Aula 05_GESTAO DE SEGURANÇA DE REDES

Prévia do material em texto

*
*
GESTÃO DA SEGURANÇA EM REDES E DISPOSITIVOS COMPUTACIONAIS
ANÁLISE DE VULNERABILIDADES EM REDES DE COMPUTADORES 
*
*
Segundo a NORTON by Symantec, “são falhas no software de computador que criam deficiências na segurança geral do computador ou da rede. As vulnerabilidades também podem ser criadas por configurações incorretas do computador ou de segurança. As ameaças exploram as vulnerabilidades, o que resulta em possíveis danos para o computador ou dados pessoais.”
O QUE É VULNERABILIDADE?
*
*
Segundo a CERT.ORG, “é definida como uma condição que, quando explorada por um atacante, pode resultar em uma violação de segurança”
O QUE É VULNERABILIDADE?
*
*
é uma condição quando explorada por um atacante, pode resultar em uma violação de segurança.
O QUE É VULNERABILIDADE?
*
*
•	falhas no projeto, na implementação ou
•	falhas na configuração de programas, serviços ou 
•	equipamentos de rede
VULNERABILIDADES - EXEMPLOS
*
*
•	Da tecnologia
•	De configuração
•	Da política de segurança
•	Do equipamento de rede
VULNERABILIDADES - FRAGILIDADES 
*
*
•	Da tecnologia
•	De configuração
•	Da política de segurança
•	Do equipamento de rede
VULNERABILIDADES - FRAGILIDADES 
•	TCP/IP
•	Sistema Operacional
•	Equipamentos de rede
*
*
•	Da tecnologia
•	De configuração
•	Da política de segurança
•	Do equipamento de rede
VULNERABILIDADES - FRAGILIDADES 
•	Produtos com configurações default inseguras;
•	Erro na configuração de equipamentos de rede;
•	Contas de sistema com senhas fracas, previsíveis ou utilizadas em outros serviços menos seguros.
*
*
•	Da tecnologia
•	De configuração
•	Da política de segurança
•	Do equipamento de rede
VULNERABILIDADES - FRAGILIDADES 
•	Falta de um política escrita e implementada;
•	Não implementação ou falha na monitoração e auditoria;
•	Falta de conhecimento ou acompanhamento sobre ataques;
•	Falta de contingência;
*
*
•	Da tecnologia
•	De configuração
•	Da política de segurança
•	Do equipamento de rede
VULNERABILIDADES - FRAGILIDADES 
•	Alteração e instalação de software e hardware sem uma política ou não seguindo a política definida;
•	Falha no desenvolvimento e implementação da política de segurança.
*
*
•	Da tecnologia
•	De configuração
•	Da política de segurança
•	Do equipamento de rede
VULNERABILIDADES - FRAGILIDADES 
•	Proteção das senhas;
•	Falhas de autenticação;
•	Protocolos de roteamento;
•	Brechas no firewall.
*
*
ATAQUE – é a exploração de uma VULNERABILIDADE, com a finalidade de executar ações maliciosas, como invadir um sistema, acessar informações confidenciais, disparar ataques contra outros computadores ou tornar um serviço inacessível.
VULNERABILIDADES 
*
*
PENTEST - identifica e explora vulnerabilidades, utilizando os mais diversos métodos. Seu principal objetivo é de rapidamente identificar as vulnerabilidades e calcular seus riscos.
VULNERABILIDADES 
*
*
Não procure solução milagrosa. 
A Hewlett Packard – HP realizou um levantamento de incidentes e apresenta um resultado surpreendente mas totalmente plausível.
VULNERABILIDADES 
*
*
Vulnerabilidades conhecidas ainda são as mais exploradas por hackers, afirma HP
•	44% das brechas conhecidas são de vulnerabilidades descobertas há 2 - 4 anos;
•	 Configurações incorretas de servidor representam a principal vulnerabilidade;
VULNERABILIDADES 
*
*
Vulnerabilidades conhecidas ainda são as mais exploradas por hackers, afirma HP
•	Novos caminhos de ataque surgiram com o aumento dos dispositivos móveis conectados;
•	As principais vulnerabilidades de software exploradas são defeitos, bugs e falhas lógicas. 
VULNERABILIDADES 
*
*
Não procure solução milagrosa. 
A seguir vamos observar e refletir as afirmações da Hewlett Packard HP, baseada em seus levantamentos.
A HP constatou o problema, e propôs uma possível solução. Vamos à mesma!
VULNERABILIDADES 
*
*
PRINCIPAIS RECOMENDAÇÕES DO ARTIGO DA HP 
• Uma estratégia de patches abrangente e oportuna; 
• Testes regulares de penetração e verificação das configurações; 
• Reduza o risco introduzido a uma rede antes de adotar novas tecnologias;
VULNERABILIDADES 
*
*
PRINCIPAIS RECOMENDAÇÕES DO ARTIGO DA HP 
• A colaboração e o compartilhamento de inteligência de ameaças;
• Estratégias de proteção complementares devem ser adotadas (presunção de brecha).
VULNERABILIDADES 
*
*
LEITURA DO ARTIGO DA HP COMPLETO:
http://www.brasscom.org.br/brasscom/Portugues/detNoticia.php?codArea=6&codCategoria=57&codNoticia=888
VULNERABILIDADES 
*
*
CVE - Common Vulnerabilities and Exposures;
CERT - Computer Emergency Response Team;
SANS - System Administration, Networking, and Security Institute;
CIS - Center for Internet Security;
SCORE –Security Consensus Operational Readiness Evaluation;
ISC – Internet Storm Center;
NVD -National Vulnerability Database (antiga ICAT Metabase)
Security Focus (Symantec).
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
CVE - Common Vulnerabilities and Exposures:
•	http://www.cve.mitre.org
•	Mantida e moderada pela Mitre Corporation
•	CVE é um grande dicionário de exposições e vulnerabilidades de segurança da informação, publicamente conhecidos e livre para uso público.
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
CVE - Common Vulnerabilities and Exposures:
•	 Identificadores CVE permitem a troca de dados entre os produtos de segurança e fornece um ponto de referência para avaliar o índice de cobertura de ferramentas e serviços. 
Exemplo de CVE-ID = CVE-2015-7110;
•	Lista de nomes padronizados para vulnerabilidades e outras informações de exposição de segurança ;
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
CVE - Common Vulnerabilities and Exposures:
•	Variedade de artigos, grupos de e-mail, fóruns, discussão, alertas e melhores práticas de segurança.
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
CERT - Computer Emergency Response Team;
•	http://www.cert.org;
•	Centro de excelência em segurança na internet.;
CERT/CC – CERT / Coordination Center:
•	é um componente da divisão CERT
•	esta situado no Software Engineering Institute - SEI
•	estuda vulnerabilidades de segurança de Internet, 
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
CERT - Computer Emergency Response Team;
CERT/CC – CERT / Coordination Center:
•	fornece serviços para sites que foram atacados;
•	publica alertas de segurança;
•	atividades de pesquisa nas áreas de computação na WAN e desenvolvimento de melhoria da segurança Internet;
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
CERT - Computer Emergency Response Team;
CERT/CC – CERT / Coordination Center:
•	oferece treinamento para profissionais de resposta a incidentes;
•	Computer Security Incident Response Teams (CSIRTs).
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
SANS - System Administration, Networking, and Security Institute;
•	http://www.sans.org;
•	Líder em pesquisa de segurança da informação;
•	Compartilhamento de conhecimentos entre mais de 156000 profissionais de segurança em TI;
•	Permite também a elaboração de novas soluções para problemas encontrados.
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
CIS - Center for Internet Security;
•	http://www.cisecurity.org
•	Sua missão é ajudar organizações ao redor do mundo a gerenciar efetivamente os riscos relacionados à segurança da informação;
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
CIS - Center for Internet Security;
•	Para defesa cibernética atualmente é recomendado utilizar Critical Security Controls - CSC 
Esses controles são eficazes porque são derivados dos padrões de ataque mais comuns destacados nos principais relatórios de ameaças e controlados através de uma ampla comunidade de praticantes do governo e da indústria.
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*CIS - Center for Internet Security;
• Top 20 CSC:
	CSC 1: Inventário de Dispositivos autorizados e não autorizados
	CSC 2: Inventário de Software autorizados e não autorizados
	CSC 3: configurações de segurança para hardware e software em dispositivos móveis, laptops, estações de trabalho e servidores
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
CIS - Center for Internet Security;
• Top 20 CSC:
	CSC 4: Avaliação de Vulnerabilidade contínua e Remediação
	CSC 5: Uso Controlado de privilégios administrativos
	CSC 6: Manutenção, Monitoramento e Análise dos registros de auditoria
	CSC 7: Proteção de E-mail e Web Browser
	CSC 8: Defesas de malware
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
CIS - Center for Internet Security;
• Top 20 CSC:
	CSC 9: limitação e controle de portas, protocolos e serviços de rede
	CSC 10: Capacidade de Recuperação de Dados
	CSC 11: configurações de segurança para dispositivos de rede, tais como firewalls, roteadores e Switches
	CSC 12: Defesa de fronteira
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
CIS - Center for Internet Security;
• Top 20 CSC:
	CSC 13: Proteção de Dados
	CSC 14: Acesso Controlado Com base no Need to Know
	CSC 15: Controle de Acesso Sem Fio
	CSC 16: Monitoramento e Controle de Conta
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
CIS - Center for Internet Security;
• Top 20 CSC:
	CSC 17: Avaliação de Habilidades de Segurança e de treinamento adequados para preencher lacunas
	CSC 18: Aplicação de Software Segurança
	CSC 19: Resposta e Gestão de incidentes
	CSC 20: Testes de Penetração e Exercícios Red Team 
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
CIS - Center for Internet Security;
Estudo realizado pelo governo australiano indica que 85% das vulnerabilidades conhecidas podem ser paradas por meio da implantação dos CSC Top 5 da CIS. Isto inclui a confecção de um inventário de ativos de TI, implementação de configurações de segurança, correção de vulnerabilidades, e restringir usuários não autorizados.
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
SCORE –Security Consensus Operational Readiness Evaluation:
•	http://www.sans.org/score/
•	Esforço cooperativo entre SANS/GIAC e o Center for Internet Security(CIS);
•	Tem o objetivo de promover, desenvolver e publicar verificações (checklists) de segurança;
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
SCORE –Security Consensus Operational Readiness Evaluation:
•	desenvolver um consenso sobre normas mínimas e informações sobre melhores práticas, essencialmente agindo como o motor de pesquisa para o CIS.
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
ISC – Internet Storm Center:
•	http://isc.sans.edu
•	é apoiado pelo Instituto SANS;
•	reúne milhões de entradas de log de detecção de intrusão diariamente, a partir de sensores que cobrem mais de 500.000 endereços IP em mais de 50 países.;
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
ISC – Internet Storm Center:
•
•	está se expandindo para realizar uma busca mais rápida por tempestades, identificando os locais que são utilizados para ataques e oficializar os alvos e os tipos de ataques;
•	é um serviço gratuito para a comunidade da Internet. 
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
NVD -National Vulnerability Database (antiga ICAT Metabase):
•	https://nvd.nist.gov/
•	Define-se como índice pesquisável de informações das vulnerabilidades dos computadores;
•	Vincula vulnerabilidade ao usuário e disponibiliza informações de atualização;
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
NVD -National Vulnerability Database (antiga ICAT Metabase):
•	O NVD oferece aos usuários um mecanismo de busca full-featured com opções para selecionar vulnerabilidades e exposições de acordo com qualquer um ou todos os critérios, a seguir veremos a lista dos mesmos.
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
NVD -National Vulnerability Database (antiga ICAT Metabase):
LISTA DE CRITÉRIOS:
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
Data de entrada
Vendor
Produto
Versão
Por palavra-chave
Gravidade
Fontes comuns
Explorar Relacionado
Consequência Vulnerabilidade
Tipo de Vulnerabilidade
Tipo de SO
Tipo de entrada
Tipo de componente
Data inicial
*
*
Security Focus (Symantec)
NO BRASIL
CAIS - Centro de Atendimento a Incidentes de Segurança
https://www.rnp.br/servicos/seguranca
CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil
http://www.cert.br/
VULNERABILIDADES - ENTIDADES DE SEGURANÇA
*
*
PRÓXIMA AULA
Você conhecerá as fases de um ataque, conceitos básicos para um ataque, diversos ataques e ferramentas destinadas ao entendimento dos ataques.
FERRAMENTAS & DIFERENTES TIPOS DE ATAQUE