Prévia do material em texto
© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 1 Capítulo 6: O conceito dos cinco noves Cybersecurity Essentials v1.0 Presentation_ID 2© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Capítulo 6 - Seções e Objetivos 6.1 Alta disponibilidade Explique o conceito de alta disponibilidade. 6.2 Medidas para melhorar a disponibilidade Explique como as medidas de alta disponibilidade são usadas para melhorar a disponibilidade. 6.3 Resposta a incidentes Descreva como um plano de resposta a incidente melhora a alta disponibilidade. 6.4 Recuperação de desastres Descreva como o planejamento de recuperação de desastres tem uma função importante na implementação da alta disponibilidade. © 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 3 2.1 Alta disponibilidade Presentation_ID 4© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Alta disponibilidade Os cinco noves O que são os cinco noves? ▪ Cinco noves significam que os sistemas e serviços estão disponíveis 99,999% do tempo. Também significam que o tempo de inatividade planejado e não planejado é menor que 5,26 minutos por ano. A alta disponibilidade refere-se a um sistema ou componente continuamente operacional por um determinado período. Para ajudar a garantir a disponibilidade: ▪ Eliminar pontos únicos de falha ▪ Design para confiabilidade ▪ Detectar falhas à medida que ocorrem Presentation_ID 5© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Alta disponibilidade Os cinco noves (cont.) Ambientes que precisam dos cinco noves Embora o custo de sustentar a alta disponibilidade possa ser muito alto para alguns setores, vários ambientes necessitam de cinco noves. ▪ O setor financeiro precisa manter uma alta disponibilidade para negociação contínua, conformidade e confiança do cliente. ▪ As instalações de serviços de saúde necessitam de alta disponibilidade para fornecer cuidados ininterruptos aos pacientes. ▪ O setor de segurança pública inclui órgãos que fornecem segurança e serviços a uma comunicada, Estado ou nação. ▪ O setor de varejo depende de cadeias de abastecimento eficientes e da entrega de produtos aos clientes. A interrupção pode ser devastadora, especialmente durante os períodos de alta demanda, como feriados comemorativos. Presentation_ID 6© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Alta disponibilidade Os cinco noves (cont.) Ameaças à disponibilidade Existem muitos tipos diferentes de ameaças à alta disponibilidade. Elas podem variar da falha de um aplicativo de missão crítica a uma tempestade forte, como um furacão ou tornado. As ameaças também podem incluir eventos catastróficos, como um ataque terrorista, bombardeio de edifícios ou incêndio no edifício. Projetar um sistema de alta disponibilidade A alta disponibilidade incorpora três principais princípios para alcançar a meta de acesso ininterruptos aos dados e serviços: ▪ Eliminação ou redução de pontos únicos de falha ▪ Resiliência do sistema ▪ Tolerância a falhas © 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 7 2.2 Medidas para melhorar a disponibilidade Presentation_ID 8© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Medidas para melhorar a disponibilidade Gerenciamento de ativos Uma empresa precisa saber quais ativos de hardware e software têm, a fim de protegê-los. O gerenciamento de ativos inclui um inventário completo de hardware e software. Isso significa que a empresa precisa saber todos os componentes que podem estar sujeitos a riscos de segurança, incluindo: • Cada sistema de hardware • Cada sistema operacional • Cada dispositivo de rede de hardware • Cada sistema operacional do dispositivo de rede • Cada aplicativo • Todos os firmwares • Todos os runtime environments de linguagens • Todas as bibliotecas individuais Muitas empresas podem escolher uma solução automatizada para controlar os ativos. Presentation_ID 9© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Medidas para melhorar a disponibilidade Gerenciamento de ativos (Cont.) ▪ Classificação de ativos - atribui todos os ativos de uma empresa a um grupo com base em características comuns. Uma empresa deve aplicar um sistema de classificação de ativos para documentos, registros de dados, arquivos de dados e discos. ▪ Padronização de ativos - como parte de um sistema de gerenciamento de ativos de TI, uma empresa especifica os ativos de TI aceitáveis que atendam a seus objetivos ▪ Identificação de ameaças - o United States Computer Emergency Readiness Team (US-CERT) e o departamento de segurança interna dos EUA patrocinam um dicionário de Common Vulnerabilities and Exposures (CVE, dicionário de Vulnerabilidades e Exposições Comuns). O CVE contém um número de identificadores padrão com uma breve descrição e referências para avisos e relatórios de vulnerabilidade relacionados. ▪ Análise de risco - é o processo de analisar os perigos representados pelos eventos naturais e causados por seres humanos aos ativos de uma empresa. Um usuário realiza a identificação de ativos para ajudar a determinar quais ativos serão protegidos. ▪ Mitigação - mitigação envolve reduzir a severidade da perda ou a probabilidade de a perda ocorrer. Muitos controles técnicos mitigam riscos, incluindo sistemas de autenticação, permissões de arquivo e firewalls. Presentation_ID 10© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Medidas para melhorar a disponibilidade Defesa em profundidade A defesa em profundidade não fornecerá um escudo cibernético impenetrável, mas ajudará a empresa a minimizar riscos, mantendo-se um passo à frente dos criminosos virtuais. Para garantir que as informações e os dados permaneçam disponíveis, uma empresa deve criar diferentes camadas de proteção: ▪ Uma abordagem em camadas oferece a proteção mais abrangente. Se criminosos virtuais penetrarem uma camada, eles ainda precisarão lidar com várias outras camadas, cada uma mais complicada que a anterior. A disposição em camadas é a criação de uma barreira de várias defesas que, juntas, coordenam-se para prevenir ataques. ▪ Limitar o acesso aos dados e às informações reduz a possibilidade de uma ameaça. Uma empresa deve restringir o acesso, de modo que os usuários somente tenham o nível de acesso necessário para fazer o trabalho. Presentation_ID 11© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Medidas para melhorar a disponibilidade Defesa em profundidade ▪ A diversidade se refere a mudar os controles e procedimentos em diferentes camadas. Quebrar uma camada de segurança não compromete todo o sistema. Uma empresa pode usar diferentes algoritmos de criptografia ou sistemas de autenticação para proteger os dados em diferentes estados. ▪ Ocultar informações também pode proteger dados e informações. Uma empresa não deve revelar informações que os criminosos virtuais poderiam usar para descobrir em qual versão do sistema operacional um servidor é executado ou o tipo de equipamento que ele usa. ▪ A complexidade não garante necessariamente a segurança. Se o processo ou a tecnologia for muito complexo, o resultado pode ser configurações incorretas ou a falha de conformidade. Na verdade, a simplicidade pode melhorar a disponibilidade. Presentation_ID 12© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Medidas para melhorar a disponibilidade Redundância Um ponto de falha único deve ser identificado e abordado. Um ponto de falha único pode ser uma parte específica do hardware, um processo, uma parte específica de dados ou até mesmo um utilitário essencial. • Únicos pontos de falha são links fracos na cadeiaque podem provocar interrupção das operações da empresa. • Geralmente, a solução para um único ponto de falha é modificar a operação crítica, de modo que não confie em um único elemento. • A empresa também pode criar componentes redundantes na operação crítica, com o objetivo de assumir o processo, caso algum desses pontos falhem. Presentation_ID 13© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Medidas para melhorar a disponibilidade Redundância (cont.) ▪ A redundância N + 1 garante a disponibilidade do sistema no caso da falha de um componente. ▪ Os componentes (N) precisam ter, no mínimo, um componente de backup (+1). ▪ Por exemplo, um carro tem quatro pneus (N) e um pneu sobressalente no porta- malas, caso um fure (+1). Presentation_ID 14© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Medidas para melhorar a disponibilidade Redundância (cont.) ▪ A matriz redundante de discos independentes (RAID) combina vários discos rígidos físicos em uma única unidade lógica para oferecer redundância de dados e melhorar o desempenho. ▪ O RAID obtém os dados normalmente armazenados em um único disco e os espalha entre várias unidades. Se qualquer disco único for perdido, o usuário poderá recuperar os dados de outros discos que também hospedam os dados. ▪ O RAID também pode aumentar a velocidade da recuperação de dados. ▪ O uso de várias unidades agiliza a recuperação de dados solicitados, em vez de depender de apenas um disco para fazer o trabalho. ▪ Uma solução RAID pode ser baseada em software ou hardware. Os termos a seguir descrevem como a RAID armazena dados nos vários discos: • Paridade - Detecta erros de dados. • Distribuição - Grava dados em várias unidades. • Espelhamento - Armazena dados duplicados em uma segunda unidade. Presentation_ID 15© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Medidas para melhorar a disponibilidade Redundância (cont.) Spanning Tree é um protocolo de rede que oferece para a redundância: ▪ A função básica do STP é prevenir loops em uma rede, quando os switches se interconectarem por vários caminhos. ▪ O STP garante que os links físicos redundantes estejam sem loop. Ele garante que haja somente um caminho lógico entre todos os destinos na rede. ▪ O STP bloqueia intencionalmente os caminhos redundantes que poderiam provocar um loop. Presentation_ID 16© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Medidas para melhorar a disponibilidade Redundância (cont.) O gateway padrão é normalmente o roteador que fornece aos dispositivos o acesso para o resto da rede ou para a Internet. Se houver somente um roteador como gateway padrão, é um único ponto de falha. A redundância do roteador envolve: ▪ Optar por instalar um roteador em espera adicional. ▪ A capacidade de uma rede de se recuperar dinamicamente da falha de um roteador que atua como um gateway padrão é conhecida como redundância de primeiro salto. Presentation_ID 17© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Medidas para melhorar a disponibilidade Redundância (cont.) Opções de redundância do roteador - as opções disponíveis para a redundância do roteador incluem: ▪ Hot Standby Router Protocol (HSRP) - o HSRP fornece alta disponibilidade ao fornecer redundância de roteamento do primeiro salto. ▪ Protocolo de redundância de roteador (VRRP) - um roteador VRRP executa o protocolo VRRP em conjunto com um ou mais roteadores conectados a uma LAN. Em uma configuração de VRRP, o roteador eleito é o roteador virtual mestre, e os outros roteadores atuam como backup, se o roteador virtual mestre falhar. ▪ Protocolo de balanceamento de carga do gateway (GLBP) - o GLBP protege o tráfego de dados de um roteador ou um circuito com falha, como HSRP e VRRP, ao mesmo tempo que também permite o balanceamento de carga (também chamado de compartilhamento de carga) entre um grupo de roteadores redundantes. Presentation_ID 18© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Medidas para melhorar a disponibilidade Redundância (cont.) Redundância de local - uma empresa pode precisar considerar a redundância de local, dependendo de suas necessidades. Os seguintes itens definem três formas de redundância de local: ▪ Síncrono - sincroniza os dois locais em tempo real, requer alta largura de banda e os locais devem estar próximos um do outro para reduzir a latência. ▪ Replicação assíncrona - não sincroniza em tempo real, mas próximo a isso, requer menos largura de banda e os locais podem estar mais distantes porque a latência não é tanto um problema. ▪ Replicação em um momento específico - atualiza a localização de backup de dados periodicamente e é a opção mais conservadora de largura de banda, porque não exige uma conexão constante. Presentation_ID 19© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Medidas para melhorar a disponibilidade Resiliência do sistema A resiliência define os métodos e as configurações usadas para fazer um sistema ou uma rede tolerante a falhas. Os protocolos de roteamento fornecem resiliência. O design resiliente é mais do que simplesmente adicionar redundância. A resiliência é fundamental para compreender as necessidades corporativas da empresa, para depois incorporar a redundância e criar uma rede resiliente. © 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 20 6.3 Fases da resposta a incidentes Presentation_ID 21© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Resposta a incidentes Fases da resposta a incidentes A resposta a incidentes define os procedimentos que uma empresa segue após a ocorrência de um evento fora do intervalo normal. Quando ocorre um incidente, a empresa deve saber como responder. As empresas precisam desenvolver um plano de resposta a incidentes e montar uma Equipe de resposta a incidentes de segurança do computador (CSIRT) para gerenciar a resposta. A resposta a incidentes consiste em quatro fases: 1. Preparação - planejamento para possíveis incidentes 2. Detecção e análise - descoberta do incidente 3. Contenção e erradicação e recuperação - esforços para conter ou erradicar a ameaça imediatamente e começar os esforços de recuperação 4. Acompanhamento pós-incidente - investigar a causa do incidente e fazer perguntas para entender melhor a natureza da ameaça Presentation_ID 22© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Resposta a incidentes Tecnologias da resposta a incidentes Existem muitas tecnologias que são usadas para implementar uma resposta a incidentes: ▪ Network Admission Control (NAC) - permite o acesso à rede para usuários autorizados com sistemas em conformidade. Um sistema em conformidade atende a todos os requisitos de política da empresa. ▪ Sistemas de detecção de invasão (IDSs) - monitoram o tráfego na rede. Os IDS são passivos. ▪ Sistemas de prevenção de intrusões - operam no modo em linha. Ele consegue detectar e resolver imediatamente um problema de rede. ▪ NetFlow e IPFIX - NetFlow é uma tecnologia Cisco IOS que fornece estatísticas em pacotes que passam por meio de um switch multicamadas ou de um roteador da Cisco. A Força-tarefa de engenharia da Internet (IETF, Internet Engineering Task Force) usou o NetFlow da Cisco, versão 9, como base para o exportação de informações de fluxo de IP (IPFIX). ▪ Inteligência de ameaças avançada - pode ajudar as empresas a detectarem ataques durante uma das etapas do ataque digital (e, às vezes, antes dele, com a informação correta). © 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 23 2.4 Recuperação de desastres Presentation_ID 24© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Recuperaçãode desastres Planejamento da recuperação de desastres Tipos de desastres - é fundamental manter uma empresa funcionamento quando ocorre um desastre. Um desastre inclui qualquer evento natural ou causado por humanos que danifica os ativos ou propriedade e prejudica a capacidade de operação da empresa. ▪ Desastres naturais - desastres geológicos (terremotos, deslizamentos de terra, vulcões e tsunamis), desastres meteorológicos (furacões, tornados, nevascas, raios e granizo), desastres de saúde (doenças generalizadas, quarentenas e pandemias) e desastres diversos (incêndios, inundações, tempestades solares e avalanches). ▪ Catástrofes causadas por seres humanos - catástrofes causadas por seres humanos (greves, passeatas e greve por lentidão), eventos sócio- políticos (vandalismo, bloqueios, protestos, sabotagem, terrorismo e guerra), eventos materiais (derramamentos perigosos e incêndios) e interrupções de utilitários (falhas de energia, falhas de comunicação, escassez de combustível e precipitação radioativa) Presentation_ID 25© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Recuperação de desastres Planejamento de continuidade dos negócios Necessidade de continuidade dos negócios - continuidade dos negócios é um dos conceitos mais importantes na segurança computacional. Mesmo que as empresas façam o que podem para evitar desastres e perda de dados, é impossível prever todos os cenários. É importante que as empresas tenham planos implementados para garantir a continuidade dos negócios, independentemente do que possa ocorrer. Considerações sobre a continuidade dos negócios - os controles de continuidade dos negócios são mais do que apenas fazer backup de dados e fornecer hardware redundante. Considerações sobre a continuidade dos negócios devem incluir: ▪ Documentação de configurações ▪ Estabelecimento de canais de comunicação alternativos ▪ Fornecimento de energia ▪ Identificação de todas as dependências para aplicações e processos ▪ Compreensão de como realizar essas tarefas automatização manualmente Presentation_ID 26© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Recuperação de desastres Planejamento de continuidade dos negócios Melhores práticas de continuidade dos negócios 1. Escrever uma política que forneça orientações para desenvolver o plano de continuidade dos negócios e atribuir funções para realizar as tarefas. 2. Identificar os processos e sistemas importantes e priorizá-los com base na necessidade. 3. Identifique vulnerabilidades, ameaças e calcule os riscos. 4. Identifique e implemente controles e contramedidas para reduzir o risco. 5. Planeje métodos para recuperar rapidamente os sistemas críticos. 6. Escrever os procedimentos para manter a empresa funcionando quando estiver em um estado caótico. 7. Teste o plano. 8. Atualize o plano regularmente. © 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 27 6.5 Resumo do Capítulo Presentation_ID 28© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco ▪ Este capítulo começou a explicar o conceito dos cinco noves, um padrão de alta disponibilidade que permite 5,26 minutos de tempo de inatividade por ano. ▪ Este capítulo discutiu as várias abordagens das empresas para garantir a disponibilidade do sistema. ▪ Um design de sistema sólido inclui medidas de acomodação que fornecem redundância e resiliência, para que uma empresa possa se recuperar rapidamente e continuar a operação. ▪ O capítulo também discutiu como uma empresa responde a um incidente ao estabelecer procedimentos a serem seguidos após um evento. ▪ Este capítulo concluiu com uma discussão da recuperação de desastres e do planejamento de continuidade dos negócios. Resumo do capítulo Resumo Presentation_ID 29© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco Presentation_ID 30© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco