1

Segurança e Auditória de Sistemas

Tauller Matos

www.tauller.com

tauller@yahoo.com.br

Material 4

Segurança como parte do negocio

2

3

Agenda Falta de cuidado com relação à segurança Segurança como parte dos negócios Como a segurança é vista hoje Investimentos em segurança Mitos sobre segurança Riscos e considerações quanto à segurança Segurança versus funcionalidades Segurança versus produtividade Uma rede totalmente segura

FALTA DE CUIDADO COM RELAÇÃO À SEGURANÇA

TCP/IP e Internet: alcance mundial dos invasores aos seus alvos Portas TCP/IP

Macros (Word e Excel): Nova geração de vírus Infecção muito mais veloz Meios diversos de infecção (p.e., email) Qualquer tipo de arquivo pode ser infectado

Linguagens para a Internet (JavaScript, ActiveX) Difícil controle Podem causar sérios problemas numa rede interna

4

FALTA DE CUIDADO COM RELAÇÃO À SEGURANÇA

Sofisticação dos emails Interpretam diversos tipos de códigos e arquivos Códigos maliciosos se utilizam destes avanços

5

SEGURANÇA COMO PARTE DOS NEGÓCIOS

Muitos processos de negócios não enfocaram a segurança

Filosofia “funcionou, está ótimo” Falso senso de segurança

Instalar um firewall ou anti-vírus e se achar protegido

6

SEGURANÇA COMO PARTE DOS NEGÓCIOS

Negócios na Web Segurança passa a ser o principal responsável Exemplos:

Transmissão e armazenamento de informações de clientes

Disponibilidade dos sites Imagem da empresa em caso de ataque bem-

sucedido Comunicação segura entre matrizes, filiais,

fornecedores, parceiros comerciais, distribuidores e clientes

7

SEGURANÇA COMO PARTE DOS NEGÓCIOS

Profissional de segurança Ouvir as pessoas Conhecer as tecnologias Aplicar as tecnologias na organização de acordo

com: Estratégia de negócios Necessidades Estratégias de segurança

8

COMO A SEGURANÇA É VISTA HOJE

Reputação Anos para ser construída Destruída num instante

As organizações se baseiam na confiança de seus clientes

No ambiente cooperativo é pior ainda Problema com uma organização afeta todas

9

COMO A SEGURANÇA É VISTA HOJE

Vista como um gasto, não um investimento Nem sempre é quantificável Deve ser transparente Deve ser como a qualidade:

Ninguém discute se a qualidade é necessária hoje

Ele passou a ser algo necessário

10

INVESTIMENTOS EM SEGURANÇA (como é feito)

Orçamento geralmente pequeno Falta de visão da importância Fatos recentes mudaram esta visão Principais pontos de fortalecimento:

Fortificação do perímetro da rede Segurança e disponibilidade do servidor web Segurança e disponibilidade do servidor de comércio

eletrônico Segurança de email Segurança de acesso remoto

11

INVESTIMENTOS EM SEGURANÇA

Tendência no aumento gradual no nível de investimentos em segurança

Principais setores: Consultoria tecnológica Setor bancário e financeiro Governo e militares

Menos investimento: Educação revendedores

12

INVESTIMENTOS EM SEGURANÇA

Quantificação geralmente suposta (“chute”) Necessidade:

Análise de risco Metodologia para quantificar e qualificar os

níveis de segurança de cada recurso na organização

13

MITOS SOBRE SEGURANÇA “Isso não acontecerá conosco” “Já estamos seguros com o firewall” “Utilizamos os melhores sistemas, então eles

devem ser seguros” “Utilizamos as últimas versões dos sistemas dos

melhores fabricantes” “Nosso fornecedores irão nos avisar, caso

alguma vulnerabilidade seja encontrada” “Ninguém vai descobrir essa ‘brecha’ em nossa

segurança”14

MITOS SOBRE SEGURANÇA “Tomamos todas as precauções, de modo que

os testes não são necessários” “Vamos deixar funcionando e depois

resolveremos os problemas de segurança“ “Os problemas de segurança são de

responsabilidade do departamento de TI“ “Depois de instalar o Word, por favor, instale o

firewall“ “A companhia de segurança que foi contratada

irá cuidar da segurança”15

MITOS SOBRE SEGURANÇA “O nosso parceiro é confiável, podemos

liberar o acesso para ele” “Não precisamos nos preocupar com a

segurança, pois a segurança é um luxo para quem tem dinheiro”

Outros? ...

16

Exercícios

1) Você já foi afetado por vírus de macro? Dê exemplos.

2) Quanto aos mitos discutidos na aula de hoje, quais você já ouviu? Conhece outros mitos sobre segurança?

17

RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA Falta de classificação das informações

Qual o valor? Qual a sua confiabilidade? Que risco estamos correndo? Quanto se perderia com um ataque?

18

RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA Controle de acesso mal definido

Somente autenticação inicial Acesso irrestrito depois de autenticado Acesso a partes do sistema não necessárias

19

RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA Dificuldade de controle sobre todos os

sistemas Sistemas operacionais Softwares Equipamentos ativos ‘bugs’ podem abrir ‘brechas’ internas

20

RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA A Internet é um ambiente hostil

Não pode ser presumida confiável Todo usuário é potencialmente um atacante

21

RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA As informações que trafegam na rede estão

sujeitas a serem capturadas Não apenas a informação, mas o padrão de

tráfego pode ser monitorado As mensagens que são enviadas para fora da

rede interna podem ser: capturadas lidas modificadas falsificadas

22

RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA Qualquer conexão entre a rede interna e

qualquer outro ponto (do mundo!) pode ser utilizado para ataques à rede interna

Os telefones podem ser grampeados, e as informações (voz ou dados) podem ser gravadas

Os firewalls protegem contra acessos explicitamente proibidos e quanto aos serviços legítimos?

23

RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA Segurança pela obscuridade

“Ninguém me invade por que não conhece meus segredos”

“Guardar a chave da porta debaixo do tapete” “Ninguém sabe o que eu guardo dentro desta

caixa” “Tomara que ninguém desconfie de quanto eu

tenho neste envelope”

24

SEGURANÇA VERSUS FUNCIONALIDADES Quanto maior a quantidade de

funcionalidades, tanto menor é a segurança Funcionalidades:

Serviços Aplicativos Pessoas envolvidas

25

SEGURANÇA VERSUS FUNCIONALIDADES Realidade de muitas organizações:

Ênfase nas funcionalidades Segurança em segundo plano

O ambiente cooperativo exige segurança Falta de preocupação com segurança

Pode ser bom no início Traz graves problemas depois

26

SEGURANÇA VERSUS FUNCIONALIDADES - FATORES

Exploração de vulnerabilidades Sistemas Operacionais Aplicativos Protocolos Serviços

Exploração de aspectos humanos Engenharia social

Falha no desenvolvimento ou implementação da política de segurança

27

SEGURANÇA VERSUS FUNCIONALIDADES - FATORES

Falha na configuração de serviços e sistemas de segurança

Desenvolvimento de ataques mais sofisticados

28

SEGURANÇA VERSUS FUNCIONALIDADES Pontos de vulnerabilidade:

Número de pontos de vulnerabilidade = número de recursos críticos x número de usuários que acessam estes recursos

Exemplo: Dez mil arquivos num servidor Cem usuários com acesso a estes arquivos Um milhão de possíveis pontos de acesso

vulneráveis

29

SEGURANÇA VERSUS PRODUTIVIDADE Quanto maior a segurança, menor a

produtividade Políticas muito restritivas afetam a

produtividade Política de segurança deve ser balanceada

Liberar serviços necessários Impedir os desnecessários ou de risco

30

SEGURANÇA VERSUS PRODUTIVIDADE Áudio por demanda, ICQ, MSN, chats

Comprometem nível de produtividade Consomem grande largura de banda da rede Trazem vulnerabilidades a rede interna

31

UMA REDE TOTALMENTE SEGURA Não existe! Segurança envolve diversos aspectos:

Técnológicos (autenticação) Técnicos (administrador) Sociais (insiders) Humanos (funcionários ludibriados) Educacionais (escolha de senhas)

32

UMA REDE TOTALMENTE SEGURA Definir a “máxima proteção” baseado em:

Que recursos devem ser protegidos Quem irá administrar a segurança Que investimento será feito

33

UMA REDE TOTALMENTE SEGURA Segurança inclui:

Política e procedimentos abrangentes Controle de usuários Autenticação de:

Meios de acesso Transações Comunicações

Proteção dos dados Monitoramento Evolução no nível da segurança Uso de novas tecnologias

34

UMA REDE TOTALMENTE SEGURA Segurança total não existe Segurança parcial assume os riscos Definição do nível de segurança de acordo

com o desejado

35

UMA REDE TOTALMENTE SEGURA Objetivo:

Criar uma rede altamente confiável Capaz de anular ataques casuais Capaz de tolerar acidentes Falhas benignas podem ser toleradas Colocar as vulnerabilidades onde causem o

mínimo de problemas Estar preparado para o pior

36

37

Exercícios3) Porque quando se fala de segurança, diz se, redução

das vulnerabiliades e não eliminação das vulnerabilidades?

4) Comente sobre segurança versus Funcionalidade.5) Comente sobre segurança versus produtividade.

38

Bibliografia deste material SÊMOLA, Marcos. Gestão da Segurança da

Informação: uma visão executiva. 1. ed. Rio de Janeiro: Elsevier, 2003. 156p.

Material dos professor Mehran Misaghi

39

Dúvidas

Obrigado pela atenção!