Slide 1 - WordPress.com

Propaganda
Segurança de Redes
Aula 1 - Conceitos
AGENDA
Surgimento da preocupação com segurança
da informação;
Conceitos e princípios da Segurança da
Informação;
Segurança como parte dos negócios.
2
Lembre-se desta regra:
Se um HACKER quiser invadir seu
sistema, ele conseguirá! E não existe
muito o que você possa fazer para
impedir isso.
A única coisa que você poderá fazer é
tornar esta tarefa difícil para ele.
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Notícias recentes que demonstram o quão frágil é a
infraestrutura de segurança dos sites web governamentais.
E os sites web das empresas privadas, estão seguros?
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
“O preço da liberdade é a eterna vigilância” (Thomas Jefferson)
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Estamos seguros na Internet? Qual o impacto se o site de
uma empresa for “pichado”?
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Prejuízos causados pelos principais vírus.
Fonte: Computer Economics e mi2g
Ano
Vírus
Prejuízos (em milhões de
dólares)
1999
2000
2001
2001
2001
2002
Melissa
I Love You
Nimda
Code Red
Sircam
Klez
1,200
8,750
635
2,620
1,150
13,900
2003
2003
2003
2003
2004
2004
2004
2004
2008
Slammer / Sapphire
Yaha
Blast
SoBig
MyDoom
NetSky
Bagle
Sasser
Conficker
1,200
6,300
525
14,600
89,600
43,800
5,300
18,100
9,100
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Spams reportados
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Incidentes reportados
[email protected]
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Realidade da segurança nos órgãos do governo. E nas
empresas privadas, será que estes números são muito
diferentes? Esperar um incidente para se proteger?!?
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Os 10 HACKERS mais famosos Fonte: terra.com.br
1º. Kevin Mitnick. Um dos mais famosos hackers de todos os tempos, Foi o primeiro
hacker a entrar para a lista dos 10 criminosos mais procurados pelo FBI.
2º. Adrian Lamo. Na lista de invasões do jovem hacker americano estão os sites da
Microsoft, do Yahoo! e do jornal The New York Times.
3º. Raphael Gray. O hacker britânico Raphael Gray, 19 anos, foi condenado por roubar
23 mil números de cartões de crédito, entre eles um de Bill Gates.
4º Jonathan James. Preso aos 16 anos, o hacker invadiu uma das agências
Departamento de Defesa americano.
5º. Jon Lech Johansen. Conhecido como DVD Jon, o hacker norueguês ganhou fama
após burlar os sistemas de proteção dos DVDs comerciais.
6º. Vladimir Levin. O criminoso russo liderou uma gangue que invadiu computadores
do Citibank e desviou US$ 10 milhões, em 1994.
7º. Onel de Guzman. Com apenas 23 anos, o filipino Onel de Guzman causou um
prejuízo de US$ 10 bilhões com seu vírus “I Love You”, que atingiu sistemas de e-mail
no mundo todo.
8º. Kevin Poulsen. Ganhou um Porsche num concurso realizado por uma rádio
americana. O 102º ouvinte que telefonasse para a emissora, levava o carro. Poulsen
invadiu a central.
9º. Robert Morris. O americano, filho do cientista chefe do Centro Nacional de
Segurança Computacional dos EUA, espalhou o primeiro worm que infectou milhões de
computadores e fez grande parte da Internet entrar em colapso, em 1988.
10º. David L. Smith. Com o vírus Melissa, o programador conseguiu derrubar
servidores de grandes empresas, como Intel e Microsoft.
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Mas nós estamos do lado da LEI!!
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
A segurança deve ser considerada não apenas uma proteção, mas o
elemento habilitador dos negócios da organização.
Pesquisas indicam que os consumidores deixam de realizar negócios via
internet quando não confiam na segurança de um site. [IDG Now]
A segurança apareceu em uma pesquisa como o principal fator de
consumidores não realizarem compras pela internet. [INFO Online]
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Fatores que justificam a preocupação com a segurança
contínua:
a) Entender a natureza dos ataques é fundamental;
b) Novas tecnologias trazem consigo novas vulnerabilidades;
c) Novas formas de ataques são criadas;
d) Aumento da conectividade resulta em novas possibilidades de ataques;
e) Existência tanto de ataques direcionados quanto de ataques oportunísticos;
f) A defesa é mais complexa do que o ataque;
g) Aumento dos crimes digitais.
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Não é um fato isolado, mas um conjunto de fatores que
acarreta o aumento das vulnerabilidades e a crescente
preocupação com a proteção:
 A competitividade e a pressa no lançamento de novos produtos;
 O alto nível de conectividade;
 O aumento do número de potenciais atacantes;
 O avanço tecnológico, que resulta em novas vulnerabilidades intrínsicas;
 O aumento da interação entre organizações, resultando nos ambientes
cooperativos; (ex: Multinacional adquirindo uma filial)
 A integração entre diferentes tecnologias, que multiplica as vulnerabilidades; (ex:
WinZip e Windows)
 O aumento da complexidade dos ambientes, resultando do aumento de
relacionamentos, da integração tecnológica e do aumento de serviços.
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Segurança como parte dos negócios
Foco principal era
manter o sigilo dos
dados
1970
Crescimento comercial do
Surgimento dos ambientes de Internet Protocol (IP). Foco
rede. A integridade passou a
passa a ser também a
ser de suma importância.
disponibilidade. A Tecnologia
Proteção focava a
da Informação tornou-se
informação, não os dados
essencial aos negócios
1980
1990
Dados: conjunto de bits armazenados, como nomes, endereços, datas de
nascimento, números de cartões de crédito ou históricos financeiros.
Informação: quando um dado passa a ter um sentido, como as informações
referentes a um cliente especial. Ou também o preço de um produto competitivo.
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Histórico da Segurança da Informação
• Nasceu como elemento de estratégia militar;
• Amadureceu em entidades militares, governamentais e
Acadêmicas;
• Desde a década passada faz parte da estratégia corporativa.
Principais Desafios
• Definição das Funções e Responsabilidades;
• Participação ativa nas estratégias organizacionais;
• Integração com a missão da Organização.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
O que é Informação?
“Conjunto de dados utilizados para a transferência de
uma mensagem entre indivíduos e/ou máquinas em
processos comunicativos ou transacionais“
(Marcos Sêmola)
O que é Segurança?
“[...] um estado e qualidade ou condição de seguro,
assim também como convicção e certeza”
(Dicionário Aurélio)
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Definições de Segurança da Informação
 Segurança da Informação é a proteção da informação de
vários tipos de ameaças para a continuidade do negócio e
também para minimizar o risco ao negócio.
 Segurança da Informação: área do conhecimento dedicada à
proteção de ativos da informação contra acessos não
autorizados,
alterações
indevidas
ou
a
sua
indisponibilidade.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Conceitos de Segurança da Informação
Di
sp
on
ibi
lid
ad
e
INFORMAÇÃO
Marcos Sêmola
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Princípios básicos da Segurança da Informação:
Aspectos da Segurança da Informação:
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Ciclo de Vida da Informação
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Elementos
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
ATIVO: É tudo aquilo que possui valor para uma
organização.
Exemplo de classificação de ativos:
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Ameaças
Agentes ou condições que causam
incidentes que comprometem as
informações e seus ativos por meio
da exploração de vulnerabilidades,
provocando perdas de
confidencialidade, integridade e
disponibilidade e,
consequentemente, causando
impactos aos negócios de uma
organização.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Vulnerabilidade
Fragilidade presente ou associada a ativos que manipulam e/ou processam informações que, ao ser
explorada por ameaças, permite a ocorrência de um incidente de segurança, afetando
negativamente um ou mais princípios da segurança da informação: Confidencialidade, Integridade e
Disponibilidade.
Por si só não provocam incidentes, são elementos passivos, necessitando para tanto de um agente
causador ou condição favorável, que são as ameaças.
São as falhas que são exploradas pelas ameaças.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Vulnerabilidades x Ameaças
Vulnerabilidades
Ameaças
Como peças que se encaixam, ameaças específicas exploram vulnerabilidades compatíveis
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Medidas de Segurança
Preventivas: objetivam evitar que incidentes venham a ocorrer. Visam manter a segurança já
implementada por meio de mecanismos que estabeleçam a conduta e a ética da segurança na
instituição. Ex.: políticas de segurança, instruções e procedimentos de trabalho, especificação de
segurança, campanhas e palestras de conscientização de usuários; ferramentas para
implementação da política de segurança (firewall, antivírus, configurações adequadas de
roteadores e dos sistemas operacionais, etc).
Detectáveis: visam identificar condições ou indivíduos causadores de ameaças, a fim de evitar
que as mesmas explorem vulnerabilidades. Ex.: análise de riscos, sistemas de detecção de
intrusão, alertas de segurança, câmeras de vigilância, alarmes, etc.
Corretivas: Ações voltadas à correção de uma estrutura tecnológica e humana para que as
mesmas se adaptem às condições de segurança estabelecidas pela instituição, ou voltadas à
redução dos impactos: equipes para emergências, restauração de backup, plano de
continuidade operacional, plano de recuperação de desastres.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Barreiras de Segurança
CRESCIMENTO DO IMPACTO
DIAGNOSTICAR
DETER
DETECTAR
DISCRIMINAR
DIFICULTAR
DESENCORAJAR
AMEAÇAS
NEGÓCIO
ATIVOS
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Barreiras de Segurança
Barreira 1: Desencorajar
Esta é a primeira das cinco barreiras de segurança e cumpre o papel importante de
desencorajar as ameaças. Estas, por sua vez, podem ser desmotivadas ou podem
perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de
mecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmera
de vídeo, mesmo falsa, de um aviso da existência de alarmes, campanhas de
divulgação da política de segurança ou treinamento dos funcionários informando
as práticas de auditoria e monitoramento de acesso aos sistemas, já são efetivos
nesta fase.
Barreira 2: Dificultar
O papel desta barreira é complementar a anterior através da adoção efetiva dos
controles que irão dificultar o acesso indevido. Como exemplo, podemos citar os
dispositivos de autenticação para acesso físico, como roletas, detectores de metal e
alarmes, ou lógicos, como leitores de cartão magnético, senhas, smartcards e
certificados digitais, além da criptografia, firewall, etc.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Barreiras de Segurança
Barreira 3: Discriminar
Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo
perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e
estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações de
computadores e bancos de dados. Os processos de avaliação e gestão do volume de uso dos
recursos, como email, impressora, ou até mesmo o fluxo de acesso físico aos ambientes, são
bons exemplos das atividades desta barreira.
Barreira 4: Detectar
Mais uma vez agindo de forma complementar às suas antecessoras, esta barreira deve munir a
solução de segurança de dispositivos que sinalizem, alertem, e instrumentem os gestores da
segurança na detecção de situações de risco. Seja em uma tentativa de invasão, uma possível
contaminação por vírus, o descumprimento da política de segurança da empresa, ou a cópia e
envio de informações sigilosas de forma inadequada. Entram aqui os sistemas de
monitoramento e auditoria para auxiliar na identificação de atitudes de exposição, como o
antivírus e o sistema de detecção de intrusos, que reduziram o tempo de resposta a incidentes.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Barreiras de Segurança
Barreira 5: Deter
Representa o objetivo de impedir que a ameaça atinja os ativos que suportam o
negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é
um sinal de que as barreiras anteriores não foram suficientes para conter a ação da
ameaça. Neste momento, medidas de detenção, como ações administrativas,
punitivas e bloqueio de acessos físicos e lógicos, respectivamente a ambientes e
sistemas, são bons exemplos.
Barreira 6: Diagnosticar
Apesar de representar a última barreira no diagrama, esta fase tem um sentido
especial de representar a continuidade do processo de gestão de segurança da
informação. Pode parecer o fim, mas é o elo de ligação com a primeira barreira,
criando um movimento cíclico e contínuo. Devido a esses fatores esta é a barreira de
maior importância. Deve ser conduzida por atividades de análise de riscos que
considerem tanto os aspectos tecnológicos quanto os físicos e humanos, sempre
orientados às características e às necessidades específicas dos processos de negócio
de uma empresa.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Riscos: Probabilidade de ameaças explorarem vulnerabilidades, provocando perdas
de confidencialidade, integridade e disponibilidade, causando
possivelmente, impactos nos negócios.
Probabilidade: Chances de uma ameaça explorar uma vulnerabilidade.
Impacto: Abrangência dos danos causados por um incidente de segurança sobre um
ou mais processo ou ativos de negócio.
Risco = Probabilidade x Impacto
Portanto:
Segurança é uma prática voltada à eliminação de Vulnerabilidades para
reduzir os Riscos de uma Ameaça se concretizar no ambiente que se quer
proteger.
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
EXPLORAM
AMEAÇAS
VULNERABILIDADES
AUMENTAM
PROTEGEM
CONTRA
AUMENTAM
EXPÕEM
AÇÕES DE
SEGURANÇA DA
INFORMAÇÃO
DIMINUEM
RISCOS
AUMENTAM
INFORMAÇÕES
TÊM
IMPLEMENTADAS COM
INDICAM
NECESSIDADES DE
SEGURANÇA
AUMENTAM
VALORES (QUE CAUSAM
POTENCIAIS IMPACTOS NOS
NEGÓCIOS)
Ciclo da Segurança da Informação – ISO/IEC 13335-1:1998
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Conforme (Stoneburner, 2001), a forma para descobrir se existe algum risco em um
projeto e se o mesmo é aceitável, é apresentada na próxima figura:
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Nas últimas décadas começamos a entrar em
uma era onde o que mandava era o bloqueio!
Aos poucos nos tornamos caixas pretas
interligadas à Internet. Privamos os usuários
do acesso a diversos tipos de sites. Nossos
serviços ficaram centralizados.
E nos últimos anos estamos tendo que
rever estes conceitos. Acessos às
redes sociais, etc. As vantagens de
disponibilizar nossos serviços nas
Nuvens!
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Mitos sobre segurança
 Isso nunca acontecerá conosco;
 Nunca fomos atacados, não precisamos de mais segurança;
 Já estamos seguros com um firewall;
 Utilizamos os melhores sistemas, então, eles devem ser seguros;
 Não dá para gastar com segurança agora, deixa assim mesmo;
 Utilizamos as últimas versões dos sistemas dos melhores fabricantes;
 Nossos fornecedores irão nos avisar, caso alguma vulnerabilidade seja encontrada;
 Ninguém vai descobrir essa brecha em nossa segurança;
 Tomamos todas as precauções, de modo que os testes não são necessários;
 Vamos deixar funcionando e depois resolveremos os problemas de segurança;
 Os problemas de segurança são de responsabilidade do departamento de TI;
 Está tudo seguro, eu mesmo escolho as senhas de meus funcionários;
 O nosso parceiro é confiável, podemos liberar o acesso para ele.
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Exercício: Quantas falhas de segurança você é capaz de encontrar?
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
1. Mencionar senha por telefone. Antes de disponibilizar qualquer tipo de informação, saber:
Com quem fala, de onde fala, conferir se possível se o telefone de onde se origina o
número esteja batendo com o mencionado (via bina por exemplo) e por que, quer aquela
informação;
2. Fatores externos (Visitantes) ter acesso à área interna na empresa, obtendo contato à
informações confidenciais;
3. Entrega de informações sem o devido conhecimento real de quem esta levando essa
informação;
4. Entrada de pessoas não autorizadas ou sem identificação de quem se trata, com portas
abertas e expostas a entrada de qualquer um;
5. Recebimento de informações digitais (disquete, cd etc..) sem o prévio conhecimento da
procedência de onde realmente vem, de quem vem e do que se trata, sem fazer
primeiramente uma inspeção do material recebido em algum lugar ou equipamento que
não comprometa a empresa ou organização;
6. Descarte incorreto de material que se acha inútil depois de jogado no lixo. O não
picotamento em diversos pedaços e de preferência em diversos lixos;
7. Cabos e fios que interligam os computadores soltos no meio da sala, sem a devida
organização de estar atrás do micro salvaguardados de qualquer tropeço ou acidente;
8. Gavetas abertas, de fácil acesso a documentos;
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
1. Jogos via internet ou mesmo por disquetes ou CD-ROM são passíveis de conter armadilhas,
como ativação de worms, cavalos de tróia , vírus dentre outros perigos que se escondem
por traz dos envolventes jogos, ou diversões oferecidas;
2. Deixar exposto arquivos de backup, não guardando em lugar seguro e confiável. Além de
demonstrar explicitamente que é um backup. Como do absurdo de colocar em risco a perda
de todo backup sem os devidos cuidados necessários a segurança física, em caso de algum
acidente como uma xícara de café cair em cima do material de backup;
3. Nome de usuário e senhas expostos para qualquer um que passar, ver e ter acesso;
4. Disquetes, Cds, documentos, material particular como bolsas, carteiras em cima da mesa ou
expostos, com grande facilidade de alguém se apoderar ou ter acesso, principalmente se as
portas ou janelas ficam sempre abertas;
5. Fumar em ambiente de trabalho, já não é tão correto dependendo de onde se trabalha,
quanto mais se neste lugar têm-se carpetes! ;
6. Programas, documentos digitais gravados em disquete ou Cds, não sendo devidamente
guardados em lugares seguros onde somente aqueles que podem ter realmente acesso
seriam portadores da informação;
7. Materiais eletro-eletrônicos, perto das máquinas de trabalho;
8. Cabos de energia soltos, comprometendo a segurança física dos funcionários;
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
1. Computador ligado demonstrando informações confidenciais como senha, usuário, códigos
fontes;
2. Acesso a sites indevidos, não confiáveis, ou fora das políticas de trabalho da empresa;
3. Computador ligado e, sobretudo logado com a senha e nome de algum usuário
esquecidinho, deixando a mercê o uso da máquina por alguém não autorizado;
4. Sistema de alarme desativado, desligado ou inoperante, em caso de alguma urgência ou
emergência;
5. Material (softwares de aplicativos) exposto sem estar guardado em lugar seguro. Bem como
livros, apostilas etc, que contenham informações que sirva como um facilitador em trazer
palavras de cunho técnico de modo à “achar” id, passwords, sejam elas default ou não;
6. Enfeites, como vasos, quadros dentre outros, servindo como mera distração, fugindo do
habitual e tradicional layout de arranjo do ambiente de trabalho, quando surgem, podem
ser alvo de suspeita, pois de traz desses “enfeites” , podem estar guardados, escondidos ou
implantados sistemas de escuta, gravadores dentre outros pequenos sistemas que podem
colher informações ditas ou vivenciadas naquele ambiente. (paranóias e neuroses à parte
todo cuidado é pouco!);
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
CURIOSIDADE!!
Tempo Implementação Controle
Controle mal implementado = Menor tempo gasto – Produtividade Menor
Controle bem implementado = Mais tempo gasto – Produtividade praticamente igual
Produtividade do usuário final afetada:
Gasta tempo da sua produtividade já comprometida tentando encontrar uma maneira de burlar
a segurança. Após o usuário conseguir você continua sem segurança!
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Bibliografia
• NAKAMURA, Emilio; GEUS, Paulo. Segurança de Redes em
Ambientes Cooperativos. São Paulo: Novatec, 2010.
• PEIXOTO, Mário César Pintaudi. Engenharia Social e
Segurança da Informação na Gestão Corporativa. Rio de
Janeiro: Brasport, 2006.
• SÊMOLA, Marcos. Gestão da Segurança da Informação: uma
visão executiva. 14ª ed. Campus Elsevier, 2011
Download