advisor - segurança da informação
Post on 06-Mar-2016
225 Views
Preview:
DESCRIPTION
TRANSCRIPT
AdvisorIndependent business analysis of technology trends for ICT decision makers
FocoMitigação de Riscos
Segurança da InformaçãoTecnologia e processos para proteção e combate às ameaças
TecnologiaSegurança de Redes
SetorGrandes Corporações
GeografiaAmérica Latina
Advisor Independent business analysis of technology trends for ICT decision makers2
Outubro, 2009
SumárioIntroduçãoUma rede maior, mas com mais ameaçasUm mundo perigosoA segurança tratada de maneira abrangenteSOC – Knock-out nas ameaçasConsiderações finais
3
4
6
8
10
12
Segurança da Informação Tecnologia e processos para proteção e combate às ameaças 3
Assistimos hoje a um crescimento acelerado do número de usuários e serviços da internet: cada vez mais pessoas acessam a rede – através de uma diversidade cada vez maior de canais – com os mais diversos fins, desde ler notícias, fazer compras, trocar mensagens e arquivos com os amigos até assistir a filmes inteiros em alta resolução e colaborar on-line para a criação de conteúdo. Esse crescimento acelerado tem também um lado ruim: a combinação de um número crescente de usuários e de ameaças, como vírus e ataques, faz da internet um ambiente potencialmente vulnerável.
Introdução
Advisor Independent business analysis of technology trends for ICT decision makers4
No Brasil e no mundo, o uso da internet se expande rapidamente. Apesar de estarmos muito aquém em termos de penetração se comparados com países mais desenvolvidos, as taxas de crescimento do serviço de internet são significativas. A competição de mercado, combinada com a procura voluntária da população, especialmente das novas gerações, pelos serviços e o desenvolvimento tecnológico (como o acesso móvel) resultam em um caldeirão de oportunidades e perspectivas. O cenário torna-se ainda mais positivo quando somamos a esse contexto a possibilidade de apoio governamental. Sob uma perspectiva mais crítica, uma rede de telecomunicações em franca expansão e uma base crescente de usuários “iniciantes” podem ser um ambiente propício para a proliferação de ameaças como vírus, trojans e outros usos indevidos da internet, como fraudes ou indisponibilidade do serviço. O aumento do número de ameaças, que por si só já é preocupante, encontra um ambiente que se expande mais rapidamente do que a capacidade de se proteger.
Uma rede maior, mas com mais ameças
Além disso, os novos canais de acesso, como telefones celulares, eletroeletrônicos e dispositivos pessoais, apesar de terem recursos cada vez mais próximos dos desktops e notebooks, tendem a apresentar uma abordagem bem menos rígida em questões de segurança. A própria mobilidade que esses dispositivos proporcionam tornam a questão da segurança mais complicada.
O cenário é de otimismo, mas requer cautela e ações estruturadas. A segurança da informação deve ser uma pauta presente nas diversas esferas em que a internet está presente, desde as redes de telecomunicações, o ambiente corporativo e o uso doméstico dos serviços.
Segurança da Informação Tecnologia e processos para proteção e combate às ameaças 5
Figura 1 Crescimento da internet no Brasil
Proporção de domicílios com acesso à internet(Percentual sobre o total de domicílios em área urbana)
2005 2006 2007 2008
13%14%
17%
20%
Fonte: cetic.br
"O aumento do número de ameaças, que por si só já é preocupante, encontra um ambiente que se expande mais rapidamente do que a capacidade de se proteger."
Advisor Independent business analysis of technology trends for ICT decision makers6
Uma análise do ambiente mostra que o tratamento do problema pode ser mais trabalhoso do que o senso comum nos levaria a crer. As diversas ameaças causadas por questões de segurança (ex. vírus, spams e ataques) podem ter causas bem diversificadas, como problemas de proteção da rede, dispositivos desprotegidos ou usuários incautos/mal-intencionados, trazendo como impacto danos de imagem (perda de dados de clientes ou websites pichados), queda da eficiência da rede ou mesmo indisponibilidade do serviço e danos financeiros causados por fraudes.
Já se foi o tempo em que a principal preocupação de segurança em uma empresa era a proteção contra os vírus de computador. As ameaças atualmente se apresentam não só em grande quantidade como em grande variedade. Em uma única sessão no
Um mundo perigoso
computador, um usuário pode ser exposto a dezenas de diferentes ameaças eletrônicas. Foi até criada uma expressão para se referir a essa nova leva de softwares indesejáveis: o malware.
Atualmente os vírus de computador perderam importância diante de outros tipos de malwares, cuja intenção não é, necessariamente, danificar os arquivos do computador ou dificultar a vida do usuário, mas buscar informações pessoais ou obter o controle das suas máquinas. A partir daí, os responsáveis por esses malwares podem conseguir benefícios financeiros de diversas formas, seja pela impersonalização do usuário, seja com o “aluguel” de redes de computadores-zumbis, que permite que os computadores dos usuários sejam usados para spam e ataques a determinadas redes e sistemas. Essas redes são também chamadas de botnets.
Figura 2 Ameaças, vulnerabilidades e impactos de segurança
Impactos VulnerabilidadesAmeaças
• Malwares (spams, virus, rootkits)
• Ataques externos/internos• Phishing• Ataques de engenharia
social
• Falta de políticas• Falta de treinamento e conscientização• Redes desprotegidas• Falhas de so�ware• Usuários incautos
• Danos à imagem• Queda de eficiência da rede• Modificação/roubo de dados
confidenciais• Indisponibilidade de serviços
e perdas de receita• Fraude
Fonte: PromonLogicalis
Segurança da Informação Tecnologia e processos para proteção e combate às ameaças 7
Figura 3 Aumento das ameaças de segurança
As ameaças são potencializadas por falhas de segurança ou vulnerabilidades dos mais diversos tipos: redes não protegidas ou não monitoradas, sistemas sem controle de acesso ou com permissões de acesso muito abrangentes podem permitir a ocorrência de incidentes de segurança. O ambiente externo mais hostil combinado com menor proteção é o cenário propício para a ocorrência de problemas.
As falhas de segurança existem não só como decorrência de vulnerabilidades de origem tecnológica, mas também de falhas de procedimentos e políticas da organização. Usuários incautos (quando não mal-intencionados), processos não definidos e não padronizados, falta de documentação, entre outras, podem ser causas de eventos graves de segurança. Uma organização pode ter os melhores sistemas de segurança e mesmo assim estará
sujeita a incidentes se esses investimentos não forem acompanhados de políticas e processos bem estabelecidos.
O leque de ameaças é tão diverso como as suas consequências. De simples pichações em websites, danos a uma ou várias máquinas devido a vírus e queda de eficiência causada por spams, até a indisponibilidade do serviço (denial of service) e roubo de informações para uso fraudulento (phishing), as ameaças de segurança vêm ganhando proporções mais sérias e danosas para os provedores de serviços.
Fontes: McAfee Avert Labs®; IBM X-Force® 2008 Trend & Risk Report; ARBOR®; CSI®Computer Crime & Security Survey
Número de malwares(milhares)
jan/09 fev/09 mar/09 >10
2004
10 17 2440
2005 2006 2007
73% 100%
6 a 10 1 a 5 0 Total
3,6 3,84,3
150
2007 2008
1.500
Zumbis(milhares)
Velocidade de ataquesDDoS(Gbps)
Ataquesdirecionados(%)
Ataquesdirecionados: 27%
"O ambiente externo mais hostil combinado com menor proteção é o cenário propício para a ocorrência de problemas."
Advisor Independent business analysis of technology trends for ICT decision makers8
As ações para mitigar as ameaças devem ser tomadas de maneira ampla, com o intuito de diminuir as vulnerabilidades nos diversos elos da rede: desde a saída para a internet, passando pela rede da provedora de serviços, até o ambiente corporativo ou doméstico. Só com a monitoração, a proteção e o tratamento de incidentes de segurança em toda a extensão da cadeia é possível ter visibilidade e promover ações que diminuam os riscos para o serviço e para os usuários das redes de comunicação.
Os usuários, sejam eles corporações ou indivíduos, devem considerar soluções que possibilitem a monitoração, controle e proteção de suas redes e computadores contra ataques e outras ameaças. Dado o aumento da complexidade para se manter atualizado quanto às ameaças e soluções, uma opção que vem ganhando espaço é a contratação da segurança de rede como serviço, oferecido por provedores de serviços e empresas especializadas (segurança gerenciada). O uso de soluções tecnológicas de segurança, sejam
A segurança tratada de maneira abrangente
Figura 4 Abordagem abrangente de segurança
Internet
• Monitoração da rede através de ações proativas (acompanhamento de novas ameaças e novas soluções).
e reativas (gestão de incidentes)• Gestão de acesso de clientes,
parceiros e fornecedores conectados à rede.
• Definição de políticas de segurança e monitoração
de seu uso.• Visibilidade e mitigação de
ataques e ameaças externas e internas.
Ambiente corporativo
Ambiente doméstico
• Visibilidade e mitigação de ataques e ameaças provenientes da internet.
• Cautela no manuseio de arquivos, senhas e informações em geral.
• Uso e manutenção de soluções e serviços de mitigação.
Prestador de serviço de telecom
Fonte: PromonLogicalis
Segurança da Informação Tecnologia e processos para proteção e combate às ameaças 9
elas próprias ou contratadas de terceiros, deve vir sempre acompanhado de procedimentos/políticas e conscientização quanto aos riscos de segurança.
Se para os usuários a missão de se manter protegidos já parece uma tarefa árdua, para as prestadoras de serviço de telecom o desafio é ainda mais complexo. Elas devem garantir a visibilidade dos eventos na rede ao longo de todo o seu domínio, desde a entrada ou saída da internet, até o acesso aos usuários dos serviços de conectividade. Monitorar o tráfego e poder controlá-lo, identificar e bloquear ataques, controlar o acesso à rede por profissionais ou terceiros são apenas alguns dos requisitos para uma gestão mais segura da rede. O leque de soluções que podem ser utilizadas é tão diversificado quanto o de possíveis ameaças.
Outra perspectiva que deve ser considerada é a de não desvincular “segurança” da “informação”. Um dos objetivos primordiais da segurança da informação é proteger as informações trafegadas e armazenadas e não apenas proteger “uma rede” ou “um computador”. Ou seja, a proteção no nível da rede deve ser sempre acompanhada de mecanismos que diminuam os riscos de exposição ou perda de informações confidenciais nas atividades operacionais. O manuseio de senhas, documentos e arquivos deve ser tratado seguindo políticas bem definidas e divulgadas, com o suporte de processos e ferramentas que monitorem e avaliem sua correta utilização, além de programas de conscientização dos usuários e treinamentos em segurança.
Figura 5 Soluções tecnológicas de segurança
• Anti - Vírus - Spam - Pishing - Adwares
• Firewalls
• Filtro de URLs
• Sistemas de detecção/prevenção de intrusão (IDS/IPS)
• Controle de admissão à rede (NAC)
• Correlação de eventos de segurança
• Detecção e mitigação de DDoS
• Ferramentas de testes de penetração
• DLP e criptografia
• Acesso remoto seguro (VPNs seguras)
• Investigação e análise
• Lawful interception
• Trouble–tickets
• Ferramentas para gestão de riscos, vulnerabilidade e conformidade
• Ferramentas para gestão de atualizações e mudanças em geral
• Ferramentas para divulgação de políticas e procedimentos de segurança
Fonte: PromonLogicalis
"Se para os usuários a missão de se manter protegidos já parece uma tarefa árdua, para as prestadoras de serviço de telecom o desafio é ainda mais complexo."
Advisor Independent business analysis of technology trends for ICT decision makers10
Diante dessa amplitude de ameaças, soluções tecnológicas e ações necessárias, como é possível coordenar as atividades de segurança dentro da corporação? Uma forma estruturada de atuar sobre esses pontos é o estabelecimento de um SOC – Security Operations Center, uma entidade avançada de monitoração, detecção e ação sobre eventos de segurança e desenvolvimento de práticas e políticas corporativas.
Com uma visão fim a fim dos processos de segurança, é possível atuar e gerenciar os aspectos mais críticos de todo o ciclo de gestão:
• Instalaçãodenovosequipamentosnarede,sejameles soluções de segurança, como firewalls, ou servidores e roteadores.
• Atribuição,rastreamentoeretiradadeacessoaosequipamentos por profissionais e terceiros.
• Coletadelogs e eventos dos equipamentos.
• Correlaçãodosdadoscoletados,geraçãodealarmes e tratamento de incidentes.
• Geraçãodesoluçõesdeproblemassobreascausas-raiz.
• Desenvolvimentodenovassoluções,novosprocessos e melhoria da infraestrutura tecnológica para monitoração e atuação.
• Relacionamentocomosdiversosstakeholders do processo, incluindo clientes (externos e internos), outras operadoras e empresas e órgãos legais.
Com essas atividades básicas, a empresa se municia de práticas para atuação sobre incidentes, em uma visão mais imediata para conter ataques, e também de processos para mitigação de vulnerabilidades, desenhos de processos e políticas, além de buscar soluções mais avançadas para proteção da rede, numa abordagem de longo prazo. A combinação dessas práticas de ação instantânea com desenhos de projetos de melhoria de longo prazo estabelece um ambiente mais seguro e monitorado em relação à segurança.
Alguns desafios enfrentados por gestores de SOC são a dificuldade de estruturar equipes com a capacitação e a certificação necessárias, a necessidade de detalhamento dos processos de gestão de incidentes de segurança, além da seleção e implementação das melhores ferramentas para a operação do SOC. O tema da segurança não é novo, mas o estabelecimento de uma visão estruturada para seu tratamento ainda é recente.
Uma importante perspectiva para o SOC é seu relacionamento com entidades externas, sejam elas órgãos legais, para lawful interception e combate a crimes cibernéticos, sejam entidades neutras de monitoração de segurança (ex. CERT.BR). Embora o SOC possa ser visto como um elemento de competitividade e disponibilidade de serviço para as prestadoras de serviço de telecom, a cooperação entre profissionais e equipes não é rara, visto que existe uma ameaça comum, que ataca indiscriminadamente.
SOC ‒ knock-out nas ameaças
Segurança da Informação Tecnologia e processos para proteção e combate às ameaças 11
Figura 6 Visão PromonLogicalis de SOC – Security Operations Office
IMAC ®: Install, Moves, Adds and Changes
Relacionamento com o Cliente
IMAC Entrada de terceiros
Suporte ainvestigações
Gestão dedesempenho
Implementação
Entrada de novo
equipamento Segurança da Informação
Disponibili-dade /DRP
Gestão de risco
Políticas e normas de segurança
Capacitação e treinamentos
Gestão de conformidade
Melhoria de processos
Desenvolvimento da Solução
Busca de soluções/ Sourcing
Implantação de soluções
Incidente
Recebimento de requisição
e detecção
Classi�cação
Investigação/Análise
Resolução/Fechamento
Análise devulnerabili-
dade
De�nição de requisitos de
segurança
Con�guração
Liberação para implementa-
ção
Gestão de atualizações
Acesso
Validação de requisição de
acesso
De�nição de per�s e direitos
Suporte à monitoração
Remoção/Restrição de
acesso
Evento
Rastreamento de acesso
Coleta de logs e dados
Normatização
Correlação
Noti�cação
Escalonamento
Problema
Validação de requisição
Análise/Elaboração da
correção
Execução da correção
Gestão de mudanças
Consulta/Inclusão base
RCA
"O tema da segurança não é novo, mas o estabelecimento de uma visão estruturada para seu tratamento ainda é recente."
Advisor Independent business analysis of technology trends for ICT decision makers12
Soluções combinadas de advisory e tecnologia
A segurança da informação e de redes deve ser tratada com abordagens que considerem tanto os aspectos tecnológicos como processuais, incluindo o conhecimento sobre os diferentes tipos de ameaças e soluções possíveis, os diferentes tipos de ferramentas para proteção, monitoração e mitigação, além de conhecimento de características específicas para os diferentes ambientes (redes corporativas, redes de operação de prestadores de serviço de telecom).
Tal abordagem requer a composição de skills de processos de gestão de segurança e conhecimento profundo sobre as tecnologias de rede e infraestrutura de TI, bem como das soluções de segurança aplicáveis para garantir maior proteção e visibilidade. Conciliar todas estas especialidades em uma mesma equipe e manter neutralidade quanto às influências de fornecedores de tecnologias específicas é uma missão complexa.
Considerações finais
Segurança da Informação Tecnologia e processos para proteção e combate às ameaças 13
Contando com um ecossistema amplo de parceiros tecnológicos para as mais diversas demandas de segurança, bem como com uma equipe altamente especializada de consultores especialistas em práticas de segurança da informação e de rede, a PromonLogicalis pode ser a parceira ideal no desenho, implementação e operação de novos serviços (segurança gerenciada), modelos de operação (SOC) e soluções tecnológicas de segurança.
Advisor Independent business analysis of technology trends for ICT decision makers14
YASSUKI TAKANO Gerente de Consultoria
Com mais de 10 anos de experiência em consultoria, atuou em inúmeros projetos de desenho e implementação de novos modelos de serviços e operação, e no desenvolvimento de soluções de automação de processos.Com passagem como Consultor pela Roland Berger, é Engenheiro pelo ITA e Mestrando em Administração de Empresas pela FGV.
yassuki.takano@br.promonlogicalis.com+55 (11) 3573.7358
LEANDRO MALANDRINConsultor
Com experiência em projetos de modelagem de Centros de Operações de Segurança e avaliação da gestão de segurança da informação para diversas organizações, atuou em pesquisas relacionadas à criptografia, protocolos de segurança e análise de malwares. Graduado em Engenharia da Computação pela POLI-USP e especializado na UIUC (Illinois, EUA).
leandro.malandrin@br.promonlogicalis.com+55 (11) 3573.7284
ALEXANDRE MURAKAMI Gerente de Segurança da Informação
Com 10 anos de experiência em segurança da informação, atuou no desenho e na implementação de projetos para operadoras de telecomunicações e grandes corporações, além de ter participado do projeto de informatização do sistema eleitoral no Brasil. Graduado em Ciências da Computação pela UNESP e Pós-Graduado em Administração de Empresas pela ESAN, é Professor no Grupo Veris Educacional.
alexandre.murakami@br.promonlogicalis.com+55 (11) 3573.7197
Diretor Responsável
Luis Minoruluis.minoru@br.promonlogicalis.com
Para saber mais sobre este e outros assuntos e conhecer o que podemos fazer por sua empresa, entre em contato conosco: advisor@br.promonlogicalis.com
Advisor é uma publicação da PromonLogicalis®.Este documento contém informações de titularidade ou posse da PromonLogicalis®, de suas controladas ou coligadas, e são protegidas pela legislação vigente. Reprodução total ou parcial desta obra apenas com prévia autorização da PromonLogicalis®. As informações contidas nesta publicação são baseadas em conceitos testados e empregados no desenvolvimento de projetos específicos e estão sujeitas a alterações de acordo com o cenário de mercado e os objetivos de cada projeto.
Segurança da Informação Tecnologia e processos para proteção e combate às ameaças 15
Com mais de trinta anos de atuação em tecnologia, a PromonLogicalis atua de maneira ativa no desenho e na implementação de soluções de segurança de informações e redes para seus clientes.
A própria PromonLogicalis utiliza processos que seguem as melhores práticas e políticas de segurança, aplicando em si as recomendações e soluções que recomenda e implementa em seus projetos para clientes.
A combinação de profissionais com elevado nível de capacitação e certificação com um ecossistema de parceiros tecnológicos de soluções de segurança (Arbor®, Cisco®, Fortinet®, McAfee®, NetForensics® e RSA®), permite o desenho das soluções mais apropriadas para cada demanda.
A PromonLogicalis
www.br.promonlogicalis.com
Argentina•Brasil•Chile•Paraguai•Peru•Uruguai
© Copyright 2009 PromonLogicalis – All rights reserved.
top related