Disciplina:

Curso de Tecnologia em Redes de Computadores

Auditoria e Anlise de Segurana da Informao - 4 perodo
Professor: Jos Maurcio S. Pinheiro

AULA 5: Avaliao de Padres de Segurana de Computadores

A tecnologia da informao um componente vital e cada vez maior da vida
moderna. No entanto, a mesma tecnologia que permite que as pessoas acessem,
gerenciem e compartilhem informaes instantaneamente pode ser usada de forma
indevida por indivduos e empresas para invadir a privacidade alheia.
A avaliao de padres de segurana de computadores define vrios nveis de
segurana. Estes nveis descrevem diferentes tipos de segurana fsica, autenticao
de usurio, confiabilidade do sistema operacional, e aplicaes de usurio. Estes
padres de segurana tambm impem limites em que tipos de outros sistemas
podem ser conectados a um sistema de computador especfico. A proteo aos
recursos computacionais inclui desde aplicativos e arquivos de dados at utilitrios e o
prprio sistema operacional.

1. Controles de Acesso
Os controles de acesso, fsicos ou lgicos, tm como objetivo proteger
equipamentos, aplicativos e arquivos de dados contra perda, modificao ou
divulgao no autorizada. Os sistemas computacionais, bem diferentes de outros
tipos de recursos, no podem ser facilmente controlados apenas com dispositivos
fsicos, como cadeados, alarmes ou guardas de segurana.
A proteo aos recursos computacionais baseia-se nas necessidades de
acesso de cada usurio, enquanto que a identificao e autenticao do usurio
(confirmao de que o usurio realmente quem ele diz ser) so feitas normalmente
por meio de um identificador de usurio (ID) e por uma senha durante o processo de
entrada (logon) no sistema.
Entretanto, o fato de um usurio ter sido identificado e autenticado no quer
dizer que ele poder acessar qualquer informao ou aplicativo sem qualquer
restrio. Deve-se utilizar um controle especfico, restringindo o acesso dos usurios
apenas s aplicaes, arquivos e utilitrios imprescindveis para desempenhar suas
funes na organizao. Esse controle pode ser feito por menus, funes ou arquivos.

2. Nveis de Segurana
O monitoramento dos sistemas de informao feito, normalmente, pelos
registros de logs, trilhas de auditoria ou outros mecanismos capazes de detectar
invases. Esse monitoramento essencial equipe de segurana de informaes, j
que praticamente impossvel eliminar por completo todos os riscos de invaso por
meio da identificao e autenticao de usurios e ataques aos sistemas operacionais.
Os Sistemas Operacionais esto classificados, segundo o nvel de segurana,
em quatro categorias: A, B, C, D, ordenados de maneira hierrquica crescente, com a
maior diviso (A) reservada aos Sistemas que oferecem maior nvel de segurana.
Nas divises C e B existem subdivises conhecidas como classes as quais tambm
esto ordenadas hierarquicamente.

2.1. Nvel A (Desempenho Verificado)

Trata-se do nvel mais alto especificado nos padres de segurana das redes
de computadores. Este nvel inclui um projeto e controle rgidos e um processo de
verificao. atribudo aos sistemas operacionais que possuem ferramentas ou
capacidades de garantir a segurana total dos sistemas, no apresentando falhas de
segurana.
Os Sistemas da classe A so funcionalmente equivalentes aos sistemas da
classe B3, na medida em que no so acrescentadas caractersticas novas em sua
arquitetura, ou exigncias de planos de aes. A caracterstica que distinguem os
sistemas desta classe a anlise derivada da especificao formal do desempenho, o
emprego de tcnicas de verificao e o alto nvel de segurana resultante da forma
correta com que a Poltica de Segurana estruturada.
Esta segurana progressiva por natureza, comeando com um modelo formal
do projeto de segurana e uma especificao formal de alto nvel do desempenho. De
acordo com o seu desempenho ostensivo e da anlise do custo da segurana exigida
para os sistemas da classe A, requer-se um gerenciamento mais rgido da validao
dos usurios e os procedimentos de segurana so estabelecidos para a distribuio
segura dos sistemas para os sites.
Para alcanar o nvel A de segurana, devem ser includos todos os
componentes dos mais baixos nveis de segurana, o projeto deve ser verificado
matematicamente, e uma anlise de canais cobertos e distribuio confivel devem
ser executadas. Distribuio confivel significa que o hardware e software so
protegidos de modificaes durante o seu transporte.
2.2. Nvel B1 (Proteo de Segurana Criptografada)
O Nvel B1 suporta segurana de mltiplos nveis, estabelecendo que um
objeto sob controle de acesso obrigatrio no pode ter suas permisses mudadas pelo
proprietrio do objeto. Este nvel atribudo aos sistemas operacionais que tambm
possuem ferramentas ou capacidades de garantir a segurana em um nvel mdio,
todavia o aspecto que o diferencia do nvel C2 a sua capacidade de armazenamento
de todos os logins de acesso ao sistema por um tempo mnimo de 2 anos.
Os Sistemas de nvel B1 devem possuir todas as caractersticas exigidas para
os Sistemas de nvel C2, alm do que, devem estar presentes: uma exposio
informal do modelo do projeto de segurana; a classificao dos dados; e o controle
obrigatrio do acesso aos usurios e aos objetos nomeados. Deve ainda existir uma
capacidade de exportar informaes de forma criptografada.
2.3. Nvel B2 (Proteo Estruturada)
O Nvel B2 requer que todo objeto no sistema seja rotulado. Dispositivos tais
como unidades de disco e terminais devem ter um nico ou mltiplo nvel de
segurana atribudo a eles. Este nvel atribudo aos sistemas operacionais que
tambm possuem ferramentas ou capacidades de garantir a segurana em um nvel
mdio, todavia o aspecto que o diferencia do nvel B1 a sua capacidade de
armazenamento de todos os logins de acesso ao sistema por um tempo mnimo de 7
anos.
Nos Sistemas de nvel B2 o clculo do custo da segurana se baseia em um
modelo de projeto de segurana formal, claramente definido e documentado, exigindo

que o esforo no controle do acesso discricionrio e obrigatrio encontrado nos

sistemas da classe B1, seja estendido a todos os usurios e objetos de dados.
2.4. Nvel B3 (Domnios de Segurana)
O Nvel B3 assegura o domnio com a instalao de hardware. Por exemplo,
hardware de administrao de memria usado para proteger o acesso sem
autorizao ao domnio de segurana ou modificao de objetos em domnios de
segurana diferentes. Este nvel tambm requer que o terminal do usurio se conecte
ao sistema atravs de um caminho confivel.
Este nvel atribudo aos sistemas operacionais que possuem ferramentas ou
capacidades de garantir a segurana em um nvel bastante alto. O custo do projeto de
segurana no nvel B3 deve satisfazer as exigncias do sistema monitor de segurana,
de forma que ele possa medir todos os acessos de usurios aos objetos de dados,
alm disso, ser razoavelmente imune s invases e suficientemente pequeno para que
possa ser submetido a anlises e testes.
2.5. Nvel C1 (Proteo Arbitrria)
O Nvel C1 tambm conhecido como Discretionary Security Protection
System. Descreve a segurana disponvel na maioria dos sistemas corporativos. Neste
nvel temos uma proteo bsica para o hardware. Os usurios tm que se identificar
no sistema por um nome de login de usurio e uma senha. Este mecanismo de
autenticao usado para determinar os direitos de acesso e as permisses (de
arquivo e permisses de diretrio) para os usurios.
Estes controles de acesso permitem ao administrador de sistema ou o
proprietrio de um arquivo ou diretrio impedir que certos indivduos ou grupos tenham
acesso a informaes ou programas. No Nvel C1 muitas tarefas de administrao de
sistema somente podem ser realizadas por um usurio com poderes de administrador
do sistema.
Este nvel atribudo aos sistemas operacionais que possuem ferramentas ou
capacidade de garantir a segurana sob aspectos mnimos, sem grandes valores de
segurana. O custo do projeto de segurana deste nvel satisfaz as exigncias de
segurana discricionria, separando os usurios dos dados. Ele incorpora alguns tipos
de controle, capazes de reforar as limitaes de acesso numa base de dados
individual. Isto , ele foi criado de forma que, ostensivamente, permita aos usurios a
capacidade de proteger o projeto ou as informaes privadas e impedir que outros
usurios tenham uma leitura acidental, ou a destruio dos seus dados. O ambiente
de classe C1 deve ser o de usurios cooperando entre si e processando dados no
mesmo nvel.
2.6. Nvel C2 (Proteo de Acesso Controlado)
Alm das caractersticas especificadas para o Nvel de segurana C1, o Nvel
C2 soma caractersticas de segurana que criam um ambiente de acesso controlado.
Este ambiente tem a capacidade para restringir a execuo de certos comandos pelos
usurios ou ainda o acesso a arquivos especficos baseado em permisses e nveis de
segurana.
O Nvel C2 especifica tambm que o sistema pode ser auditado. Isto envolve a
criao de um registro de auditoria para cada evento de sistema. A auditoria requer
autenticao adicional para assegurar que a pessoa que executa o comando de fato
a pessoa representada pelo login.

Por causa das autorizaes adicionais requeridas por C2, possvel para os
usurios terem a autoridade para executar tarefas de administrao de sistema sem o
perfil de administrador do sistema ou usurio root. Isto facilita e melhora a identificao
de quem executou as tarefas de administrao.
Este nvel atribudo aos sistemas operacionais que possuem ferramentas ou
capacidades de garantir a segurana em um nvel mdio, com alguns aspectos
complementares de segurana, onde o arquivo de senhas oculto aos usurios e
utilizam um mtodo forte de criptografia de dados. Os Sistemas desta classe reforam
o controle de acesso discricionrio, de forma mais precisa do que os sistemas da
classe C1, tornando os usurios responsveis individualmente por suas aes atravs
de procedimentos de logins, incluindo a capacidade de realizar auditoria de
segurana em eventos.
2.7. Nvel D
O Nvel D o mais baixo nvel de segurana disponvel. Aplica-se aos sistemas
operacionais que no distinguem um usurio de outro e no tem nenhum mtodo
definido de determinar quem est usando o sistema. Este tipo de sistema muito
encontrado em ambientes e plataformas monousurio.
Os sistemas no apresentam nenhum mecanismo de controle para especificar
que informao pode ser acessada dos discos rgidos. Neste nvel temos:

Sistema Operacional no confivel;

Nenhuma proteo est disponvel para o hardware;
Aplicaes so facilmente comprometidas;
Os usurios no so autenticados;
No h restrio nos direitos para acesso a informaes armazenadas no
computador.

3. Gesto de Riscos
Negcios so suportados por processos que mantm uma relao de
dependncia de ativos fsicos, tecnolgicos e humanos, que possuem falhas de
segurana e, consequentemente, riscos. O risco definido como a expectativa de
perda expressiva ou a probabilidade de uma ameaa explorar uma falha de
segurana, causando algum resultado prejudicial.
AS falhas de segurana por sua vez, so potencialmente exploradas por
ameaas que, se so bem-sucedidas na investida, geram impactos de primeiro nvel
nos ativos, estendendo-os aos processos at que, finalmente, atingem os negcios.
Possuir uma viso integrada dos riscos fundamental para as empresas que
buscam o desenvolvimento e a continuidade do negcio, e que ainda dependem de
uma infraestrutura operacional sob risco controlado (Figura 1).

Figura 1 - Ciclo de Segurana da Informao

O comportamento das pessoas diante de medidas e contramedidas de

segurana faz toda a diferena. A perenidade dos seres humanos certa e, apesar de
um cenrio onde a tecnologia est cada vez mais presente, o ser humano sempre
estar por trs das decises, das tecnologias e dos controles dos sistemas. Desta
forma, no inteligente montar uma estratgia de segurana exclusivamente baseada
na tecnologia, mas uma soluo que considere como pea chave o elemento humano
atuante sobre esta tecnologia.
O que no se conhece no se pode controlar.
O que no se controla no se pode mensurar.
O que no se mensura no se pode gerenciar.
O que no se gerencia no se pode aprimorar.

3.1. Mtodos de Avaliao de Riscos

A maturidade na gesto de riscos alcanada quando ela no for perceptvel.
Quando os processos estiverem bem definidos e documentados, orientando os
agentes humanos e prontos para suportar mudanas corriqueiras nos ativos fsicos,
tecnolgicos e humanos, sem que isso represente uma no planejada oscilao no
nvel de risco.
Estabelecer procedimentos em transaes corporativas, operar por meio de
regras de restries e controle de acesso, criar hierarquias de responsabilidades,
mtodos de reao a eventuais falhas ou vulnerabilidades e, acima de tudo, ter um
padro no que se refere segurana da corporao, entre outras, so as razes que
levam a criao de mtodos de avaliao de riscos para redes corporativas.
Dentre os mtodos de avaliao de risco destacam-se:

3.1.1. rvore de Deciso de Risco

O fator tolerncia determinante para que se definam investimentos
compatveis com o bem a ser protegido e principalmente, para que o nvel de risco
residual esteja dentro da zona de conforto e compatvel com a natureza de cada
negcio. Segundo o mtodo pode-se:
1. Rejeitar o risco: esta opo deve ser considerada quando o risco no est
sendo considerado pela estratgia do negcio, uma vez que o custo do
controle, ou da contramedida, superior ao risco ou ao bem a ser protegido.
2. Aceitar o risco: esta opo deve ser considerada quando o risco inerente
natureza e ao modelo de negcio, fazendo parte das operaes normais e,
portanto, tendo sido previsto na estratgia.
A escolha de aceitar o risco gera outro nvel de anlise:

Evitar: vontade e viabilidade de se eliminar totalmente a fonte de um risco

especfico;
Transferir: relao custo-benefcio e na viabilidade (disposio e
capacidade financeira) de terceiros, para assumir o risco;
Explorar: interesse e possibilidade de se obter vantagens competitivas pelo
aumento da exposio e do grau de risco;
Reter: interesse do negcio, considerados custo e tolerncia, de garantir a
manuteno da exposio e do grau de risco.
Mitigar: necessidade do negcio, considerados custo e tolerncia, de
diversificar, controlar e reduzir os riscos.

3.1.2. OCTAVE
O OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation),
desenvolvido pelo CERT (Computer Emergency Response Team) um mtodo de
avaliao de riscos auto direcionado que possui os seguintes objetivos:

Fazer um balano das informaes crticas, necessidades do negcio,

perigos e vulnerabilidades;
Comparar as atuais prticas de segurana da organizao com os padres
atualmente conhecidos;
Gerenciar e controlar todas as avaliaes de riscos da organizao;
Desenvolver uma estratgia de proteo, considerando a poltica de
segurana, gerenciamento administrativo e tecnolgico;
Estabelecer uma equipe multidisciplinar que possa desenvolver a
segurana da informao da empresa.

3.1.3. Grau de Proteo de Recursos (GPR)

Outro mtodo para a definio dos recursos a serem priorizados no
planejamento para situaes de contingncia denominado de Grau de Proteo de
Recursos (GPR). Trata-se de uma metodologia mais simples que a anterior e que
prope a pontuao de determinados itens de segurana.

O GPR possibilita responder, por exemplo, se a empresa deve investir em um

backup do equipamento do estabilizador ou no backup do servidor de arquivos.
Para o clculo do GPR so levados em conta trs itens considerados de
importncia relevante para anlise, sendo:
GPR = [(P * 2) + (B * 3) + (I *5)] / 10
Onde:
P - Possibilidade da indisponibilidade do recurso. Possui peso 2. Para P, so as
possibilidades:
0 - praticamente impossvel;
2 - improvvel;
4 - possvel, porm nunca ocorreu;
6 - possvel e j ocorreu uma vez nos cinco anos;
8 - possvel e j ocorreu mais de uma vez nos ltimos cinco anos;
10 - possvel e j ocorreu mais de uma vez no ltimo ano.
B - Existncia atual de recursos alternativos ou procedimentos alternativos. Possui
peso 3. Para este item, os valores possveis so:
1 - existe recurso alternativo testado e funcionando;
4 - existe recurso alternativo e foi testado / utilizado no ltimo ano;
6 - existe recurso alternativo, porm nunca foi testado / utilizado;
8 - existe recurso alternativo parcial;
10 - no existe recurso alternativo.
I - Impacto no ambiente computacional ou no ambiente de negcio. Possui peso 5.
Escala de valores variando em:
1 - no impacta usurio final;
2 - impacta o ambiente batch e de desenvolvimento;
3 - impacta o ambiente batch de apoio. Ex: passagem para a produo;
4 - impacta o ambiente on line de desenolvimento;
6 - impacta o ambiente batch de produo;
7 - impacta parcialmente usurios e clientes;
10 - impacta grande parte (ou todos) os usurios e clientes.
Exemplo de aplicao do GPR:
Uma empresa precisa decidir entre investir no backup para o sistema UPS
(Uninterruptible Power Supply) que atende as estaes de trabalho ou para o servidor
de arquivos. A indisponibilidade do recurso servidor de arquivos j ocorreu pelo menos
uma vez nos ltimos cinco anos e no existem recursos alternativos na atualidade, o
que causa srios transtornos aos usurios e clientes. A indisponibilidade do recurso
UPS possvel, mas ainda no ocorreu. Para ele existe a possibilidade de alimentar
os equipamentos de rede diretamente nas tomadas de energia AC, o que, nesse caso,
ir impactar apenas os usurios servidos por esse sistema de alimentao no caso de
falta de energia da concessionria.
Para o clculo do GPR consideram-se:

Clculo GPR do Servidor de arquivos:

P = 6 (possvel e j ocorreu uma vez nos cinco anos);
B = 10 (no existe recurso alternativo - backup);
I = 10 (impacta grande parte ou todos os usurios e clientes).
GPR = [(6 * 2) + (10 * 3) + (10 * 5)] / 10 = 9,2
Clculo GPR do UPS:
P = 4 (possvel, porm nunca ocorreu);
B = 8 (existe recurso alternativo parcial);
I = 7 (impacto parcial nos usurios).
GPR = [(4 * 2) + (8 * 3) + (7 * 5)] / 10 = 6,7
Segundo esse mtodo de avaliao, a empresa deveria investir no backup do
servidor de arquivos primeiramente, que obteve um GRP de 9,2 (contra 6,7 do UPS).
Entretanto, isto no significa dizer que o sistema UPS no seja importante, pelo
contrrio, todos os elementos so importantes.