Beruflich Dokumente
Kultur Dokumente
INDICE 1. Controlo do documento 1.1 Aprovao e controlo de alteraes .......................................................... 1.2 Alteraes a verses anteriores ............................................................... 1.3 Condies de reviso ............................................................................. 1.4 Documentos relacionados ....................................................................... 1.5 Reproduo e garantias .......................................................................... 1.6 Confidencialidade .................................................................................. 2. Objectivos ..................................................................................................... 3. Responsveis da segurana .......................................................................... 4. Documentos de implementao da segurana ............................................... 5. Sistemas de deteco e apoio a variveis ambientais .................................... 6. Actividades de reforo segurana ............................................................... 7. Controlo de acessos 7.1 Acesso fsico 7.2 Acesso lgico 7.2.1 7.2.2 7.2.3 Equipamentos servidores . Equipamentos de comunicao Estaes de trabalho . 7 7 7 8 8 8 8 8 9 9 9 7 3 3 3 3 3 3 4 6 6 6 6
8. Identificao de SPF (Single Point of Failure) 8.1 Geral . 8.2 Equipamentos servidores 8.3 Equipamentos de comunicaes .. 8.4 Estaes de trabalho . 9. Cpias de Segurana - Backups ..................................................................... 10. Sistema Antivrus .......................................................................................... 11. Actualizaes ................................................................................................ 12. Outras observaes .......................................................................................
www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda
tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios
1.
Controlo do documento
1.1
1.2
Alteraes a verses anteriores Verso 1.0 Data Comentrios Primeira verso do documento
1.3
Condies de reviso
1.4
Documento -
1.5
Reproduo e garantias
Este documento no dever ser copiado no seu todo ou em parte, ou distribudo a terceiras partes sem prvia autorizao por escrito da TECAD SI.
1.6
Confidencialidade
Este documento contm informaes detalhadas acerca da rede e sistemas informticos da Exemplo. Por esta razo, este documento assume um estatuto de confidencialidade no devendo ser distribudo nem apresentado a pessoas externas empresa. Utilizadores internos com acesso autorizado a este documento: Nome Nome de utilizador Data de autorizao
www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda
tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios
2.
Objectivos
A percepo da realidade no mundo da informtica mudou. Actualmente as empresas conseguem perceber as inegveis vantagens estratgicas dos sistemas informticos, tornando o seu sucesso dependente das suas infra-estruturas tecnolgicas. Torna-se ento fundamental perceber o valor destes sistemas. H que quantificar o custo de ter um mau funcionamento num sistema to fulcral como este. Quanto custa o tempo de inactividade de um servidor? E quanto custa estar um dia sem acesso internet, sem poder usar o email ou qualquer outra ferramenta online? A segurana informtica ganha notoriedade na actualidade. Enquanto no passado havia o luxo da reactividade hoje exige-se cada vez mais a proactividade. Novas ameaas surgem e no s factores internos e controlveis, como o ciclo de vida natural da mquina, so tidos em conta. Actualmente deparamo-nos com ameaas externas e internas perpetuadas por indivduos na busca de acesso a informao sensvel, quer pela sua rentabilidade quer pelo simples prazer de a conseguir alcanar. Chegando a uma concluso inequvoca do valor dos sistemas informticos, torna-se necessrio implementar polticas e processos, que permitam manter um sistema com disponibilidade efectiva e segurana o mais perto possvel dos 100%. Pretende-se com o presente relatrio, documentar e clarificar o estado actual de segurana dos sistemas informticos da empresa Exemplo. A anlise ir ser efectuada em duas fases distintas, a recolha da informao e a concluso. O primeiro destes dois itens, a recolha de informao, ser feito do modo mais objectivo possvel atravs dos seguintes pontos previamente definidos: Responsveis da segurana Documentos de implementao da segurana Sistemas de deteco e apoio a variveis ambientais Actividades de reforo segurana Controlo de acessos Identificao de SPF (Single Point of Failure) Cpias de Segurana - Backup Sistema Antivrus Actualizaes
www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda
tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios
Estes itens sero documentados e classificados atravs dum sistema de trs cores (verde, laranja e vermelho), representativas do nvel de risco associado ao estado do item em questo: Nvel de Segurana Elevado Recomendao: Manuteno do sistema existente Nvel de Segurana Mdio Recomendao: Alteraes ao sistema existente Nvel de Segurana Reduzido Recomendao: Implementao de sistema
A segunda etapa da recolha de dados passa pela realizao de scan de vulnerabilidades a toda a rede (anexos). Em concluso, ser efectuada a anlise de toda a informao recolhida, sendo atribudo um nvel de segurana geral a toda a rede. Esta auditoria foi concebida especificamente para o mercado das micro e pequenas empresas, e aborda os itens que com mais frequncia representam falhas de segurana neste segmento de mercado. Deve ficar claro que empresas de maior dimenso, ou que pretendam um nvel de segurana mximo, devero requisitar uma auditoria mais elaborada TECAD SI.
www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda
tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios
3.
Responsveis da segurana
4.
Plano Global de Segurana Poltica de Segurana Plano de Recuperao de Desastres Manual de Rede Nvel mdio de segurana
5.
Deteco de fumos Sistemas de extino de incndios Existncia de proteco a picos de corrente Sistema de redundncia energtica Controlo de temperatura Controlo de humidade Nvel mdio de segurana
6.
Auditorias de segurana peridicas Formao inicial de utilizadores Formao contnua de utilizadores Formao contnua dos responsveis pela segurana Nvel mdio de segurana
No Sim No Sim
Mdio
www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda
tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios
7.
Controlo de acessos
7.1
Acesso fsico No Datacenter com porta aberta Em bastidor aberto Datacenter com porta aberta Em bastidor aberto No No No Mdio
Monitorizao de entradas e sadas por circuito interno de TV Equipamentos de comunicao em zonas de acesso reservado Equipamentos de comunicao em bastidor fechado Equipamentos servidores em zonas de acesso reservado Equipamentos servidores em bastidor fechado Controlo de acessos a reas por mtodos seguros Alarme de permetro Suportes com informao sensvel guardados em cofres ignfugos Nvel mdio de segurana
7.2 7.2.1
Acesso lgico Equipamentos servidores Sim Sim No definido Nmeros e caracteres especiais (10 caract.) Mdio
Alterao do nome da conta de administrao Desactivao da conta de convidado Intervalo para alterao de passwords Complexidade da password Nvel mdio de segurana 7.2.2 Equipamentos de comunicao
Alterao de valores predefinidos Intervalo para alterao de passwords Complexidade da password Nvel mdio de segurana
www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda
tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios
7.2.3
Estaes de trabalho Estaes de trabalho sem password Estaes de trabalho sem password Baixo
8. 8.1
Redundncia de fontes de alimentao Redundncia de discos rgidos Mnimo de dois DC por domnio Realizao de backups em duplicado Nvel mdio de segurana 8.3
Existncia de equipamento de reserva Linha de backup Nvel mdio de segurana 8.4 Estaes de trabalho
Existncia de pelo menos uma estao de trabalho de reserva Nvel mdio de segurana
Sim Elevado
9.
Periodicidade do backup Backups efectuados em duplicado Deslocalizao do backup Suporte guardado em cofre ingnfugo Nvel mdio de segurana
Semanal No No No Reduzido
www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda
tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios
10.
Sistema Antivrus
Sistema antivrus implementado Sistema de gesto central Cobertura total da rede Poltica de scans peridicos a estaes de trabalho Poltica de scans peridicos a equipamentos servidores Realtime protection Nvel mdio de segurana
11.
Actualizaes
Servidor interno de actualizaes das sistemas operativos Poltica de actualizao do sistema operativo dos servidores Poltica de actualizao do sistema operativo das estaes de trabalho Sistema operativo dos servidores actualizado Sistema operativo das estaes de trabalho actualizado Nvel mdio de segurana
12.
Outras observaes
www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda
tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios
10
13.
Concluso
Aps a anlise de todos os dados recolhidos, podemos organizar a informao por uma classificao ordenada por risco: Sistema Antivrus
Responsveis da segurana Sistemas de deteco e apoio a variveis ambientais Actividades de reforo segurana Controlo de acessos Identificao de SPF (Single Point of Failure) Actualizaes
Documentos de implementao da segurana Backups Outras observaes Cruzando estes dados com a anlise dos resultados dos scans de vulnerabilidades, conclui-se o nvel global de segurana da empresa Exemplo:
Mdio
Aps anlise detalhada, conclui-se que existem algumas falhas de segurana, que devem ser corrigidas a curto prazo como medida proactiva de preveno de dano. Recomenda-se ateno prioritria para as trs classes onde se obtm resultados negativos: Documentos de implementao da segurana, Backups e Outras observaes. Algum trabalho nestas reas poderia melhorar significativamente o nvel segurana global. Posteriormente deverse-ia melhorar tambm os itens que obtm uma classificao mdia: Responsveis da segurana, Sistemas de deteco e apoio a variveis ambientais, Actividades de reforo segurana, Controlo de acessos, Identificao de SPF (Single Point of Failure) e Actualizaes.
www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda
tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios
11
ANEXO 1
www.tecad.pt
COPYRIGHT 2007, TECAD-Sistemas Informticos, Lda
tecad@tecad.pt
Interdita a reproduo de textos e imagens por quaisquer meios
CONFIDENTIAL INFORMATION
The following report contains company confidential information. Do not distribute, email, fax, or transfer via any electronic mechanism unless it has been approved by the recipient company's security policy. All copies and backups of this document should be saved on protected storage at all times. Do not share any of the information contained within this report with anyone unless they are authorized to view the information. Violating any of the previous instructions is grounds for termination.
NETWORK ANALYSIS RESULTS Report Summary Scanner Name Scanner Version Scan Start Date Scan Start Time Scan Duration Scan Name Scan Status Retina 5.4.5.1355 28-12-2005 12:01:00 0h 1m 0s KADMIN Completed Machines Scanned Vulnerabilities Total High Risk Vulnerabilities Medium Risk Vulnerabilities Low Risk Vulnerabilities Information only Audits Credential Used 1 1 1 0 0 1 - Null Session -
% of Vulnerabilities By Risk
TOTAL VULNERABILITIES BY CATEGORY The following is an overview of the total vulnerabilities by audit category. Accounts AIX Local Security Audits
Anti-Virus
Backdoors
CGI Scripts
Database
DNS Services
DoS
FTP Servers
IP Services
Mail Servers
Miscellaneous
NetBIOS
Registry
Remote Access
RPC Services
Service Control
SNMP Servers
Spyware
SSH Servers
Web Servers
Windows
Wireless
TOP 20 VULNERABILITIES The following is an overview of the top 20 vulnerabilities on your network. Rank 1. 2. Vulnerability Name Null Session No Remote Registry Access Available Count 1 1
Top 20 Vulnerabilities
TOP 20 OPEN PORTS The following is an overview of the top 20 open ports on your network. Rank 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. Port Number TCP:25 TCP:53 TCP:80 TCP:88 TCP:135 TCP:139 TCP:389 TCP:445 TCP:464 TCP:593 TCP:636 TCP:2232 UDP:53 UDP:88 UDP:123 UDP:135 UDP:137 UDP:138 UDP:389 UDP:445 Description SMTP - Simple Mail Transfer Protocol DOMAIN - Domain Name Server WWW-HTTP - World Wide Web HTTP (Hyper Text Transfer Protocol) KERBEROS - Kerberos RPC-LOCATOR - RPC (Remote Procedure Call) Location Service NETBIOS-SSN - NETBIOS Session Service LDAP - Lightweight Directory Access Protocol MICROSOFT-DS - Microsoft-DS KPASSWD - kpasswd HTTP-RPC-EPMAP - HTTP RPC Ep Map LDAPSSL - LDAP Over SSL IVS-VIDEO - IVS Video default DOMAIN - Domain Name Server KERBEROS - Kerberos NTP - Network Time Protocol RPC-LOCATOR - RPC (Remote Procedure Call) Location Service NETBIOS-NS - NETBIOS Name Service NETBIOS-DGM - NETBIOS Datagram Service LDAP - Lightweight Directory Access Protocol MICROSOFT-DS - Microsoft-DS Count 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
TOP 20 RUNNING SERVICES The following is an overview of the top 20 running services on your network. Rank 1. 2. 3. 4. 5. Name _Browser _LanmanServer _LanmanWorkstation _Netlogon _RpcSs Description Count 1 1 1 1 1
TOP 20 OPERATING SYSTEMS The following is an overview of the top 20 operating systems on your network. Rank 1. Operating System Name Windows Server 2003 Count 1
TOP 20 USER ACCOUNTS The following is an overview of the top 20 user accounts on your network. Rank Account Name No Users Discovered Count
TOP 20 NETWORK SHARES The following is an overview of the top 20 network shares on your network. Rank 1. 2. 3. 4. 5. 6. 7. 8. 9. Share Name ADMIN$ C$ D$ F$ IPC$ NETLOGON SYSVOL VPHOME VPLOGON Count 1 1 1 1 1 1 1 1 1