analise de vulnerabilidades2

Propaganda
Análise das principais ameaças e
vulnerabilidades
Cerutti -IES
ABNT NBR ISO/IEC 27000:2013
Ativos de Informação
•
•
•
•
•
•
•
•
Ativos de Informação:
Pessoas
Aplicações
Dados
Documentos
Equipamentos
Instalações
Sistemas Operacionais
Logs e arquivos de
configuração
Normas ISO
ISO
Marco de Internet Brasil – 2013/14
PILARES DA SEGURANÇA DA
INFORMAÇÃO
1. Confidencialidade: oferecer suporte a prevenção de revelação
não autorizada da informação.
2. Integridade:
prevenir a modificação não autorizada da
informação.
3. Disponibilidade: prover acesso confiável a qualquer momento
à informação.
4. Não repúdio: assegura que nem o emissor nem o receptor de
uma informação possam negar o fato
5. Autenticidade: assegurar a integridade de origem da
informação compreendendo o
que denominamos de
responsabilidade final.
6. Privacidade: Assegurar que dados pessoais disponíveis
estejam disponíveis só para autorizados
Riscos – Capítulo separado
• Humanos
• Lógicos
• Físicos
Tarefas
• Identificar as necessidades de segurança de rede.
• Identificar algumas das causas dos problemas de
segurança de rede.
• Identificar características e fatores motivadores
de invasão de rede.
• Identificar as ameaças mais significativas na
segurança de rede.
• Conceituar vulnerabilidade, ameaça, risco e
gerenciamento de risco.
Ameaças Acidentais
•
•
•
•
Falhas de equipamento
Erros humanos
Falhas do Software
Falhas de alimentação
• Problemas causados pelas forças da natureza
Ameaças Causadas por Pessoas
•
•
•
•
•
•
•
•
Espionagem
Crimes
Empregados insatisfeitos
Empregados “doentes”
Empregados desonestos
Vandalismo
Terrorismo
Erros dos usuários
Ameaças
• Analisando ameaças
• Ameaça é tudo aquilo que pode comprometer a
segurança de um sistema, podendo ser acidental (falha de
hardware, erros de programação/usuários, etc...), ou
deliberada (roubo, espionagem, sabotagem, invasão,
etc...).
• Pode ser uma pessoa, uma coisa, um evento, uma idéia
capaz de causar dano.
• Ameaças deliberadas:
•Passivas – envolvem invasão e/ou monitoramento,
sem alteração de informações.
•Ativas – Envolvem alteração nos dados.
•A magnitude de uma ameaça deliberada está
relacionada com a oportunidade, motivação e forma de
detecção e punição de quebras de segurança.
Vulnerabilidades dos Computadores
• Pequenos suportes guardam grandes volumes de
dados
• Os dados são invisíveis
• Os suportes podem falhar
• Copiar não anula a informação
• Dados podem ficar inadvertidamente retidos
• Avanços Tecnológicos
• Sistemas Distribuídos
• Normas de Segurança
Tecnologias e Ferramentas para Garantir a Segurança
Um Firewall
Corporativo
O firewall é colocado entre a Internet pública ou outra rede pouco confiável e a
rede privada da empresa, com a intenção de proteger esta contra tráfego não
autorizado.
Dados do PNUD (2004), retrabalhados para esta apresentação
Perdas médias anuais em milhões de
dólares
Importância os desastres
Gastos com desastres naturais sendo a maioria nos
países desenvolvidos
2.500
0,0641x
2.000
1.500
y = 2E-53e
2
R = 0,969
esponencial ajustada pelo
método dos mínimos quadrados
Atente-se para o grau de aderência
1.000
500
0
1940
1960
1980
Década
2000
2020
Conceitos
• Sinistro
– Evento externo ao indivíduo ou grupo de indivíduos que
altera as condições que estavam causando perturbações,
danos, prejuízos sempre gerando vítmas podendo até ser
fatal.
• Desastre
– É o sinistro que ultrapassa a capacidade de resposta da
comunidade afetada
• Emergência
– Sinistro que pode ser absorvido (tratado e superado) pela
comunidade afetada sem necessidade de auxílio externo
Porque os sistemas são frágeis?
Conceitos (2)
• Ameaças
– Fenômenos naturais ou de origem tecnológica ou
social que possam causar sinistros
• Vulnerabilidade
– Situação em que se encontram pessoas ou bens
que permitam com maior ou menor facilidade a
ocorrência de sinistros.
– A vulnerabilidade varia de acordo com cada
ameaça.
Ameaça 1- Phishing
• Problema: Grande número de usuários de serviços
financeiros on-line vulneráveis, facilidade de criar sites
falsos
• Soluções: Implantar software antiphishing e serviços e
sistema de autenticação multinível para identificar
ameaças e reduzir tentativas de phishing
• Implantar novas ferramentas, tecnologias e
procedimentos de segurança, além de educar os
consumidores, aumenta a confiabilidade e a confiança
dos clientes.
2-Vírus
programa
desenvolvido para
alterar a forma
como um computador opera, sem a permissão ou o
conhecimento do seu usuário.
Um vírus precisa atender a dois critérios:
1)deverá executar a si próprio, freqüentemente
inserindo alguma versão do seu próprio código
no caminho de execução de outro programa.
2)ele deve se disseminar.
• pode se copiar em outros arquivos executáveis ou em discos que o
usuário acessa.
• podem invadir tanto computadores desktop como servidores de rede.
Tipos de vírus
• Vírus de programa: têm extensões como .COM, .EXE, .OVL, .DLL,
.DVR, .SYS,
.BIN e, até mesmo, .BAT. Exemplos de vírus de programa conhecidos são
Jerusalem e Cascade.
• Vírus de setor de boot: infectam a área do sistema de um disco - ou seja,
o registro de inicialização em disquetes e discos rígidos.
• Vírus de macro: infectam os arquivos dos programas Microsoft Office
Word, Excel, PowerPoint e Access.
• Variações mais recentes também estão aparecendo em outros
programas. Usam a linguagem de programação interna do programa,
que foi criada para permitir que os usuários automatizem
determinadas tarefas neste programa. Devido à facilidade com que
estes vírus podem ser criados, existem milhares deles espalhados.
Ameaças
• Bugs de Software
• Bug - erro num programa de computador que o faz
executar incorretamente.
• Bugs trazem aborrecimentos e muitas vezes prejuízo.
• Back doors – Bugs propositalmente inseridos nos
programas para permitir acesso não autorizado (brechas de
segurança).
• Hackers estão sempre em busca de back doors para
invadir sistemas.
• Ameaças programadas
• Programas podem passar a ter
comportamentos estranho, pela execução de
códigos gerados para danificar ou adulterar o
comportamento normal dos softwares.
• Podem ser confundidos ou identificados como
vírus.
• Mais freqüentes em microcomputadores.
PILARES DA SEGURANÇA DA
INFORMAÇÃO
Os pilares refletem na organização e envolvem 3 aspectos principais:
•
Pessoas – Usuários bem orientados, treinados e conscientizados.
•
Processos – Regras claras para utilização dos recursos tecnológicos
fornecidos pela empresa e leis que em caso de desvio de
informações punam severamente o infrator.
•
Tecnologia – Sistemas bem implementados para assegurar e
proteger as informações da empresa
Discussão: Phishing
• O que torna determinado e-mail suspeito?
• Você costuma abrir e-mails suspeitos? Quais são as
conseqüências dessa ação?
• Você costuma reportar e-mails suspeitos a alguém?
• Que medidas você tem adotado para proteger-se do
phishing?
• Sua instituição possui política clara sobre as ameaças e
riscos do phising? Como seria um rascunho dessa
política (inclua punições cabíveis)
2 - Malwares
Software Mal-intencionado: Vírus, Worms, Cavalos de Tróia e Spyware
• Malware
• Vírus
• Worms
• Cavalos de Tróia
• Spyware
• Key loggers (registradores de teclas)
"malware”=malicious software”
é um software destinado a infiltrar-se em um sistema
de computador de forma ilícita,
com o intuito de causar:
1.
danos,
2.
alterações
3.
ou roubo de informações (confidenciais ou
não).
como os códigos maliciosos podem infectar ou comprometer um
computador (EXEMPLOS)
•
pela exploração de vulnerabilidades existentes nos
programas instalados;
• pela auto-execução de mídias removíveis infectadas, como
pen-drives;
• pelo acesso a páginas Web maliciosas, utilizando
navegadores vulneráveis;
• pela ação direta de atacantes que, após
invadirem o computador, incluem arquivos
contendo códigos maliciosos;
• pela execução de arquivos previamente
infectados,
Os programas antivírus e firewalls são algumas das
ferramentas mais comuns para prevenir que estes tipos de
programas entrem no computador e o danifiquem.
Os antivírus modernos também protegem contra spywares e
adwares.
Antivírus têm proteção em tempo real para verificar os
processos em execução no sistema.
Os antivírus devem ser constantemente atualizados para que
possam oferecer proteção contra os mais novos tipos de
malware.
A melhor forma de evitar um malware é o bom
senso.
• Computadores com windows são mais propensos
à infecção mas computadores da Apple também
estão sujeitos aos malwares.
• Não baixar nenhum programa ou arquivo
executável de origem desconhecida.
• Não entrar em sites suspeitos.
• O simples ato de entrar em um site pode infectar
o seu computador com o uso de exploits.
• uso de um produto antivírus é
indispensável, porém não deve ser a
única medida de segurança em um
computador.
• Firewalls também são necessários para
barrar intrusões na máquina e protegem
a rede local.
• Em sistemas operacionais Unix, somente
o superusuário deve se preocupar com
danos, já que cada usuário tem sua
própria estrutura.
O Comitê Gestor da Internet (CGI) no Brasil
tem uma cartilha descrevendo os
procedimentos para evitar estes softwares
maliciosos.
Ataques
• Geralmente divididos nos seguintes tipos:
– Pelo alvo geral do ataque (aplicações, redes ou misto)
– Se o ataque é ativo ou passivo
– Pelo mecanismo de ataque (quebra de senha, exploração de
código, ...)
• Ataques Ativos
– DoS, DDoS, buffer overflow, inundação de SYN
• Ataques Passívos
– Pesquisa de vulnerabilidade, sniffing, ...
• Ataques de Senha
– Força bruta, Dicionário, “hackish”, Rainbow Tables
• Código malicioso (malware)
– Vírus, trojans, worms, ...
Ataques Ativos
• DoS/DDoS
– Reduzir a qualidade de serviço a níveis
intoleráveis
– Tanto mais difícil quanto maior for a infraestrutura do alvo
– Enquanto DoS é de fácil execução e pode ser
corrigido, DDoS é de difícil e não pode ser evitado
– “Zombies” e Mestres (Masters), ataque smurf
– BOTs e BOTNets, ataques “massificados” por
banda larga
– Tipos
• Consumo de Recursos (largura de banda, cpu, RAM, ...)
• Pacotes malformados (todas as flags ligadas)
Ataques Ativos (cont.)
• Buffer Overflow
– Sobrescrever o próprio código em execução
– “Shell code”, escrito em assembler
– Tem como objetivo executar algum código, ou conseguir
acesso privilegiado
• Ataques SYN
– Fragilidade nativa do TCP/IP
– Conexão de 3-vias (Syn, Syn-Ack, Ack)
• Spoofing
– Se fazer passar por outro ativo da rede
– MITM (Man-In-The-Middle)
Dsniff
Ataques Ativos (Cont.)
• Lixeiros
– Documentos sensíveis mal descartados
– Informações em hardwares obsoletos
– Falta de Política de Classificação da Informação
• Engenharia social
– Kevin Mitnick
– Normalmente relevada nos esquemas de segurança
– Utiliza-se do orgulho e necessidade de autoreconhecimento, intrínseco do ser humano
“Um computador não estará seguro nem
quando desligado e trancado em uma sala,
pois mesmo assim alguém pode ser instruído a
ligá-lo.”
[ Kevin Mitnick – A arte de enganar/The Art of Deception ]
Ataques ativos por código malicioso
• Malware
– MALicious softWARE
– Não apenas Spyware ou Adware
– “Payload” Vs Vetor
• Vírus
– Auto replicante
– Interfere com hardware, sistemas operacionais e
aplicações
– Desenvolvidos para se replicar e iludir detecção
– Precisa ser executado para ser ativado
Ataques ativos por código malicioso
(cont)
• Cavalos de Tróia (Trojans)
– Código malicioso escondido em uma aplicação
aparentemente legítma (um jogo por exemplo)
– Fica dormente até ser ativado
– Muito comum em programas de gerência remota (BO e
NetBus)
– Não se auto replica e precisa ser executado
• Bombas Lógicas
– Caindo em desuso pela utilização de segurança no
desenvolvimento
– Aguarda uma condição ser atingída
– Chernobyl, como exemplo famoso (26, Abril)
Ataques ativos por código malicioso
(cont)
• Worms
– Auto replicante, mas sem alteração de
arquivos
– Praticamente imperceptíveis até que todo o
recurso disponível seja consumido
– Meio de contaminação mais comum através
de e-mails e/ou vulnerabilidades em
aplicações de rede
– Não necessita de ponto de execução
– Se multiplica em proporção geométrica
– Exemplos famosos:
• LoveLetter, Nimda, CodeRed, Melissa, Blaster,
Sasser, ...
Ataques ativos por código malicioso (cont)
• Back Door
– Trojan, root kits e programas legítmos
• VNC, PCAnyware, DameWare
• SubSeven, Th0rnkit
– Provê acesso não autenticado a um sistema
• Rootkit
– Coleção de ferramentas que possibilitam a
criação “on-demand” de backdoors
– Modificam rotinas de checagem dos sistemas
operacionais comprometidos para impedir
detecção
– Iniciam no boot junto com os processos do
sistema
Ataques Passívos
• Normalmente utilizado antes de um ataque ativo
• Pesquisa de Vulnerabilidades
– Pesquisa por Portas/Serviços
• http://www.insecure.org – Nmap
• Escuta (sniffing)
–
–
–
–
Extremamente difícil detecção
Não provoca ruído sensível
Senhas em texto claro, comunicações não encriptadas
Redes compartilhadas Vs comutadas
• Switch Vs Hub
– WireShark (Lin/Win), TCPDump (Lin)
• http://www.wireshark.org
• http://www.tcpdump.org
Ataques Passívos (cont)
• Ataques de Senha
– Muito comuns pela facilidade de execução e taxa
de sucesso
• Cain&Abel, LC5, John The Ripper, ...
– Compara Hash’s, não texto
• Força Bruta
– Teste de todos os caracteres possíveis
– Taxa de 5 a 6 Milhões de testes/seg, em um P4
• Ataques de Dicionário
– Reduz sensivelmente o tempo de quebra
– Já testa modificado para estilo “hackish”
• B4n4n4, C@73dr@l, P1p0c@, R007, ...
• Rainbow Tables
– Princípio Time Memory Trade-off (TMTO)
Vulnerabilidade dos Sistemas e Uso Indevido
• Um computador desprotegido conectado à Internet pode
ser danificado em poucos segundos
• Segurança: políticas, procedimentos e medidas técnicas
usados para impedir acesso não autorizado, alteração,
roubo ou danos físicos a sistemas de informação
• Controles: métodos, políticas e procedimentos
organizacionais que garantem
• a segurança dos ativos da organização,
• a precisão
• a confiabilidade de seus registros
• a adesão operacional aos padrões administrativos
Vulnerabilidade dos Sistemas e Uso Indevido
Por que os Sistemas São Vulneráveis?
• Problemas de hardware (quebras, erros de
configuração, danos por uso impróprio ou crime)
• Problemas de software (erros de programação,
erros de instalação, mudanças não autorizadas)
• Desastres (quedas de energia, enchentes,
incêndios etc.)
• Vulnerabilidades da Internet
• Desafios da segurança sem fio
Vulnerabilidade dos Sistemas e Uso Indevido
Por que os Sistemas São Vulneráveis?
Desafios de Segurança Contemporâneos
Vulnerabilidade dos Sistemas e Uso Indevido
Por que os Sistemas São Vulneráveis?
•
Visite o site http://securelist.com/
• Quais são os principais vírus em termos de taxa de infecção?
• Quais são as ameaças de vírus mais recentes?
• Leia descrições dos principais vírus e das ameaças mais recentes
• O que os downloads do securelist oferecem para ajudar os usuários a
proteger e a reparar seus computadores?
• Compare e contraste o conteúdo disponível no security com as ofertas
do site da Symantec em www.symantec.com
Vulnerabilidade dos Sistemas e Uso Indevido
Por que os Sistemas São Vulneráveis?
Hackers e Cibervandalismo
•
Hackers versus crackers
•
Cibervandalismo
•
Spoofing
•
Sniffing
•
Ataque de recusa de serviço (DoS)
•
Ataque Distribuído de Recusa de Serviço (DDoS)
•
Botnets (‘redes de robôs’)
Vulnerabilidade dos Sistemas e Uso Indevido
Por que os Sistemas São Vulneráveis?
Chantagem Cibernética e Redes de Zumbis:
Novas Ameaças dos Ataques DoS
• Encontre as definições e formas de proteçao para essas ameaças.
Responda:
• Qual problema as empresas enfrentam com essas
ameaças? Como são detectados? Como afetam os
negócios?
• Quais eram as soluções disponíveis para resolver o
problema?
• Que outras soluções poderiam ter sido consideradas?
• Como as questões humanas, organizacionais e
tecnológicas contribuíram para o problema?
Vulnerabilidade dos Sistemas e Uso Indevido
Por que os Sistemas São Vulneráveis?
Crimes de Informática e Ciberterrorismo
•
Crime de informática: ‘Quaisquer violações da legislação criminal que envolvam
um conhecimento de tecnologia da informática em sua perpetração, investigação
ou instauração de processo’ – Departamento de Justiça dos Estados Unidos
•
As empresas norte-americanas perdem 14 bilhões de dólares por ano para o
cibercrime
•
Roubo de identidade (phishing, evil twins, pharming, uso indevido do computador
[spamming])
•
Ciberterrorismo e guerra cibernética
Vulnerabilidade dos Sistemas e Uso Indevido
Por que os Sistemas São Vulneráveis?
Ameaças Internas: Funcionários
• Ameaças à segurança freqüentemente se originam dentro
da empresa
• Engenharia social
Vulnerabilidades do Software
• Softwares comerciais contêm falhas que criam
vulnerabilidades de segurança
• Patches (remendos)
Vulnerabilidade dos Sistemas e Uso Indevido
Por que os Sistemas São Vulneráveis?
Valor Empresarial da Segurança e do Controle
• O não funcionamento dos sistemas de computador pode
levar a perdas significativas ou totais das funções
empresariais
• As empresas estão agora mais vulneráveis do que nunca
• Uma brecha de segurança pode reduzir o valor de mercado
de uma empresa quase imediatamente
• Segurança e controles inadequados também produzem
problemas de confiabilidade
Vulnerabilidade dos Sistemas e Uso Indevido
Por que os Sistemas São Vulneráveis?
Valor Empresarial da Segurança e do Controle
Prova Eletrônica e Perícia Forense Computacional
• Grande parte das provas para ações legais são encontradas
hoje em formato digital
• O controle adequado de dados pode economizar dinheiro
quando for necessário apresentar informações
• Perícia forense computacional: procedimento científico de
coleta, exame, autenticação, preservação e análise de dados
mantidos em — ou recuperados por — meios de
armazenamento digital, de tal maneira que as informações
possam ser usadas como prova em juízo
• Dados ambientes
Vulnerabilidade dos Sistemas e Uso Indevido
Por que os Sistemas São Vulneráveis?
Como Estabelecer uma Estrutura para Segurança e Controle
•
ISO 27000:2013
•
Avaliação de risco
•
Política de segurança
• Chief security officer (CSO)
• Política de uso aceitável (AUP)
• Políticas de autorização
• Sistemas de gerenciamento de autorização
Vulnerabilidade dos Sistemas e Uso Indevido
Por que os Sistemas São Vulneráveis?
Como Assegurar a Continuidade dos Negócios-Capítulo Específico
• Downtime
• Sistemas de computação tolerantes a falhas
• Computação de alta disponibilidade
• Computação orientada a recuperação
• Plano da recuperação de desastres
• Plano de continuidade dos negócios
• Outsourcing da segurança (provedores de serviços de
segurança gerenciada)
Vulnerabilidade dos Sistemas e Uso Indevido
Por que os Sistemas São Vulneráveis?
O Papel da Auditoria no Processo de Controle
• Auditoria de sistemas
• Identifica todos os controles que governam sistemas
individuais de informação e avalia sua efetividade.
• O auditor entrevista indivíduos-chave e examina os
controles de aplicação, os controles gerais de
integridade e as disciplinas de controle.
Vulnerabilidade dos Sistemas e Uso Indevido
Por que os Sistemas São Vulneráveis?
Tecnologias e Ferramentas para Garantir a Segurança
Controle de Acesso
• Autenticação
• Tokens
• Smart cards
• Autenticação biométrica
Ataques
Ameaças Digitais Mais
"Focadas”
Tecnologias e Ferramentas para Garantir a Segurança
Novas Soluções para o Gerenciamento de Identidade
• Quais os problemas que grandes empresa podem enfrentarn com o
Authentication, authorization,& accounting (AAA)?
• Qual pode ser impacto desses problemas? Como eles poderiam ser
resolvidos?
• Quais são as soluções disponíveis para as empresas?
• Quais questões humanas, organizacionais e tecnológicas precisam ser
abordadas no desenvolvimento das soluções?
• Você acha que as soluções podem efetivamente resolver o problema da
Authentication, authorization, & accounting (AAA) e Por quê?
http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfaaa.html
Tecnologias e Ferramentas para Garantir a Segurança
Firewalls, Sistemas de Detecção e Prevenção de Invasão e Software Antivírus
• Firewall: a combinação de hardware e software que
controla o fluxo de tráfego que entra ou sai da rede
• Sistemas de detecção (IDS) e prevenção (IPS) de invasão
monitoram em redes corporativas para detectar e deter
intrusos
• Software antivírus e antispyware de gateway (emair
router ou SMTP server) verifica a presença de malware
em computadores e freqüentemente também é capaz de
eliminá-lo
Tecnologias e Ferramentas para Garantir a Segurança
Segurança em Redes Sem Fio
• A segurança WEP pode ser melhorada quando
usada com a tecnologia VPN
• Especificações Wi-Fi Alliance/Acesso Protegido
(WPA/WPA2)
• Protocolo de Autenticação Extensível (EAP)
• Proteção contra redes falsas
• IEEE 802.1x
Criptografia – Capítulo específico
Tecnologias e Ferramentas para Garantir a Segurança
Criptografia e Infra-Estrutura de Chave Pública
•
Criptografia: transformar textos comuns ou dados em um texto cifrado, que não
possa ser lido por ninguém a não ser o remetente e o destinatário desejado
•
•
•
•
•
•
•
Secure Sockets Layer (SSL)
Transport Layer Security (TLS)
Secure Hypertext Transfer Protocol (S-HTTP)
Criptografia de chave pública
Assinatura digital
Certificado digital
Intra-estrutura de chave pública (PKI)
Analise o Documento Symantec Threats to virtual environments no site da disciplina
E responda:
1. Máquinas virtuais são mais seguras que as físicas? Explique.
2. Quais os principais problemas que podem afetar os ambientes virtualizados?
3. Quais as melhores práticas para se evitarem problemas nesses ambientes?
Capítulo específico
Dentre os diversos assuntos tratados pela
gestão de segurança da informação, um dos
principais elementos que direcionam as ações é o
gerenciamento de risco, iniciado com a
implementação de um processo de análise de
risco.
Avaliação dos Riscos
• O que é um risco?
– É um contexto que inclui as ameças,
vulnerabilidades e o valor a proteger
• O que é a análise de risco?
– É o processo de avaliar em que medida é que um
certo contexto é ou não aceitável para uma
organização
Técnicas de Análise de Risco
• Prever cenários de:
– Ameaças
– Vulnerabilidades
• Para cada cenário:
– Prever os prejuízos / Recursos a envolver para
evitar a concretização dos cenários
– Fazer uma análise de custo/benefício
Técnicas de Análise de Risco
• Análise subjectiva
– Documentos escritos com vários cenários
como base para sessão de “brainstorming”
• Análise Quantitativa
– Para cada ameaça quantificar a sua incidência
– Estimar o valor dos prejuízos que pode causar
– Estimar o custo de combater a ameaça
– Pesar as várias ameaças para obter um valor
final (que algoritmo?)
Técnicas de Análise de Risco
• Técnicas Automatizadas
– Uso de ferramentas informáticas que
implementam UM algoritmo específico
– CRAMM no Reino Unido
• CCTA Risk Analysis and Management Method
– CCTA - Central Computer Telecommunications Agency
CRAMM
• 3 Etapas
– Etapa 1 - Identificação dos recursos a proteger,
seu custo, grau de criticalidade da sua
indisponibilidade, ...
– Etapa 2 - Avaliação das vulnerabilidades do
sistema (o CRAMM considera 31 tipos de
ameaças)
• São usados questionários que são passados para o
pessoal para fazer a avaliação ponderada de várias
pessoas
CRAMM
– Etapa 3 - Usa um algoritmo e faz recomendações
sobre os recursos a proteger, medidas a tomar.
Vulnerabilidades do Software
• Bugs do sistema operativo
– Especificações com erros
– Implementação com erros
• Bugs das aplicações
– Especificações com erros
– Implementação com erros
CERT
• CERT - Computer Emergency Response Team
• Estrutura organizativa que recolhe e divulga
debilidades de segurança
• Cadeia segura de troca de informação
– Bugs de sistema operativo
– Bugs de aplicativos comuns
– Vírus
Download