Beruflich Dokumente
Kultur Dokumente
PÓS-GRADUAÇÃO
EM SEGURANÇA DE INFORMAÇÃO
1- 2- POLÍTICA DE 3-INFRA- 4-
LEVANTAMENTO SEGURANÇA ESTRUTURA GERENCIAMENTO
A- PLANEJAR
GERENCIAMENTO DE
INFRA-ESTRUTURA
B- PLANEJAR REVISÕES
A-FORMAR COMITÊ A- ESTUDO E DAS POLÍTICAS DE
A- CLASSIFICAR RECOMENDAÇÕES SEGURANÇA
ATIVOS B- ELABORAR
NORMAS B- PROJETO C- PLANEJAR ANÁLISES
B-ANALISAR DAS VULNERABILIDADES
VULNERABILIDADES C- ELABORAR C- AQUISIÇÃO DE
E RISCOS PROCEDIMENTOS FERRAMENTAS D- PLANEJAR AUDITORIAS
DOS PROCEDIMENTOS
C-TESTAR D- PUBLICAR E D- INSTALAR E
INTRUSÕES DISSIMINAR CONFIGURAR HW E SW E- PLANEJAR TESTES DE
INTRUSÃO PERIÓDICOS
D-RECOMENDAÇÕES
F- PLANEJAR TRATAMENTO
DE INCIDENTES DE
SEGURANÇA
1- LEVANTAMENTO
OBJETIVO:
DELIMITAR O ESCOPO
RELACIONAR TUDO QUE PRECISA SER PROTEGIDO
INTEGRIDADE
DE QUE FORMA (S) A INFORMAÇÃO PODE SER
CORROMPIDA?
CONFIDENCIALIDADE
SÓ QUEM DEVE ACESSAR UMA DETERMINADA
INFORMAÇÃO ESTA ACESSANDO-A?
DISPONIBILIDADE
A INFORMAÇÃO SEMPRE PRECISA ESTAR DISPONÍVEL?
ELA ESTA?
O QUE PODE IMPEDIR A DISPONIBILIDADE?
Adianta proteger só um dos 3 pilares?
5
6
6
2- ANÁLISE DE VULNERABILIDADES E RISCOS
ESCOPO A CONSIDERAR:
APLICAÇÕES (SISTEMAS, PLATAFORMAS, SOs , SOFTWARES
INSTALADOS, BANCO DE DADOS, etc…) E SEUS SERVIÇOS E
PROTOCOLOS;
EQUIPAMENTOS (COMPUTADORES SERVIDORES, ROTEADORES,
SWITCHES, RAS, MODENS-ROUTERS, TELEFONES IPs ETC…);
TOPOLOGIAS DAS REDES (INTRANET , EXTRANET (com outras
organizações), INTERNET, DMZs);
TECNOLOGIAS DE FIREWALL, HONEYPOTS, IDS, IPS;
SEGURANÇA DAS INFORMAÇÕES
ESTAÇÃO
DE AP- ACCESS-POINTS
TRABALHO
QUADRO DE ENERGIA
DA REDE SERVIDORES
LINUX
DE REDE
EDUCACIONAL
SWITCHS
SISTEMAS
Integração e convergência das Tecnologias e dos Serviços
SEGURANÇA DAS INFORMAÇÕES
DEFESA EM PERÍMETRO
Perimeter Defenses
Assume Prior Layers Fail DEFESA DE REDE
Network Defenses
TIPO 2: ICMP
Echo Request
Echo Reply
Unreachable
TIPO 3: FILTRO DE PACOTES
Fragmentos:
NETWORK ADDRESS TRANSLATION (NAT)
• É criado um ambiente
que reflete uma rede de
produção real;
Vantagens:
– Dispositivos reais;
– Mais segurança pela descentralização dos
honeypots
Desvantagens:
– Custo elevado;
– Dificuldades na instalação e administração;
– Complexidade para manutenção;
– Espaço alocado muito grande;
TIPOS DE HONEYNETS
Virtual:
– Composta por Honeypots virtuais (máquinas
virtuais);
– Uso de emuladores;
ENVOLVE:
TIPOS DE NÍVEL DE ACESSO DAS PESSOAS NA REDE OU NAS
APLICAÇÕES (RESTRIÇÕES, PERMISSÕES, PERFIL) OU EM
AMBIENTES DA ORGANIZAÇÃO;
TIPOS DE NÍVEL DE FORMAÇÃO/CAPACITAÇÃO QUE AS PESSOAS
PRECISAM TER;
FERRAMENTAS/SOFTWARES QUE OS USUÁRIOS UTILIZAM NA
REDE;
TIPOS DE VULNERABILIDADES USUÁRIOS/ORGANIZAÇÃO;
MONITORAMENTO DO PADRÃO DE VIDA;
2.2- ANÁLISE DE RISCO
2.2.2- AMBITO HUMANO:
O USO DE LOGS, E SISTEMAS DE CONTROLE DE ACESSO,
CONTROLE DE ASSIDUIDADE, SISTEMA DE CFTV, FERRAMENTAS DE
GERENCIAMENTO DE PRODUTIVIDADE DO USUÁRIO,
FERRAMENTAS DE USO DE SOFTWARE PELOS USUÁRIOS, FILTROS
DE CONTEÚDO WEB, AUXILIAM NESSE LEVANTAMENTO.
FERRAMENTAS DE MAIOR USO
HUMANO EM REDES
MSN
Orkut
Youtube
Email
Youtube
BLOQUEIO NO MODEM ROUTER ADSL
Há modens que tem blacklist e até firewall. Você
pode:
1) Colocar o DNS do youtube no blacklist;
2) Colocar o DNS do youtube bloqueado no firewall;
3) Bloquear o range de IP do youtube;
TERMINATORX V2
FERRAMENTAS DE MAIOR USO
HUMANO EM REDES
FERRAMENTAS DE MAIOR USO
HUMANO EM REDES
DOWNLOAD DO BLOQUEADOR
http://rapidshare.com/files/57932182/blockOrkut.rar
Se vc não sabe baixar pelo RAPIDSHARE entre aqui:
http://www.junior09.hpg.ig.com.br/tu.../tutorapid.htm
EXEMPLOS DE ALGUMAS AMEAÇAS HUMANAS:
ACESSOS INDEVIDOS;
FURTO DE INFORMAÇÕES;
FRAUDE ELETRÔNICA E FALSIFICAÇÃO DE IDENTIDADE ;
DANO AOS DADOS E INFORMAÇÕES ARQUIVADAS ;
ESPIONAGEM PARA OBTENÇÃO DE SEGREDOS INDUSTRIAIS/COMERCIAIS;
CÓPIAS NÃO AUTORIZADAS DE ARQUIVOS E PROGRAMA ;
VIOLAÇÃO DO DIREITO AUTORAL ;
INTERCEPTAÇÃO INDEVIDA DE INFORMAÇÃO;
VIOLAÇÃO DE BASES DE DADOS PESSOAIS;
EXPOSIÇÃO DA MARCA ASSOCIADA A CONTEÚDO OFENSIVO OU FALSO EM
CHAT, NEWSGROUP, MESSAGING, PEER-TO-PEER NETWORK, STREAMING
MIDIA, E-MAIL, WEBSITE, HOTSITE;
“SUCKS” SITES – FRUSTRAÇÃO DO CONSUMIDOR – ATUALMENTE TAMBÉM
EM COMUNIDADES, BLOGS, FOTOLOGS, FORUMS
PIRATARIA – DE MARCA, TEXTO, AUDIO, VIDEO, MUSICA, SOFTWARE
PORNOGRAFIA – 300.000 DOMÍNIOS MAIS VISITADOS DA WEB NO MUNDO
CONTÉM PORNOGRAFIA (CASE ZIPPO, SEXDISNEY.COM)
Kevin David Mitnick (EUA) O mais famoso hacker do
mundo,condenado por fraudes no sistema de telefonia,
roubo de informações e invasão de sistemas. Os danos
materiais são incalculáveis, foi libertado em fevereiro de 2000
e pouco mais de um mês depois de sair da prisão, agora
ajuda o governo dos Estados Unidos a melhorar a segurança
de seus sistemas de computadores.
"Watchman","Dark Dante": Kevin Poulsen (EUA)
Amigo de Mitnick, também especializado em
telefonia, ganhava concursos em rádios.
Ganhou um Porsche por ser o 102º ouvinte a
ligar, mas na verdade ele tinha invadido a central
telefônica, e isso foi fácil demais.
"Capitain Crush": John Draper (EUA), introduziu
o conceito de Phreaker, ao conseguir fazer
ligações gratuitas utilizando um apito de
plastico que vinha de brinde em uma caixa de
cereais. Obrigou os EUA a trocar de sinalização
de controle nos seus sistemas de telefonia.
"rtm": Robert Morris (EUA) Espalhou "acidentalmente"
um worm que infectou milhões de computadores e fez
boa parte da Internet parar em 1988. Ele é filho de um
cientista chefe do National Computer Security Center,
parte da Agência Nacional de Segurança. Ironia.
Tsutomu Nomura (EUA) É fisico e especialista em
sistemas de segurança do Centro de
Supercomputadores de San Diego, na
Califórnia.Shinomura é o que se convencinou chamar de
"samurai". Foi o responsável pelo golpe conhecido
como "Takedown", na qual conseguiu pegar Mitnick.
PLANEJAMENTO DOS ACESSOS
PROTEÇÃO POR ESTRUTURA DE DIRETÓRIOS EM
ÁRVORE
Diretório Raiz
DIREITOS DE ACESSO
Acesso Descrição
Leitura Qualquer tipo de operação em que o
arquivo possa ser visualizado, como a
exibição de seu conteúdo, edição ou cópia
de um novo arquivo
Gravação Alteração no conteúdo do arquivo, como
inclusão ou alteração de registros.
Execução Associado a arquivos executáveis ou
arquivos de comandos, indicando o direito
de execução do arquivo.
Eliminação Permissão para se eliminar um arquivo.
PROTEÇÃO POR GRUPO DE
USUÁRIOS
Nível de Tipo de
proteção Acesso
Owner Leitura
(dono do grupo) Escrita
Execução
Eliminação
dados.txt
Group Leitura
All --
PROTEÇÃO POR LISTA DE CONTROLE DE
ACESSO
Usuário: Laureano
Usuário: Laureano
Acesso: leitura +
Acesso: leitura +
escrita
escrita + execução
Usuário: Maziero
Usuário: Maziero
Acesso: leitura
Acesso: eliminação
TÉCNICAS UTILIZADAS PARA SUBVERTER
ENGENHARIA SOCIAL:
Ataque direto -> solicitação de informação diretamente
ao “usuário alvo”.
É NECESSÁRIO CONSIDERAR:
OS PROCESSOS DE NEGÓCIO (ATUAÇÃO DA ORGANIZAÇÃO
FRENTE AO MERCADO);
É UMA FUNCIONALIDADE INTERNA OU EXTERNA;
É UM PRODUTO ELABORADO/LANÇADO OU VAI SER?
PODE NOS CAUSAR DANOS FINANCEIROS E/OU DE IMAGEM?
2.3.1- ANÁLISE TÉCNICA DA SEGURANÇA
ÂMBITO TECNOLÓGICO
VISA IDENTIFICAR AS CONFIGURAÇÕES DOS ATIVOS, A FORMA
COMO ESSES ATIVOS SÃO UTILIZADOS, QUAIS VULNERABILIDADES
DE SEGURANÇA.
ANÁLISE DAS ESTAÇÕES DE TRABALHO E DOS COMPUTADORES
SERVIDORES.
ANÁLISE DE EQUIPAMENTO E CONECTIVIDADE.
ANÁLISE DE CONTROLE DE ACESSO, SEGURANÇA PERIMETRAL,
CFTV;
ANÁLISE DE LINKS DE COMUNICAÇÃO.
ANÁLISE DE BANCO DE DADOS.
ANÁLISE DE APLICAÇÕES.
ESSE TIPO DE LEVANTAMENTO FARÁ USO DE FERRAMENTAS
APROPRIADAS!
2.3.2 -ANÁLISE DA SEGURANÇA FÍSICA
Sensores de movimento
Vídeo-vigilancia
Monitorização de sistemas
Alarmes de intrusão
Condições ambientais
No-breaks e geradores Reguladas com climatização
eléctricos duplicados redundante
Vigilantes jurados
IMPROVIZAÇÃO
NÃO RECOMENDADA
TIPOS DE ARQUITETURAS DE ENFRIAMIENTO
RECOMENDADAS
Por fila
Por rack
Por sala
SOLUÇÕES EM AUTOMAÇÃO
PRODESP
SEGURANÇA DOS AMBIENTES
Recomendações
– Paredes sólidas
– Portas e janelas protegidas
– Alarme
– Mecanismos de controle de acesso
Prever riscos como
– Fogo
– Inundação
– Explosão
– Manifestações de vandalismo
Levar em conta riscos dos prédios vizinhos
SEGURANÇA DOS EQUIPAMENTOS
Proteger contra:
Acesso não autorizado
Violações
Considerar:
Equipamento próprios
Equipamentos alienados
Equipamentos externos
Proteger a infraestrutura:
Cabines de fornecimento de energia elétrica
• Proteger pontos de
rede ACL
• Proteger dispositivos VPN
de rede (switches, routers)
Firewall
• Segmentar rede
VLAN´s
• Regras de controle de
acessos (quem, o que,
IPS/IDS
quando, como) Autenticação
• Auditoria: logs Criptografia
• Premissa: Tudo deve Certificado Digital
ser proibido a menos Sistema Operacional
Informação
que seja expressamente
permitido
SEGURANÇA DAS INFORMAÇÕES
TIPOS DE IMPÁCTO:
- BAIXO;
- MODERADO;
- ALTO;
O POTENCIAL DE IMPACTO É BAIXO SE:
Processos
• Processo mal definido;
• Falta de controles;
• Falta de segregação de funções;
Infra-Estrutura
• Falha em sistema (hardware ou software);
• Falha na infra-estrutura de serviços básicos (cabeamento, telecomunicações, energia, água,
gás, etc.);
Agentes/Eventos Externos
• Imposição de mudanças regulatórias (IVC, trabalhista, federal, estadual, municipal, etc.)
• Desempenho inadequado de prestadores de serviços;
• Fraudes de clientes, fornecedores ou outros agentes externos;
• Acões jurídicas contra a Infoglobo (ações cíveis, descumprimento de obrigações
contratuais, etc.)
91
91
ENTÃO, SURGEM AS PERGUNTAS
IMPORTANTES...
Que objetivos assumidos junto aos acionistas correm o risco de
não serem cumpridos?
92
... E TAMBÉM A NECESSIDADE DE AJUSTAR A
PERCEPÇÃO DOS EXECUTIVOS
PERIGO IDEAL
SUFICIENTE
SEGURANÇA PERCEBIDA
Conscientização
o
e ss I
Análise e
c
ro s&S
d
P
o sco v eis
i á
ç ão e R o ns cos
p s
l a nta tão d R es s Ri
p
Im Ge
s
a o s t o do
de ão men
INSUFICIENTE
ta ç
ta
r ien Tra
O lo
pe
GASTOS
DESCONFORTO DESNECESSÁRIOS
INADEQUADO ADEQUADO
SEGURANÇA REAL
93
FATOR CRÍTICO DE SUCESSO:
BALANCEAR OS INVESTIMENTOS
Infra-estrutura
Conscientização
e Treinamento Risco
Risco
Inerent
Gerenciado
e
Regras e
Processos
94
COMO A SEGURANÇA DA INFORMAÇÃO
PODE CONTRIBUIR PARA A REDUÇÃO DE RISCOS?
ISO 17799:2005
96 96
FATÔRES QUE AMEAÇAM O DESENVOLVIMENTO DE
SOFTWARE (RISCOS DE DESENVOLVIMENTO)
Estouro de orçamento;
Não cumprimento dos prazos;
Falta de planejamento do Projeto de Segurança (ISO/IEC 15408);
Desperdício de recursos;
Retrabalho corrigindo erros;
Dificuldades para aprimorar a qualidade dos projetos;
Falha de software;
Perda de controle sobre as solicitações do sistema;
Falta de comuincação entre os interessados;
Criação de produtos que atendem as necessidades dos clientes;
Entrega de requisitos incompletos e inconsistentes;
Conflitos entre os interesses da organização e os colaboradores;
Falta de cooperação entre as equipes;
99
RISCO = POSSIBILIDADE X IMPACTO
QUANTO MAIOR A POSSIBILIDADE DE OCORRER, MAIOR A PROBABILIDADE
100
RISCO = POSSIBILIDADE X IMPACTO
101
MATRIZ DE RISCOS DA INFOGLOBO
(responsáveis pelo acompanhamento)
MB 1 1 2 3 4 5
1 2 3 4 5 Riscos acompanhados
somente pelo gestor
MB B M A MA
Possibilidade
102