
Evitar ocorrência de incidentes.
Políticas de Segurança, ferramentas, palestras, etc.
Detectáveis – São destinadas a identificar potenciais ameaças para que, através de sua monitoração permanente, possa se evitar que vulnerabilidades sejam exploradas. São exemplos as análises de riscos, IDS, câmeras de vigilância, alarmes de acessos indevidos, etc.
Identificação de ameaças potenciais.
Análise de riscos, IDS, alertas, câmeras, alarmes.
Corretivas – Uma vez identificada uma incompatibilidade da estrutura tecnológica e humana com as condições de Segurança da Informação estabelecidas pela corporação, ações de correção devem ser executadas. Infelizmente na maioria das vezes são ações executadas sob grande tensão, como por exemplo, na execução de Planos de Continuidade e de recuperação de desastres. É importante observar que um Plano de Continuidade de negócios é na verdade durante toda a sua existência uma ação preventiva, e apenas quando efetivamente executado reveste-se de uma ação corretiva.
Equipe de Resposta a Incidentes, Plano de recuperação de Desastres, Plano de Backup.
Preditivas:
Ligadas a eventos com alta probabilidade de ataques.
O RISCO está e sempre estará presente, e a meta deve ser controlar permanentemente o nível de risco num patamar estudado e estipulado de acordo com as diretrizes estratégicas do negócio. Traduz-se pela probabilidade em que uma ameaça explore efetivamente um ou mais vulnerabilidade presentes, causando danos a um ou mais aspectos de Segurança da Informação, comprometendo naturalmente o negócio.
Probabilidade de exploração de alguma ameaça.
Quantas​ ​e ​ ​quais​ ​são​ ​as ​ ​barreiras ​da ​ ​segurança ​ d​a ​​informação
Esta etapa tem por finalidade impedir que algo ruim aconteça na instituição, ou seja, Proteger contra ataques. Na gestão da segurança da informação as principais barreiras dividem-se em: desencorajar, no qual é vinculado ao fator dificultar, tendo por objetivo desmotivar e dificultar qualquer operação tanto humana como tecnológica; discriminar, que tem por função primordial a identificação e a gerência de determinado acesso; detectar, que é mais uma barreira de cunho tecnológico por se tratar da segurança propriamente dita; deter, fator este que pretende impedir algo desastroso em qualquer lugar; e, por fim, a barreira de diagnosticar, que trata justamente da análise de riscos, visando à identificação dos pontos de riscos a que a informação está exposta, identificando, desta maneira, quais os pontos que necessitam de maior empenho em proteção.
8. O​ ​que ​ é​ ​ criptografia ​ e​ ​​qual ​ s​eu ​objetivo?
 	O termo Criptografia surgiu da fusão das palavras gregas "Kryptós" e "gráphein", que significam "oculto" e "escrever", respectivamente. Trata-se de um conjunto de regras que visa codificar a informação de forma que só o emissor e o receptor consiga decifrá-la. Para isso várias técnicas são usadas, e ao passar do tempo modificada, aperfeiçoada e o surgimento de novas outras de maneira que fiquem mais seguras.
O objetivo da criptografia é transformar uma mensagem em um texto codificado, garantindo a confidencialidade da informação contida. O principal uso da criptografia é a troca segura de informações sigilosas, como senhas de usuários. Atualmente, existem dois métodos de criptografia: A criptografia simétrica e a criptografia assimétrica. Os dois métodos serão explicados nesta seção.
9. O​ ​que​ ​é ​ ​PKI​ ​e ​ ​qual​ a​ sua ​ importância? 
PKI é uma Infraestrutura de chave pública. Ela é importante para verificar a identidade de um usuário com mais confiança
10. Como​ ​a ​ ​PKI​ evita​ que​ ​pessoas ​​mal ​ ​intencionadas ​s​e​ ​ passem ​por​ outras? 
 A assinatura digital substitui a assinatura do mundo físico, servindo para garantir a autenticidade das informações passadas pelo remetente. O Certificado Digital comprova que determinada chave privada (conhecida somente por seu dono) pertence realmente a uma pessoa específica.
O Certificado Digital é um documento eletrônico assinado digitalmente que contém a identificação da pessoa e sua chave pública (usada na verificação da validade da assinatura), respaldadas por uma AC (Autoridade Certificadora).
Página 6 de 6201
201501382705