Segurança de Dados - Aula 1
-
Upload
wendell-sales -
Category
Documents
-
view
226 -
download
0
Transcript of Segurança de Dados - Aula 1
-
8/17/2019 Segurança de Dados - Aula 1
1/40
SEGURANÇA DE DADOS
AULA 1WENDELL PONTES SALES
-
8/17/2019 Segurança de Dados - Aula 1
2/40
Antes do uso generalizado de equipamentos de
processamento de dados, a segurança da informaçãotodavia considerada valiosa era fornecidaprincipalmente por meios físicos e administrativos.
INTRODUÇÃO
-
8/17/2019 Segurança de Dados - Aula 1
3/40
Com a introdução do computador, tornou-se evidente
a necessidade de ferramentas automatizadas paraproteger arquivos e outras informações armazenadasno computador. Desse princípio nasceu o termo segurança de
computador, nome genérico dado ao conjunto deferramentas projetadas para proteger dados e impedirhackers.
INTRODUÇÃO
-
8/17/2019 Segurança de Dados - Aula 1
4/40
Outro ponto importante que afetou a segurança é a
introdução de sistemas distribuídos e o uso de redes erecursos de comunicação para transmitir dados entre osusuários. Desse outro ponto poderíamos citar o conceito de segurança
de rede, mas de certa forma, é incorreto, pois praticamente
todas as empresas e instituições de diferentes segmentosinterconectam seus equipamentos em um conjunto de redesinterconectadas. Sendo normalmente conhecido como inter-rede, utilizando-se o termo segurança de inter-rede.
INTRODUÇÃO
-
8/17/2019 Segurança de Dados - Aula 1
5/40
O enfoque será de fato na segurança, que consiste
em medidas para desencorajar, impedir, detectar ecorrigir violações de segurança que envolvam atransmissão de informações.
Alguns exemplos de violações de segurança:
INTRODUÇÃO
-
8/17/2019 Segurança de Dados - Aula 1
6/40
Um simples teste para determinar o tamanho da
internet realizado em 1988 fez com que RobertTappan Morris gravasse seu nome na história comoo criador de uma das maiores pragas virtuaisexistentes. O worm! As ações de Morris renderam ao estudante uma multa
de US$ 10 mil e a obrigatoriedade de cumprir 400horas de serviço comunitário. Atualmente, o códigofonte do worm está armazenado em um disqueteexibido em destaque no Museu de Ciência de Boston.
A MAIOR PRAGA DA INTERNET
-
8/17/2019 Segurança de Dados - Aula 1
7/40
Em março de 2011, as companhias de Segurança
Symantec e Kaspersky reportaram diversas tentativasde invasão aos seus bancos de dados. Porém, ogrande afetado pela onda de ataques criminosos foi aRSA Security, que teve diversos de seus dados
roubados por hackers não identificados.
INVASÃO DA RSA SECURITY
http://www.baixaki.com.br/download/norton-antivirus-2010.htmhttp://www.baixaki.com.br/download/kaspersky-anti-virus.htmhttp://www.baixaki.com.br/download/kaspersky-anti-virus.htmhttp://www.baixaki.com.br/download/norton-antivirus-2010.htm
-
8/17/2019 Segurança de Dados - Aula 1
8/40
Os cibercriminosos criarão novas formas de personalizar os
ataques, fazendo com que o ano de 2016 seja marcado pelasextorsões online – que aumentarão por meio do uso daanálise psicológica e da engenharia social das vítimaspotenciais;
Os malwares em dispositivos móveis chegarão a 20 milhões,afetando principalmente a China e também direcionandoataques contra as novas opções de pagamento móvelmundialmente;
TENDÊNCIAS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
9/40
Conforme mais consumidores passem a usar dispositivos
inteligentes nas suas atividades do dia-a-dia, haverá pelomenos uma falha letal de dispositivos em 2016; Os hacktivistas tornarão seus ataques ainda piores, visando
destruir sistematicamente alvos com forte perfil de violaçõesde dados;
Apesar do entendimento de que é preciso proteger aintegridade dos dados corporativos, menos de 50% dasorganizações terão a presença de um colaborador especialistaem segurança cibernética em suas equipes até o final de 2016;
TENDÊNCIAS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
10/40
O aumento do bloqueio de anúncios de produtos e serviços
forçará os cibercriminosos a encontrar novos meios deatingir suas vítimas. Softwares para bloquear anúnciosonline tiveram um aumento de 41% no uso global este ano.Como resultado, os anunciantes buscarão novas abordagenspara vender seus produtos online e assim, os criminosos
cibernéticos irão se esforçar em encontrar novas maneirasde obter informações do usuário; A legislação será expandida para um modelo de defesa de
segurança cibernética global, permitindo prisões, acusaçõese condenações mais bem-sucedidas.
TENDÊNCIAS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
11/40
O Modelo OSI é bem conhecido por todos que tenham
experiência e/ou conhecimento teórico de redes e protocolosde comunicação. Porém, você sabia que também existe umaArquitetura OSI de Segurança?
OSI é a sigla de "Open System Interconnection", que emportuguês significa "Sistemas abertos de conexão", e quandoutilizamos esse termo nos vem de imediato o modelo de redese suas sete camadas. Porém o OSI faz parte da ITU (UniãoInternacional de Telecomunicação) e faz referência a tudoquanto seja padrão para comunicação entre sistemas.
ARQUITETURA DE SEGURANÇA OSI
-
8/17/2019 Segurança de Dados - Aula 1
12/40
A arquitetura OSI de segurança é baseada na
recomendação X.800 e na RFC 2828. A essência daarquitetura se baseia na necessidade dasorganizações possuírem políticas de segurança eserviços que permitam avaliar tudo o que esteja
relacionado com a segurança de suas informações.
ARQUITETURA DE SEGURANÇA OSI
http://es.wikipedia.org/wiki/X.800http://www.normes-internet.com/normes.php?rfc=rfc2828&lang=pthttp://www.normes-internet.com/normes.php?rfc=rfc2828&lang=pthttp://www.normes-internet.com/normes.php?rfc=rfc2828&lang=pthttp://www.normes-internet.com/normes.php?rfc=rfc2828&lang=pthttp://es.wikipedia.org/wiki/X.800http://es.wikipedia.org/wiki/X.800http://es.wikipedia.org/wiki/X.800
-
8/17/2019 Segurança de Dados - Aula 1
13/40
Os termos ameaça e ataque normalmente são usados para designar mais oumenos a mesma coisa.
Ameaça: Potencial para violação de segurança quando há umacircunstância, capacidade, ação ou evento que pode quebrar a segurança ecausar danos. É um possível perigo que pode explorar umavulnerabilidade.
Ataque: Um ato inteligente que é uma tentativa deliberada de burlar osserviços de segurança e violar a política de segurança de um sistema.
ARQUITETURA DE SEGURANÇA OSI
-
8/17/2019 Segurança de Dados - Aula 1
14/40
A arquitetura OSI enfoca ataques, mecanismos e serviços desegurança. Ataque de Segurança: Qualquer ação que comprometa a
segurança da informação pertencente a uma organização. Serviço de Segurança: Um serviço de processamento ou
comunicação que aumenta a segurança dos sistemas deprocessamento de dados e a transferência de informação deuma organização.
Mecanismos de Segurança: Um processo que é projetadopara detectar, impedir ou permitir a recuperação de umataque á segurança.
ARQUITETURA DE SEGURANÇA OSI
-
8/17/2019 Segurança de Dados - Aula 1
15/40
Os ataques são classificados em:
Ataques Passivos: Um ataque passivo tenta descobrir ouutilizar informações do sistema, mas não afeta seusrecursos.
Ataques Ativos: Tenta alterar os recursos do sistema ouafetar sua operação.
ATAQUES À SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
16/40
Liberação de Conteúdo
ATAQUES PASSIVOS
-
8/17/2019 Segurança de Dados - Aula 1
17/40
Análise de Tráfego
ATAQUES PASSIVOS
-
8/17/2019 Segurança de Dados - Aula 1
18/40
Disfarce
ATAQUES ATIVOS
-
8/17/2019 Segurança de Dados - Aula 1
19/40
Repasse
ATAQUES ATIVOS
-
8/17/2019 Segurança de Dados - Aula 1
20/40
Modificação de Mensagens
ATAQUES ATIVOS
-
8/17/2019 Segurança de Dados - Aula 1
21/40
Negação de Serviço
ATAQUES ATIVOS
-
8/17/2019 Segurança de Dados - Aula 1
22/40
Define serviço de segurança como um serviço
fornecido por uma camada de protocolo decomunicação de sistemas abertos.
Garante segurança adequada dos sistemas ou datransferência dos dados.
Os serviços de segurança são divididos em 5categorias e 14 serviços.
SERVIÇOS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
23/40
• Autenticação– Assegurar que a comunicação é autêntica
– A entidade se comunicando é aquela que ela afirma ser
– Serviços de autenticação:• Autenticação de entidade par
– Provê a confirmação da identidade de uma entidade par de uma
associação• Autenticação da origem de dados
– Provê a confirmação da origem de uma unidade de dados
SERVIÇOS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
24/40
• Controle de Acesso– Capacidade de limitar e controlar o acesso aos sistemas eaplicações hospedeiras por meio de enlaces decomunicação
– Impedimento de uso não autorizado de um recurso
SERVIÇOS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
25/40
• Confidencialidade– Proteção dos dados contra divulgação não autorizada– Proteção contra ataques passivos• Confidencialidade da Conexão– Proteção dos dados do usuário em uma conexão
• Confidencialidade sem conexão– Proteção dos dados do usuário em um único bloco
• Confidencialidade por campo selecionado– Confidencialidade em determinados campos selecionados dentro dosdados do usuário
• Confidencialidade de fluxo– Proteção da informação que poderiam ser derivadas da observação dosfluxos de tráfego
SERVIÇOS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
26/40
• Integridade dos Dados– Proteção total do fluxo de dados contra alterações– Garante mensagem ser recebida conforma enviada, semduplicações, inserção, modificação ou repetição
SERVIÇOS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
27/40
• Irretratabilidade– Impede que o emissor ou receptor negue uma mensagemtransmitida– Quando a mensagem é enviada, o receptor pode provar que oemissor alegado de fato enviou a mensagem– Proteção contra negação, por parte da entidades envolvidas emuma comunicação, de ter participado de toda ou em parte dacomunicação– Origem• Prova que a mensagem foi enviada pela parte especificada
– Destino• Prova que a mensagem foi recebida pela parte especificada
SERVIÇOS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
28/40
• Serviço de Disponibilidade– Propriedade do sistema ou de um recurso ser acessível e
utilizável sob demanda por uma entidade autorizada do sistema– Protege o sistema para garantir disponibilidade
SERVIÇOS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
29/40
Especifico Usado para detectar, prever ou recuperar a informação após
um ataque à segurança
Implementados em camadas específicas do protocolo
Pervasivos Mecanismos que não são específicos a qualquer serviço de
segurança ou camada de protocolos.
MECANISMOS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
30/40
ESPECÍFICOS
Cifragem: Uso de algoritmos matemáticos paratransformar os dados em um formato que não sejadecifrável
Assinatura Digital: Dados anexados a uma unidade dedados que permite que um destinatário da unidade de
dados comprove a origem e a integridade da unidade dedados e proteja-se contra falsificação Controle de Acesso: Série de mecanismos que impõe
direitos de acesso a recursos
MECANISMOS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
31/40
ESPECÍFICOS Integridade de Dados: Série de mecanismos utilizados
para garantir a integridade de dados ou fluxo de dados
Troca de Informações de Autenticação: Mecanismo como objetivo de garantir a identificação de uma entidade
por meio da troca de informações Preenchimento de Tráfego: Inserção de bits nas lacunas
de um fluxo de dados para frustrar as tentativas deanálise de tráfego
MECANISMOS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
32/40
-
8/17/2019 Segurança de Dados - Aula 1
33/40
ESPECÍFICOS Controle de Roteamento: Permite a seleção de
determinadas rotas fisicamente seguras para certosdados e permitem mudanças de roteamento
Certificação: Uso de uma terceira unidade confiável para
garantir certas propriedades de uma troca de dados
MECANISMOS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
34/40
PERVASIVOS Funcionalidade Confiável: Considerada como sendo
correta em relação a alguns critérios
Rótulo de Segurança: Marcação vinculada a um recurso
que nomeia ou designa os atributos de segurança desserecurso
MECANISMOS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
35/40
PERVASIVOS
Detecção de Evento: Detecção de eventos relevantes àsegurança Registros de Auditoria de Segurança: Dados coletados e
potencialmente utilizados para facilitar uma auditoria desegurança
Recuperação de Segurança: Lida com solicitações demecanismos como funções de tratamento egerenciamento de eventos e toma mediadas derecuperação
MECANISMOS DE SEGURANÇA
-
8/17/2019 Segurança de Dados - Aula 1
36/40
1. (Analista Judiciário - Análise de Sistemas /TER – MG/CONSULPLAN – 2013) Arecomendação X.800 lista mecanismos de segurança específicos e
mecanismos de segurança pervasivos, entre outras definições. A respeito dosmecanismos de segurança pervasivos, a marcação vinculada a um recurso(que pode ser uma unidade de dados) que nomeia ou designa os atributos desegurança desse recurso denomina-se:a)detecção de evento.b)rótulo de segurança
c)funcionalidade confiável.d)recuperação de segurança.e)registros de auditoria de segurança
EXERCÍCIO RÁPIDO
-
8/17/2019 Segurança de Dados - Aula 1
37/40
MODELO PARA SEGURANÇA DEREDE
-
8/17/2019 Segurança de Dados - Aula 1
38/40
Esse modelo geral mostra que existem quatro tarefasbásicas no projeto de um serviço de segurança emparticular:1. Projetar um algoritmo para realizar a transformação
relacionada à segurança.2. Gerar a informação secreta a ser usada com o algoritmo.3. Desenvolver métodos para a distribuição e
compartilhamento da informação secreta.4. Especificar um protocolo a ser usado pelas duas entidadesprincipais que utilize o algoritmo de segurança e ainformação secreta para conseguir um determinado serviçode segurança.
MODELO PARA SEGURANÇA DEREDE
-
8/17/2019 Segurança de Dados - Aula 1
39/40
Existem outras situações que não se encaixam no modeloanterior. Para proteger um sistema de informações contra
acessos indesejados, por exemplo.
MODELO DE SEGURANÇA DEACESSO À REDE
-
8/17/2019 Segurança de Dados - Aula 1
40/40
STALLINGS, WILLIAM. Criptografia e Segurança de Redes
princípios e práticas 4 edição (Biblioteca Virtual) http://www.tecmundo.com.br/seguranca/9971-os-maiores-
ataques-hackers-da-historia.htm http://idgnow.com.br/internet/2015/10/29/especial-
conheca-7-tendencias-de-seguranca-em-ti-para-2016/
https://www.oficinadanet.com.br/artigo/redes/nocoes-basicas-da-arquitetura-osi https://www.vivaolinux.com.br/dica/A-arquitetura-OSI-de-
seguranca/
REFERÊNCIAS