Prévia do material em texto
Revisão Unidade 01 Pág. 2 - Dentre os principais problemas que enfrentaremos: • Terrorismo religioso, ideológico ou criminoso. • Crimes eletrônicos. • Pirataria em geral. • Espionagem industrial. • Guerra cibernética. Pág. 3 - O que significa segurança? É um estado no qual estamos livres de perigos e incertezas, se aplica a tudo aquilo que possui valor e, por isso, demanda proteção. O que possui valor é chamado de ativo. Classificação do ativo: Tangíveis - ex: Doc Impresso, PC, prédios. -Quanto a sua propriedade Intangíveis – ex: Reputação da Organização, confiabilidade de um banco. -Podem também - Lógicos: Dados em um servidor. ser classificados - Físicos: notebook, sistema de ar-condicionado. - Humano: colaboradores, terceiros, funcionários. Pág. 4 - Por que devemos nos Proteger? Novos sistemas traz novos desafios. As vulnerabilidades em sistemas administrativos podem causar prejuízos para a Marinha, como perda de informações sigilosas, comprometimento de ações conduzidas pela Marinha ou mesmo vazamento de informações particulares dos militares da MB. Pág. 5 - Por que devemos nos Proteger? É comum pensar que os ataques vem de fora da nossa rede, mas isso nem sempre é verdade. As defesas de borda estão cada vez mais pesadas, eficientes e monitoradas. É muito mais simples para um atacante efetuar sua ação “de dentro” da rede. Pág. 6 - Por que devemos nos Proteger? Evitar e minimizar prejuízos: -Roubo de dados -Furtos -Vírus -Worms Identificar ataques a sistemas em tempo hábil. Pág. 7 – Tipos de proteção: O nome proteção é dado às medidas que, quando implementadas, visam a minimizar os riscos dos ativos sofrerem prejuízos. Por Tipo: - Lógica: Permissões em sistemas de arquivos, firewalls, IDS. - Física: sistemas contra incêndio, guarda armada, utilização de cofres. - Administrativa: Políticas, normas e procedimentos. Segurança x Segurança da Informação Resumidamente, na SI o foco é um tipo específico de ativo, chamado de ativo de informação. CAIIII Pág. 8 - Requisitos Básicos da Segurança: -Confidencialidade: Certeza que somente as pessoas autorizadas a acessar os dados podem acessá-los. -Integridade: Certeza que os dados não foram alterados. Por acidente ou intencionalmente. -Disponibilidade: Certeza que os dados estão acessíveis quando e onde forem necessários. CAIIII Pág. 9 – Elementos Requisitos Básicos da Segurança: -Confidencialidade: > Criptografia dos dados – Se capturados permanecem sigilosos pois encontram- se embaralhados. > Controle de acesso - Uso de credenciais. -Integridade: > Assinatura digital - Permite que o destino da mensagem tenha certeza de que o mesmo foi enviado pela origem correta. > MD5-Hash – Um arquivo deve produzir um resumo, que, por meio de técnicas de criptografia será checado no destino. -Disponibilidade: > Backup - Cópia de segurança. > Tolerância a falhas – Dispositivos com duplicidade de componentes. >Redundância - Sistemas ou dispositivos em duplicidade. Pág. 10 – Premissa fundamental - não existe segurança absoluta ou 100%. Custo x Benefício Não deve ser vista pela perspectiva do ativo e sim pelo objetivo da organização. Pág. 11 – Terminologias Valor - É a importância de um ativo para a organização. Pode ser mensurado pelo: valor financeiro, o lucro que ele provê, o custo de substituição, ou propriedades abstratas, como a reputação negativa de uma empresa. Ameaça - Evento que tem potencial para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas. Um incêndio ou um roubo são exemplos de ameaça. Vulnerabilidade - A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. São as vulnerabilidades que permitem que as ameaças se concretizem. Impacto - Tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas. Diferentes ameaças possuem impactos diferentes. Risco - Medida que indica a probabilidade de uma determinada ameaça se concretizar, combinada com o impacto. É a principal métrica gerencial de SI. Quanto maior probabilidade de uma determinada ameaça ocorrer junto ao impacto que ela trará, maior será o risco associado a este incidente. Alvo – Um ativo de TI identificado como relevante para um atacante. Ataque – Uma ação que explora uma vulnerabilidade, objetivando comprometer a segurança de um sistema. Fazendo uso de EXPLOITS. Exploits – Uma peça de código de software para explorar uma vulnerabilidade. Zero Day – Vulnerabilidade ainda não descoberta pelo fabricante ou não corrigida por ele. Um Exploit que explore um Zero Day fatalmente não terá defesa. Pág. 13 – Defesa Cibernética X Guerra Cibernética X SegInfo -SegInfo – Refere-se a qualquer ação para proteção dos princípios básicos da segurança da informação (CID). -Defesa Cibernética - Ações defensivas que visam atingir o máximo de proteção através de técnicas/ferramentas... -Guerra Cibernética- Ações ofensivas e de exploração que visam atingir um ou mais dos princípios básicos em proveito de uma ação planejada. CAIIII Pág. 16 – Estratégias de Proteção >Privilégio mínimo - Ao se configurar as permissões de um usuário em um sistema, devemos fazê-lo de forma que ele nunca tenha permissões além daquelas necessárias ao desempenho de suas funções. >Defesa em profundidade - Múltiplas barreiras entre quem ataca e o recurso que se quer proteger. >Estratégias de proteção - Para que esta estratégia seja eficaz as defesas devem possuir diversidade. Garante que um atacante enfrentará diferentes problemas para violar. >Elo mais fraco - A tarefa de defender um sistema é assimétrica. Os usuários normalmente são o elo mais fraco. >Ponto de estrangulamento - Centraliza a prévia identificação. Exige menor investimento. >Segurança por obscuridade - Quanto menos informações um atacante tiver a respeito do seu ambiente, maior a dificuldade de obter acesso. >Simplicidade - Quanto mais complicado um sistema, maior a dificuldade de torná-lo seguro e maior o número de ameaças. CAIIII Pág. 18 – Desafios Atuais -Aumento da exposição - Os sistemas ficaram expostos a um número infinitamente maior de pessoas. -Convergência - Diversos dispositivos se conectam à Internet o que propicia maior tráfego de informações por um mesmo meio, facilitando o acesso de pessoas mal-intencionadas. -Os problemas tecnológicos - Não há sistemas computacionais invioláveis. Sistemas são desenvolvidos por pessoas que podem cometerem erros. -Leis, regulamentações e normas - Normas surgem para tornar homogêneo o assunto entre diferentes organizações em diferentes países. Pág. 19 – Como se defender? Prevenção – Configuração de dispositivos de proteção, instalação de antivírus e manutenção dos mesmos sempre atualizados. Detecção – Monitoramento da rede, implantação de sistemas de detecção de intrusão, monitoramento de logs de sistema. Resposta – Acionamento de uma equipe de resposta a incidentes até uma equipe de perícia forense, a qual determinará o que aconteceu, por que aconteceu e possível origem do ataque. Políticas de segurança – Definição e implantação de políticas que definem quais as medidas e procedimentos devem ser seguidos, para aumentar o nível de segurança. Pág. 21 – Contexto de aplicação e operacional da SegInfo na MB Publicações: > DGMM-0540 – SegInfo >EMA-416 vol.1 – Doutrina de tecnologia da informação >EMA-416 vol.2 – Manual de Guerra Cibernética São 2 contextos de APLICAÇÃO: >Operativo (ComOpNav) >Administrativo (DGMM) São 4 contextosOperacionais da SegInfo: Espaço Cibernético (Eciber) é como um novo ambiente operacional. CIIIBEEEEERNÉTICOOOOO TERRESTRE ------ MARÍTIMO -------- AEROESPACIAL CAIIII Pág.23 – A Guerra Cibernética na MB Ações de Guerra Cibernética: SÃO TRÊS Proteção Cibernética – Representam um conjunto de atividades com características defensivas, visando garantir que o Eciber-MB continue operando, mesmo sob ataque. Exploração Cibernética – Buscam acessar dados, informações de interesse, e também, conhecer aspectos da estrutura do Eciber do oponente, a fim de facilitar um eventual ataque. Com essas informações torna-se possível: (1) construir uma imagem do Eciber de interesse, e consequentemente, apoiar o planejamento da ações de ataque e de proteção cibernéticos; e (2) contribuir para o cumprimento da missão do Sistema de Informação da Marinha (SIMAR). As ações de exploração cibernética são divididas em três grandes segmentos: inteligência, reconhecimento e vigilância. Ataque Cibernético – Representam um conjunto de atividades com características ofensivas, visando ao cumprimento da missão. Tais atividades compreendem, dentre outras, interromper, negar, degradar, corromper ou destruir informações no Eciber de interesse. As ações de ataque cibernético estão divididas nas seguintes fases sequenciais: reconhecimento; busca e análise de vulnerabilidades; acesso; escalada de privilégios; exfiltração; assalto; sustentação; e ofuscação. Pág.24/25 Estruração do espaço cibernético na MB: 1->Estrutura de Gestão de SegInfo. (Mais estática) COTIM – Conselho –------------ > COTEC-TI – ComissãoTéc. | DCTIM/GSIC.MB –-------------- > CSIC.MB – Comitê | CTIM/ETIR.MB – Equipe de Trat e Resp a Incid em Redes | CLTI – Centros Locais de Tecnologia da Informação (GOA) | OSID – Oficiais de Segurança da Informação Digital das OM Pág.35/36 2- >Estrutura da Defesa do Espaço Cibernético.(mais dinâmica.) A Defesa do Eciber-MB é atribuição de todas as OM, CLTI e ctim. DGMM ------------------ > ComOpNav | DCTIM/GSIC.MB | CTIM/ETIR.MB | CLTI | OM A MB adota uma metodologia composta de 5 etapas para a organização e a condução das ações de proteção cibernética: 1ª Etapa - estudo e análise das ameaças; 2ª Etapa - análise de risco do ECiber-MB e estudo de vulnerabilidades; 3ª Etapa - monitoramento do ECiber de interesse e ações de inteligência; 4ª Etapa - estabelecimento do nível de alarme cibernético; e 5ª Etapa - associação à categoria de ameaças. CAIIII Pág.37 – Alarme Cibernético Escala progressiva do nível do risco de ocorrência de ataques cibernéticos e contribui para a coordenação das ações de proteção cibernética do Eciber-MB. As atividades administrativas cotidianas, é de responsabilidade do DGMM, passando ao ComOpNav, de acordo com a evolução do quadro tático, e com o aumento do grau de alarme. Descrição dos alarmes • Branco – Tempo de paz, situação normal. • Azul – Tempo de paz, possibilidade de ataques. • Amarelo – Tempo de paz, ataques prováveis (ameaça real). • Laranja – Tempo de paz, ataques em curso. • Vermelho – Tempo de paz: Comprometimento de sistemas; Tempo de guerra: Acionado mesmo sem evidências de ataques. Pág.40 - Atribuições e Responsabilidades >Nas ações de Proteção Cibernética Atribuições do ComOpNav - 1- Determinar as medidas defensivas ativas. 2- Níveis de alarme laranja e vermelho. 3- Acompanhar as ações de proteção cibernética na fase administrativa, sob responsabilidade da DGMM. Atribuições da DGMM - 1- Determinar as medidas defensivas passivas. 2- Estabelecer os níveis de alarme branco, azul, amarelo e para laranja e vermelho apenas na mudança de fase administrativa para a fase operativa. Atribuições da DCTIM - 1- Definir as ferramentas e os procedimentos adotados pelas OM 2- Assessorar a DGMM e o ComOpNav. Atribuições do CTIM 1- Executar a defesa interna e externa do Eciber-MB. 2- Efetuar a coordenação, por meio da ETIR, com os outros órgãos da Administração Pública Federal. >Nas ações de Exploração e Ataque Cibernética Atribuições do ComOpNav - 1- Planejar, coordenar e controlar todas as ações de exploração e ataque cibernéticos. Atribuições da DGMM - 1- Apoiar o ComOpNav com pessoal e material para a realização das ações. Atribuições da DCTIM - 1- Assessorar o ComOpNav. Atribuições do CTIM - 1- Executar as ações de exploração e ataque cibernéticos, auxiliado por outras ou equipes.