Análise de Vulnerabilidade em TI

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

ENTREGA E SUPORTE EM TI 
AULA 8 – ANÁLISE DE VULNERABILIDADE
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
Conteúdo Programático desta aula
 Conceito de Análise de 
 vulnerabilidade em TI.
 Processo de análise de 
 vulnerabilidade em TI.
 Solução para os problemas de
 vulnerabilidade em TI.
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
INTRODUÇÃO
Os invasores (hackers), especialistas que vivem para
encontrar brechas e detectar vulnerabilidades nos
sistemas e invadi-los, repetem insistentemente:
“É uma questão de tempo para um sistema ser comprometido ou fraudado.”
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Hackers
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
INVASÕES NO BRASIL
A atividade de hackers no Brasil se intensificou a partir do fim da década de 1990, mas foi em junho de 2011 que começou a onda de ataques que já é considerada a maior da história do país, segundo Karin Breitman, professora de Informática da PUC-Rio. 
Isso pode minar a confiança dos brasileiros em serviços públicos virtuais.
http://www.bbc.co.uk/portuguese/noticias/2011/06/110625_qa_hacker_jc.shtml 
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
INVASÕES JÁ OCORIDAS NO BRASIL
Presidência da República
Portal Brasil
Receita Federal
Petrobras
Ministério do Esporte 
IBGE
Ministério da Cultura
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
COMO O GOVERNO REAGIU
De acordo com a Presidência da República, alguns sites do governo estão passando por serviços de manutenção para aumentar a segurança contra ataques. 
A PF anunciou que abriu uma investigação para chegar aos responsáveis pelos ataques aos sites do governo.
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
'Queremos obrigar os que estão no topo a descer do salto', diz porta-voz de hackers.
Governos e empresas estão igualmente vulneráveis a hackers, dizem especialistas.
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
VULNERABILIDADES COMO AMEAÇAS
 
Exemplos: 
 “Acesso não autorizado” - relacionada a controles de acessos.
 Ameaça de perda de dados - planejamento ineficaz da contingência.
 Ameaça de incêndio - relacionada a uma inadequada prevenção contra incêndio.
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
VULNERABILIDADE
É a ausência, falha ou fraqueza nos procedimentos de segurança, que podem ocorrer acidentalmente intencionalmente e resulta em uma brecha ou violação da política de segurança. 
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Exemplos de vulnerabilidades
 Porta de comunicação aberta.
 Porta de firewall aberta.
 Senha de acesso a um servidor ou software que nunca é trocada.
 Carpete inflamável.
 Ausência de controle em procedimentos de segurança.
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Firewall
Mecanismo de defesa que restringe o fluxo de dados entre duas redes. Atua como uma barreira.
Permite que usuários internos acessem facilmente o mundo externo.
Permite bloquear a entrada e saída de pacotes.
Possui arquitetura de filtro de Pacotes.
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Arquitetura de um firewall (Filtros de Pacotes)
Firewall
Roteador
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
O que um firewall pode fazer:
 Fortalecer a política de segurança 
 Filtrar serviços inseguros
 Implantar um sistema de logs eficientes
 Prover aos usuários acesso seguro à Internet
O que um firewall não pode fazer:
 Proteger a rede de usuários internos mal intencionados
 Proteger contra conexões que não passam por ele
 Proteger contra novas ameaças
 Proteger contra vírus
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
MECANISMOS DE CONTROLE DE ACESSO
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Sinais de Invasão
 Processos estranhos na máquina
 Atividade acima do normal
 Reboots sem razão aparente
 Entradas novas na base de dados dos usuários
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
AMEAÇAS
Concluímos que as vulnerabilidades aumentam as ameaças.
Ameaça? 
É um fato que pode ocorrer e acarretar perigo a um recurso da empresa e que pode causar dano ou perda.
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
HARDWARE
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
SOFTWARE
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
RECURSO HUMANO
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
As medidas de segurança visam reduzir ao máximo o impacto das ameaças sobre os ativos
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Relação de causa e efeito
 As ameaças exploram as vulnerabilidades, causando perdas como confiabilidade, integridade e disponibilidade. 
 Aumentam os riscos do negócio, podendo causar sérios impactos.
 Na medida em que medidas de segurança são inseridas, impedem as ameaças e diminuem os riscos no negócio.
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Relação de causa e efeito
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Analise de Vulnerabilidade (AV)
Vulnerabilidade é um dos itens fundamentais no gerenciamento de risco e deve ser verificada
constantemente. 
 No processo de AV: métodos para identificar ameaças.
A segurança de um ambiente de TI requer vigilância e aperfeiçoamento permanentes, de forma que seja possível mapear e tratar os riscos com eficiência.
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Visão do Analista de Risco
Identificar uma vulnerabilidade. 
 Verificar se a falha afeta o negócio. 
 Corrigir o problema no menor tempo possível. 
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Ameaças de Alto Risco 
Todas as ameaças de segurança que possam:
 comprometer a integridade dos dados;
 expor informações confidenciais;
 tornar os sistemas indisponíveis.
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Ameaças de Médio Risco 
Ameaças que podem:
 abrir o sistema para pessoas não autorizadas;
 expor dados, arquivos e informações;
 causar paralisação em alguma aplicação. 
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
03/11/2012
*
Ameaças de Baixo Risco 
Ameaças de segurança que não chegam a comprometer o acesso não autorizado, porém procuram explorar alguns ativos (software ou hardware). 
Análise de Vulnerabilidade – AULA 08
ENTREGA E SUPORTE EM TI
Resumo desta aula
 Conceito de Análise de 
 vulnerabilidade em TI.
 Processo de análise de 
 vulnerabilidade em TI.
 Solução para os problemas de
 vulnerabilidade em TI.
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de
juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros
Taxa de juros