Baixe o app para aproveitar ainda mais
Prévia do material em texto
Indaial – 2021 Análise de VulnerAbilidAde de riscos Prof. Carlos André de Sousa Rocha Prof. Jorge Werner Prof.a Muriel de Fátima Bernhardt 1a Edição Copyright © UNIASSELVI 2021 Elaboração: Prof. Carlos André de Sousa Rocha Prof. Jorge Werner Prof.a Muriel de Fátima Bernhardt Revisão, Diagramação e Produção: Centro Universitário Leonardo da Vinci – UNIASSELVI Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri UNIASSELVI – Indaial. Impresso por: R672a Rocha, Carlos André de Sousa Análise de vulnerabilidade de riscos. / Carlos André de Sousa Rocha; Jorge Werner; Muriel de Fátima Bernhardt. – Indaial: UNIASSELVI, 2021. 210 p.; il. ISBN 978-65-5663-398-5 ISBN Digital 978-65-5663-399-2 1. Vulnerabilidade de segurança. - Brasil. I. Rocha, Carlos André de Sousa. II. Werner, Jorge. III. Bernhardt, Muriel de Fátima. IV. Centro Universitário Leonardo Da Vinci. CDD 004 ApresentAção Prezado acadêmico! O Livro Didático “Análise de Vulnerabilidade de Riscos” apresentará a você conhecimentos sobre os conceitos de vulnerabilidades e riscos: os principais tipos de vulnerabilidades; as ferramentas para análise de vulnerabilidade de segurança; a análise de vulnerabilidade; as principais técnicas de varreduras de vulnerabilidade, incluindo vulnerabilidades on-line e testes de invasão. Caro acadêmico, os problemas de segurança estão presentes cada vez mais em no nosso dia a dia. Com o advento da computação e a crescente utilização das redes de computadores, as rotinas de segurança se tornaram essenciais para o bom funcionamento dos negócios, negócios cada vez mais dependentes da tecnologia. Vários são os desafios, no tocante à proteção dos usuários e de seus dados nos computadores e nas redes. A análise de vulnerabilidades de riscos busca auxiliar na identificação e correção das falhas de segurança. Na Unidade 1 serão apresentados os principais conceitos relacionados à análise de vulnerabilidades e riscos: falaremos sobre o que é a gestão de riscos, e trataremos das diferenças entre as ameaças e os ataques. Conceitos básicos relacionados à análise de vulnerabilidade também serão introduzidos nesta unidade. Na sequência, na Unidade 2, você aprofundará seus estudos sobre os principais tipos de vulnerabilidades e como são classificadas, para logo em seguida conhecer algumas ferramentas de análise de vulnerabilidade e verificar a utilização prática de uma ferramenta específica, além de conhecer como é preparado o ambiente para a utilização da referida ferramenta. Encerrando sua caminhada, na Unidade 3 você será apresentado às diferentes técnicas de varreduras que podem ser aplicadas em um ambiente computacional e se aprofundará sobre as vulnerabilidades on- line. Por fim, você estudará os testes de invasão, conhecendo seu conceito e suas principais características. Este é o fascinante mundo da segurança da informação em redes. Aproveite, revise e construa novos conceitos que inevitavelmente farão parte de sua vida. Bons estudos e sucesso na sua vida acadêmica! Prof. Jorge Werner Prof. Carlos André de Sousa Rocha Prof.a Muriel de Fátima Bernhardt Você já me conhece das outras disciplinas? Não? É calouro? Enfim, tanto para você que está chegando agora à UNIASSELVI quanto para você que já é veterano, há novidades em nosso material. Na Educação a Distância, o livro impresso, entregue a todos os acadêmicos desde 2005, é o material base da disciplina. A partir de 2017, nossos livros estão de visual novo, com um formato mais prático, que cabe na bolsa e facilita a leitura. O conteúdo continua na íntegra, mas a estrutura interna foi aperfeiçoada com nova diagramação no texto, aproveitando ao máximo o espaço da página, o que também contribui para diminuir a extração de árvores para produção de folhas de papel, por exemplo. Assim, a UNIASSELVI, preocupando-se com o impacto de nossas ações sobre o ambiente, apresenta também este livro no formato digital. Assim, você, acadêmico, tem a possibilidade de estudá-lo com versatilidade nas telas do celular, tablet ou computador. Eu mesmo, UNI, ganhei um novo layout, você me verá frequentemente e surgirei para apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assunto em questão. Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas institucionais sobre os materiais impressos, para que você, nossa maior prioridade, possa continuar seus estudos com um material de qualidade. Aproveito o momento para convidá-lo para um bate-papo sobre o Exame Nacional de Desempenho de Estudantes – ENADE. Bons estudos! NOTA Olá, acadêmico! Iniciamos agora mais uma disciplina e com ela um novo conhecimento. Com o objetivo de enriquecer seu conhecimento, construímos, além do livro que está em suas mãos, uma rica trilha de aprendizagem, por meio dela você terá contato com o vídeo da disciplina, o objeto de aprendizagem, materiais complementares, entre outros, todos pensados e construídos na intenção de auxiliar seu crescimento. Acesse o QR Code, que levará ao AVA, e veja as novidades que preparamos para seu estudo. Conte conosco, estaremos juntos nesta caminhada! LEMBRETE sumário UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE .................................... 1 TÓPICO 1 — FUNDAMENTOS DA GESTÃO DE RISCO ........................................................... 3 1 INTRODUÇÃO .................................................................................................................................... 3 2 CONCEITOS SOBRE RISCO ............................................................................................................ 4 3 PRINCÍPIOS DA AVALIAÇÃO DE RISCO ................................................................................... 7 RESUMO DO TÓPICO 1..................................................................................................................... 15 AUTOATIVIDADE .............................................................................................................................. 17 TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE ................................................................. 19 1 INTRODUÇÃO .................................................................................................................................. 19 2 AMEAÇAS ........................................................................................................................................... 20 2.1 MODELAGEM DE AMEAÇAS .................................................................................................. 29 3 ATAQUES ............................................................................................................................................ 32 RESUMO DO TÓPICO 2..................................................................................................................... 38 AUTOATIVIDADE .............................................................................................................................. 40 TÓPICO 3 — FUNDAMENTOS DAS VULNERABILIDADES .................................................. 43 1 INTRODUÇÃO .................................................................................................................................. 43 2 FUNDAMENTOS DA GESTÃO DE SEGURANÇA .................................................................. 43 3 VULNERABILIDADES .................................................................................................................... 45 3.1 IDENTIFICAÇÕES DE AMEAÇAS E VULNERABILIDADES .............................................. 49 LEITURA COMPLEMENTAR ............................................................................................................ 58 RESUMO DO TÓPICO 3..................................................................................................................... 65 AUTOATIVIDADE ..............................................................................................................................67 REFERÊNCIAS ...................................................................................................................................... 69 UNIDADE 2 — TIPOS E FERRAMENTAS PARA ANÁLISE DE VULNERABILIDADES........... 71 TÓPICO 1 — PRINCIPAIS TIPOS DE VULNERABILIDADES ................................................. 73 1 INTRODUÇÃO .................................................................................................................................. 73 2 TIPOS DE VULNERABILIDADES ................................................................................................ 73 3 CLASSIFICAÇÃO DAS VULNERABILIDADES........................................................................ 77 3.1 CVE ................................................................................................................................................. 79 3.2 CWE ................................................................................................................................................ 85 RESUMO DO TÓPICO 1..................................................................................................................... 90 AUTOATIVIDADE .............................................................................................................................. 91 TÓPICO 2 — FERRAMENTAS PARA ANÁLISE DE VULNERABILIDADES ........................ 95 1 INTRODUÇÃO .................................................................................................................................. 95 2 EXEMPLOS DE FERRAMENTAS PARA ANÁLISE DE VULNERABILIDADES ................ 95 2.1 NESSUS .......................................................................................................................................... 98 2.2 OPENVAS ...................................................................................................................................... 99 2.3 ACUNETIX .................................................................................................................................. 100 2.4 GFI LANGUARD ........................................................................................................................ 101 2.5 NEXPOSE ..................................................................................................................................... 102 3 APLICAÇÃO PRÁTICA DE UMA FERRAMENTA ................................................................. 103 RESUMO DO TÓPICO 2................................................................................................................... 112 AUTOATIVIDADE ............................................................................................................................ 113 TÓPICO 3 — FUNDAMENTOS SOBRE O AMBIENTE ............................................................ 117 1 INTRODUÇÃO ................................................................................................................................ 117 2 CONCEITO SOBRE O AMBIENTE ............................................................................................. 117 3 INSTALAÇÃO E CONFIGURAÇÃO DO AMBIENTE ............................................................ 118 LEITURA COMPLEMENTAR .......................................................................................................... 133 RESUMO DO TÓPICO 3................................................................................................................... 134 AUTOATIVIDADE ............................................................................................................................ 135 REFERÊNCIAS .................................................................................................................................... 138 UNIDADE 3 — ANÁLISE DE VULNERABILIDADES .............................................................. 141 TÓPICO 1 — TÉCNICAS DE VARREDURAS DE VULNERABILIDADES........................... 143 1 INTRODUÇÃO ................................................................................................................................ 143 2 TÉCNICAS DE VARREDURAS .................................................................................................... 143 2.1 TCP SYN (HALF SCAN) ........................................................................................................... 148 2.2 TCP CONNECT (OPEN SCAN) ............................................................................................... 148 2.3 UDP (OPEN SCAN) ................................................................................................................... 149 2.4 VARREDURAS BASEADAS NA RFC 793 .............................................................................. 150 2.4.1 TCP FIN (STEALTH) ......................................................................................................... 151 2.4.2 TCP XMAS TREE (STEALTH) ......................................................................................... 152 2.4.3 TCP NULL (STEALTH) .................................................................................................... 152 2.5 TCP ACK (STEALTH) ................................................................................................................ 153 2.6. TCP WINDOW ........................................................................................................................... 154 3 APLICAÇÃO DAS TÉCNICAS DE VARREDURAS ................................................................ 155 3.1 USO DO NMAP PARA A APLICAÇÃO DAS TÉCNICAS DE VARREDURAS ESTUDADAS ............................................................................................................................... 155 3.1.1 Varredura de uma grande rede para uma porta TCP específica ................................ 157 3.1.2 Aplicação da técnica TCP CONNECT ............................................................................ 158 3.1.3 Aplicação da técnica TCP SYN ....................................................................................... 158 3.1.4 Aplicação da técnica TCP FIN ......................................................................................... 159 3.1.5 Varredura para encontrar todos os servidores rodando uma aplicação insegura .......... 160 3.1.6 Varredura customizada para a detecção de proxies abertos ....................................... 160 3.1.7 Varredura para detectar pontos de acesso wireless falsos .......................................161 RESUMO DO TÓPICO 1................................................................................................................... 163 AUTOATIVIDADE ............................................................................................................................ 164 TÓPICO 2 — VULNERABILIDADES ON-LINE ......................................................................... 167 1 INTRODUÇÃO ................................................................................................................................ 167 2 PRINCIPAIS VULNERABILIDADES ON-LINE ....................................................................... 167 3 APLICAÇÃO DAS VULNERABILIDADES ON-LINE ............................................................ 179 RESUMO DO TÓPICO 2................................................................................................................... 184 AUTOATIVIDADE ............................................................................................................................ 185 TÓPICO 3 — TESTES DE INVASÃO ............................................................................................. 189 1 INTRODUÇÃO ................................................................................................................................ 189 2 CONCEITO DE TESTE DE INVASÃO ....................................................................................... 189 2.1 ETAPAS DE UM TESTEDE INVASÃO ................................................................................... 194 3 TIPOS DE TESTE DE INVASÃO ................................................................................................. 197 3.1 TESTE WHITE BOX (CAIXA BRANCA) ................................................................................. 199 3.2 TESTE GRAY BOX (CAIXA CINZA) ....................................................................................... 199 3.3 TESTE BLACK BOX (CAIXA PRETA) ..................................................................................... 199 3.4 ENGENHARIA SOCIAL ........................................................................................................... 200 3.5 HACKING DE DISPOSITIVOS MÓVEIS ................................................................................ 200 LEITURA COMPLEMENTAR .......................................................................................................... 201 RESUMO DO TÓPICO 3................................................................................................................... 203 AUTOATIVIDADE ............................................................................................................................ 204 REFERÊNCIAS .................................................................................................................................... 207 1 UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade, você deverá ser capaz de: • conhecer os conceitos básicos relacionados à gestão de riscos; • compreender as ameaças, os ataques e os seus conceitos; • identificar os conceitos básicos relacionados à análise de vulnerabilidades; • relacionar os conceitos de gestão de riscos, ameaças, ataques à análise de vulnerabilidades em sistema da informação. Esta unidade está dividida em três tópicos. No decorrer da unidade, você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado. TÓPICO 1 – FUNDAMENTOS DA GESTÃO DE RISCO TÓPICO 2 – CONCEITOS DE AMEAÇA E ATAQUE TÓPICO 3 – FUNDAMENTOS DAS VULNERABILIDADES Preparado para ampliar seus conhecimentos? Respire e vamos em frente! Procure um ambiente que facilite a concentração, assim absorverá melhor as informações. CHAMADA 2 3 TÓPICO 1 — UNIDADE 1 FUNDAMENTOS DA GESTÃO DE RISCO 1 INTRODUÇÃO A segurança da informação é obtida com a implementação de controles, que deverão ser monitorados, analisados e consecutivamente melhorados, com o intuito de atender aos objetivos do negócio, mitigando os riscos e garantindo os preceitos de segurança da organização: confidencialidade, integridade e disponibilidade (CID), a tríade de segurança da informação (SÊMOLA, 2014). O gerenciamento de riscos (em inglês, risk management) é o processo pelo qual medimos ou estimamos o risco e depois desenvolvemos estratégias para governar. Na área de Tecnologia da Informação (TI) não é diferente, o gerenciamento de riscos de TI é a aplicação de métodos de gerenciamento de riscos para a tecnologia da informação. O risco comercial associado ao uso, posse, funcionamento, envolvimento, influência e adoção de TI em uma empresa ou organização. As pequenas ou grandes empresas praticam informalmente ou possuem equipes dedicadas para o gerenciamento de riscos. O gerenciamento de riscos de TI pode ser considerado um componente de um sistema de gerenciamento de riscos corporativo mais amplo (BAARS et al., 2018). A utilização, criação, manutenção e atualização contínua de um Sistema de Gestão de Segurança da Informação (SGSI) fornece uma grande indicação de que uma empresa usa uma abordagem sistemática para identificar, avaliar e gerenciar riscos para a segurança das suas informações (SÊMOLA, 2014). Um Sistema de Gestão da Segurança da Informação (SGSI) é um sistema voltado para segurança da informação, inclui todo o escopo de controles que uma organização precisa para garantir a proteção da confidencialidade, da disponibilidade, e da integridade (SÊMOLA, 2014). IMPORTANT E O escopo deste tópico levará você a conhecer os assuntos relacionados ao entendimento do gerenciamento de riscos da segurança da informação, desde os conceitos de riscos, riscos de tecnologia da informação, até mesmo sobre a análise e a avaliação dos riscos. UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE 4 2 CONCEITOS SOBRE RISCO Incialmente, neste tópico, caro acadêmico, você conhecerá os conceitos sobre riscos de vulnerabilidades. O gerenciamento de riscos e a conformidade com as questões legais são pré-requisitos para o desenvolvimento de suma boa estratégia de segurança da informação. Uma boa identificação dos riscos pode contribuir para que você compreenda as fraquezas e oportunidades de atendimento da segurança, assim como das questões legais. O risco de TI inclui não apenas o impacto negativo das operações e na prestação de serviços, que podem levar à destruição ou redução do valor da organização, mas também à vantagem, que permite o risco associado à possibilidade de usar a tecnologia para melhorar o gerenciamento de negócios ou projetos de TI, para aspectos como gastos excessivos ou atraso na entrega, com impacto negativo nos negócios (BAARS et al., 2018). Como o risco está intimamente relacionado à incerteza, a teoria da decisão deve ser aplicada ao gerenciamento de riscos como uma ciência, ou seja, fazer escolhas racionalmente em condições de incerteza. Os riscos devem ser identificados e classificados para uma tomada de decisão correta em termos de priorização e alocação de recursos. Para o seu monitoramento, é necessário, ainda, uma categorização de acordo com sua natureza e relevância, pois todo risco envolve um ganho ou uma perda. É de fato importante que o risco seja medido, pois todo ato ou fato relacionado com a organização tem algum efeito nos seus resultados. Deve-se mensurar o risco, sua ocorrência potencial e os seus possíveis impactos estratégicos, operacionais, de conformidade e econômico (BAARS et al., 2018). Os riscos podem ser divididos entre aqueles que têm origem interna e aqueles de origem externa. Em geral, os riscos de origem interna podem adotar medidas para seu controle, e os riscos de origem externa, geralmente, não possuem o controle. Contudo, muitos riscos, verificam-se de processos inadequados ou da ineficiência da sua gerência. Os conceitos relacionados com os riscos são: • Uma combinação da probabilidade de um evento e de suas consequências (ISO/IEC 27002, 2013). • A probabilidade de ameaças explorarem vulnerabilidades, gerando perdas de confidencialidade, integridade e disponibilidade (SÊMOLA, 2014). • O produto da probabilidade com o impacto (risco = probabilidade impacto), ou seja, a combinação das consequências advindas da ocorrência de um evento indesejado com a probabilidade da ocorrência deste evento (ISO/IEC 31000, 2009). TÓPICO 1 — FUNDAMENTOS DA GESTÃO DE RISCO 5 O risco é o potencial de uma ação ou atividade escolhida levar a uma perda ou evento indesejável. IMPORTANT E Ao longo dos anos, o gerenciamento de riscos se tornou cada vez mais importante, colocando diretores e gerentes de negócios diante da necessidade de detectar os métodos para identificar, medir e tratar os riscos corporativos. As medidas tradicionais de proteção não são mais suficientes para fornecer cobertura adequada contra os riscos de segurança cibernética, um setor fundamental para as empresas e as partes interessadas no negócio (do inglês, stakeholders). Por esse motivo, parece necessário ter ferramentas destinadas a impedir a invasão do computador com uma análise detalhada dos riscos associadosàs informações. A série de normas ISO/IEC 27000 (do inglês, International Organization for Standardization) (ISO/IEC 27000, 2018) estabelece as condições necessárias para estabelecer, implementar, manter, melhorar continuamente um sistema de gestão de segurança da informação. As principais normas da série ISO/IEC 27000 são: • ISO/IEC 27000 – apresenta uma visão geral das normas e vocabulário; • ISO/IEC 27001 – define os requisitos no estabelecimento do sistema de gestão de segurança da informação; • ISO/IEC 27002 – apresenta um conjunto de controles e objetivos de controle de segurança da informação; • ISO/IEC 27003 – apresenta linhas gerais para a implementação do sistema de gestão de segurança da informação; • ISO/IEC 27004 – define linhas gerais para a criação de métricas de segurança da informação e a medição do sistema de gestão de segurança da informação; • ISO/IEC 27005 – fornece diretrizes para o processo de gestão de risco em segurança da informação; • ISO/IEC 27006 – apresenta recomendações para o processo de auditoria e certificação em segurança da informação. A ISO/IEC 27005 trata a extensão de um risco para um risco de tecnologia da informação pode ser determinada como: • Um produto dos valores de: ameaça, vulnerabilidade e os ativos (recursos), conforme apresentado na Figura 1. Um exemplo de ameaça, vulnerabilidade e os ativo, poderia ser respectivamente, um acesso indevido, por quebra de senhas, em um banco de dados de um sistema corporativo. • O efeito da incerteza sobre os objetivos de controle de segurança da informação (ISO/IEC 27005, 2018). UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE 6 FIGURA 1 – CÁLCULO DO RISCO DE TECNOLOGIA DA INFORMAÇÃO FONTE: Adaptado de ISO/IEC 27005 (2018) Ativo é aquilo que agrega valor para a organização. Um ativo pode ser representado por uma informação, um processo, um produto, uma base de dados, um software, um hardware, entre outras possibilidades (ISO/IEC 27005, 2018). NOTA O valor do risco pode ser medido pelo produto da probabilidade com o impacto mediante aproximação (ISO/IEC 31000, 2009). A determinação de risco considera dois parâmetros fundamentais: • O impacto gerado por um evento negativo/positivo. • A probabilidade de um evento ocorrer. A Figura 2 apresenta a fórmula associada ao risco, ou seja, o produto da probabilidade versus o impacto do risco ocorrer. Assim: • Probabilidade – é calculada ou obtida em função do nível de maturidade do processo de tecnologia da informação, ou melhor, perspectiva de ocorrência do risco. É expresso em valores percentuais, por exemplo, 10%, 100% de ocorrência do risco; • Impacto – é atribuído conforme a consequência da sua ocorrência, por exemplo, risco não significativo ou risco alto. FIGURA 2 – CÁLCULO DO RISCO FONTE: Adaptado de ISO/IEC 31000 (2009) TÓPICO 1 — FUNDAMENTOS DA GESTÃO DE RISCO 7 O conceito do risco relacionado à segurança da informação está vinculado à possibilidade de um determinado evento explorar uma possível fragilidade de um ativo ou de um conjunto de ativos, prejudicando, assim, a organização no seu dia a dia. Mesmo quem nunca passou por isso pode imaginar que um risco alto poderia ser um evento de um acesso indevido, por exemplo, devido à exploração de uma falha no sistema de gerenciamento de senhas, prejudicando o ativo de rede e, consequentemente, ocasionando a perda de dados de toda a organização. 3 PRINCÍPIOS DA AVALIAÇÃO DE RISCO A gestão ou análise do risco deve em grande parte seguir uma estratégia de governança corporativa, que inclui tratar um ciclo de planejamento, execução, checagem e avaliação – PDCA (do inglês, Plan-do-Check-Act), o ciclo será detalhado no Tópico 3. A Figura 3 apresenta uma estratégia de gestão do risco corporativa, onde temos um alinhamento estratégico aos negócios da empresa, a entrega de valor agregado a empresa, o gerenciamento dos recursos e a análise ou medição do desempenho das estratégias adotadas. FIGURA 3 – ESTRATÉGIA DE GESTÃO DO RISCO FONTE: Adaptado de ISO/IEC 31000 (2009) UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE 8 A análise de risco consiste no processo de compreender a natureza do risco e determinar o nível de risco de um determinado evento, obtendo, dessa forma, uma classificação. O nível de risco fornece uma medida da amplitude do risco, calculada em termos da consequência da realização do risco e da probabilidade da ocorrência do risco. Um exemplo, para a análise de risco, poderia ser quando uma instituição de ensino contrata uma consultoria de segurança para avaliar se os seus colaboradores atendem aos critérios estabelecidos na sua política de segurança da informação. Diversas alternativas podem avaliar os colaboradores, um evento poderia ser o recebimento de e-mails maliciosos e, neste caso, determinar uma classificação de risco e sua amplitude, conforme a aderência dos colaboradores ao enfraquecimento do risco. Você, acadêmico, deve compreender que o risco é expresso em valores percentuais e é assim classificado em níveis de avaliação. A Figura 4 apresenta um exemplo dessa classificação, em que quanto maiores os valores de risco, maior a probabilidade de o risco acontecer. Quanto menores os valores, menores as probabilidades de o risco ocorrer. Assim o risco é classificado em quatro níveis de impacto da ocorrência: não significativo, baixo, alto e quase certo, para respectivamente, de 0 a 10%, 10%, 90% e entre 90 a 100%. FIGURA 4 – CLASSIFICAÇÃO DO RISCO FONTE: Adaptado de ISO/IEC 31000 (2009) Conheça mais da norma ISO/IEC 27005 no Site da ISO em: https://www.iso.org/standard/75281.html. DICAS TÓPICO 1 — FUNDAMENTOS DA GESTÃO DE RISCO 9 Conheça mais da norma ISO/IEC 31000 no Site da ISO em: https://www.iso.org/obp/ui/#iso:std:iso:31000:en. DICAS Em sistemas de tecnologia da informação, uma estimativa de impacto pode ser obtida avaliando a perda em termos de integridade (exemplo, o recurso afetado foi alterado ou destruído), confidencialidade (exemplo, o recurso se torna conhecido pelo atacante) e disponibilidade (exemplo, acesso ao recurso negado). A norma ISO/IEC 27001 associa uma escala de valores de risco para cada um dos itens de segurança da informação. A escala é definida por valores de risco baixo, risco médio e risco alto. A soma da tríade de segurança da informação (integridade, confidencialidade e disponibilidade) fornece o valor do ativo (do recurso). Por exemplo, para cada item, é atribuído um valor de zero a quatro de acordo com o efeito que a quebra de confidencialidade, integridade ou disponibilidade de um ativo tem sobre a organização. A avaliação da probabilidade deve levar em consideração vários fatores, como as habilidades e motivações do atacante, a natureza da vulnerabilidade e as contramedidas adotadas para proteger o sistema. Da mesma forma com que você viu a avaliação do risco, o valor da probabilidade também pode ser estabelecido de acordo com uma escala de referência. Por exemplo, o modelo NIST (do inglês, National Institute of Standards and Technology) também estabelece os valores de probabilidade baixa, de probabilidade média e de probabilidade alta, para uma falha ou ataque ocorrer (NIST, 2012). Ainda se pode estabelecer uma pontuação para cada destes valores, por exemplo, podem ser dados valores de zero a três. O NIST (do inglês, National Institute of Standards and Technology) é um importante instituto de padronização americano. Conheça mais sobre o NIST em: https://www.nist.gov/. DICAS A análise de risco fornece, assim, elementos para a realização da avaliação de risco. A avaliação de risco é o processo de comparação dos resultados da análise de risco com critérios de risco previamente definidos, com o objetivo de determinar se o risco é ou não aceitável (ISO/IEC 27005, 2018). A avaliação de riscos éum componente essencial de um processo de gerenciamento de riscos em toda a organização (NIST, 2012). UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE 10 A Figura 5 apresenta o processo de avaliação de riscos de segurança da informação definido na ISO/IEC 27005, seguindo uma metodologia PDCA, ou seja, passando pela fase de planejamento, execução, verificação e ação. FIGURA 5 – A VISÃO DO PROCESSO DE GERENCIAMENTO DO RISCO (ISO/IEC 27005, 2018) FONTE: Adaptada de <https://www.aedb.br/seget/arquivos/artigos12/57616827.pdf>. Acesso em: 1 jun. 2020. A visão do ciclo de vida do processo de gerenciamento de riscos pela norma ISO/IEC 27005 tem seis grupos principais de atividades, são eles: • Definição do contexto – é o primeiro passo no processo de gestão de risco. A definição do contexto identifica o ambiente faísico, tecnológico e humano. • Análise/Avaliação de riscos – este processo compreende a análise dos riscos (subdividida em identificação e estimativa dos riscos) e a avaliação dos riscos. O processo de avaliação dos riscos é realizado até que sejam gerados resultados satisfatórios, ou seja, sejam gerados resultados capazes de apontar ações necessárias para a redução dos riscos. • Identificação do risco – o processo de localizar, listar e caracterizar elementos do risco. Os elementos podem incluir fonte, evento, consequência e probabilidade; TÓPICO 1 — FUNDAMENTOS DA GESTÃO DE RISCO 11 • Estimativa do risco – o processo atribui valores à probabilidade e às consequências de um risco. A estimativa do risco pode considerar custo, benefícios, preocupações e outras métricas possíveis para a avaliação do risco. • Avaliação do risco – nesta etapa o risco é comparado e estimado de acordo com um determinado critério, verificando sua relevância. A avaliação do risco pode ser usada para a tomada de decisão de aceitar e tratar um risco. • Tratamento do risco – os resultados do processo da avaliação dos riscos são aplicados à etapa de tratamento dos riscos. • Aceitação do risco – após a realização dos devidos tratamentos, os riscos resultantes são considerados aceitos pelo contexto previamente estabelecido. • Comunicação do risco – nesta etapa ocorre a troca ou compartilhamento da informação sobre o risco. É realizada entre o tomador de decisão e os outros interessados. A informação pode estar relacionada a existência, a natureza, a forma, a probabilidade, a gravidade, a aceitabilidade, ao tratamento ou outros aspectos do risco. • Monitoramento e análise crítica de riscos – o monitoramento é um processo contínuo de verificação, supervisão, observação crítica ou identificação da situação para identificar mudanças. A análise crítica é a atividade realizada para determinar a adequação, suficiência e eficácia do assunto em questão para atingir os objetivos. Um cenário para o processo de gerenciamento de risco apresentado na Figura 5, onde temos as seis etapas definidas: definição de contexto, análise e avaliação dos riscos, tratamento dos riscos, aceitação dos riscos, comunicação dos riscos e por fim monitoramento e análise crítica de riscos. Você poderia na definição de contexto, avaliar o ambiente organizacional, identificando escopo, limites e critérios, onde, por exemplo, seria avaliar um contexto de um ambiente de Call Center, onde temos envolvidos, pessoas, tecnologias e recursos. Ainda, nesta etapa, você definiria critérios de risco, por exemplo, risco alto, problema de saúde das pessoas, inviabiliza a operação do Call Center. Na análise e avaliação dos riscos, é uma etapa maior onde você identificaria os ativos que tem importância e podem ter perda potencial no Call Center, por exemplo, as pessoas, a central telefônica, o sistema de registro de atendimento. Aqui nesta etapa se define a estimativa para cada ativo, por exemplo, as pessoas risco médio, a central telefônica risco alto, o sistema de registro de atendimento risco baixo. E a avaliação do risco probabilidade de ocorrência, por exemplo, as pessoas com alta probabilidade de ter algum problema – algum problema de saúde, a central telefônica com pouca probabilidade de ter problema – falhas de hardware ou software, o sistema de registro de atendimento com média probabilidade de ter problema – bugs conhecidos na aplicação. Na fase de tratamento dos riscos, serão tomadas as medidas preventivas para evitar que o risco ocorra, por exemplo, avaliação médica de rotina para evitar a falta de pessoal, e/ou pessoas extra, para suprir eventuais faltas. Na fase de aceitação dos riscos, os riscos que não tenham um impacto considerável não há certa ação, por exemplo, problemas com a central telefônica não são tratados, apenas aceitos. Na fase de comunicação dos riscos, significa divulgar o risco entre as equipes, por exemplo, divulgar um painel na UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE 12 organização dos riscos possíveis para que toda a equipe se conscientize. E, por fim, na fase de monitoramento e análise crítica de riscos, é a etapa que fecha o ciclo de vida e fica sempre avaliando e retornando as possíveis ações e relatórios sobre as ocorrências, por exemplo, no ambiente de Call Center, monitorando os riscos possíveis e suas ações e análises. O call center é um termo em inglês que significa central de chamada telefônica, ou seja, uma central de atendimento telefônico. DICAS O Nist descreve outra perspectiva de um processo de gestão de risco, a abordagem é compatível com o processo definido por ISO/IEC 27005. A Figura 6 apresenta as quatro etapas do processo de gerenciamento de risco definido pela norma SP (do inglês, Special Publication) 800-30 do Nist contém as seguintes etapas: • Estruturação do risco – corresponde à etapa de definição de contexto do risco da ISO/IEC 27005, descreve o ambiente em que as decisões baseadas em risco devem ser tomadas. O objetivo é construir uma estratégia de gerenciamento de risco para a tomada de decisão, ou seja, definir o planejamento das ações que serão adotadas para cada risco identificado. Por exemplo, se no contexto do Call Center, ao mapear um risco de indisponibilidade do sistema de registro de atendimento, poderíamos ter um sistema de registro alternativo ou um processo manual de registro. • Avaliação de risco – corresponde ao processo de avaliação de risco da ISO/IEC 27005. Nesta etapa, as organizações avaliam o risco dentro do contexto do quadro de risco organizacional. O objetivo é identificar: as ameaças; as vulnerabilidades internas e externas; os danos (isto é, impacto); e a probabilidade de dano ocorrer. O resultado é uma determinação de risco (ou seja, normalmente uma função em relação ao grau e a probabilidade do dano). Por exemplo, se no contexto do Call Center, ao identificar um risco de indisponibilidade, faz-se a avaliação do risco de ocorrer efetivamente o problema e se determina os possíveis danos ao contexto, assim tem-se uma métrica. • Resposta ao risco – corresponde ao processo de tratamento de risco da ISO/ IEC 27005. Aborda como as organizações respondem ao risco. O objetivo é fornecer uma resposta consistente ao risco em toda a organização, por exemplo, desenvolvendo e implementando ações apropriadas para mitigar o risco. No caso do Call Center, se o risco é alto, você poderia contratar um link reserva de Internet para mitigar a possibilidade de prejuízo à organização, tendo, assim, uma situação de contorno. TÓPICO 1 — FUNDAMENTOS DA GESTÃO DE RISCO 13 • Monitoramento do risco – o quarto componente do gerenciamento de riscos aborda como as organizações monitoram os riscos ao longo do tempo. O objetivo é determinar a eficácia das respostas, identificar mudanças e verificar se as respostas planejadas aos riscos foram implementadas. Conheça mais da norma SP 800-30 (Rev. 1) no Site do Nistem: https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final. DICAS FIGURA 6 – PROCESSOS DE GERENCIAMENTO DE RISCO DA NORMA NIST SP 800-30 REV 1 FONTE: Adaptado de NIST (2012) Os processos de gestão do risco ainda podem incluir o tratamento do risco. Em segurança da informação, antes de executar tratamento do risco, é necessário que sejam avaliados os critérios com relação à aceitação do risco. Para cada risco identificado deve se tomar uma decisão. As decisões são descritas pela norma ISO/IEC 17799 (2000), que descreve um conjunto de práticas orientadas para a gestão da segurança da informação. As decisões são: • Aplicar controles para reduzir os riscos. • Reconhecer e aceitar o risco. • Não permitir ações que podem causar risco. • Transferir, repassando o risco. UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE 14 Você, no processo de aceitação do risco, poderia, por exemplo, reconhecer as possibilidades de no Call Center haver prejuízos na empresa (recursos humanos, sistemas, processos, equipamentos). No caso de risco na central telefônica, a ação poderia repassar o risco para um terceiro, que prestaria a manutenção ou ficaria responsável por manutenções preventivas, mitigando o risco. Existem diversas classificações para medir a proteção de um ambiente de TI que deve serem utilizadas para tratar o risco. Os riscos devem ser mitigados ou atenuados. Uma possível classificação das medidas de proteção (BAARS et al., 2018) é: • Medidas Preventivas – auxiliam no controle ou na redução da probabilidade se concretizar. As ações preventivas diminuem as vulnerabilidades, evitando, assim, a ocorrência ou ação das ameaças. • Medidas Corretivas ou Reativas – reduzem o impacto causado. São as medidas reativas tomadas após um possível ataque e/ou evento. • Medidas Defectivas – é o método utilizado que expõe ataques e/ou incidentes com o objetivo de criar reações e evitar e/ou reduzir a sua concretização. A norma ISO/IEC 27001 (2013) indica os objetivos do tratamento do risco para o processo de segurança da informação: • Utilizar a avaliação de risco para selecionar opções de tratamento. • Determinar os controles necessários para o tratamento dos riscos. • Efetuar comparações entre os controles escolhidos para o tratamento do risco. • Confeccionar o plano de tratamento de risco. 15 Neste tópico, você estudou que: • O risco é uma combinação da probabilidade de um evento e de suas consequências. • O risco pode ainda ser definido como o potencial de uma ação ou atividade escolhida levar a uma perda ou evento indesejável. • A probabilidade é calculada ou obtida em função do nível de maturidade do processo de tecnologia da informação, ou melhor, perspectiva de ocorrência do risco. É expresso em valores percentuais. • O impacto é atribuído conforme a consequência da ocorrência de uma determinada ação. • A análise de risco consiste no processo de compreender a natureza do risco e determinar o nível de risco de um determinado evento, obtendo, dessa forma, uma classificação. • A série de normas ISO/IEC 27000 estabelece as condições necessárias para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação. • A ISO/IEC 27005 trata a extensão de um risco para um risco de tecnologia da informação. • O risco em tecnologia da informação pode ser determinado por um produto dos valores de: ameaça, vulnerabilidade e os ativos – (risco = ameaças * vulnerabilidades * ativos). • O conceito do risco relacionado à segurança da informação está vinculado à possibilidade de um determinado evento explorar uma possível fragilidade de um ativo. • A gestão do risco deve seguir uma estratégia de governança corporativa, tratando um ciclo de planejamento, execução, checagem, e avaliação – PDCA. • O risco é expresso em valores percentuais e é assim classificado em níveis de avaliação, geralmente definidos em: baixo, médio e alto. • O processo de avaliação de riscos de segurança da informação é definido na ISO/IEC 27005, seguindo uma metodologia PDCA. RESUMO DO TÓPICO 1 16 • A visão do ciclo de vida do processo de gerenciamento de riscos pela norma ISO/IEC 27005 tem seis grupos principais de atividades são elas: definição do contexto, análise/avaliação de riscos, tratamento do risco, aceitação do risco, comunicação do risco, monitoramento e análise crítica de riscos. • A gestão de risco descrita pelo Nist (2012) é um processo definido que apresenta quatro etapas do processo de gerenciamento de risco definido pela norma SP 800-30 Rev. 1. • A norma SP 800-30 Rev. 1 contém as seguintes etapas: estruturação do risco, avaliação de risco, resposta ao risco e monitoramento do risco. 17 1 O gerenciamento de riscos de TI pode ser considerado um componente de um sistema de gerenciamento de riscos corporativo. O gerenciamento de riscos e a conformidade com as questões legais são pré-requisitos para o desenvolvimento de suma boa estratégia de segurança. Sobre a definição de risco, é CORRETO afirmar: a) ( ) Risco é uma combinação da probabilidade de um evento e de suas consequências. b) ( ) Risco é diferença entre a probabilidade de um evento e de suas consequências. c) ( ) Risco é uma forma de gerenciar os processos (metodologias, normas e procedimentos). d) ( ) Risco é uma forma de gerenciar as pessoas (cultura, capacitação e conscientização). e) ( ) Risco é uma forma de gerenciar a tecnologia (ferramentas que comportam os recursos físicos e lógicos). 2 A série de normas ISO/IEC 27000 – do inglês, International Organization for Standardization – (ISO/IEC 27001, 2013) estabelece as condições necessárias para estabelecer, implementar, manter, melhorar continuamente um sistema de gestão de segurança da informação. Sobre a definição de risco, qual é a ISO que trata a extensão de um risco para um risco de tecnologia da informação? a) ( ) ISO/IEC 27005. b) ( ) ISO/IEC 27001. c) ( ) ISO/IEC 27002. d) ( ) ISO/IEC 27003. e) ( ) ISO/IEC 27004. 3 O nível de risco fornece uma medida da amplitude do risco, calculada em termos da consequência da realização do risco e da probabilidade da ocorrência do risco. O risco é expresso em valores percentuais e é assim classificado em níveis de avaliação. O modelo Nist estabelece quais valores para a classificação do risco? a) ( ) Os valores: baixo, médio e alto. b) ( ) Os valores: padrão, conciso e perturbado. c) ( ) Os valores: 1, 2 e 3. d) ( ) Os valores: pequeno, médio, grande. e) ( ) Os valores: I, II e III. AUTOATIVIDADE 18 4 O processo de avaliação de riscos de segurança da informação é definido na ISO/IEC 27005 (2018), seguindo uma metodologia PDCA. A visão do ciclo de vida do processo de gerenciamento de riscos pela norma ISO/IEC 27005 tem seis grupos principais de atividades. Quais são elas? a) ( ) Definição do contexto, análise/avaliação de riscos, tratamento do risco, aceitação do risco, comunicação do risco, monitoramento e análise crítica de riscos. b) ( ) Definição da estrutura, análise de riscos, avaliação do risco, aceitação do risco, comunicação do risco, monitoramento e análise crítica das ameaças. c) ( ) Definição da estrutura, análise de riscos, avaliação do risco, aceitação do risco, comunicação do risco, monitoramento e análise crítica das vulnerabilidades. d) ( ) Definição do contexto, avaliação de riscos, análise do risco, comunicação do risco, aceitação do risco, monitoramento de riscos. e) ( ) Definição do contexto, avaliação de riscos, análise do risco, monitoramento do risco, aceitação do risco, comunicação de riscos. 5 Existem outros modelos para o gerenciamento de riscos, umas das recomendações é descrita pelo Nist (2012). A gestão de risco descrita pelo Nist (2012) apresentaquatro etapas do processo de gerenciamento de risco definido pela norma SP 800-30 Rev. 1. Quais são essas etapas? a) ( ) Estruturação do risco, avaliação de risco, resposta ao risco e monitoramento do risco. b) ( ) Análise do risco, avaliação de risco, resposta ao risco e monitoramento do risco. c) ( ) Avaliação do risco, tratamento de risco, resposta ao risco e monitoramento do risco. d) ( ) Resposta ao risco, monitoramento do risco, aceite do risco e análise de risco. e) ( ) Resposta ao risco, monitoramento do risco, contexto do risco e avaliação de risco. 19 TÓPICO 2 — UNIDADE 1 CONCEITOS DE AMEAÇA E ATAQUE 1 INTRODUÇÃO Os incidentes podem causar, dentro da segurança da informação, uma interrupção do serviço ou a perda da qualidade. Trata-se de um evento, confirmado ou em suspeita, que leva a afetar os princípios básicos da segurança da informação. Os agentes causadores dos incidentes são as ameaças à segurança da informação. As ameaças têm crescido com o passar do tempo e com a evolução tecnológica. As redes públicas e privadas têm sofrido com incidentes constantes, provocando perdas, criando impactos negativos. As redes são invadidas por usuários não autorizados e/ou por programas maldosos, o que causa perda de confiabilidade. A cada ano que passa há um aumento nos incidentes de descoberta de vulnerabilidades de diversos sistemas, muitos dos quais relatados pelo CERT (Computer Emergency Response Team). Normalmente, vários são os ataques contra usuários finais, por serem mais fáceis e rentáveis tem ocorrido com frequência. As motivações para os ataques são de diversos propósitos, como o financeiro. O objetivo financeiro, onde os criminosos desejam apenas lucrar financeiramente com o ataque, por exemplo, roubando a senha bancária do usuário e consequentemente roubando seu saldo bancário. Outra motivação é onde os atacantes almejam a espionagem, desejando roubar informações que possam agregar na competitividade ou até mesmo apenas por curiosidade. E outra motivação ainda é quando outros atacantes, desejam fazer a sabotagem dos seus concorrentes. O fato é que o ambiente de computação tem sido alvo de ameaças e ataques cada vez mais constantes, e as aplicações web vulneráveis crescem com avanço rápido. O CERT é um Centro para Resposta e Tratamento de Incidentes de Computadores. Existem vários grupos em todo o mundo que auxiliam os estudos de segurança da informação. NOTA 20 UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE Alguns dados sobre perda de dados estão disponíveis em sites como Wikipédia ou Vigilante.pw (respectivamente, https://en.wikipedia.org/wiki/List_ of_data_breaches, https://vigilante.pw/) onde, por exemplo: • Adobe – sofreu um ataque virtual e expos 152 milhões de nomes e senhas de usuários em 2013. • Facebook – sofreu um ataque virtual e expos no serviço de computação em nuvem da Amazon, 540 milhões de registros de usuários, em 2019. • Equifax (agência de relatório de crédito americana) – teve 163.119.000 registros de clientes roubados em 2017, expondo números de Seguro Social, nomes, data de nascimento, entre outros dados. Conheça mais sobre CERT no endereço http://cert.org/. NOTA O escopo deste tópico cobrirá os assuntos relacionados ao entendimento das ameaças, e dos ataques, desde os conceitos relacionados aos tipos de ameaças até sobre os principais ataques encontrados nos ambientes computacionais. 2 AMEAÇAS Neste subtópico, caro acadêmico, você conhecerá os conceitos relacionados com as ameaças sobre os sistemas de tecnologia da informação. As ameaças são elementos que têm a condição de explorar vulnerabilidades e causar problemas a sistemas de informação e redes de computadores, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação (ISO/IEC 17799, 2000). É importante destacar que de acordo com a norma ISO/IEC 27002, a segurança da informação consiste na preservação de três características básicas, apresentadas na Figura 7: • Confidencialidade – garantia de que a informação seja acessada somente por pessoas autorizadas. • Integridade – salvaguarda da exatidão e da integridade da informação e dos métodos de processamento. • Disponibilidade – garantia de que apenas os usuários autorizados podem obter acesso à informação e aos ativos correspondentes, sempre que necessário. TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE 21 FIGURA 7 – CARACTERÍSTICAS DE SEGURANÇA DA INFORMAÇÃO FONTE: Adaptado de Dantas (2011) A literatura ainda ressalta que a segurança da informação está relacionada não apenas com as características, as propriedades de segurança da informação, mas também com os estados da informação, e as medidas de segurança, apresentadas na Figura 8. Os estados da informação são descritos pelas propriedades de segurança da informação já conceituados, confidencialidade, integridade e disponibilidade. Os estados da informação são relacionados com a transmissão, o processamento e o armazenamento da informação, conectados com a situação da informação, onde ela está e como ela está. Já as medidas de segurança se relacionam com o que fazer para se proteger, as políticas e procedimentos de segurança da informação que devem fazer parte do portfólio da instituição para se proteger de possíveis ameaças e ataques. As possíveis ferramentas, as ferramentas tecnológicas que serão utilizadas para a proteção e, ainda, as maneiras de conscientização que servirão de base para a construção de uma prática segura dentro das instituições (ISO/IEC 27001, 2013). 22 UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE FIGURA 8 – FATORES SOBRE A SEGURANÇA DA INFORMAÇÃO FONTE: Adaptado de <https://www.ibm.com/developerworks/security/library/s-confnotes2/>. Acesso em: 10 jun. 2020. O NIC.BR Security Office (CERT.br) é responsável por receber, revisar e responder a relatos de incidentes de segurança envolvendo a Internet brasileira. O CERT.br é o grupo de resposta a incidentes de segurança para a Internet brasileira, mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil. O CERT.br é responsável por receber, analisar e responder a incidentes de segurança envolvendo redes conectadas à internet no Brasil. NOTA A ISO/IEC 27002 cita a importância da implantação de uma política de segurança da informação onde os requisitos que da política precisam contemplar as estratégias de negócio, regulamentação, legislação e contratos, as ameaças (atuais e futuras) no ambiente de segurança da informação. TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE 23 A Política de Segurança da Informação é um dos passos principais na gestão de segurança da informação. Essa política é composta de uma documentação representando as diretrizes que a organização escolheu para gerir a política de segurança. DICAS As ameaças são classificadas quanto a sua intencionalidade (SÊMOLA, 2014), que são: • Naturais – ameaças causadas por fenômenos da natureza, são causas que acontecem naturalmente, como incêndios, enchentes, terremotos, tempestades, poluição, entre outros. • Involuntários – ameaças inconscientes, geralmente causadas pelo desconhecimento, sem a intenção, como um erro no procedimento de atendimento de um cliente, um acidente de trabalho (um escorregão num piso molhado), a falta de conhecimento dos ativos (algum recurso (ativo) não mapeado na organização), entre outros. • Voluntárias – são ameaças propositais, que têm relação direta com a exploração indevida de falhas. Por exemplo, a ação causada por hackers, invasores, criadores e disseminadores de vírus, entre outros. No contexto das tecnologias de informação uma ameaça refere-se a qualquer circunstância que tenha potencial de causar danos ao sistema, por exemplo, uma cópia ilegal de dados pessoais de clientes noCall Center. As ameaças podem gerar vulnerabilidades que por sua vez podem ser exploradas colocando em risco, por exemplo, indivíduos, sistemas ou organizações. No caso do Call Center, a vulnerabilidade seria a falta de um mecanismo que pudesse evitar tal cópia dos dados. Podem ser mal-intencionadas, quando existe a vontade de prejudicar algo ou alguém, ou por erro humano (NIST, 2012). O NIST define uma ameaça como “qualquer circunstância ou evento com o potencial de afetar negativamente as operações organizacionais, indivíduos, outras organizações através de um sistema de informação por via de acessos não autorizados” (NIST, 2012). Existem quatro tipos principais de ameaças (SHOSTACK, 2014): • Ameaças não estruturadas – em geral envolvem indivíduos inexperientes, com habilidades limitadas e em desenvolvimento. O invasor utiliza ferramentas maliciosas facilmente acessíveis e tentam explorar suas funcionalidades. A intenção maliciosa pode ou não existir, no entanto, podem causar danos à operacionalidade do sistema atacado. O sistema, muitas vezes, é pouco conhecido pelo invasor. No contexto do Call Center, o invasor acaba usando o acesso ao sistema de autenticação para realizar tentativas de logon com senhas 24 UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE padrão por exemplo, com usuário “admin” e senha “admin”. O invasor não tem um sistema que deseja comprometer, no entanto, vai testando algumas alternativas sem qualquer pretensão de alvo específico. • Ameaças estruturadas – este tipo de ameaças vem de indivíduos com mais habilidades técnicas que trabalham para comprometer um sistema. Os sistemas já podem ser mais conhecidos sendo selecionados aleatória ou especificamente, com um objetivo mais claro de ataque. O invasor ou invasores já podem desenvolver ataques e utilizar técnicas de invasão mais sofisticadas, por exemplo, com scripts ou aplicativos maliciosos. Neste caso, o atacante tem um objetivo específico e conhece das ferramentas e possibilidades. No sistema do Call Center, já pode ter efetuado um escaneamento de rede e verificado as portas de rede abertas e assim direcionar o ataque às portas com maiores vulnerabilidades, ou seja, com problemas conhecidos. • Ameaças externas – essas ameaças partem de indivíduos de fora da empresa, sem acesso autorizado aos sistemas, sem acesso direto. O ataque pode ser estruturado a partir de uma fonte externa, e afetar os sistemas internos da organização, ou até mesmo comprometendo as atividades de um ou mais colaboradores da organização. Podemos pensar que no Call Center, uma ameaça externa é quando um invasor sem autorização de acesso faz um acesso não autorizado para roubar informações pessoais do cadastro de clientes da organização. • Ameaças internas – as ameaças internas são originadas de indivíduos com acesso autorizado à organização, ou seja, funcionários, pessoas de dentro da organização. E, ainda, pode ser considerada de origem interna, quando um funcionário insatisfeito deixa a organização e se utiliza dos acessos que ainda possui, para desferir ataques. São os indivíduos insatisfeitos, oportunistas ou infelizes, cujo acesso ainda está ativo, ou seja, ainda tem o acesso autorizado, por exemplo, há uma senha válida. Muitas pesquisas e estudos mostram que os ataques internos podem ser significativos tanto no número quanto no tamanho de quaisquer perdas. Em geral, esses indivíduos utilizam de uma posição privilegiada para disferir um ataque. Você poderia imaginar um supervisor de atendimento no Call Center, capturando dados dos clientes, por exemplo, dados financeiros para depois obter alguma vantagem extra. A avaliação do risco é um ponto fundamental nas organizações permitindo entender como a organização pode ser atacada e que impactos que podem provocar. A criação de um modelo, adaptado à empresa, permite classificar a ameaças e a definir regras de atuação. A OWASP propõe um modelo que permite identificar, quantificar e tratar os riscos de segurança associadas a uma aplicação (pode ser aplicação, software, funcionalidade) (OWASP, 2020): • Decompor a aplicação – o objetivo é perceber como a aplicação e/ou funcionalidades interage com as outras entidades e/ou atores. Identificar as entradas da aplicação, que são um ponto por onde o invasor pode aproveitar de alguma vulnerabilidade. Assim como identificar os tipos de acessos (usuário x perfil de acesso) que são concedidos a entidades autênticas. • Determinar e classificar ameaças – esta etapa representa um método de identificação e categorização de uma ameaça. O objetivo é tentar identificar as ameaças do ponto de vista do atacante, assim como da perspectiva do defensor e classificá-las de ponto de vista do risco. TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE 25 • Identificar medidas e mitigação – a implementação de medidas corretivas que mitiguem as ameaças identificadas. Como as ameaças têm um valor de risco predefinido é possível priorizar as regras que visem a sua correção e assim fazer uma correta avaliação do risco. Não significa a sua correção desde que a avaliação do risco não a justifique. Você poderia imaginar no modelo da OWASP exemplificado no Call Center, ao decompor a aplicação, teríamos um detalhamento, ou um fluxo dos dados e suas responsabilidades. A aplicação que efetua registro de atendimentos, pode ter uma funcionalidade de cadastro que apenas usuário cadastrados na aplicação com perfil atendente têm acesso. Já para a mesma aplicação, a funcionalidade de exclusão apenas o supervisor de atendimento tem o acesso. Assim, na etapa de determinar e classificar as ameaças, você estabeleceria que o perfil de cadastro tem nível baixo de ameaça, já no perfil de exclusão a ameaça é alta. E, por fim, com esses dados é possível identificar medidas e mitigação, determinar para perfil de exclusão ter um profissional melhor treinado e com senha de maior nível de segurança, mitigando o risco de quebra de senha. Como vimos, as ameaças não são apenas a nível computacional, existem igualmente ameaças físicas como desastres, incêndios, falta de energia etc. Assim como ameaças humanas como roubo, suborno, invasões, entre outras. Em uma organização todo tipo de ameaça deve ser identificada assim como estar previsto no plano de emergência. Um plano de emergência em segurança da informação, faz parte do planejamento do risco. A organização deve ter um plano de contingência para eventuais emergências envolvendo seus produtos, serviços essenciais para a continuidade do negócio. IMPORTANT E As principais ameaças encontradas na literatura (ISO/IEC 27005, 2018; SÊMOLA, 2014; STALLINGS, 2010) descritas são: • Processamento ilegal dos dados – a informação sofre uma série de tarefas sequencialmente realizadas com o intuito de produzir um arranjo determinado de informações a partir de outras obtidas inicialmente sem autorização. Um exemplo, poderia ser quando alguém (atacante) monitora a atividade Web de uma outra pessoa. O atacante coleta diversos dados que juntos podem agregar valor e produzir uma informação importante. Esses dados podem ser CPF, nome, e-mail, sites acessados, fotos, pesquisas para compra. A informação gerada pode produzir uma ameaça à segurança da pessoa. 26 UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE • Divulgação indevida – a informação é processada e divulgada sem autorização do proprietário. Você poderia imaginar alguém coletando seus dados ou fotos e republicando em alguma rede social sem autorização. • Cópia ilegal – a informação é processada e copiada para outro local sem permissão. Quando alguém faz a cópia de arquivos de uma instituição sem a devida autorização, por exemplo, arquivos da contabilidade dainstituição. • Dano físico à mídia – quando o dispositivo ou mídia sofre alguma ação de prejuízo, acidental ou intencionalmente, ocasionando a perda dos dados e da mídia. Você poderia imaginar que seu pendrive pudesse quebrar ou molhar, por exemplo. • Engenharia social – manipulação psicológica de pessoas para a execução de ações ou divulgação das informações confidenciais. Esta é uma ameaça muito utilizada, quando você recebe e-mails falsos de instituições bancárias solicitando a devida atualização cadastral. • Modificação de dados sem autorização – a informação é alterada/modificada sem autorização do proprietário. Dentro do ciclo de vida da informação temos o processo de modificação. Neste caso, por exemplo, algum invasor acessa o banco de dados da aplicação e modifica as informações dos usuários. • Ataques baseados em senhas – um software malicioso realiza a execução de algoritmos baseados em dicionários de palavras na tentativa de descobrir a senha original. Você, acadêmico, poderia imaginar um invasor com um pouco mais de experiência poderia utilizar um arquivo com muitas possibilidades de senhas (dicionário de senhas), para tentar realizar um acesso não autorizado na aplicação, por exemplo, de registro de chamados no Call Center. • Acesso não autorizado das informações – a informação é acessada por pessoas sem permissão. Por exemplo, alguém sem autorização pode invadir o sistema, a aplicação e ter acesso aos dados pessoais dos clientes do Call Center. • Abuso de poder – membro da organização com posição hierárquica maior utiliza-se de sua autoridade para obter acesso às informações sigilosas. Neste caso, o abuso de poder, é quando por exemplo, o gerente do Call Center, se apropria das informações do cliente para fins particulares. • Espionagem a distância – ato ou efeito de espionar, quando por exemplo alguém secretamente observa de forma remota as ações de um determinado usuário. Por exemplo, um invasor fica monitorando as ações e informações do Call Center através da Internet. • Espionagem interna e externa – ato ou efeito de espionar, podendo ser de pessoas de fora ou de dentro da empresa. A espionagem pode ser de funcionários da organização, ameaças internas ou de pessoas terceiras a organização, por exemplo, capturando dados estratégicos de marketing da organização. • Comprometimento dos dados – a informação sofre algum incidente de tal forma que perca sua integridade. É quando algum atacante modifica os dados na base de dados da aplicação, corrompendo os dados pessoais registrados. • Furto de equipamentos – roubo dos equipamentos da organização tornando as informações dos dispositivos inacessíveis. É a ameaça quando alguém rouba o equipamento físico, pode ocorrer independente da tecnologia. • Defeito de software – o serviço prestado pelo software é desviado do serviço correto. A falha pode ocorrer, quando por exemplo uma implementação errada na aplicação gera um bug no software. TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE 27 • Falha de equipamento – um equipamento (hardware) apresenta problemas de funcionamento. O equipamento físico, uma placa eletrônica queima algum componente gerando um comportamento errado. • Falhas de protocolo – alguma falha de comunicação entre os protocolos, deixando vulnerável a interceptação da informação. É quando, por exemplo, um fluxo do protocolo do sistema de registro foi modelado de forma errada e não armazena os dados do registro da demanda de atendimento de forma correta, gerando falhas no atendimento ao cliente. • Falhas de autenticação – o sistema possui erros de projetos levando a falhas de autenticação. Um exemplo, seria quando por um erro do sistema é provocado uma autenticação em uma funcionalidade incorreta ao atendente do Call Center. • Ataques de Negação de Serviço (do inglês, DDoS – Denial Of Service) – ataques que visam causar indisponibilidade dos serviços de um determinado processo através do envio de simultâneas requisições. É quando por exemplo o sistema do Call Center fica indisponível pois um atacante gerou muitas requisições à aplicação e gerou um sobrecarga no servidor e parou o sistema. A maioria das ameaças podem causar incidentes de segurança em todas as etapas do ciclo de vida da informação: criação, armazenamento, transporte e descarte. Por exemplo, um ataque de força bruta pode ocorrer e gerar problemas de segurança, roubando dados dos usuários, quando a informação está sendo criada, armazenada, transportada ou descartada (SHOSTACK, 2014). Um ataque de força bruta é quando um invasor realiza diversas tentativas persistentes de forma exaustiva até conseguir os dados que deseja. NOTA Se pensarmos no ciclo de vida da informação podemos atentar para uma diferenciação das ameaças que ocorrem em cada uma das partes. Na sequência descrevemos cada uma dessas ameaças. A espionagem a distância e o acesso de endereços não conhecidos ou não confiáveis geralmente não afetam a criação e nem o descarte da informação, pois a ameaça ocorre somente quando o arquivo/dado já está ativo/criado, incidindo o risco apenas no armazenamento e transporte (SHOSTACK, 2014). As ameaças como dano físico à mídia, furto dos equipamentos, defeito de equipamentos, modificação ilegal dos dados não ocorrem no momento do descarte da informação, pois se os equipamentos/informações não forem mais úteis para o negócio, dificilmente poderá afetar o negócio da empresa (SHOSTACK, 2014). 28 UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE Em paralelo, algumas ameaças se fazem presente na fase do descarte, sendo assim, se uma informação for descartada incorretamente, ela poderá ser utilizada ilegalmente por pessoas mal-intencionadas, tornar-se um problema para os negócios da organização (SHOSTACK, 2014). Crime cibernético é uma atividade criminosa que tem como alvo ou faz uso de um computador, uma rede de computadores ou um dispositivo conectado em rede. NOTA Os principais tipos de ameaças podem ainda se diferenciar em sistemas de tecnologia da informação que comprometem o correto funcionamento de programas que auxiliam o dia a dia das organizações. Impedir que ameaças explorem os pontos fracos e afetem os princípios básicos da segurança (integridade, disponibilidade, confiabilidade) é um dos objetos da segurança da informação, a fim de não provocar danos aos sistemas da informação (SÊMOLA, 2014). Uma das duas ameaças à segurança que ganha maior destaque é a do intruso (a outra são os vírus), geralmente conhecido como hacker ou cracker (STALLINGS, 2010). Uma ameaça é qualquer causa potencial de um incidente, resultando em danos aos ativos. Por exemplo: dano físico (incêndio, inundação, envenenamento); evento natural (climático, sísmico, vulcânico), perda de serviços (eletricidade, telecomunicações); comprometimento da informação (espionagem, roubo). Falha técnica (equipamento, software); comprometimento de funções (erro, abuso, negação). As ameaças podem se transformar de duas maneiras: acidental ou malicioso. Você pode observar, a seguir, alguns exemplos de ameaças em sistemas de TI: • Vírus – programas desenvolvidos para destruir dados ou sistemas de computador. • Worms – possui a capacidade de autorreplicação, exploram vulnerabilidades e não necessitam da interação com usuário. • Bots – propaga-se automaticamente explorando vulnerabilidades ou falhas na configuração de softwares, e pode ser controlado remotamente. • Keyloggers – programas que registram as teclas digitadas pelo usuário, incluindo senhas, cartão de crédito e números da conta. • Screenlogger – programa capaz de armazenar a posição do cursor e a tela apresentadas no monitor. TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE 29 2.1 MODELAGEM DE AMEAÇAS O conhecimento das ameaças é crucial para a definição dos requisitos de um sistema,pois auxilia na seleção das medidas de segurança que serão desenvolvidas, implementadas e instaladas. E você poderia utilizar do processo de modelagem de ameaças para compreender as possíveis ameaças dos sistemas, e buscar medidas de contorno para se proteger. O processo de modelagem de ameaças está se tornando comum na engenharia de software, onde existe a preocupação em garantir a segurança da informação. Uma modelagem de ameaças é uma abordagem estruturada para identificar potenciais ameaças que poderiam explorar vulnerabilidades do sistema. Essa modelagem tem como foco determinar quem seria o atacante e como este atacante poderia ter sucesso no ataque. É uma forma de antecipar as ameaças que poderiam afetar o sistema (SHOSTACK, 2014). Mas você pode se perguntar: o que é a modelagem de ameaças? A modelagem de ameaças se compreende pelo uso de modelos para encontrar problemas de segurança. Usar um modelo significa abstrair muitos detalhes para dar uma olhada em uma imagem maior, em vez do código em si. Você modela porque permite encontrar problemas em coisas que ainda não foram criadas e porque permite detectar um problema antes que ele comece. Assim a modelagem de ameaças é uma forma de antecipar as ameaças que podem afetá-lo (SHOSTACK, 2014). Um exemplo de modelagem poderia ser, quando identificamos no Call Center, um desenho de como os sistemas se relacionam, quais os papéis das pessoas envolvidas em cada uma das fases. Poderíamos assim ter um modelo com as funcionalidades e os pontos fortes e fracos em cada fase do processo. Por exemplo, as responsabilidades dos atendentes são menores do que as dos supervisores. Mesmo assim, ainda poderíamos ter os administradores do sistema com maior acesso às funcionalidades e diferentes camadas do sistema de registro de atendimentos. Uma das metodologias usadas para a modelagem de ameaças é a STRIDE (do inglês, Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege, ou seja, falsificação, adulteração, repúdio, divulgação de informações, negação de serviço, elevação de privilégio) da Microsoft (SHOSTACK, 2014). Stride é uma metodologia de modelagem de ameaças desenvolvido por Praerit Garg e Loren Kohnfelder na Microsoft para identificar ameaças à segurança de computadores. O modelo divide as ameaças de segurança em seis categorias. As ameaças de segurança são divididas em: falsificação, adulteração, repúdio, divulgação de informações (violação de privacidade ou vazamento de dados), negação de serviço e elevação de privilégio. A Figura 9 apresenta a taxonomia de ameaças em segurança no seu ciclo de vida. 30 UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE FIGURA 9 – MODELAGEM DE AMEAÇAS STRIDE FONTE: Adaptado de <https://msdn.microsoft.com/en-us/library/ee823878(v=cs.20).aspx>. Acesso em: 4 nov. 2020. Conheça mais sobre o projeto Stride de modelagem de ameaças da Microsoft visitando a página na internet https://msdn.microsoft.com/en-us/library/ee823878(v=cs.20).aspx. DICAS Outra metodologia utilizada para a modelagem de ameaças de segurança é descrita por (DENG, 2011). A metodologia intitulada de LINDDUN vem do acrônimo, ligação, identificação, não repúdio, detecção, descoberta de informações, desconhecimento e não conformidade (do inglês, Linkability, Identificability, Non-repudiation, Detectability, Disclosure of information, Unawareness, Non-compliance). A metodologia avalia cada uma dessas características que representa a sigla, nas diferentes categorias de segurança. LINDDUN é basicamente uma técnica de modelagem de ameaças que considera de forma sistemática as questões de privacidade. TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE 31 A metodologia LINDDUN foi avaliada e melhorada com base em resultados empíricos surgindo a metodologia LIND(D)UN 2.0 (WUYTS, 2015). A nova metodologia LIND(D)UN 2.0 (WUYTS, 2015) por um lado, estende o catálogo de árvore de ameaças, e por outro, simplifica a metodologia, acrescentando uma etapa de priorização do impacto das ameaças, considerando as tecnologias de reforço de privacidade – PET (do inglês, Privacy Enhancing Technologies) existentes. A Figura 9 apresenta o fluxo da metodologia LIND(D)UN 2.0 (WUYTS, 2015), a técnica LINDDUN melhorada. A metodologia LIND(D)UN 2.0, conforme apresentado na Figura 10, é dividida em etapas para o espaço do problema e o espaço da solução. Os passos que abordam o problema são: 1- Definir um Diagrama de Fluxo de Dados (DFD). 2- Mapear as ameaças de privacidade para os elementos do DFD. 3- Identificar os cenários de ameaça. Já os passos que abordam a solução são: ◦ Priorizar as ameaças. ◦ Extrair as estratégias de mitigação. ◦ Selecionar as PETS correspondentes. FIGURA 10 – OS PROCESSOS DA METODOLOGIA LINDDUN FONTE: Wuyts (2015, p. 36) Conheça mais sobre a modelagem de ameaças do LINDUNN na página da internet https://www.linddun.org/. NOTA 32 UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE 3 ATAQUES Os ataques são os conjuntos de ações conduzidas por uma entidade não autorizada visando às violações de segurança (IETF RFC 4949, 2007). O conceito de ataque é muito importante quando falamos de ameaças e vulnerabilidades, pois é por meio deles que as ameaças são concretizadas. Um exemplo poderia ser um agente malicioso tentando roubar informações no sistema do Call Center. Você, acadêmico, poderia entender como esta ação resulta em algum prejuízo ao sistema do Call Center, ou as pessoas envolvidas no tratamento das informações. Os ataques, às redes de computadores, podem gerar alguns tipos de irregularidade, como por exemplo: • Destruição de informação ou de outros recursos – por exemplo, quando o intruso na central de atendimento telefônico apenas apaga as informações de registro de atendimentos. • Modificação ou deturpação da informação – por exemplo, quando o intruso no Call Center altera as informações de registro de atendimentos. • Roubo, remoção ou perda da informação ou de outros recursos – por exemplo, quando o intruso no Call Center rouba os dados dos clientes para a venda ilegal do cadastro na internet. • Revelação de informações – por exemplo, quando o intruso no Call Center rouba as informações dos funcionários, dos atendentes com o intuito de publicar esses dados para os concorrentes. • Interrupção de serviços – quando por exemplo, o intruso no Call Center faz ataques que prejudicam o atendimento, corrompendo o acesso à internet ou os sistemas de registro e atendimento, tornando o sistema indisponível. Os ataques podem ser: • Acidentais. • Intencionais. Os ataques acidentais são os que não estão associados à intenção premeditada. Exemplo: descuidos operacionais; bugs de software e hardware (STALLINGS, 2010). Ataques intencionais são os que estão associados à intenção premeditada. Exemplos: observação de dados com ferramentas simples de monitoramento das redes; alteração de dados, baseados no conhecimento do sistema (STALLINGS, 2010). Os ataques podem ser classificados ainda como: • Ativos. • Passivos. TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE 33 Os ataques passivos são aqueles que não alteram a informação, nem mesmo o fluxo normal da informação no canal sob escuta. Nos ataques passivos, a informação é interceptada, e assim passa a ser monitorada pelo atacante, tudo isso sem que o sistema perceba. O atacante não tem a intenção de modificar (alterar) a informação transmitida (STALLINGS, 2010). O fluxo normal da requisição apresentado na Figura 11 é quando o atacante não interfere no fluxo. A requisição é quando uma parte A troca comunicação com uma parte B, por exemplo, quando uma parte A faz uma solicitação, um pedido de informações para uma parte B.
Compartilhar