Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão da Segurança da Informação Mairum Ceoldo Andrade Aula 3 Conteúdo da Aula Vulnerabilidades de Segurança • 3.1– .Definição de vulnerabilidades 3.2– .Principais tipos de vulnerabilidades. - físicas. - naturais. - hardware. - software. - mídias (meios de armazenamento). - comunicação. - humanas. 3.3– .Ferramentas para analise de vulnerabilidades de segurança. 2 Definição de Vulnerabilidades 3 Fragilidades associadas às informações e seus ativos, no qual os mesmos são suscetíveis a ataques Usadas para invadir os sistemas. Ciclo de vida da Informação 4 Descarte Transpor-te Manuseio Armaze- namento Confiden- cialidade Integri-dade Disponi- bilidade Legalidade Autenticidade Fonte: Adaptado de Muller (2014) Principais tipos de Vulnerabilidades 5 Físicas • Instalações prediais • Data Center • Recursos de segurança • Controle de acesso Naturais • Incêndios • Enchentes • Terremotos • Tempestades Humanas Treinamento• Vandalismo• Sabotagem• Imperícia• Comunicação • Meio • Operação • Protocolo • Tecnologia Hardware • Conservação • Falha na instalação • Qualidade • Especificação Software • Atualização • Configuração • Falha • Instalação • Indisponibilidade Mídias • Utilização • Tecnologia • Armazenamento • Vida Útil • Qualidade Análise de Vulnerabilidade • Identificar a existências de falhas; • Requer levantamento detalhado do ambiente • Abrange: –Tecnologias –Ambiente –Processos –Pessoas 6 Análise de Vulnerabilidade • Podemos classificar em diferentes tipos – Bugs específicos dos sistemas operacionais/ aplicativos; – Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos; – Falhas nos softwares dos equipamentos de comunicações; – Fraquezas nas implementações de segurança dos equipamentos de comunicação; – Fraqueza de segurança/falhas nos servidores; – Falhas nas implementações de segurança dos recursos de rede. 7 Análise de Vulnerabilidade 8 • Você: – Guarda as senhas coladas embaixo do teclado ou na mochila? – Guarda as senhas em arquivo armazenado no HD? – Usa a mesma senha em sistemas diferentes? – Troca sua senha regularmente? Exemplo: uso de senhas fracas Análise de Vulnerabilidade 9 • Você: – Guarda as senhas coladas embaixo do teclado ou na mochila? – Guarda as senhas em arquivo armazenado no HD? – Usa a mesma senha em sistemas diferentes? – Troca sua senha regularmente? Exemplo: uso de senhas fracas Análise de Vulnerabilidade • DoS (Denial of Service) • SQL Injection • CSRF (Cross-Site Request Forgery) • XSS (Cross-Site Scripting) • Buffer Overflow • Format String • Command Injection • Directory Traversal • File Inclusion • Privilege Escalation 10 R e f: h tt p s :/ /w w w .t ru s ts ig n .c o m .b r/ p o rt a l/b lo g /c o n h e c e n d o -a s -v u ln e ra b ili d a d e s- w e b / Análise de Vulnerabilidade Diversos softwares de acordo com a • tecnologia Exemplos:• Nmap: análise de portas TCP/IP– Nessus: verificação de uma grande – diversidade de falhas/vulnerabilidades conhecidas Languard: registra os eventos e pesquisa – vulnerabilidades de segurança em uma rede 11 Análise de Vulnerabilidade • Acompanhar evolução das tecnologias • Manter softwares atualizados • Revisar definições e ambientes • Atenção aos detalhes • Conhecer bem as tecnologias utilizadas • Acompanhar alertas de segurança • Utilizar ferramentas adequadas 12 Gestão da Segurança da Informação Mairum Ceoldo Andrade Atividade 3 Perguntas 1/2 Marque a opção que é definida como uma característica ou falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador. Combinar competências a) Autenticidade. b) Confidencialidade. c) Integridade. d) Não-repúdio. e) Vulnerabilidade 14 Perguntas ½ Policia Civil – RJ – Perito - 2013 Marque a opção que é definida como uma característica ou falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador. a) Autenticidade. b) Confidencialidade. c) Integridade. d) Não-repúdio. e) Vulnerabilidade 15 Pergunta 2/2 BNDES - 2008 Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade. a) Funcionário desonesto. b) Firewall mal configurado. c) Sistema operacional desatualizado. d) Links sem contingência. e) Rede elétrica instável 16 Pergunta 2/2 BNDES - 2008 Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade. a) Funcionário desonesto. b) Firewall mal configurado. c) Sistema operacional desatualizado. d) Links sem contingência. e) Rede elétrica instável. 17
Compartilhar