Baixe o app para aproveitar ainda mais
Prévia do material em texto
Autor: Prof. Ricardo Sewaybriker Colaborador: Prof. Olavo Tomohisa Ito Segurança em Redes de Computadores Professor conteudista: Ricardo Sewaybriker Formado em Administração de Empresas pelas Faculdades Integradas Campos Salles (FICS) e pós-graduado em Gestão da Segurança da Informação pelo Instituto de Pesquisas Energéticas e Nucleares (Ipen) – USP. É professor da UNIP desde 2007. Administrador profissional, trabalha com segurança da informação, atuando em instituição financeira há 29 anos. © Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por qualquer forma e/ou quaisquer meios (eletrônico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem permissão escrita da Universidade Paulista. Dados Internacionais de Catalogação na Publicação (CIP) S442s Sewaybriker, Ricardo. Segurança em Redes de Computadores / Ricardo Sewaybriker. – São Paulo: Editora Sol, 2020. 184 p., il. Nota: este volume está publicado nos Cadernos de Estudos e Pesquisas da UNIP, Série Didática, ISSN 1517-9230. 1. Segurança em redes. 2. Mecanismos de ataque. 3. Processos de segurança. I. Título. CDU 681.3.004.4 U508.06 – 20 Prof. Dr. João Carlos Di Genio Reitor Prof. Fábio Romeu de Carvalho Vice-Reitor de Planejamento, Administração e Finanças Profa. Melânia Dalla Torre Vice-Reitora de Unidades Universitárias Profa. Dra. Marília Ancona-Lopez Vice-Reitora de Pós-Graduação e Pesquisa Profa. Dra. Marília Ancona-Lopez Vice-Reitora de Graduação Unip Interativa – EaD Profa. Elisabete Brihy Prof. Marcello Vannini Prof. Dr. Luiz Felipe Scabar Prof. Ivan Daliberto Frugoli Material Didático – EaD Comissão editorial: Dra. Angélica L. Carlini (UNIP) Dr. Ivan Dias da Motta (CESUMAR) Dra. Kátia Mosorov Alonso (UFMT) Apoio: Profa. Cláudia Regina Baptista – EaD Profa. Betisa Malaman – Comissão de Qualificação e Avaliação de Cursos Projeto gráfico: Prof. Alexandre Ponzetto Revisão: Vitor Andrade Vera Saad Sumário Segurança em Redes de Computadores APRESENTAÇÃO ......................................................................................................................................................7 INTRODUÇÃO ...........................................................................................................................................................7 Unidade I 1 FUNDAMENTOS DE SEGURANÇA EM REDES ..........................................................................................9 1.1 Conceito de segurança da informação ....................................................................................... 10 1.2 Pilares da segurança em redes de dados e comunicação .................................................... 11 1.3 Ciclo de vida da informação ............................................................................................................ 15 1.4 Classificação da informação ............................................................................................................ 17 1.5 Análise de riscos.................................................................................................................................... 22 1.6 Gerenciamento do risco .................................................................................................................... 24 2 SISTEMAS DE AUTENTICAÇÃO .................................................................................................................... 29 2.1 Autenticação .......................................................................................................................................... 29 2.2 Autorização ............................................................................................................................................. 34 2.3 Auditoria .................................................................................................................................................. 36 2.4 Exemplo de soluções AAA ................................................................................................................. 39 Unidade II 3 MECANISMOS E ESTRATÉGIAS DE SEGURANÇA EM REDES .......................................................... 47 3.1 Segurança física .................................................................................................................................... 47 3.2 Estratégias de segurança ................................................................................................................... 57 3.3 Criptografia e infraestrutura de chaves ...................................................................................... 60 3.4 Certificados digitais ............................................................................................................................. 64 4 AMEAÇAS E MECANISMOS DE ATAQUE A REDES .............................................................................. 67 4.1 Formas de ataque a redes ................................................................................................................. 68 4.2 Vulnerabilidades e ameaças ............................................................................................................. 70 4.3 Diferença entre hacker e cracker ................................................................................................... 71 4.4 Ferramentas de ataque ...................................................................................................................... 72 4.4.1 Bombas de correio eletrônico e lista de mala direta ................................................................ 72 4.4.2 Negação de ferramentas de serviço ................................................................................................ 74 4.4.3 Softwares maliciosos ............................................................................................................................. 75 Unidade III 5 DISPOSITIVOS DE SEGURANÇA PARA REDES ...................................................................................... 96 5.1 Roteador de borda e NAT (Network Address Translation) ................................................... 96 5.2 Firewall e proxy ..................................................................................................................................... 98 5.3 Bastion host ..........................................................................................................................................108 5.4 Perímetro de segurança ...................................................................................................................108 5.5 Sistemas de detecção e prevenção de invasão e políticas ................................................111 6 VPN, VLANS, IPSEC E SEGURANÇA EM REDES SEM FIO ................................................................118 6.1 VPN (Virtual Private Network) ......................................................................................................118 6.2 VLANs (Virtual LANs) .........................................................................................................................125 6.3 Segurança em redes sem fio (wireless) ......................................................................................127 6.4 IP Security (IPSec) ..............................................................................................................................134 Unidade IV 7 TESTE DE INVASÃO E TECNOLOGIAS EMERGENTES .........................................................................141 7.1 Teste de invasão, conceito ..............................................................................................................141 7.2 Processos de um teste de invasão ...............................................................................................142 7.2.1 Etapa de coleta de informações ....................................................................................................145 7.2.2 Descobrindo as vulnerabilidades ................................................................................................... 146 7.2.3 Capturando tráfego ............................................................................................................................ 147 7.2.4 Exploração de falhas ........................................................................................................................... 147 7.2.5 Ataques a senhas ................................................................................................................................. 148 7.2.6 Explorando falhas do lado da organização ............................................................................... 150 7.3 Segurança em tecnologias emergentes ....................................................................................151 7.3.1 Cloud computing ..................................................................................................................................151 7.3.2 IoT – Internet das Coisas ................................................................................................................... 154 8 PROCESSOS DE SEGURANÇA DA INFORMAÇÃO ..............................................................................155 8.1 Política, normas e procedimentos de segurança da informação ....................................156 8.2 A legislação e o direito digital .......................................................................................................164 8.3 Tempo de respostas a incidentes de segurança da informação ......................................166 8.4 Plano de Continuidade do Negócio (PCN) ...............................................................................172 7 APRESENTAÇÃO Esta disciplina tem como objetivo abordar os principais aspectos relacionados à proteção dos ativos que circulam interna e externamente nas redes corporativas e públicas. O conteúdo ilustrado proporciona interação e, de forma clara, visa despertar o envolvimento e a curiosidade do aluno para essa importante disciplina, uma vez que as redes de dados e comunicação representam o principal objetivo de um ataque ou estão diretamente ligadas à concretização ou não dele. Diante desse cenário, estudaremos itens como: fundamentos de segurança em redes; conceito de segurança da informação; vulnerabilidades; ameaças; impactos; pilares da segurança da informação; classificação da informação; análise e gestão de riscos; e sistemas de autenticação em redes. Serão acentuados os mecanismos e as estratégias de segurança em redes, em especial segurança física, estratégias de segurança, criptografia, infraestrutura de chaves e certificados digitais; depois, estudaremos ameaças e mecanismos de ataques à rede, demonstrando as formas de ataque, as vulnerabilidades e as ameaças, a diferença entre hacker e cracker e as ferramentas de ataque. Também serão apresentados os dispositivos de segurança em redes, como: roteador de borda; NAT (Network Address Translation); firewall; proxy; bastion host; perímetro de segurança; sistemas de detecção e prevenção de invasão. Em seguida, serão abordadas as VPN, VLANS, IPSec e a segurança em redes sem fio. Também vamos conhecer os testes de invasão em seu conceito e estrutura, as tecnologias emergentes como cloud computing (computação na nuvem) e IOT (internet das coisas). Por fim, serão acentuados itens como: processos de segurança da informação com as políticas, as normas e os procedimentos de segurança da informação; a legislação e o direito digital; o tempo de respostas a incidentes de segurança da informação; e o Plano de Continuidade do Negócio (PCN). INTRODUÇÃO A importância de desenvolver projetos de redes com segurança não se limita apenas às grandes redes corporativas, mas sim a qualquer tipo e tamanho de rede e corporação, chegando às redes domésticas. Diante desse cenário, todos estamos expostos à ação dos crackers, e a porta de entrada pode estar diretamente relacionada às vulnerabilidades contidas nas redes. A grande vantagem de estar na linha de frente dos ataques é que a necessidade de proteção é latente, portanto, priorizada nos projetos de redes atuais, especialmente nas redes corporativas. A preocupação com segurança nem sempre foi importante; em meados da década de 1960, quando as primeiras redes iniciaram seu processo irreversível de transporte de dados de um ponto a outro, não se imaginava que as redes ligariam o mundo e que a informação seguiria de um ponto a outro do planeta em frações de segundo. 8 As primeiras redes desenvolvidas por meio de tecnologias arcaicas e com abrangências limitadas sofriam poucas ações de invasão, e quando elas ocorriam o objetivo não era obter lucros financeiros, e sim fazer brincadeiras para testar as habilidades dos invasores. Estes tentavam quebrar os mecanismos de segurança das redes e usavam essas invasões para expor seus talentos e se vangloriar entre os amigos. As redes evoluíram e com o passar do tempo tornaram-se parte do universo corporativo, pessoal e governamental, ou seja, presente no dia a dia de grande parte da população. Hoje inúmeras informações trafegam através das redes. Com o advento da internet e sua evolução constante, tornamo-nos cada vez mais dependentes de seu funcionamento e, portanto, dos mecanismos de segurança que serão adicionados para proteger os ativos de informação que nela trefegam. As informações dependem da segurança das redes para dar seguimento ao processo progressivo de massificação da utilização, sobretudo as redes corporativas que movimentam muitas informações e, consequentemente, muitos valores financeiros, sendo alvo de criminosos atuais e também dos criminosos do futuro, os crackers. Ataques às redes corporativas são cada vez mais frequentes e agora ocorrem em escala global, afetando diversas empresas em vários países simultaneamente. Com o advento da utilização da computação em nuvem e da internet das coisas (tudo na Internet), a segurança em redes é parte fundamental, ganhando ainda mais importância no cenário futuro em todas as esferas do cotidiano de todos: pessoas, organizações ou órgãos governamentais. 9 SEGURANÇA EM REDES DE COMPUTADORES Unidade I 1 FUNDAMENTOS DE SEGURANÇA EM REDES Muito antes de trafegar nas redes, as informações possuem características que devemos conhecer. Elas são constituídas por um conjunto de dados agrupados de forma lógica e que, de alguma forma, agregam valor para pessoas, processos ou organizações. As redes são vitais no processo de transporte e troca de informações, adicionando mais valor a essas informações de forma direta ou indireta. Quando nos referimos à segurança, a transição de um ponto a outro das informações é o seu maior risco. Os desafios dos profissionais que trabalham na administração das redes são inúmeros, como proteger as informações que trafegam na rede sob sua gestão, a fim de evitar vazamentos, furtos e falhas. Assim, os profissionais de rede devem estar atentos aos fatores humanos e devem estabelecer processos estruturados. Apesar de amparada quase que unicamente no uso de tecnologias voltadas à proteção, todos os profissionais de redes devem estar atentos aos três elementos de segurança: Pessoas Tecnologia Processos Figura 1 – Elementos de segurança da informação Todas as ameaças que rondam a segurança das informações visam explorar as vulnerabilidades presentes nesses elementos. À primeira vista, podemos imaginar que os profissionais de redes devem se preocupar apenas com as ameaças que exploram os elementos tecnológicos, mas isso representa uma meia verdade; uma vez que os elementos que formam o conjunto devem sempre ser analisados na implantação dos mecanismos de proteções em redes, deixar de avaliar um desses elementos pode dar uma visão incorreta e falsa sensação de segurança, o que pode levar a incidentes de segurança da informação. 10 Unidade I 1.1 Conceito de segurança da informaçãoSegundo Moraes (2010), a segurança da informação pode ser definida como um processo de proteger a informação do mau uso tanto acidental como intencional, por pessoas internas ou externas à informação, incluindo empregados, consultores e hackers (MORAES, 2010, p. 19). Para compreender melhor os processos de proteção da informação, é preciso entender os envolvidos que atuam diretamente e influenciam todas as decisões na segurança das informações. O valor da informação é definido pelo seu grau de importância para a organização, isso parece ser lógico e simples, mas não é, o valor da informação deve ser definido por um conjunto de fatores que inclui seu valor financeiro, de imagem, importância estratégica, atendimento às leis locais e internacionais, o que necessariamente levará à classificação das informações e análise de riscos e, posteriormente, à priorização de investimentos em mecanismos de proteção. As proteções são definidas a partir do valor e da relevância do ativo de informação para a organização. Elas podem ser desenvolvidas para processos (política e normas), para pessoas (portas, alarmes e treinamento) ou para tecnologia (permissão de acesso, firewalls). As proteções sempre são implantadas sobre três aspectos: Quadro 1 Tipos de proteção Medidas de proteção Elemento influenciado Lógica Permissão em sistemas de arquivos Firewalls Perfis de usuários em aplicações Tecnologia Física Porta Fechadura Vigilantes Pessoas Administrativa Política Normas Procedimentos Processos Os mecanismos de proteção implantados de forma isolada são pouco eficazes, e os profissionais de rede devem estar atentos aos aspectos físicos e lógicos que envolvem as redes, temas que serão abordados neste livro-texto. As ameaças são representadas por algum evento que pode ter potencial para causar prejuízos aos ativos de informação. Elas podem explorar vulnerabilidades e assim se concretizarem, podem ser classificadas como:natural, acidental ou intencional. 11 SEGURANÇA EM REDES DE COMPUTADORES O quadro a seguir acentua os tipos de ameaças: Quadro 2 Tipos de ameaças Exemplos Agentes Naturais Fenômenos da natureza (enchentes, furações) Natureza Acidentais Erros de usuários Falhas sistêmicas Falta de energia Falta de conhecimento Intencionais Invasões/Terrorismo Chantagem/Extorsão Espionagem Crackers Funcionários insatisfeitos Os profissionais de rede devem estar atentos aos agentes das ameaças que exploram as vulnerabilidades, como crackers, que atacam as organizações de fora para dentro. Como exemplo de ataques de dentro da organização, destacam-se os funcionários insatisfeitos, e esse segundo agente a experiência mostra que é difícil prever e conter. • Vulnerabilidades: são brechas que podem representar portas de entrada para a concretização de um incidente ou ataque à segurança da informação, possivelmente causando impactos ao negócio. • Risco: é matemático, ou seja, é a probabilidade de uma ameaça explorar alguma vulnerabilidade, também causando impactos à segurança da informação. O risco pode ser positivo ou negativo, porém quando o assunto é segurança da informação, avaliamos o risco negativo. • Impacto: geralmente é retratado pelo dano causado pela concretização do risco. Quando é representado por prejuízos financeiros, fica fácil a mensuração do impacto. Todavia, em danos causados à imagem ou aos controles regulatórios, não é tarefa tão simples assim, pois o impacto pode afetar desde o negócio, passando pelos acionistas, fornecedores e terceiros. Lembrete Os mecanismos de proteção implantados de forma isolada são pouco eficazes, e os profissionais de rede devem estar atentos aos aspectos físicos e lógicos que envolvem as redes. 1.2 Pilares da segurança em redes de dados e comunicação Para maior proteção, deve-se desenvolver um modelo que servirá de parâmetro para orientar e direcionar as decisões de segurança da informação. Moraes (2010) menciona o modelo pensando sempre em: equipamentos de rede, sistemas de autenticação, sistemas de auditoria e as informações vitais que são trafegadas nas redes. 12 Unidade I • Equipamentos de redes: são incluídos nesse rol dispositivos como roteadores, servidores de comunicação, switches de rede local, gateways etc. • Sistemas de autenticação: destacam-se os seguintes elementos: biometria; assinatura digital; certificados digitais; gestão de acessos; tokens; sistemas de segurança baseados em criptografia; PKI; firewall. • Sistemas de auditoria: as organizações devem medir periodicamente os seus controles a fim de testar sua real eficácia e conformidade com o que foi previamente definido. • Informações vitais que trafegam nas redes: é essencial que os profissionais de redes identifiquem o que trafega para desenvolver mecanismos de proteção para as informações mais importantes da organização. Os serviços de segurança em redes devem estar atentos aos pilares que o sistema implementou e, consequentemente, sustentará, sendo sempre voltados para a integridade, a autenticidade, a confidencialidade, o não repudio, a disponibilidade, o controle de acesso e a auditoria. A integridade tem o fito de garantir que a informação trafegue de um ponto ao outro da rede sem sofrer alterações, ou seja, a informação que sai de um determinado emissor deve chegar íntegra, sem sofrer alterações até o seu destino. A integridade de dados tem como objetivo prevenir erros de processamento e fraudes, sejam intencionais, sejam acidentais. Para alguns sistemas, a integridade é fundamental, a exemplo do comércio eletrônico e o tráfego aéreo. As principais ameaças quanto à integridade das informações estão diretamente relacionadas à ação de crackers, usuários não autorizados, programas maliciosos ou qualquer incidente que altere o estado original da informação. Para Moraes (2010), os três principais controles de segurança para garantir a integridade no processo são: Quadro 3 Controles Descrição Rotation of duties (troca de equipe) A troca constante de funcionários em cargos e funções-chave pode evitar fraudes em sistemas e processos . Need to know (o que os usuários precisam saber) Originado no meio militar, consiste em permitir acesso aos usuários apenas naquilo que eles necessitam para executar seu trabalho, bloqueando todo o resto. Separation of duties (divisão de responsabilidades) Consiste em dividir o processo de execução: quem autoriza, não faz; quem faz, não autoriza. Adaptado de: Moraes (2010, p. 26). 13 SEGURANÇA EM REDES DE COMPUTADORES Para garantir a integridade na transmissão de dados em redes e também no armazenamento, uma excelente opção é usar as funções de hashing, que consiste em atribuir ao processo de transporte e armazenamento das informações o resultado de uma função matemática. Desse modo, quando ocorrer uma transmissão, a mensagem será processada na origem e o hashing será calculado com o dado a ser transmitido e, em seguida, será enviado. Assim que o dado chegar ao destino, o hashing será separado e o cálculo será refeito. Destaca-se que o valor deverá ser idêntico ao criado na origem; se houver diferença, significa que o dado foi alterado e que sua integridade foi comprometida. Para os casos de armazenamento de informações, calcula-se o hash, que será deixado com a informação armazenada. Quando a informação for utilizada, calcula-se o hash novamente para verificar se ainda é o mesmo que foi criado no armazenamento. As características de hashing são as seguintes: • A entrada da função pode ser de qualquer tamanho para cálculo. • O hash que é o digest sempre tem tamanho fixo. • É sempre unidirecional e é impossível de inverter. • O hash é livre de colisão, ou seja, dois textos não podem possuir o mesmo hash. Os principais algoritmos de hash são: SHA-1 (Secure Hash Algorith), MDS e H-MAC, que serão apresentados depois. Observação Message Digests são funções hash que geram código de tamanho fixo, em uma única direção, a partir de dados de tamanhoarbitrário. Códigos hash são úteis para segurança de senhas. O princípio de confidencialidade é proteger a informação em sistemas, recursos e processos para que eles não possam ser acessados por pessoas não autorizadas (MORAES, 2010, p. 28). Dessa forma, é correto afirmar que preservar a confidencialidade passa por não disponibilizar a informação a quem não tenha a devida autorização de acesso, compondo os mecanismos que protegem a privacidade de dados. Moraes (2010) expõe que a confidencialidade possui alguns aspectos importantes, como a identificação, a autenticação e a autorização. As principais ameaças à confidencialidade estão nas ações dos crackers e dos usuários mal-intencionados ou descuidados. 14 Unidade I Quadro 4 – Ameaças à confidencialidade Ameaças Ações Atividade não autorizada Ocorre quando usuários não autorizados têm acesso aos sistemas e comprometem os arquivos Downloads não autorizados Movimentação de informações de ambientes seguros para ambientes inseguros Redes Os dados confidenciais que trafegam na rede devem ser criptografados para assegurar seu sigilo Vírus e trojan Códigos maliciosos instalados nos sistemas podem atacar buscando informações confidenciais Engenharia social Processo de ataque que não faz uso da tecnologia, e sim dos fatores humanos Adaptado de: Moraes (2010, p. 28). A confidencialidade pode ser obtida nos dados que estão armazenados ou que estão sendo transmitidos através de criptografia, com restrição de acesso, classificando os dados e desenvolvendo normas e procedimentos de segurança da informação. Quando nos referimos aos controles de acesso lógicos a redes, devemos definir métodos de autenticação, identificação e autorização. A identificação é o método utilizado para que um usuário, programa ou processo disponibilize ao sistema sua identidade, credencial. A identificação antecede o processo de autenticação. Na autenticação, após prover a identidade ao sistema, o usuário deve fornecer algum mecanismo que valide seu acesso. Esse mecanismo pode ser uma senha ou uma frase secreta, um dispositivo de acesso como token ou algo que possa confirmar sua autenticidade. Em geral, a utilização de mais de um mecanismo de autenticação é necessária para acessos que requerem maior segurança na confidencialidade e na integridade, a isso chamamos de duplo fator de autenticação, ou seja, dois mecanismos distintos de autenticação simultânea. Os mecanismos de proteção podem ter três formatos diferentes: • O que o usuário conhece: normalmente uma senha ou uma frase secreta. • O que o usuário possui: cartão, token, uma chave criptografia ou um certificado. • O que o usuário é: uso das características biométricas únicas (digital, íris, geometria da palma da mão). Mesmo identificados e autorizados, os usuários devem ter permissão para acessar a rede, os sistemas, os aplicativos, os arquivos etc. O sistema deve verificar os privilégios de acesso previamente definidos. Para maior segurança, ressalta-se que o ideal é que os usuários possuam privilégios mínimos, isto é, apenas os acessos necessários para execução de suas atividades cotidianas. 15 SEGURANÇA EM REDES DE COMPUTADORES Para garantir a disponibilidade, os sistemas devem estar sempre acessíveis quando o usuário precisar, o que é fundamental para os profissionais de redes, que devem manter as redes sempre operantes. As ameaças à disponibilidade estão relacionadas aos ataques que visam interromper os serviços, e os mais conhecidos são os ataques DDOs (Distribution Denial of Service), ataques de negação de serviço, ameaças como desastres naturais, enchentes, fogo, terremotos ou atos humanos. Os ataques de negação de serviço foram desenvolvidos para derrubar os servidores de acesso (principalmente web) e dessa forma tornar o acesso indisponível. Os ataques de negação de serviço distribuídos são causados por máquinas invadidas por crackers, que utilizam esses equipamentos como soldados “controlados que agem ao seu comando, os chamados zumbis, que a determinado momento exercem acesso simultâneo nos alvos determinados e, consequentemente, derrubando os serviços” (MORAES, 2010, p. 30). Evidentemente que os profissionais devem projetar sistemas com a capacidade de prover níveis compatíveis de performance, e uma saída para aumentar a disponibilidade é usar sistemas redundantes para segurar o serviço em casos de sobrecarga de acessos. O não repudio consiste em desenvolver técnicas e métodos para que o remetente de uma determinada informação não possa negar o envio dela, algo muito comum para e-commerce e internet banking. Por sua vez, a auditoria é muito importante para os serviços de rede. Com ela, é possível manter registros de tudo o que acontece no ambiente da rede, os chamados logs, que são armazenados e podem ser consultados sempre que houver necessidade de verificação de irregularidades. Basicamente, as auditorias consistem em verificar as atividades dos sistemas, seus controles de acesso e determinando o que foi feito, por quem, quando e como foi alterado ou afetado. Acentua-se que o processo de auditoria serve para todos os usuários autorizados e não autorizados. Em aplicações críticas, faz-se necessário aumentar o nível de detalhe nos registros de auditorias para inclusive realizar o retorno ao estado inicial de uma informação. O problema é o espaço de armazenamento dos logs, por isso é preciso desenvolver política de retenção e exclusão dos registros de log. 1.3 Ciclo de vida da informação Toda informação possui prazo de validade determinado, o que é chamado de ciclo de vida da informação. Os diversos estágios desse ciclo devem possuir formas diferenciadas para o seu tratamento, sua manutenção e implantação de mecanismos de proteção, por esse motivo é essencial entender o que cada etapa do ciclo de vida da informação necessita. 16 Unidade I Descartada Armazenada Transmitida Criada/adquirida Tratada Figura 2 – Elementos de segurança da informação Após a geração, a informação passa pela fase de tratamento e manipulação, e a informação será estruturada, organizada, modificada, agrupada ou condensada para se transformar em um autêntico ativo de informação. A próxima etapa refere-se à transmissão. A informação será transmitida de um ponto a outro através de algum canal de comunicação. Para tal, há os canais estruturados, como e-mails, internet e links dedicados, e os canais não estruturados com a voz. Na fase de armazenamento, os ativos de informação que não estão sendo ou que já foram tratados ou transmitidos devem ser devidamente guardados de forma organizada para possíveis consultas; os locais mais comuns de armazenamento são os arquivos físicos e os bancos de dados. A fase de descarte ocorre quando a informação será finalmente excluída do rol de informações da organização. Acentua-se que o descarte inadequado pode causar prejuízos à segurança da informação. Por fim, destaca-se a fase de transmissão, período de maior risco à informação. O motivo é simples: quando está sendo transmitida, ela não está na posse de nenhum dos lados (emissor/receptor), o que favorece a ação dos crackers na interceptação, adulteração ou furto. Por essa razão, redes foi a primeira área corporativa a se preocupar com segurança da informação. Lembrete Toda informação possui prazo de validade determinado, o que é chamado de ciclo de vida da informação. 17 SEGURANÇA EM REDES DE COMPUTADORES 1.4 Classificação da informação Classificar a informação é um processo que inclui conhecer todos os ativos de informação e, a partir daí, definir os que requerem mais atenção. A organização de qualquer item de informação deve passar primeiramente por uma análise de seu grau de importância, e quem determina isso é sempre o seu proprietário. Ninguém largaria o diploma universitário em um local que certamente seria destruído, mas outra pessoa com certeza não ligaria para isso. Segundo Kovacich (1998), apesar de não existir uma forma padronizadade classificar a informação de uma organização, são numeradas três categorias: as informações pessoais, as de segurança nacional e as de negócio. Na prática, o processo de classificação consiste em organizar as informações pelo seu grau de importância e a partir disso definir quais os níveis de proteção que cada ativo de informação requer. Assim, evita-se a implantação desnecessária de mecanismos de proteção para ativos irrelevantes e também que sejam aplicados mecanismos inferiores para ativos sensíveis ou extremamente importantes, o que os deixaria vulneráveis. Pode-se mensurar os dois objetivos básicos da classificação da informação: • Proteção: as organizações manipulam diversos ativos de informação e esses ativos podem estar passando por qualquer fase do ciclo de vida, por essa razão é necessário avaliar cada ativo para saber em que fase ele está e qual o nível de proteção que será aplicado e, assim, atingir o máximo de eficácia possível no uso do mecanismo da proteção. • Economia: quanto maior a necessidade de proteção para o ativo, maior será o investimento financeiro em mecanismos de proteção; na prática, isso quer dizer que, se a classificação das informações retratar a realidade, isso representará economia à organização, uma vez que estará aplicando seu dinheiro em ações que protegerão seus ativos mais importantes. O processo de classificar as informações traz diversos benefícios para uma organização. Entre os benefícios tangíveis, pode-se mencionar: conscientização; responsabilidades; níveis de proteção; tomada de decisões e melhor uso dos recursos. A classificação da informação não é imutável, pelo contrário, assim como a informação passa por um ciclo de vida, a classificação da informação pode mudar conforme seu estado e sua importância, por exemplo, o balanço patrimonial de uma empresa que inicia seu ciclo de vida classificado no nível mais alto e termina seu ciclo de vida com o menor nível de classificação possível publicado nas mídias. Não existe um modelo padrão para classificar a informação. Recomenda-se que sejam definidos ao menos três níveis de classificação e também não muitos mais para não dificultar sua organização. A definição dos níveis auxilia na identificação e implantação dos critérios e dos mecanismos de proteção. 18 Unidade I Assim, a classificação da informação pode ter diversas formas dependendo de qual dos princípios ela pretende atender e sua rotulação deve seguir o ponto de vista determinado e suas respectivas exigências. Para o princípio de confidencialidade, as informações, dependendo de sua importância, devem preservar o seu sigilo para que apenas as pessoas autorizadas tenham acesso a elas; em alguns casos, manter à confidencialidade das informações é uma exigência legal. Algumas questões devem ser respondidas para aqueles que determinam a classificação da informação sob o aspecto da confidencialidade, por exemplo: “o que aconteceria se alguém que não pudesse ter acesso à informação de repente obtivesse tal acesso?” As organizações podem seguir diversos esquemas de classificação para suas informações quanto à confidencialidade, e muitas atribuem apenas três categorias para facilitar a análise e a implantação de mecanismos de proteção: confidencial, restrita e pública. No princípio de disponibilidade, a preocupação é como recuperar as informações e como mantê-las sempre disponíveis para o acesso de usuários autorizados. Diante desse princípio, a classificação dos ativos de informação é estabelecida pelo tempo que ela pode ficar inacessível aos usuários legitimados, assim, quanto menor o tempo que a informação puder ficar inacessível, maior será a sua categoria de classificação. Já o princípio de integridade tem como objetivo classificar os ativos de informação a fim de preservar a integridade, e sob hipótese alguma deverá ser adulterada. Por fim, o princípio de autenticidade, que deriva do princípio de integridade, tem como objetivo “a garantia de que a informação é legítima, criada por alguém com autoridade para fazê-lo e oriunda da fonte à qual é atribuída” (BEAL, 2008, p. 69). Os exemplos mais comuns são de informações que serão destinadas ao público externo, exigindo a verificação da autenticidade. A classificação dos ativos físicos, softwares e de serviços não é uma tarefa das mais fáceis, geralmente pode ser feita com a criação de grupos de ativos, levando em conta limites pré-estabelecidos por características comuns, como o tipo de usuários. A segmentação dos ativos proporciona a criação de estratégias diferenciadas de proteção. É impossível estabelecer um modelo único de segmentação de ativos físicos, de software e de serviços capaz de atender às necessidades de todos os tipos de organização. Os esforços gastos no desenvolvimento de uma forma de classificação e segmentação desses ativos são adaptados às características e às necessidades próprias do negócio [...] são recompensados pelo entendimento claro dos diferentes requisitos associados aos diferentes objetivos de segurança (BEAL, 2008, p. 70). 19 SEGURANÇA EM REDES DE COMPUTADORES A responsabilidade pela classificação dos ativos de informação recai sobre alguns fatores que são vitais no processo de classificação dos ativos de informação nas organizações. O fato de classificar a informação recai em sujeitar as informações a determinados mecanismos de proteção e assim investir financeiramente na proteção desses ativos. Algumas organizações criam um nível básico de proteção para todas as informações classificadas e nenhum nível de proteção para as que não foram classificadas. A informação tem vida e é por esse motivo que às vezes é necessário reclassificá-la, e é importante que as organizações tenham processos padronizados para tal. A desclassificação das informações acontece no ciclo final de vida, em seu descarte, quando a informação será devidamente apagada por não mais ser útil à organização. Os processos de classificação, reclassificação, desclassificação e da introdução e manutenção dos mecanismos de proteção para os ativos de informação devem ser elaborados e mantidos exclusivamente pelo proprietário da informação, função que geralmente é atribuída aos gerentes de área. Logo abaixo do proprietário da informação vem o chamado custodiante, aquele que de alguma forma zela pelo armazenamento e prevenção de informações que não lhe pertencem, mas que delas faz uso em suas atividades cotidianas. Existem dois tipos de custodiantes: o profissional de perfil técnico, que cuida da administração e do funcionamento de algum sistema; o proprietário de processo, que é a pessoa responsável por um processo de negócio que faz uso de informações que não lhe pertencem, mas que fazem parte de sua atribuição. A equipe de segurança é o ponto de apoio das áreas de negócio, desenvolvendo, executando e monitorando estratégias de segurança que envolvam os objetivos propostos de proteção dos ativos de informação. Os gerentes de usuários têm a atribuição de responder sobre a ação dos membros de sua equipe e também a função de multiplicar o conceito de classificação determinado pela organização. Por sua vez, os usuários finais dos ativos de informação são os principais responsáveis pela execução das recomendações de classificação da informação, uma vez que estão diretamente ligados ao operacional. Observação A classificação da informação por si própria não consegue proteger as informações, essa tarefa é dada aos mecanismos de proteção. A implantação de mecanismos de controle após o processo de classificação da informação visa assegurar a proteção dos ativos de informação. Os mais comuns são aqueles que almejam proteger a confidencialidade das informações das organizações, lembrando que a integridade e a disponibilidade 20 Unidade I também devem ser protegidas. Podemos dividir os mecanismos de proteção sobre as esferas da proteção dos dados, proteção física e controles administrativos. A proteção na esfera de dadosé feita por meio de criptografia, que é uma das principais tecnologias existentes para proteger as informações. Com o uso desse mecanismo, é possível disponibilizar, de forma segura e eficaz, uma série de serviços, mantendo a confidencialidade, a disponibilidade e a integridade das informações. O uso de cópias de segurança, também conhecidas como backups, tem a finalidade de permitir que as informações de um sistema possam ser armazenadas em arquivos, criando um mecanismo de recuperação em caso de falha na informação original. Os sistemas redundantes, apesar de semelhantes aos backups, têm como finalidade serem utilizados em situações nas quais as informações processadas são ainda mais críticas, não podendo a organização dispor delas mesmo por um período curto. Por exemplo, seria como deixar um sistema secundário e semelhante parado, esperando que o sistema principal por algum motivo venha a parar de funcionar, e assim esse sistema secundário assumiria o lugar dele sem interrupções. A implantação de controle de acesso tem como missão proteger os dados contra problemas de segurança relacionados à quebra, principalmente, de confidencialidade e integridade, e sua função é garantir que apenas usuários e processos autorizados tenham acesso a determinadas informações e que possam executar apenas as ações previamente definidas. Na esfera física, acentuam-se os seguintes mecanismos: o controle de acesso físico, sendo possível destacar o uso de catracas, portas de acesso inteligentes, enfim, dispositivos que impeçam a entrada física de pessoas em ambientes dos quais o acesso é restrito a pessoas autorizadas. O uso de cofres tem duas finalidades: proteger os ativos de informação físicos como contratos e fitas de backup contra furtos e roubos. Para alguns tipos especiais de cofres, há proteção contra incêndios. Os circuitos fechados de TV têm como objetivo monitorar áreas para resolução de incidentes em caso de furto de informações e também possuem caráter desencorajador. Quando a informação vai ser transportada fisicamente, ela corre uma série de ameaças, e o transporte seguro visa reduzir suas vulnerabilidades. Tais proteções vão desde um envelope com um lacre inviolável até o uso de um carro-forte. Na esfera dos controles administrativos, estes envolvem as medidas relacionadas à forma como os procedimentos devem ser executados e as necessidades de interação entre as pessoas. Possui diversas responsabilidades, e as políticas são o principal controle administrativo relacionado à segurança da informação. Consequentemente, através da política de classificação da informação, são definidos padrões de conduta, que são os passos necessários para a execução segura dos procedimentos. Deve-se alinhar os mecanismos de proteção pautando-se na legislação, estabelecendo uma relação jurídica para punir legalmente ações não autorizadas. 21 SEGURANÇA EM REDES DE COMPUTADORES O processo de revisão e aprovação tem como objetivo definir que qualquer ação individual que tenha maior importância do ponto de vista da segurança deva ser realizada em mais de um passo, ressaltando a responsabilidade da execução e revisão distintas, incluindo a autorização para concretização. Diante do processo de separação de tarefas, podemos destacar que nesse modelo, devido à importância dos ativos de informação, é obrigatório incluir a divisão de responsabilidades, isto é, a pessoa que executa uma atividade não pode ser a mesma que a aprova, coibindo a ação ou a tentativa de fraude. O monitoramento das atividades também é considerado um mecanismo de proteção; é importante para descobrir falhas de segurança e também possui o papel de desencorajar. A classificação das informações na prática está ligada ao dia a dia das operações, trata-se do maior desafio; para auxiliar nesse processo, temos alguns mecanismos que são úteis, como rotulação (documentos impressos e eletrônicos) e controle de acesso (físico e logico). Quando o assunto é rotulação de documentos para classificar a informação, a primeira coisa que vem a nossa mente são os documentos impressos, que, de fato, são mais fáceis de rotular. A rotulação visa inibir a ação de algum fraudador, e principalmente salvaguardar a organização no caso de violação da segurança da informação naquele nível de classificação. Para rotular papéis, recomenda-se o uso de etiquetas, carimbos e outras marcas visuais. É possível incluir esses sinais no rodapé dos documentos ou até mesmo como marca d’água. A rotulação de documentos eletrônicos requer maior atenção e a marca da classificação deverá ser mostrada dentro do conteúdo do documento, por exemplo: e-mails devem conter informações de classificação no corpo da mensagem ou no campo de assunto. Sistemas e aplicativos como base de dados devem mostrar visualmente o nível da classificação de um registro quando esse é acessado. As mídias podem ser rotuladas visualmente com etiquetas, assim como os documentos impressos. A segunda forma de criar mecanismos cotidianos é o controle de acesso, o que pode ser realizado através dos níveis de classificação. Essa forma de controle é o principal benefício buscado pela classificação da informação. O controle de acesso lógico nos remete ao controle de acesso a redes e a dados. Um exemplo claro seria o login de rede: deve-se possuir um usuário válido e uma senha pessoal e intransferível de acesso para aquele segmento de rede. Também se destaca o controle de acesso a pastas e diretórios dentro dos servidores. O controle de acesso físico está ligado ao uso de ferramentas criptográficas como os certificados digitais que estão entre as tecnologias para controle de acesso. O uso de biometria também se mostra bem útil no controle de acesso físico. 22 Unidade I 1.5 Análise de riscos Para decidir qual é o mecanismo mais eficiente para a proteção dos ativos de informação, dois processos são necessários: a classificação da informação e a análise e gerenciamento de riscos. A primeira separa aquilo que realmente é importante proteger e a segunda verifica e identifica as perdas e impactos causados. A análise de riscos para os ambientes de redes é fundamental, mas cabe ressaltar que não consegue eliminar ou evitar todos os riscos. Contudo, é dever do administrador de rede conhecer e ajustar a melhor solução para esse ambiente. A análise de risco parte do pressuposto de que não podemos proteger aquilo que não conhecemos, e somente após a identificação e o mapeamento dos ativos de informação será possível escolher o melhor mecanismo de proteção. Quando o risco é analisado, pode-se definir as melhores decisões para quantificar os riscos. Depois, define-se o risco aceitável, ou seja, aquele que a empresa está disposta a correr e que representa o melhor custo/benefício, pois, quando a análise é superdimensionada, as proteções podem custar mais caro do que o ativo que está sendo protegido. Assim, recomenda-se analisar os aspectos do valor do ativo, bens envolvidos, ameaças e vulnerabilidades. Para redes corporativas, é importante avaliar os riscos de forma bem específica. Quadro 5 – Análise de risco para redes corporativas Controle dos usuários e o nível de autenticação Sistemas e serviços criptográficos necessários Se existe segurança física na empresa e no data center A identificação dos sistemas de missão crítica O cumprimento de normas de segurança da informação, como ISO 27001 A importância e o nível de sensibilidade das informações Os riscos relativos a sistemas de comunicação Aspectos de contingência Adaptado de: Moraes (2010, p. 32). A análise de riscos também tem caráter de gestão, uma vez que a implantação de mecanismos de proteção tem custo alto, e a análise de risco consegue dimensioná-lo de forma mais eficaz. É tarefa da análise de riscos fazer o inventário de todos os bens que precisam ser protegidos pela empresa. Entre os bens tangíveis, temos: ativos de informações; computadores; equipamentos de rede; impressoras; discos. Osbens intangíveis envolvem: imagem da organização; gestão do conhecimento; pessoas e reputação. 23 SEGURANÇA EM REDES DE COMPUTADORES Após a identificação do risco, faz-se necessário definir a melhor estratégia de atuação frente à situação encontrada (vulnerabilidades x ameaças x impacto = risco), e essa estratégia pode ser de aceitação do risco, mitigação ou diminuição, evitar o risco ou simplesmente transferi-lo. A aceitação do risco pode ser considerada uma estratégia e tal processo deve ser analisado, caso contrário poderá ser perigoso. Diminuir o risco é uma atitude que pode ser adotada para reduzir o impacto potencial causado por ele. Para tal, adotam-se atitudes paliativas como monitoramento e planos de ação, lembrando que nesses casos sempre irá restar um resquício de risco, o risco residual. Transferir o risco significaria compartilhá-lo com um terceiro especializado, assim como fazemos ao colocar nosso veículo no seguro. Por meio de um contrato, a empresa contratada assume o risco sobre aquele ativo de informação. Basicamente, existem duas formas de análise de riscos, a quantitativa e a qualitativa. A análise quantitativa está relacionada com o lado financeiro, a estimativa de custos e os valores ligados às ameaças e à proteção (MORAES, 2010, p. 33). A grande dificuldade consiste em calcular a probabilidade de ocorrência de ameaças, principalmente porque em boa parte dos casos os percentuais são inferiores a 1%. A seguir, destacam-se as cinco etapas detalhadas do processo: • Identificar as ameaças que possam afetar operações críticas e os ativos, como hackers, criminosos, terroristas, ameaças naturais etc. • Estimar a probabilidade de um evento ocorrer com base no histórico das informações e nos julgamentos individuais. • Identificar e classificar o valor, o nível de sensibilidade, a criticidade das operações e potenciais perdas ou danos que podem ocorrer se a ameaça se realizar, incluindo ainda os custos de recuperação. • Identificar as ações com base na análise de custo/benefício na condução da redução do risco. Elas podem incluir implementação de novas políticas organizacionais e procedimentos, assim como maiores controles técnicos e físicos. Os resultados devem ser documentados e depois é preciso criar um plano de ação. Para Moraes (2010, p. 34), análise qualitativa é a técnica mais usada na análise de risco, em que dados probabilísticos não são analisados, e sim apenas uma estimativa da perda é utilizada. A maior parte das abordagens de análise de risco trabalha com esse método. Esse tipo de abordagem trabalha com ameaças, vulnerabilidades e mecanismos de controle. 24 Unidade I O método qualitativo estima os componentes do risco. Para tal, são feitas menções mais subjetivas, como alto, médio e baixo. Dessa maneira, não são mensurados valores numéricos para os componentes de risco, o que torna o processo mais rápido. Em contrapartida, obriga os responsáveis pela análise possuir conhecimento mais avançado sobre os componentes de risco e sobre a organização. Ao comparar as duas metodologias, nota-se que as duas têm suas vantagens e desvantagens, e a qualitativa é a mais usada, pois é ágil e é fácil de implantar. 1.6 Gerenciamento do risco Para tratar o risco, é necessário selecionar e executar mecanismos para reduzir os riscos. Tais medidas visam mantê-los em níveis aceitáveis pela organização. Medidas preventivas são controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque (BEAL, 2008, p. 27). Medidas corretivas ou reativas reduzem o impacto de um ataque/incidente, trata-se de ações que são tomadas após a ocorrência de um evento. Métodos detectivos expõem ataques/incidentes e disparam medidas reativas, com a intenção de evitar a concretização do dano, reduzi-lo ou impedir que volte a acontecer. Diante de um risco, é possível adotar medidas para tratá-lo ou reduzir suas consequências: evitar o risco significa não expor o ativo a situações de risco; transferi-lo significa fazer um seguro para cobrir prejuízos causados por algum impacto; reter significa fazer um autosseguro; reduzir significa implementar uma proteção que diminua o risco; por último, mitigar significa tomar medidas que diminuam apenas o impacto. Observação Um exemplo de medida de proteção que reduz a probabilidade de uma ameaça ocorrer seria a mudança física de um data center (alvo) por motivos de enchentes constantes na região. Dependendo do caso, pode-se partir para a aceitação do risco, que ocorre quando o custo de proteger um ativo em relação a um determinado risco simplesmente não vale o benefício, por exemplo, quando os mecanismos de proteção excedem o valor do próprio ativo de informação ou então quando os riscos que o ativo está correndo ficam dentro dos critérios de aceitação definidos pela organização. A aceitação de um risco não quer dizer que sua presença foi ignorada, pelo contrário, sua presença é reconhecida e a decisão de aceitar o risco também é considerada uma forma de tratamento do risco. 25 SEGURANÇA EM REDES DE COMPUTADORES A comunicação do risco envolve divulgar as informações sobre os riscos que foram identificados, tratados ou não, para todas as partes envolvidas. Esse processo representa uma forma de envolver ou criar responsabilidade de todos aqueles que têm efetivamente que cuidar dos ativos de informação. O ideal é fazê-lo de forma genérica, para evitar a exposição e para que todos tenham informações sobre os riscos organizacionais. Risco inicial Projeto Projeto inerentemente seguro Dispositivo de proteção Informações sobre segurança Risco residual após o projeto Uso Dispositivo de proteção adicional Treinamento Dispositivos de proteção pessoais Organização Risco residual Figura 3 – Tratamento do risco O sistema de gestão de riscos logo remete aos conceitos de administração, estratégia e processo decisório. Já a palavra sistema, em sua essência, envolve um conjunto organizado que trabalha em prol de um resultado comum. O sistema de gestão de risco nada mais é do que administrar o risco, criando mecanismos para identificar, analisar, tratar e comunicar as decisões sobre as melhores formas de gerir esses riscos, os quais devem estar alinhados com a estratégia da organização. O conceito de gestão pressupõe que existe um planejamento de como o risco será trabalhado, criando-se um modelo corporativo de gestão de riscos. O sistema de gestão de risco deve também estar alinhado com os aspectos jurídicos, culturais, práticas de mercado e normas. Os benefícios do uso sistemático de um programa de gestão de riscos são evidentes. Quando implantado e seguido com eficácia, as organizações conseguem priorizar os riscos e suas ações, pois saberão quais mecanismos têm o consenso administrativo. Por conseguinte, as organizações terão à disposição uma métrica com indicadores de resultados realmente eficazes. 26 Unidade I A introdução de um sistema de gestão de risco nas organizações é um processo trabalhoso, que depende da cooperação de todos, em especial da área executiva, para superar os desafios. Um dos maiores desafios é conseguir aperfeiçoar o tempo dos processos de gestão de risco sem deixar passar informações importantes e, ao mesmo tempo, maximizar os resultados. Destaca-se que muitos ativos de informação são extremamente dinâmicos, sobretudo os ativos tecnológicos, o que dificulta a análise e, assim, a torna imprecisa. Desafios estruturais também devem ser transpostos. A escassez de informações pode ser um desafio, pois é muito difícil obter dados estatísticos sobre os ativos de informação. Mesmo que esses valores sejam qualitativos (muito alto, alto, médio, baixo etc.), o grande impacto para o sistema de gestão de riscos é que essa dificuldade afeta as estimativas de probabilidade e de impacto na análise de um evento. Outro desafio estrutural reside no fato de queé complicado estabelecer uma estimativa de custos. Em geral, custos diretos em decorrência de um problema são relativamente fáceis de calcular, porém os custos indiretos, como produtividade, imagem e mercado, são extremamente complexos e, às vezes, totalmente imprecisos. Apesar das dificuldades, a grande maioria dos especialistas em segurança da informação concorda que a implantação de um sistema de gestão de risco é fundamental para as organizações. A execução de um sistema de gestão de risco deve ser tratada como projeto de grande porte; requer disciplina, planejamento, recursos e muita flexibilidade para lidar com os problemas que surgirem no decorrer do projeto. Assim, recomenda-se que uma metodologia de gerenciamento de projetos seja seguida. É aconselhável que cada organização respeite suas características, como cultura, disponibilidade de recursos, entre outros. Para implantação de um sistema de gestão de riscos, deve-se seguir seis fases ou etapas. Primeiro, todo projeto requer a definição de seu escopo, que é basicamente a definição da justificativa do projeto, o que será entregue ao final e, principalmente, os limites do projeto. Em geral, é o fator mais importante para obter êxito. No que tange à segurança da informação, o levantamento do escopo pode ser realizado através de entrevistas com os gestores de processos e profissionais de segurança. Acentua-se que o escopo deve ser definido pela quantidade de ativos de informação, os quais devem necessariamente ser agrupados em categorias para facilitar o processo, que deve estar diretamente alinhado com a estratégia da organização e os negócios que ela suporta. Toda organização possui processos, sendo uns mais críticos que outros, e cabe aos gestores da área definirem a importância de seus processos. A categorização por grupos pode ser vista de diversos ângulos. A definição do escopo também inclui o plano de trabalho a ser seguido, que inclui cronogramas, alocação de recursos e orçamentos. 27 SEGURANÇA EM REDES DE COMPUTADORES Após a definição do escopo, é necessário identificar as possíveis ameaças às quais estão sujeitos cada ativo. Essa fase é crítica, uma vez que grande parte dos profissionais procuram trabalhar com uma lista completa. Assim, eles começam a procurar na internet de modo interminável todos os aspectos possíveis, por isso é necessário tomar alguns cuidados. Nesse contexto, é preciso trabalhar com ameaças genéricas, ou seja, em vez de relacionar uma infinidade de ameaças, é mais simples trabalhar com a indisponibilidade de sistema (erro de usuário, falha de sistema, contaminação por vírus etc.), e o motivo para adotar essa estratégia é porque assim os problemas de indisponibilidade serão tratados de forma semelhante. É essencial manter o foco nas ameaças mais comuns, uma vez que o número de ameaças que pode assolar um ativo é infinito; por isso, deve-se concentrar nas ameaças mais comuns, aquelas que comprovadamente representam 80% dos casos de incidentes de segurança em termos de volume. A utilização de listas prontas de possíveis ameaças é um recurso válido, pois criar uma lista própria é algo complexo, demanda tempo e pessoal habilitado. Assim, é bem mais simples e barato utilizar listas elaboradas e mantidas por grupos de pesquisa, institutos, comunidades ou inseridas em softwares de gestão de riscos. O próximo passo é estimar a probabilidade de ocorrência das ameaças. Logo após o mapeamento das ameaças, é necessário avaliar a probabilidade de sua ocorrência. A probabilidade pode ser avaliada através de dois fatores: frequência e vulnerabilidade. A frequência representa o número de vezes esperado no qual uma ameaça tentará causar algum dano a um ativo. Independentemente de quantas vezes uma ameaça tentará fazer isso, ela só terá êxito se conseguir explorar alguma vulnerabilidade. A vulnerabilidade, conforme definida anteriormente, é a ausência de mecanismos de proteção ou uma falha em um mecanismo de proteção existente. Para analisar as vulnerabilidades, é necessário identificar as falhas ou ausências de proteção para um determinado ativo. Trata-se de uma tarefa difícil, principalmente para os componentes de tecnologia da informação (TI), porque para eles é recomendado o uso de ferramentas automatizadas para captura de vulnerabilidades, e algumas delas possuem listas de pontos de verificação para os ativos. Seguindo o processo de instituição da gestão de riscos, temos a etapa de estimar o impacto das ameaças, que se refere à avaliação do impacto que a concretização de uma ameaça vai causar naquele determinado ativo, etapa em que diferentes ameaças causam diferentes impactos, porém, quanto maior o número de ameaças, maior será o risco; além do impacto, o valor do ativo de informação para a organização deve ser levado em consideração, e esse valor é demonstrado pelo seu valor absoluto (como o preço para adquirir outro igual) ou relativo (associado ao benefício que aquele ativo traz). Estimado o impacto das ameaças, deve-se identificar os ativos de maior risco. Nesse momento, estão devidamente documentados os processos de negócio, as ameaças aos quais os ativos estão sujeitos, a probabilidade de as ameaças se concretizarem por conta de sua frequência e vulnerabilidades existentes. 28 Unidade I Assim, estão preparados os componentes para o cálculo do risco. Então, os ativos que correm mais risco devem ser priorizados para a implantação dos mecanismos de proteção, porém isso não é uma regra, uma vez que as organizações sem razão do custo podem optar por mecanismos secundários para ativos de maior importância. Destaca-se que isso é adotado por causa da adição de mais um mecanismo para sanar uma vulnerabilidade em um mecanismo instalado que receberá apenas um complemento. Devidamente identificados os ativos de maior risco a que determinada organização está sujeita, entramos na fase de avaliar as melhores proteções. Todo e qualquer profissional de segurança da informação sabe que todos os ativos de informação estão sujeitos a algum tipo de risco, porém é conhecido que os recursos destinados à proteção dos ativos de informação são limitados e às vezes mal conseguem trazer os riscos identificados para os patamares aceitáveis, conforme estabelecido pelo critério de risco. A escassez de recursos obriga os profissionais de segurança da informação a priorizar os riscos maiores, e a quantidade de ativos que poderá ser priorizada vai depender de dois fatores. Primeiro, a disponibilidade dos recursos; depois, a eficácia no uso dos recursos disponíveis. Essa eficácia está relacionada à capacidade que os profissionais de segurança deverão ter para escolher entre as proteções que tenham melhor custo/benefício. Existem diversas formas para avaliar o custo/benefício das proteções a serem implantadas. Na fase inicial, é necessário estimar o que a organização perderá em um ano, levando em consideração o impacto e a probabilidade das ameaças se concretizarem. Na fase seguinte, são avaliadas as soluções disponíveis para resolver ou amenizar o problema. Por sua vez, essa fase está dividida em três atividades. A primeira envolve estimar as perdas que a organização está sujeita após a implementação da proteção, e assim será conhecido exatamente o percentual do montante original que a proteção ajudará a reduzir. A segunda atividade é sequência da primeira; com o percentual bruto gerado por ela, será calculado o percentual líquido para um determinado período, levando em consideração os custos ligados à execução da ferramenta. A terceira atividade está associada ao percentual líquido, que, após gerido, será possível identificar exatamente o aporte financeiro inicial para a efetivação da proteção. Caso o montante seja maior daquele que se espera economizar, o investimento no mecanismo de proteção será inviabilizado. A terceira etapa do processo é efetuar as proteções escolhidas. Logo após todas as verificações de “sanidade” para o investimento que serágasto na determinada proteção, ela será finalmente efetivada. A quarta etapa do processo reside na definição e no monitoramento das métricas. Deve-se averiguar se os mecanismos escolhidos e executados estão realmente atingindo os índices de eficiência estipulados. Uma estimativa mal elaborada pode ter o resultado inverso: em vez de proteger o ativo, pode deixar o ativo de informação ainda mais vulnerável. 29 SEGURANÇA EM REDES DE COMPUTADORES A última etapa do processo da concretização do sistema de gestão de riscos envolve implementar as proteções, fase que pode durar vários meses e demandar muitas atividades que afetarão o cotidiano da empresa; às vezes, é necessário abrir novos projetos para a execução de mecanismos de proteção em ativos de informação. 2 SISTEMAS DE AUTENTICAÇÃO Segundo Moraes (2010), para melhor eficiência, o processo de autenticação deve verificar ou confirmar o acesso do usuário através de três esferas ou instâncias, o que é chamado de triple A ou simplesmente AAA, que significa autenticação, autorização e auditoria. Tal processo constata se o acesso é autêntico, autorizado e auditado durante sua permanência na rede. As soluções AAA são amplamente utilizadas nas redes locais para acessos remotos, intranets, extranets e na própria internet. A autenticação é o processo de determinar se alguma pessoa ou algo é realmente quem diz ser (MORAES, 2010). Os métodos de autenticação são variados, porém todos são baseados em três metodologias básicas. Quadro 6 – Metodologias de autenticação Metodologia Exemplo Algo que você saiba Senhas, desafios e respostas Algo que você tenha Token, certificado digital Algo que você é Biometria 2.1 Autenticação A autenticação por algo que você saiba é com certeza o método mais conhecido e utilizado pelas organizações e na internet. Baseado no prévio conhecimento do usuário como forma de autenticar sua presença em determinado sistema, o uso de login de acesso e senha são os mais comuns. A senha é cadastrada ou alterada pelo usuário e somente ele terá conhecimento dela. A senha é aliada a um login (número ou nome) que fica registrado no sistema de autenticação do usuário dentro do mecanismo de acesso (servidor de acesso). Esse método apresenta alguns problemas. Segundo Moraes (2010), o primeiro entrave está ligado à segurança do acesso, que, obrigatoriamente, passa pela dependência de se manter a senha sempre secreta, ou seja, depende da consciência do usuário em protegê-la, estando atento aos furtos por invasão ou técnicas de engenharia social. As organizações aplicam punições severas para aqueles funcionários que emprestam suas senhas de acesso ou por negligência permitem o seu descobrimento. Outra situação está ligada ao fato de que a 30 Unidade I maioria dos sistemas de autenticação trafega as senhas sem nenhuma codificação por criptografia, o que facilita a ação dos crackers na captura. Estes usam algumas ferramentas (conhecidas como sniffer) de análise de tráfego e rastreiam a rede para obter acesso às senhas. Outra forma muito utilizada para quebrar as senhas de acesso são os ataques de força bruta. Tal processo funciona do seguinte modo: o atacante escolhe o alvo e, através de um programa chamado de robô, testa milhares de combinações de senhas possíveis (palavras de dicionário, nomes pessoais, números sequenciais); por meio de tentativa e erro, tenta descobrir a senha do usuário, e, quanto mais trivial for a senha, mais rapidamente será quebrada. O San Institute afirma que é possível minimizar essa ação nos métodos de autenticação através da elaboração de políticas de criação e manutenção das senhas. Quadro 7 – Políticas de senhas seguras Política Evita Toda senha deve ser mudada em um intervalo de no máximo trinta dias Ataques de força bruta e engenharia social As contas de usuários devem ser bloqueadas após três tentativas Ataques de força bruta Uma senha deve conter caracteres alfanuméricos e numéricos Ataques de força bruta Não deve ser permitido o uso das últimas cinco senhas anteriormente cadastradas O uso de senhas sequenciais. Ataques de força bruta. Deve-se utilizar sistemas que criptografem as senhas antes do envio pelas redes Ataque de intercepção ou ação de sniffers Todas as senhas devem conter caracteres maiúsculos e minúsculos Ataques de força bruta Todas as senhas devem ter no mínimo oito caracteres de tamanho Ataques de força bruta Não podem ser utilizadas palavras de dicionário ou jargões Ataques de força bruta Não podem ser baseadas em informações pessoais, nomes de familiares, números de telefones Ataques de força bruta e engenharia social. Nunca devem ser escritas ou armazenadas em papéis ou arquivos Furto e engenharia social Adaptado de: Moraes (2010, p. 49). Existem casos em que a senha pode ser perdida acidentalmente, quando é esquecida pelo usuário. Assim, será necessário criar processos bem definidos para o recadastramento. Em geral, esse processo é realizado presencialmente para reduzir o risco de fraude. Se isso não for possível, serão criados mecanismos para atestar a identidade do usuário como uma pergunta de desafio/resposta. Ataques às senhas são muito comuns e podem ser realizados de forma off-line, técnica na qual o fraudador consegue acesso ao arquivo onde as senhas estão sendo armazenadas e tenta quebrar a criptografia empregadas nesse arquivo. 31 SEGURANÇA EM REDES DE COMPUTADORES A instalação de vírus no computador da vítima (usuário) também é uma forma de ataque. Os chamados trojans ou cavalos de Troia são instalados com o consentimento do usuário, daí vem o nome do código malicioso que remete à instalação concedida através de alguma forma de “engenharia social”. Exemplo comum: notícia enviada no e-mail, com supostas promoções imperdíveis. Exemplo de aplicação Engenharia social é nome que se dá a uma espécie de golpe que se utiliza da exploração dos valores e sentimentos humanos como: ganância, medo, curiosidade, preguiça e confiança. Assim, são obtidas informações confidenciais, pessoais e corporativas ludibriando o usuário, que fornece essas informações ou simplesmente é levado a clicar em um link que remete à instalação de códigos maliciosos (vírus) no computador. Reflita sobre esse golpe e imagine o seguinte: é mais fácil desenvolver mecanismos tecnológicos de invasão ou simplesmente enganar e fazer as pessoas lhe entregarem o acesso espontaneamente? Saiba mais Para conhecer mais sobre a atuação prática de um engenheiro social, leia: MITNIK, K. D.; SIMON, W. L. A arte de enganar. São Paulo: Saraiva, 2003. A autenticação por algo que você tenha baseia-se na posse de algum objeto (um cartão ou dispositivo) (MORAES, 2010). Não é aconselhável que seja a única forma de autenticação, pois sua posse pode ser repassada, seja por furto, roubo, geração de duplicidade ou até mesmo por negligência. Nesses casos, a combinação de dois fatores de autenticação seria a melhor solução, a exemplo dos tokens. Geralmente, os tokens são implementados através de soluções que utilizam smart cards ou cartões de autenticação assíncronos. Dessa forma, mesmo que o fraudador consiga a senha do usuário, terá que possuir também o dispositivo físico, o que dificulta a sua ação. Outro detalhe importante está ligado ao fato de que algumas tecnologias aceitam programação de repúdio caso sejam realizadas várias tentativas frustradas, e isso é possível pelo uso de servidores que rastreiam o usuário que tem a posse do mecanismo físico. Os cartões assíncronos são dispositivos que geram senhas e normalmente são do tamanho de um cartão de crédito ou de uma minicalculadora (MORAES, 2010). 32 Unidade I Esses dispositivos, em sua maioria, apresentam um visor de LCD e um teclado. Em alguns casos, pode ser composto de um circuito lógico que gera um cálculo de senhas validadas apenas uma única vez. Essa tecnologia possui um relógio interno que sincroniza com um servidor, apresentando uma numeração válida por algunssegundos. Muitas vezes esses cartões exigem senhas de acesso ao dispositivo, os chamados PINs, que são compostos por quatro números que garantem a segurança em caso de perda ou roubo do dispositivo físico. As soluções RSA são amparadas pelo sincronismo entre um servidor de autenticação conhecido como servidor ACE e os cartões de autenticação. Necessariamente, é gerada no cartão uma senha de seis dígitos a cada trinta segundos. Para concretizar a verificação, o usuário deverá adicionar a senha gerada mais os quatro dígitos do PIN; essa informação sincroniza com o servidor ACE e a sincronização é realizada; se as senhas forem iguais, o acesso será concedido. A vantagem desse formato é que, mesmo interceptada ou furtada, a senha tem validade de apenas sessenta segundos. Esse formato é muito usado em sistemas de acesso remoto e VPN. Figura 4 – Token Nos smart cards, a solução mais conhecida é o cartão de crédito e está ativa desde 1967. Segundo Moraes (2010), atualmente existem mais de 50 milhões de smart cards em circulação, que também podem ser utilizados como cartões telefônicos, identidade, carteira de motorista, controle de acesso físico etc. Trata-se de dispositivos do tamanho de cartões de crédito que possuem memória incorporada e criptografia no chip, o que garante a segurança. Esses cartões são inseridos e verificados em leitoras para efetivar a autenticação. Existem três tipos de smart cards: • Protegido por senha: é necessário conhecer a senha para sua utilização, e sua principal característica é a impossibilidade de clonagem. 33 SEGURANÇA EM REDES DE COMPUTADORES • Criptografado: que detém uma chave criptográfica armazenada no cartão, a qual é usada através de uma pergunta desafio/resposta enviada a um servidor de autenticação. • Sem contato: trabalha como se fosse uma calculadora criptografada, não existe a necessidade de o cartão estar diretamente ligado à leitora. O usuário digita o PIN e em seguida o smart card devolve uma sequência de números que libera o acesso. A) e-CPF Receita Federal B) Figura 5 – Smart card e leitora De acordo com Moraes: a autenticação por algo que você seja baseia-se em alguma característica física ou de comportamento único do indivíduo. O sistema biométrico trabalha com o conceito de verificação e identificação, comparando as características lidas com uma anteriormente armazenada (MORAES, 2010, p. 53). A biometria é a ciência que estuda a mensuração dos seres humanos medindo as diferenças únicas e biológicas entre eles. A biometria transforma alguma característica, seja ela física, seja ela comportamental, em métricas que podem tornar o ser humano único. Desse modo, utiliza essa unicidade em mecanismos de segurança assim como são usadas as senhas de acesso ou os tokens. A vantagem desse sistema é que não é necessário lembrar da senha ou carregar algo com você, basta ser você mesmo e estar previamente cadastrado no sistema. Os sistemas biométricos operam quase todos da mesma forma, o usuário cadastra suas características em um banco de dados e, no momento da leitura, elas são comparadas com o que foi previamente armazenado; quando existir equivalência entre ambas, ocorre a autenticação. Acentua-se que sempre existe a necessidade da presença física do indivíduo no momento da autenticação. Existem várias técnicas de controle de acesso biométrico: impressão digital; retina; reconhecimento de voz; íris; geometria das mãos; reconhecimento de assinatura etc. 34 Unidade I Quadro 8 – Comparação entre os mecanismos biométricos Mecanismo Vantagem Desvantagem Aplicação Impressão digital Estável ao longo do tempo Única Leitor pequeno e barato Resistência do usuário Requer treino Controle de acesso Soluções de autenticação de aplicações Íris Estável no tempoAlta precisão Alta resistência Depende de treinamento com a câmera Acesso físico Caixa de banco Passagem área Retina Estável com o tempo Altíssima precisão Única Requer treinamento do usuário Alta resistência Tempo de leitura Controle de acesso Geometria das mãos Template pequeno Baixa taxa de erro na criação Não afetada pela condição da pele Não é intrusivo Tamanho do dispositivo Controle de acessoPonto eletrônico Voz Facilidade de uso Baixo treinamento Não é intrusivo Pode ser usado por telefone A voz muda com o tempo ou condições emocionais Pouca precisão Fácil de ser fraudado Controle de acesso Telefones celulares Banco por telefone Assinatura Alta aceitação dos usuários Mínimo de treinamento Conveniente para transações financeiras Instável Muda com o tempo Requer várias leituras Uso em dispositivos portáteis Cartão de crédito Adaptado de: Moraes (2010, p. 62). 2.2 Autorização Segundo Moraes (2010), a autorização determina os diversos serviços que o usuário pode acessar na rede, que vai desde a definição do endereço IP do usuário, passando pelas aplicações, dos filtros que determinadas aplicações exigem, protocolos suportados pelo usuário e até mesmo pastas, arquivos e diretórios de acesso. A autorização é a etapa posterior à autenticação e está diretamente ligada pelas funções de acesso que o usuário poderá ter por direito. Quadro 9 – Autorização de acesso Função Objetivo Alocação de privilégios de acesso Alocar o mínimo possível de permissões para que o usuário execute suas atividades Administração de privilégios Checar se os privilégios condizem com as atividades atuais do usuário Registro de privilégios Organizar e armazenar logs para conformidade e auditorias futuras Limitação do tipo de acesso Alocar o mínimo possível de permissões para que o usuário execute suas atividades Prevenção de acessos não autorizados Evitar e registrar tentativas de acessos indevidos Revogação dos privilégios de acesso Excluir acessos em transferências ou demissões. Adaptado de: Moraes (2010, p. 62). 35 SEGURANÇA EM REDES DE COMPUTADORES No ambiente de rede, existem diversas formas de controle de autorização às bases de dados (lógicas e físicas). Quando falamos dos controles de autorização lógicos, podemos utilizar vários métodos para autorizar os usuários a acessarem apenas aquilo que realmente faz parte de sua atribuição, os métodos mais utilizados são: Autorização por serviços de diretórios Muito conhecida por se tratar de um serviço nativo dos sistemas operacionais para servidores; envolve repositórios de informações sobre diversos ativos, geralmente de TI, armazenados de maneira centralizada com o propósito de permitir o seu compartilhamento. Normalmente, é possível armazenar dentro de um diretório as contas de usuários, permitindo alterações no formato desse armazenamento para suportar as aplicações futuras. Os principais componentes dos serviços de diretórios estão amparados na estrutura de armazenamento X.500, nos protocolos de acesso padrão e no LDAP (Lightweight Directory Access Protocol). Também é possível usar o protocolo SSL (Secure Sockets Layer) para encapsular a comunicação LDAP de maneira segura, garantindo a confidencialidade, a integridade e a autenticação da comunicação. Na estrutura dos serviços de diretórios, temos a criação das pastas de acesso (diretórios). Em geral, há uma para cada setor ou área de negócio; depois, são criadas as estruturas de diretórios, que são as subpastas dentro da pasta principal; assim, cada usuário fará parte de um ou mais grupos que terão acesso aos diretórios (pastas) criados. Pode-se excluir acesso ou inserir acessos conforme a necessidade. Autorização por SSO (Single Sign-on) Trata-se da simplificação do processo de logon dos usuários, permitindo que, após uma única autenticação, o usuário possa acessar todos os recursos a que tem direito sem precisar repetir o processo. A partir do momento que o usuário valida seu processo de autenticação e autorização no ambiente da rede, todos os demais acessos são liberados, e isso facilita muito o processo para o usuário. Contudo, pode representar riscos à segurança da informação se não estiver bem gerenciado
Compartilhar