Vulnerabilidades de Segurança

Prévia do material em texto

Gestão da 
Segurança da 
Informação
Mairum Ceoldo 
Andrade
Aula 3
Conteúdo da Aula
Vulnerabilidades de Segurança •
3.1– .Definição de vulnerabilidades
3.2– .Principais tipos de vulnerabilidades.
- físicas.
- naturais.
- hardware.
- software.
- mídias (meios de armazenamento).
- comunicação.
- humanas.
3.3– .Ferramentas para analise de 
vulnerabilidades de segurança. 
2
Definição de Vulnerabilidades
3
Fragilidades associadas às informações e 
seus ativos, no qual os mesmos são 
suscetíveis a ataques
Usadas para invadir os sistemas.
Ciclo de vida da Informação
4
Descarte
Transpor-te
Manuseio
Armaze-
namento
Confiden-
cialidade
Integri-dade
Disponi-
bilidade
Legalidade
Autenticidade
Fonte: Adaptado de Muller (2014)
Principais tipos de Vulnerabilidades
5
Físicas
• Instalações prediais
• Data Center
• Recursos de 
segurança
• Controle de acesso
Naturais
• Incêndios
• Enchentes
• Terremotos
• Tempestades
Humanas
Treinamento•
Vandalismo•
Sabotagem•
Imperícia•
Comunicação
• Meio
• Operação
• Protocolo
• Tecnologia
Hardware
• Conservação
• Falha na instalação
• Qualidade
• Especificação
Software
• Atualização
• Configuração
• Falha
• Instalação
• Indisponibilidade
Mídias
• Utilização
• Tecnologia
• Armazenamento
• Vida Útil
• Qualidade
Análise de Vulnerabilidade
• Identificar a existências de falhas;
• Requer levantamento detalhado do 
ambiente
• Abrange:
–Tecnologias
–Ambiente
–Processos
–Pessoas
6
Análise de Vulnerabilidade
• Podemos classificar em diferentes tipos
– Bugs específicos dos sistemas operacionais/ 
aplicativos;
– Fraqueza nas implementações de segurança 
dos sistemas operacionais/aplicativos;
– Falhas nos softwares dos equipamentos de 
comunicações; 
– Fraquezas nas implementações de segurança 
dos equipamentos de comunicação; 
– Fraqueza de segurança/falhas nos servidores;
– Falhas nas implementações de segurança dos 
recursos de rede.
7
Análise de Vulnerabilidade
8
• Você:
– Guarda as senhas coladas embaixo do 
teclado ou na mochila?
– Guarda as senhas em arquivo armazenado 
no HD?
– Usa a mesma senha em sistemas 
diferentes?
– Troca sua senha regularmente?
Exemplo: uso de senhas fracas
Análise de Vulnerabilidade
9
• Você:
– Guarda as senhas coladas embaixo do 
teclado ou na mochila?
– Guarda as senhas em arquivo armazenado 
no HD?
– Usa a mesma senha em sistemas 
diferentes?
– Troca sua senha regularmente?
Exemplo: uso de senhas fracas
Análise de Vulnerabilidade
• DoS (Denial of Service)
• SQL Injection
• CSRF (Cross-Site Request Forgery)
• XSS (Cross-Site Scripting)
• Buffer Overflow
• Format String
• Command Injection
• Directory Traversal
• File Inclusion
• Privilege Escalation
10
R
e
f:
 h
tt
p
s
:/
/w
w
w
.t
ru
s
ts
ig
n
.c
o
m
.b
r/
p
o
rt
a
l/b
lo
g
/c
o
n
h
e
c
e
n
d
o
-a
s
-v
u
ln
e
ra
b
ili
d
a
d
e
s-
w
e
b
/
Análise de Vulnerabilidade
Diversos softwares de acordo com a •
tecnologia
Exemplos:•
Nmap: análise de portas TCP/IP–
Nessus: verificação de uma grande –
diversidade de falhas/vulnerabilidades 
conhecidas
Languard: registra os eventos e pesquisa –
vulnerabilidades de segurança em uma rede
11
Análise de Vulnerabilidade
• Acompanhar evolução das tecnologias
• Manter softwares atualizados
• Revisar definições e ambientes
• Atenção aos detalhes
• Conhecer bem as tecnologias utilizadas
• Acompanhar alertas de segurança
• Utilizar ferramentas adequadas
12
Gestão da 
Segurança da 
Informação
Mairum Ceoldo 
Andrade
Atividade 3
Perguntas 1/2
Marque a opção que é definida como uma 
característica ou falha no projeto, implementação 
ou configuração de um software ou sistema 
operacional que, quando explorada por um 
atacante, resulta na violação da segurança de um 
computador. Combinar competências 
a) Autenticidade.
b) Confidencialidade.
c) Integridade.
d) Não-repúdio.
e) Vulnerabilidade
14
Perguntas ½
Policia Civil – RJ – Perito - 2013
Marque a opção que é definida como uma 
característica ou falha no projeto, implementação 
ou configuração de um software ou sistema 
operacional que, quando explorada por um 
atacante, resulta na violação da segurança de um 
computador. 
a) Autenticidade.
b) Confidencialidade.
c) Integridade.
d) Não-repúdio.
e) Vulnerabilidade
15
Pergunta 2/2
BNDES - 2008
Assinale a opção que, no âmbito da segurança da 
informação, NÃO é um exemplo de vulnerabilidade.
a) Funcionário desonesto.
b) Firewall mal configurado.
c) Sistema operacional desatualizado.
d) Links sem contingência.
e) Rede elétrica instável
16
Pergunta 2/2
BNDES - 2008
Assinale a opção que, no âmbito da segurança da 
informação, NÃO é um exemplo de vulnerabilidade.
a) Funcionário desonesto.
b) Firewall mal configurado.
c) Sistema operacional desatualizado.
d) Links sem contingência.
e) Rede elétrica instável.
17