Segurança da informação FATEC – Americana Tecnologia em Análise de Sistemas e Tecnologias da...
Transcript of Segurança da informação FATEC – Americana Tecnologia em Análise de Sistemas e Tecnologias da...
Segurança da informaçãoSegurança da informação
FATEC – AmericanaFATEC – Americana
Tecnologia em Análise de Sistemas e Tecnologias Tecnologia em Análise de Sistemas e Tecnologias da Informaçãoda Informação
Diagnóstico e solução de problemas de TIDiagnóstico e solução de problemas de TI
Prof. Humberto Celeste InnarelliProf. Humberto Celeste Innarelli
março/2009março/2009 Segurança da informaçãoSegurança da informação 22
ConteúdoConteúdo
IntroduçãoIntrodução Segurança da InformaçãoSegurança da Informação Barreiras de segurançaBarreiras de segurança ExemplosExemplos ConclusãoConclusão BibliografiaBibliografia
março/2009março/2009 Segurança da informaçãoSegurança da informação 33
IntroduçãoIntrodução
Segurança da Informação - Proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de investimentos e oportunidades.
ISO/IEC 17799
março/2009março/2009 Segurança da informaçãoSegurança da informação 44
IntroduçãoIntrodução
As vulnerabilidades da segurança As vulnerabilidades da segurança da rede são a porta de entrada da rede são a porta de entrada para o ataque e consequente para o ataque e consequente invasão da rede.invasão da rede.
A invasão da rede pode gerar A invasão da rede pode gerar perda, vazamento, modificações perda, vazamento, modificações e outros danos aos dados e e outros danos aos dados e recursos compartilhados.recursos compartilhados.
março/2009março/2009 Segurança da informaçãoSegurança da informação 55
Segurança da Segurança da InformaçãoInformação NBR/ISO/IEC 17799 – Norma que
responsável pela normalização da segurança da informação no Brasil em vários países do mundo.
março/2009março/2009 Segurança da informaçãoSegurança da informação 66
Segurança da Segurança da InformaçãoInformação Motivação para investir em
segurança da informação
– PatrimônioPatrimônio– ConhecimentoConhecimento– ExperiênciaExperiência– DocumentaçãoDocumentação– OutrosOutros
março/2009março/2009 Segurança da informaçãoSegurança da informação 77
Segurança da Segurança da InformaçãoInformação A segurança da informação é
caracterizada pela preservação dos seguintes atributos básicos: – Confidencialidade: segurança de que a
informação pode ser acessada apenas por quem tem autorização.
– Integridade: certeza da precisão e do completismo da informação.
– Disponibilidade: garantia de que os usuários autorizados tenham acesso a informação e aos recursos associados, quando necessário.
março/2009março/2009 Segurança da informaçãoSegurança da informação 88
Segurança da Segurança da InformaçãoInformação Aspectos da Segurança da Aspectos da Segurança da
InformaçãoInformação– AutenticaçãoAutenticação – identificação e – identificação e
reconhecimento formalreconhecimento formal– LegalidadeLegalidade – informações que – informações que
possuem valor legalpossuem valor legal
março/2009março/2009 Segurança da informaçãoSegurança da informação 99
Segurança da Segurança da InformaçãoInformação AmeaçasAmeaças
– NaturaisNaturais – fenômenos da natureza – fenômenos da natureza– InvoluntáriasInvoluntárias – ameaças – ameaças
inconciêntesinconciêntes– VoluntáriasVoluntárias – propositais causadas – propositais causadas
pelo agente humanopelo agente humano
março/2009março/2009 Segurança da informaçãoSegurança da informação 1010
Segurança da Segurança da InformaçãoInformação VulnerabilidadesVulnerabilidades
– Físicas Físicas – instalações fora do padrão– instalações fora do padrão– Naturais Naturais – incêndios, tempestades, – incêndios, tempestades,
etc.etc.– Hardware Hardware – obsolescência, mau – obsolescência, mau
uso, etc.uso, etc.– SoftwareSoftware – obsolescência, – obsolescência,
configuração, instalação, etc.configuração, instalação, etc.
março/2009março/2009 Segurança da informaçãoSegurança da informação 1111
Segurança da Segurança da InformaçãoInformação VulnerabilidadesVulnerabilidades
– Mídias Mídias – discos, fitas, hd’s – discos, fitas, hd’s danificados, mal condicionados, etc.danificados, mal condicionados, etc.
– Comunicação Comunicação – acessos não – acessos não autorizados ou perda de autorizados ou perda de comunicaçãocomunicação
– Humanas Humanas – treinamento, – treinamento, sabotagens, erros, etc.sabotagens, erros, etc.
março/2009março/2009 Segurança da informaçãoSegurança da informação 1212
Segurança da Segurança da InformaçãoInformação Medidas de segurançaMedidas de segurança
– PreventivasPreventivas – evitar o incidente – evitar o incidente– Detectáveis Detectáveis – identificar condições – identificar condições
e indivíduos causadores de ameaçase indivíduos causadores de ameaças– Corretivas Corretivas – correção de problemas – correção de problemas
que já aconteceramque já aconteceram
março/2009março/2009 Segurança da informaçãoSegurança da informação 1313
Segurança da Segurança da InformaçãoInformação Aspectos que devem ser Aspectos que devem ser
consideradosconsiderados– RiscosRiscos – probabilidade de ameaças – probabilidade de ameaças
explorarem as vulnerabilidadesexplorarem as vulnerabilidades– Impacto Impacto – abrangência do dano– abrangência do dano– Incidente Incidente – evento decorrente da – evento decorrente da
ação de uma ameçaação de uma ameça
março/2009março/2009 Segurança da informaçãoSegurança da informação 1414
Barreiras de segurançaBarreiras de segurança
Desencorajar
Dificultar
Discriminar
Detectar
Deter
Diagnosticar
Negócio
Ativos
Ameaças
março/2009março/2009 Segurança da informaçãoSegurança da informação 1515
Barreiras de segurançaBarreiras de segurança
DesencorajarDesencorajar – ação que visa – ação que visa desmotivar ou desestimulardesmotivar ou desestimular– Câmera de vídeoCâmera de vídeo– AlarmesAlarmes– CampainhasCampainhas– TreinamentoTreinamento– UniformesUniformes
março/2009março/2009 Segurança da informaçãoSegurança da informação 1616
Barreiras de segurançaBarreiras de segurança
DificultarDificultar – barreiras que dificultam o – barreiras que dificultam o aceso indevidoaceso indevido– RoletasRoletas– Detectores de metalDetectores de metal– Leitores de cartão magnéticoLeitores de cartão magnético– SenhasSenhas– Certificados digitaisCertificados digitais– CriptografiaCriptografia– FirewallFirewall
março/2009março/2009 Segurança da informaçãoSegurança da informação 1717
Barreiras de segurançaBarreiras de segurança
DiscriminarDiscriminar – cercar de recursos – cercar de recursos que permitam a identificação e o que permitam a identificação e o acessoacesso– Perfil de usuárioPerfil de usuário– PermissõesPermissões– LimitesLimites– Perímetros físicosPerímetros físicos– Cotas de recursos (impressão, disco, Cotas de recursos (impressão, disco,
etc.)etc.)
março/2009março/2009 Segurança da informaçãoSegurança da informação 1818
Barreiras de segurançaBarreiras de segurança
DetectarDetectar – monitoramento, – monitoramento, auditoria e alerta de detecções de auditoria e alerta de detecções de ameaçasameaças– Tentativa de invasãoTentativa de invasão– Descumprimento de normas de Descumprimento de normas de
segurançasegurança– Cópia ou envio de informações Cópia ou envio de informações
sigilosassigilosas– IntrusosIntrusos
março/2009março/2009 Segurança da informaçãoSegurança da informação 1919
Barreiras de segurançaBarreiras de segurança
DeterDeter – impedir que a ameaça – impedir que a ameaça atinja seu objetivoatinja seu objetivo– Acionamento de barreiraAcionamento de barreira– Acionamento de controleAcionamento de controle– PuniçõesPunições– Bloqueios de acesso físico e lógicoBloqueios de acesso físico e lógico
março/2009março/2009 Segurança da informaçãoSegurança da informação 2020
Barreiras de segurançaBarreiras de segurança
DiagnosticarDiagnosticar – diagnosticar a – diagnosticar a falha para posposição de falha para posposição de melhoriasmelhorias– Analisar a ocorrênciaAnalisar a ocorrência– Identificar as causasIdentificar as causas– Propor melhoriasPropor melhorias
março/2009março/2009 Segurança da informaçãoSegurança da informação 2121
Barreiras de segurançaBarreiras de segurança
Desencorajar
Dificultar
Discriminar
Detectar
Deter
Diagnosticar
Negócio
Ativos
Ameaças
ExemplosExemplos
março/2009março/2009 Segurança da informaçãoSegurança da informação 2323
Exemplo – segurançaExemplo – segurança
Monitoria na Invasão no Microsoft Monitoria na Invasão no Microsoft Internet Information ServicesInternet Information Services– Invasão por falha de atualização do IISInvasão por falha de atualização do IIS– Utilização de uma dll chamada Utilização de uma dll chamada
author.dllauthor.dll– Permissão de escrita na pastaPermissão de escrita na pasta– Troca do index.htmlTroca do index.html– Identificação e providênciasIdentificação e providências
Log do IIS
março/2009março/2009 Segurança da informaçãoSegurança da informação 2424
Funcionamento da Funcionamento da técnica de enumeração - técnica de enumeração - exemploexemplo
Usuário da técnicade enumetação
Firewall
PC01 PC02 PC03Outros
Servidor debanco de dados
Servidor PrincipalHTTP, FTP,
autenticação,DHCP, arquivos, etc.
Servidorde aplicações
Rede Ethernet
março/2009março/2009 Segurança da informaçãoSegurança da informação 2525
Funcionamento da Funcionamento da técnica de enumeração - técnica de enumeração - exemploexemplo
Usuário da técnicade enumetação
Firewall
PC01 PC02 PC03Outros
Servidor debanco de dados
Servidor PrincipalHTTP, FTP,
autenticação,DHCP, arquivos, etc.
Servidorde aplicações
Rede Ethernet
Software deenumeração
Firewall comporta 8080
abertaServidor IIS
março/2009março/2009 Segurança da informaçãoSegurança da informação 2626
Funcionamento da Funcionamento da técnica de enumeração - técnica de enumeração - exemploexemplo
Usuário da técnicade enumetação
Firewall
PC01 PC02 PC03Outros
Servidor debanco de dados
Servidor PrincipalHTTP, FTP,
autenticação,DHCP, arquivos, etc.
Servidorde aplicações
Rede Ethernet
Software deenumeração
Firewall comporta 8080
aberta
Servidor IIS/conexão ativapelo invasor
março/2009março/2009 Segurança da informaçãoSegurança da informação 2727
Funcionamento da Funcionamento da técnica de enumeração - técnica de enumeração - exemploexemplo
Usuário da técnicade enumetação
Firewall
PC01 PC02 PC03Outros
Servidor debanco de dados
Servidor PrincipalHTTP, FTP,
autenticação,DHCP, arquivos, etc.
Servidorde aplicações
Rede Ethernet
Software deenumeração
Firewall comporta 8080
aberta
Servidor IIS/conexão ativapelo invasor
Identificaçãodos recursos de
rede
março/2009março/2009 Segurança da informaçãoSegurança da informação 2828
Funcionamento da Funcionamento da técnica de enumeração - técnica de enumeração - exemploexemplo
Usuário da técnicade enumetação
Firewall
PC01 PC02 PC03Outros
Servidor debanco de dados
Servidor PrincipalHTTP, FTP,
autenticação,DHCP, arquivos, etc.
Servidorde aplicações
Rede Ethernet
Software deenumeração
Firewall comporta 8080
aberta
Servidor IIS/conexão ativapelo invasor
Identificaçãodos recursos de
rede
março/2009março/2009 Segurança da informaçãoSegurança da informação 2929
Impacto das técnicas de Impacto das técnicas de enumeração na enumeração na segurançasegurança As informações coletadas As informações coletadas
norteiam a estratégia de norteiam a estratégia de defesadefesa ou ou ataqueataque.. DefesaDefesa– Fechamento de portasFechamento de portas– Atualização de sistemas Atualização de sistemas
e softwarese softwares– Rotinas de verificação Rotinas de verificação
de sistemasde sistemas– Correção de bugsCorreção de bugs– ReconfiguraçãoReconfiguração– OutrosOutros
AtaqueAtaque– Conhecimento das Conhecimento das
vulnerabilidadesvulnerabilidades– Utilização indevida de Utilização indevida de
contas de usuárioscontas de usuários– Corrupção de dadosCorrupção de dados– Utilização de pUtilização de password assword
sniffing e password sniffing e password crackerscrackers
– OutrosOutros
março/2009março/2009 Segurança da informaçãoSegurança da informação 3030
ConclusãoConclusão
Segurança de redeSegurança de rede VulnerabilidadeVulnerabilidade Utilização para defensivaUtilização para defensiva Utilização ofensivaUtilização ofensiva Tecnologia sempre em evoluçãoTecnologia sempre em evolução
Não há espaço digital seguro, muito menos redes Não há espaço digital seguro, muito menos redes 100% protegidas, o que realmente deve existir, 100% protegidas, o que realmente deve existir,
são bons profissionais e muita ética.são bons profissionais e muita ética.
março/2009março/2009 Segurança da informaçãoSegurança da informação 3131
ExercícioExercício
Identificar e propor em linhas Identificar e propor em linhas gerais as barreiras de segurança gerais as barreiras de segurança da informação para a FATEC-AM, da informação para a FATEC-AM, levando em consideração um levando em consideração um sistema ideal.sistema ideal.
março/2009março/2009 Segurança da informaçãoSegurança da informação 3232
BibliografiaBibliografia
EVELYN R. K., GELSON P. Segurança EVELYN R. K., GELSON P. Segurança de redes sistema de detecção de de redes sistema de detecção de intrusão. Curitiba, PR : Faculdade intrusão. Curitiba, PR : Faculdade Internacional de Curitiba, 2004.Internacional de Curitiba, 2004.
FEITOSA, E. L. Segurança em FEITOSA, E. L. Segurança em Sistemas de Informação. Recife, PE : Sistemas de Informação. Recife, PE : UFPE, 2005. UFPE, 2005.
SEMOLA, M. SEMOLA, M. Gestão da Segurança da Gestão da Segurança da informaçãoinformação. Campus, 2003.. Campus, 2003.