prof. msc. vitor mesaque alves de lima vitor.lima@ufms.br | vitormesaque@ledes.net
Post on 18-Apr-2015
114 Views
Preview:
TRANSCRIPT
Segurança e Auditoria de SistemasSegurança da Informação
Prof. Msc. Vitor Mesaque Alves de Lima
Universidade Federal de Mato Grosso do SulCampus Três Lagoas
Curso de Sistemas de Informação
vitor.lima@ufms.br | vitormesaque@ledes.net
Segurança da Informação
Princípios da Segurança da Informação
Conceitos de Segurança da Informação
Ataques
Roteiro
IndroduçãoSegurança da Informação
Visão Geral
IndroduçãoSegurança da Informação
Princípios
Confidencialidade: Apenas pessoas explicitamente autorizadas tem acesso a informação.
Integridade: A informação acessada está completa, sem alterações e, portanto, confiável.
Disponibilidade: Está accessível, para pessoas autorizadas, sempre que necessário.
IndroduçãoSegurança da Informação
3 Princípios Principais
Autenticidade: É preciso possuir mecanismos para verificar a identidade reclamada por uma entidade do sistema;
Não-repúdio: Mecanismo que deve garantir que uma entidade não pode negar o envolvimento numa transação.
Legalidade: Garantir que um sistema esteja aderente à legislação pertinente;
Privacidade: capacidade de um sistema manter anônimo um usuário(ex: voto eletrônico);
Auditoria: Capacidade de um sistema auditar tudo o que foi realizado pelos usuários
IndroduçãoSegurança da Informação
Princípios Complementares
ESTRATÉGICO: GOVERNANÇA, NORMAS, (COBIT, ITIL, GRC)
TÁTICO: POLÍTICAS DE SEGURANÇA, MAPEAMENTO DE RISCOS, PLANOS
DE CONTINGÊNCIAS
OPERACIONAL: FERRAMENTAS, CERTIFICADOS, CRIPTOGRAFIA
IndroduçãoSegurança da Informação
Aplicação da Segurança da Informação em Níveis
Definições
Ações
Ativo Incidente Ameaça Vulnerabilidade Probabilidade Impacto Risco
IndroduçãoSegurança da Informação
Conceitos de Segurança da Informação
É qualquer elemento que possui valor para a organização e consequentemente necessita ser adequadamente protegido.
Na sociedade atual, a informação é o principal ativo de uma organização e está sob constante risco.
◦ A informação representa a inteligência competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional e saúde da organização.
Dispor da informação correta, na hora adequada, significa tomar uma decisão de forma ágil e eficiente.
Ativo
IndroduçãoSegurança da Informação
Conceitos de Segurança da Informação
Em segurança da informação, um incidente é qualquer acontecimento que prejudique o andamento normal dos sistemas e/ou do negócio.
Ex.: Uma falha de segurança no Yahoo! causou o vazamento de mais de 453 mil dados de usuários de diversos serviços oferecidos pelo portal.
Incidente
IndroduçãoSegurança da Informação
Conceitos de Segurança da Informação
SQL Injection
Em inglês, utiliza-se termo “threat” para definir ameaça.
É qualquer ação, acontecimento ou entidade que possa agir sobre um ativo, processo ou pessoa, através de uma vulnerabilidade e consequentemente gerando um determinado impacto.
◦ Ameaças apenas existem se houverem vulnerabilidades.
Ex.: A companhia de segurança Trusteer está alertando sobre um vírus para Android que está sendo distribuído por criminosos e tem como alvo sistemas de autenticação por SMS empregados por bancos europeus para verificar transferências online. Fonte: IDG Now!
Ameaça
IndroduçãoSegurança da Informação
Conceitos de Segurança da Informação
Tipos de ameaças:
◦ Naturais – Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades, poluição, etc.
◦ Involuntárias – Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia, etc.
◦ Voluntárias – Ameaças propositais causadas por agentes humanos como hackers, invasores, Espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.
Ameaça
IndroduçãoSegurança da Informação
Conceitos de Segurança da Informação
A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque ou falha, ou seja, é uma condição de risco encontrada em determinados recursos, processos, configurações, etc.
Cada vez mais crackers buscam vulnerabilidades multiplataforma. Utilizando falhas já corrigidas por fornecedores, criminosos se aproveitam da negligência de usuários, que não atualizam seus softwares quando necessário. Cada vez mais crackers estão escolhendo como alvo as mesmas vulnerabilidades de aplicativos em Macs e Pcs com Windows, visando benefícios financeiros e para desenvolver malwares multiplataforma. Fonte: IDG Now! Agosto/2012.
Vulnerabilidade
IndroduçãoSegurança da Informação
Conceitos de Segurança da Informação
Origem
◦ Deficiência de projeto: brechas no hardware/software
◦ Deficiência de implementação: instalação/configuração incorreta, por inexperiência, falta de treinamento ou desleixo
◦ Deficiência de gerenciamento: procedimentos inadequados, verificações e monitoramento insuficientes
Vulnerabilidade
IndroduçãoSegurança da Informação
Conceitos de Segurança da Informação
Vulnerabilidade
IndroduçãoSegurança da Informação
Conceitos de Segurança da Informação
A probabilidade é a chance de uma falha de segurança ocorrer levando-se em conta o grau das vulnerabilidades presentes nos ativos que sustentam o negócio e o grau das ameaças que possam explorar estas vulnerabilidades.
Probabilidade
IndroduçãoSegurança da Informação
Conceitos de Segurança da Informação
São as potenciais consequências que este incidente possa causar ao negócio da organização.
Ex.: Alguns impactos resultantes da invasão da rede Playstation Network da Sony:
◦ Exposição de dados sigilosos de 77 milhões de usuários;
◦ Serviço indisponível por três semanas;
◦ Segundo a Forbes (Information for the World's Business Leaders), o prejuízo financeiro pode alcançar, no pior cenário, 24 bilhões de dólares.
Impacto
IndroduçãoSegurança da Informação
Conceitos de Segurança da Informação
Uma expectativa de perda expressada como a probabilidade de que uma ameaça em particular poderá explorar uma vulnerabilidade com um possível prejuízo;
Risco pode se definido como uma medida da incerteza associada aos retornos esperados de investimentos (Duarte Júnior, 2004);
Subentende-se por risco, o nível do perigo combinado com: (1) a probabilidade de o perigo levar a um acidente e, (2) a exposição ou duração ao perigo (algumas vezes denominado de latente); algumas vezes, o risco é limitado ao relacionamento entre o perigo e o acidente, ou seja, a probabilidade do perigo conduzir a um acidente, mas não da probabilidade do perigo ocorrer (Leveson et al, 1997);
Conforme (Scoy, 1992), risco não é ruim por definição, o risco é essencial para o progresso e as falhas decorrentes são parte de um processo de aprendizado.
Risco
IndroduçãoSegurança da Informação
Conceitos de Segurança da Informação
Tipos de ataques◦ Passivo
Interceptação, monitoramento, análise de tráfego (origem, destino, tamanho, frequência)
◦ Ativo Adulteração, fraude, reprodução (imitação), bloqueio
IndroduçãoSegurança da Informação
Ataques
Ataques sobre o fluxo de informação
◦ Interrupção: ataca a disponibilidade◦ Interceptação: ataca a confidencialidade◦ Modificação: ataca a integridade◦ Fabricação: ataca a autenticidade
IndroduçãoSegurança da Informação
Ataques
Malware◦ é um software destinado a se infiltrar em um sistema de computador alheio de forma
ilícita, com o intuito de causar algum dano ou roubo de informações Vírus
◦ infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros computadores Verme (Worm)
◦ é um programa auto replicante, semelhante a um vírus. Enquanto um vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o Worm é um programa completo e não precisa de outro para se propagar.
Cavalo de Tróia (Trojan Horse)◦ programa malicioso que age como a lenda do cavalo de Troia, entrando no computador e
liberando uma porta para uma possível invasão e é fácil de ser enviado Spyware
◦ programa automático de computador, que recolhe informações sobre o usuário, sobre os seus costumes na Internet e transmite essa informação a uma entidade externa na Internet. Diferem dos cavalos de Tróia por não terem como objetivo que o sistema do usuário seja dominado, seja manipulado, por uma entidade externa, por um cracker.
Exemplos de Ataques / Ameaças
IndroduçãoSegurança da Informação
Ataques
Back Door (Porta dos Fundos) ou Trap Door (Armadilha, Alçapão)◦ permitir a invasão do sistema por um cracker para que ele possa obter um total
controle da máquina Bomba Lógica
◦ vírus é capaz de se ativar em um momento preciso e num grande número de máquinas
Port Scanning ◦ Varredura de Portas
Spoofs ◦ Falsificação ou Disfarce de identidade
DNS Spoof◦ Fazem o servidor de DNS retornar um IP incorreto
Quebra de Senha (Password Cracking)◦ Recuperação de senha a partir de dados roubados
Exemplos de Ataques / Ameaças
IndroduçãoSegurança da Informação
Ataques
Engenharia Social Sniffing (Monitoramento, “Grampo”) Web Site Defacement DoS - Denial of Service (Interrupção de Serviço) SPAM / Junk Mail Mensagem-Bomba (Mail Bomb) War Dialing
◦ criação de um banco de dados de informações a respeito de todos os números de telefone de determinado prefixo e região, através de um computador configurado para realizar chamadas automaticamente.
Injeção de SQL (SQL Injection)
Exemplos de Ataques / Ameaças
IndroduçãoSegurança da Informação
Ataques
Exemplos de Ataques / Ameaças
IndroduçãoSegurança da Informação
Ataques
12,7 mil contas de cartão de crédito podem ter sido roubadas
Fonte: Computer Crime and Security Survey, 2010
Fonte: Módulo – 10ª Pesquisa Anual de Segurança da Informação, Dezembro de 2007
Data: 25/04/2013 Tempo: 20 minutos Conceitue a ameaça Que tipo de vulnerabilidades são exploradas Como evitar a ameaça Relacionar 5 notícias ou matérias relevantes
dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação)
Equipe 1 – Vírus, Vermes, Adwares, Spywares e Trojans
Data: 25/04/2013 Tempo: 20 minutos Conceitue a ameaça Que tipo de vulnerabilidades são exploradas Como evitar a ameaça Relacionar 5 notícias ou matérias relevantes
dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação)
Equipe 2 - DNS Cache Poisoning e DNS Spoofing
Data: 25/04/2013 Tempo: 20 minutos Conceitue a ameaça Que tipo de vulnerabilidades são exploradas Como evitar a ameaça Relacionar 5 notícias ou matérias relevantes
dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação)
Equipe 3 - SQL Injection
Data: 25/04/2013 Tempo: 20 minutos Conceitue a ameaça Que tipo de vulnerabilidades são exploradas Como evitar a ameaça Relacionar 5 notícias ou matérias relevantes
dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação)
Equipe 4 - Negação de Serviço (DoS - Denial of Service
Data: 25/04/2013 Tempo: 20 minutos Conceitue a ameaça Que tipo de vulnerabilidades são exploradas Como evitar a ameaça Relacionar 5 notícias ou matérias relevantes
dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação)
Equipe 5 – Engenharia Social
top related