Segurança de Redes Aula 1 - Conceitos. 2 Surgimento da preocupação com segurança da...

Segurança de RedesSegurança de Redes

Aula 1 - ConceitosAula 1 - Conceitos

2

Surgimento da preocupação com segurança da informação;

Conceitos e princípios da Segurança da Informação;

Segurança como parte dos negócios.

AGENDA

Lembre-se desta regra:

Se um HACKER quiser invadir seu sistema, ele conseguirá! E não existe muito o que você possa fazer para impedir isso.

A única coisa que você poderá fazer é tornar esta tarefa difícil para ele.

INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

Notícias recentes que demonstram o quão frágil é a infraestrutura de segurança dos sites web governamentais. E os sites web das empresas privadas, estão seguros?


“O preço da liberdade é a eterna vigilância” (Thomas Jefferson)


Estamos seguros na Internet? Qual o impacto se o site de uma empresa for “pichado”?


Ano Vírus Prejuízos (em milhões de dólares)

1999 Melissa 1,2002000 I Love You 8,7502001 Nimda 6352001 Code Red 2,6202001 Sircam 1,1502002 Klez 13,900

2003 Slammer / Sapphire 1,2002003 Yaha 6,3002003 Blast 5252003 SoBig 14,6002004 MyDoom 89,6002004 NetSky 43,8002004 Bagle 5,3002004 Sasser 18,1002008 Conficker 9,100

Prejuízos causados pelos principais vírus. Fonte: Computer Economics e mi2g


Spams reportados


[email protected]

Incidentes reportados


Realidade da segurança nos órgãos do governo. E nas empresas privadas, será que estes números são muito diferentes? Esperar um incidente para se proteger?!?


Os 10 HACKERS mais famosos Fonte: terra.com.br

1º. Kevin Mitnick. Um dos mais famosos hackers de todos os tempos, Foi o primeiro hacker a entrar para a lista dos 10 criminosos mais procurados pelo FBI.2º. Adrian Lamo. Na lista de invasões do jovem hacker americano estão os sites da Microsoft, do Yahoo! e do jornal The New York Times.3º. Raphael Gray. O hacker britânico Raphael Gray, 19 anos, foi condenado por roubar 23 mil números de cartões de crédito, entre eles um de Bill Gates.4º Jonathan James. Preso aos 16 anos, o hacker invadiu uma das agências Departamento de Defesa americano. 5º. Jon Lech Johansen. Conhecido como DVD Jon, o hacker norueguês ganhou fama após burlar os sistemas de proteção dos DVDs comerciais.6º. Vladimir Levin. O criminoso russo liderou uma gangue que invadiu computadores do Citibank e desviou US$ 10 milhões, em 1994. 7º. Onel de Guzman. Com apenas 23 anos, o filipino Onel de Guzman causou um prejuízo de US$ 10 bilhões com seu vírus “I Love You”, que atingiu sistemas de e-mail no mundo todo.8º. Kevin Poulsen. Ganhou um Porsche num concurso realizado por uma rádio americana. O 102º ouvinte que telefonasse para a emissora, levava o carro. Poulsen invadiu a central.9º. Robert Morris. O americano, filho do cientista chefe do Centro Nacional de Segurança Computacional dos EUA, espalhou o primeiro worm que infectou milhões de computadores e fez grande parte da Internet entrar em colapso, em 1988.10º. David L. Smith. Com o vírus Melissa, o programador conseguiu derrubar servidores de grandes empresas, como Intel e Microsoft.


Mas nós estamos do lado da LEI!!


A segurança deve ser considerada não apenas uma proteção, mas o elemento habilitador dos negócios da organização.

Pesquisas indicam que os consumidores deixam de realizar negócios via internet quando não confiam na segurança de um site. [IDG Now]

A segurança apareceu em uma pesquisa como o principal fator de consumidores não realizarem compras pela internet. [INFO Online]

a) Entender a natureza dos ataques é fundamental;

b) Novas tecnologias trazem consigo novas vulnerabilidades;

c) Novas formas de ataques são criadas;

d) Aumento da conectividade resulta em novas possibilidades de ataques;

e) Existência tanto de ataques direcionados quanto de ataques oportunísticos;

f) A defesa é mais complexa do que o ataque;

g) Aumento dos crimes digitais.

Fatores que justificam a preocupação com a segurança contínua:



Não é um fato isolado, mas um conjunto de fatores que acarreta o aumento das vulnerabilidades e a crescente preocupação com a proteção:

A competitividade e a pressa no lançamento de novos produtos; O alto nível de conectividade; O aumento do número de potenciais atacantes; O avanço tecnológico, que resulta em novas vulnerabilidades intrínsicas; O aumento da interação entre organizações, resultando nos ambientes

cooperativos; (ex: Multinacional adquirindo uma filial) A integração entre diferentes tecnologias, que multiplica as vulnerabilidades; (ex:

WinZip e Windows) O aumento da complexidade dos ambientes, resultando do aumento de

relacionamentos, da integração tecnológica e do aumento de serviços.


Segurança como parte dos negócios

1970 1980 1990

Foco principal era manter o sigilo dos

dados

Surgimento dos ambientes de rede. A integridade passou a

ser de suma importância. Proteção focava a

informação, não os dados

Crescimento comercial do Internet Protocol (IP). Foco

passa a ser também a disponibilidade. A Tecnologia

da Informação tornou-se essencial aos negócios

Dados: conjunto de bits armazenados, como nomes, endereços, datas de nascimento, números de cartões de crédito ou históricos financeiros. Informação: quando um dado passa a ter um sentido, como as informações referentes a um cliente especial. Ou também o preço de um produto competitivo.


Histórico da Segurança da Informação• Nasceu como elemento de estratégia militar;

• Amadureceu em entidades militares, governamentais e

Acadêmicas;

• Desde a década passada faz parte da estratégia corporativa.

Principais Desafios• Definição das Funções e Responsabilidades;

• Participação ativa nas estratégias organizacionais;

• Integração com a missão da Organização.

CONCEITOS DE SEGURANÇA DA INFORMAÇÃO

O que é Informação?“Conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos ou transacionais“

(Marcos Sêmola)

O que é Segurança?“[...] um estado e qualidade ou condição de seguro, assim também como convicção e certeza”

(Dicionário Aurélio)


Segurança da Informação é a proteção da informação de vários tipos de ameaças para a continuidade do negócio e também para minimizar o risco ao negócio.

Segurança da Informação: área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou a sua indisponibilidade.

Definições de Segurança da Informação


Conceitos de Segurança da Informação

Confid.

IntegridadeD is p o n i b il i d a d e

INFORMAÇÃO

Marcos Sêmola


Princípios básicos da Segurança da Informação:

Aspectos da Segurança da Informação:


Ciclo de Vida da Informação


Elementos


ATIVO: É tudo aquilo que possui valor para uma organização.

Exemplo de classificação de ativos:


Agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negócios de uma organização.

Ameaças


VulnerabilidadeFragilidade presente ou associada a ativos que manipulam e/ou processam informações que, ao ser explorada por ameaças, permite a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: Confidencialidade, Integridade e Disponibilidade.

Por si só não provocam incidentes, são elementos passivos, necessitando para tanto de um agente causador ou condição favorável, que são as ameaças.

São as falhas que são exploradas pelas ameaças.


Vulnerabilidades x Ameaças

Vulnerabilidades

Ameaças

Como peças que se encaixam, ameaças específicas exploram vulnerabilidades compatíveis


Medidas de SegurançaPreventivas: objetivam evitar que incidentes venham a ocorrer. Visam manter a segurança já

implementada por meio de mecanismos que estabeleçam a conduta e a ética da segurança na instituição. Ex.: políticas de segurança, instruções e procedimentos de trabalho, especificação de segurança, campanhas e palestras de conscientização de usuários; ferramentas para implementação da política de segurança (firewall, antivírus, configurações adequadas de roteadores e dos sistemas operacionais, etc).

Detectáveis: visam identificar condições ou indivíduos causadores de ameaças, a fim de evitar que as mesmas explorem vulnerabilidades. Ex.: análise de riscos, sistemas de detecção de intrusão, alertas de segurança, câmeras de vigilância, alarmes, etc.

Corretivas: Ações voltadas à correção de uma estrutura tecnológica e humana para que as mesmas se adaptem às condições de segurança estabelecidas pela instituição, ou voltadas à redução dos impactos: equipes para emergências, restauração de backup, plano de continuidade operacional, plano de recuperação de desastres.


Barreiras de Segurança

DESENCO

RAJAR

DIFICULTAR

DISCRIMIN

AR

DETECTAR

DETER

DIAGNO

STICAR

AMEAÇAS

NEGÓCIO

ATIVOS

CRESCIMENTO DO IMPACTO



Barreira 1: DesencorajarEsta é a primeira das cinco barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Estas, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmera de vídeo, mesmo falsa, de um aviso da existência de alarmes, campanhas de divulgação da política de segurança ou treinamento dos funcionários informando as práticas de auditoria e monitoramento de acesso aos sistemas, já são efetivos nesta fase.

Barreira 2: DificultarO papel desta barreira é complementar a anterior através da adoção efetiva dos controles que irão dificultar o acesso indevido. Como exemplo, podemos citar os dispositivos de autenticação para acesso físico, como roletas, detectores de metal e alarmes, ou lógicos, como leitores de cartão magnético, senhas, smartcards e certificados digitais, além da criptografia, firewall, etc.


Barreiras de SegurançaBarreira 3: DiscriminarAqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações de computadores e bancos de dados. Os processos de avaliação e gestão do volume de uso dos recursos, como email, impressora, ou até mesmo o fluxo de acesso físico aos ambientes, são bons exemplos das atividades desta barreira.

Barreira 4: DetectarMais uma vez agindo de forma complementar às suas antecessoras, esta barreira deve munir a solução de segurança de dispositivos que sinalizem, alertem, e instrumentem os gestores da segurança na detecção de situações de risco. Seja em uma tentativa de invasão, uma possível contaminação por vírus, o descumprimento da política de segurança da empresa, ou a cópia e envio de informações sigilosas de forma inadequada. Entram aqui os sistemas de monitoramento e auditoria para auxiliar na identificação de atitudes de exposição, como o antivírus e o sistema de detecção de intrusos, que reduziram o tempo de resposta a incidentes.



Barreira 5: DeterRepresenta o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, respectivamente a ambientes e sistemas, são bons exemplos.

Barreira 6: DiagnosticarApesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Pode parecer o fim, mas é o elo de ligação com a primeira barreira, criando um movimento cíclico e contínuo. Devido a esses fatores esta é a barreira de maior importância. Deve ser conduzida por atividades de análise de riscos que considerem tanto os aspectos tecnológicos quanto os físicos e humanos, sempre orientados às características e às necessidades específicas dos processos de negócio de uma empresa.


Riscos: Probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando possivelmente, impactos nos negócios.

Probabilidade: Chances de uma ameaça explorar uma vulnerabilidade.

Impacto: Abrangência dos danos causados por um incidente de segurança sobre um ou mais processo ou ativos de negócio.

Risco = Probabilidade x Impacto

Portanto:Segurança é uma prática voltada à eliminação de Vulnerabilidades para reduzir os Riscos de uma Ameaça se concretizar no ambiente que se quer proteger.


VALORES (QUE CAUSAM POTENCIAIS IMPACTOS NOS

NEGÓCIOS)

NECESSIDADES DE SEGURANÇA

AÇÕES DE SEGURANÇA DA INFORMAÇÃO

VULNERABILIDADESAMEAÇAS

RISCOS INFORMAÇÕES

AUMENTAMAUMENTAM

AUMENTAM

AUMENTAMINDICAM

DIMINUEM

IMPLEMENTADAS COM

PROTEGEM CONTRA

EXPLORAM

EXPÕEM

TÊM

Ciclo da Segurança da Informação – ISO/IEC 13335-1:1998


Conforme (Stoneburner, 2001), a forma para descobrir se existe algum risco em um projeto e se o mesmo é aceitável, é apresentada na próxima figura:


Nas últimas décadas começamos a entrar em uma era onde o que mandava era o bloqueio! Aos poucos nos tornamos caixas pretas interligadas à Internet. Privamos os usuários do acesso a diversos tipos de sites. Nossos serviços ficaram centralizados.

E nos últimos anos estamos tendo que rever estes conceitos. Acessos às redes sociais, etc. As vantagens de disponibilizar nossos serviços nas Nuvens!


Isso nunca acontecerá conosco; Nunca fomos atacados, não precisamos de mais segurança; Já estamos seguros com um firewall; Utilizamos os melhores sistemas, então, eles devem ser seguros; Não dá para gastar com segurança agora, deixa assim mesmo; Utilizamos as últimas versões dos sistemas dos melhores fabricantes; Nossos fornecedores irão nos avisar, caso alguma vulnerabilidade seja encontrada; Ninguém vai descobrir essa brecha em nossa segurança; Tomamos todas as precauções, de modo que os testes não são necessários; Vamos deixar funcionando e depois resolveremos os problemas de segurança; Os problemas de segurança são de responsabilidade do departamento de TI; Está tudo seguro, eu mesmo escolho as senhas de meus funcionários; O nosso parceiro é confiável, podemos liberar o acesso para ele.

Mitos sobre segurança

INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃOExercício: Quantas falhas de segurança você é capaz de encontrar?


1. Mencionar senha por telefone. Antes de disponibilizar qualquer tipo de informação, saber: Com quem fala, de onde fala, conferir se possível se o telefone de onde se origina o número esteja batendo com o mencionado (via bina por exemplo) e por que, quer aquela informação;

2. Fatores externos (Visitantes) ter acesso à área interna na empresa, obtendo contato à informações confidenciais;

3. Entrega de informações sem o devido conhecimento real de quem esta levando essa informação;

4. Entrada de pessoas não autorizadas ou sem identificação de quem se trata, com portas abertas e expostas a entrada de qualquer um;

5. Recebimento de informações digitais (disquete, cd etc..) sem o prévio conhecimento da procedência de onde realmente vem, de quem vem e do que se trata, sem fazer primeiramente uma inspeção do material recebido em algum lugar ou equipamento que não comprometa a empresa ou organização;

6. Descarte incorreto de material que se acha inútil depois de jogado no lixo. O não picotamento em diversos pedaços e de preferência em diversos lixos;

7. Cabos e fios que interligam os computadores soltos no meio da sala, sem a devida organização de estar atrás do micro salvaguardados de qualquer tropeço ou acidente;

8. Gavetas abertas, de fácil acesso a documentos;


1. Jogos via internet ou mesmo por disquetes ou CD-ROM são passíveis de conter armadilhas, como ativação de worms, cavalos de tróia , vírus dentre outros perigos que se escondem por traz dos envolventes jogos, ou diversões oferecidas;

2. Deixar exposto arquivos de backup, não guardando em lugar seguro e confiável. Além de demonstrar explicitamente que é um backup. Como do absurdo de colocar em risco a perda de todo backup sem os devidos cuidados necessários a segurança física, em caso de algum acidente como uma xícara de café cair em cima do material de backup;

3. Nome de usuário e senhas expostos para qualquer um que passar, ver e ter acesso;4. Disquetes, Cds, documentos, material particular como bolsas, carteiras em cima da mesa ou

expostos, com grande facilidade de alguém se apoderar ou ter acesso, principalmente se as portas ou janelas ficam sempre abertas;

5. Fumar em ambiente de trabalho, já não é tão correto dependendo de onde se trabalha, quanto mais se neste lugar têm-se carpetes! ;

6. Programas, documentos digitais gravados em disquete ou Cds, não sendo devidamente guardados em lugares seguros onde somente aqueles que podem ter realmente acesso seriam portadores da informação;

7. Materiais eletro-eletrônicos, perto das máquinas de trabalho;8. Cabos de energia soltos, comprometendo a segurança física dos funcionários;


1. Computador ligado demonstrando informações confidenciais como senha, usuário, códigos fontes;

2. Acesso a sites indevidos, não confiáveis, ou fora das políticas de trabalho da empresa;3. Computador ligado e, sobretudo logado com a senha e nome de algum usuário

esquecidinho, deixando a mercê o uso da máquina por alguém não autorizado;4. Sistema de alarme desativado, desligado ou inoperante, em caso de alguma urgência ou

emergência;5. Material (softwares de aplicativos) exposto sem estar guardado em lugar seguro. Bem como

livros, apostilas etc, que contenham informações que sirva como um facilitador em trazer palavras de cunho técnico de modo à “achar” id, passwords, sejam elas default ou não;

6. Enfeites, como vasos, quadros dentre outros, servindo como mera distração, fugindo do habitual e tradicional layout de arranjo do ambiente de trabalho, quando surgem, podem ser alvo de suspeita, pois de traz desses “enfeites” , podem estar guardados, escondidos ou implantados sistemas de escuta, gravadores dentre outros pequenos sistemas que podem colher informações ditas ou vivenciadas naquele ambiente. (paranóias e neuroses à parte todo cuidado é pouco!);


CURIOSIDADE!!

Tempo Implementação Controle

Controle mal implementado = Menor tempo gasto – Produtividade MenorControle bem implementado = Mais tempo gasto – Produtividade praticamente igual

Produtividade do usuário final afetada:Gasta tempo da sua produtividade já comprometida tentando encontrar uma maneira de burlar a segurança. Após o usuário conseguir você continua sem segurança!


• NAKAMURA, Emilio; GEUS, Paulo. Segurança de Redes em Ambientes Cooperativos. São Paulo: Novatec, 2010.

• PEIXOTO, Mário César Pintaudi. Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006.

• SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. 14ª ed. Campus Elsevier, 2011

Bibliografia

Segurança de Redes Aula 1 - Conceitos. 2 Surgimento da preocupação com segurança da...

Documents

Transcript of Segurança de Redes Aula 1 - Conceitos. 2 Surgimento da preocupação com segurança da...