análise das principais ameaças e vulnerabilidades cerutti -ies abnt nbr iso/iec 27000:2013
TRANSCRIPT
Análise das principais ameaças e vulnerabilidades
Cerutti -IES
ABNT NBR ISO/IEC 27000:2013
Ativos de Informação
Ativos de Informação:• Pessoas• Aplicações• Dados• Documentos• Equipamentos• Instalações• Sistemas Operacionais• Logs e arquivos de
configuração
Normas ISO
ISO
Marco de Internet Brasil – 2013/14
PILARES DA SEGURANÇA DA INFORMAÇÃO
1. Confidencialidade: oferecer suporte a prevenção de revelação não autorizada da informação.
2. Integridade: prevenir a modificação não autorizada da informação.
3. Disponibilidade: prover acesso confiável a qualquer momento à informação.
4. Não repúdio: assegura que nem o emissor nem o receptor de uma informação possam negar o fato
5. Autenticidade: assegurar a integridade de origem da informação compreendendo o que denominamos de responsabilidade final.
6. Privacidade: Assegurar que dados pessoais disponíveis estejam disponíveis só para autorizados
Riscos – Capítulo separado
• Humanos• Lógicos• Físicos
Tarefas
• Identificar as necessidades de segurança de rede.• Identificar algumas das causas dos problemas de
segurança de rede.• Identificar características e fatores motivadores
de invasão de rede.• Identificar as ameaças mais significativas na
segurança de rede.• Conceituar vulnerabilidade, ameaça, risco e
gerenciamento de risco.
Ameaças Acidentais
• Falhas de equipamento• Erros humanos• Falhas do Software• Falhas de alimentação
• Problemas causados pelas forças da natureza
Ameaças Causadas por Pessoas
• Espionagem• Crimes• Empregados insatisfeitos• Empregados “doentes”• Empregados desonestos• Vandalismo• Terrorismo• Erros dos usuários
Ameaças• Analisando ameaças
• Ameaça é tudo aquilo que pode comprometer a segurança de um sistema, podendo ser acidental (falha de hardware, erros de programação/usuários, etc...), ou deliberada (roubo, espionagem, sabotagem, invasão, etc...).
• Pode ser uma pessoa, uma coisa, um evento, uma idéia capaz de causar dano.
• Ameaças deliberadas:• Passivas – envolvem invasão e/ou
monitoramento, sem alteração de informações.• Ativas – Envolvem alteração nos dados.• A magnitude de uma ameaça deliberada está
relacionada com a oportunidade, motivação e forma de detecção e punição de quebras de segurança.
Vulnerabilidades dos Computadores
• Pequenos suportes guardam grandes volumes de dados
• Os dados são invisíveis• Os suportes podem falhar• Copiar não anula a informação• Dados podem ficar inadvertidamente retidos• Avanços Tecnológicos• Sistemas Distribuídos• Normas de Segurança
Um Firewall Corporativo
O firewall é colocado entre a Internet pública ou outra rede pouco confiável e arede privada da empresa, com a intenção de proteger esta contra tráfego não autorizado.
Tecnologias e Ferramentas para Garantir a Segurança
??
Impo
rtân
cia
os d
esas
tres
Gastos com desastres naturais sendo a maioria nos países desenvolvidos
Dados do PNUD (2004), retrabalhados para esta apresentação
y = 2E-53e0,0641x
R2 = 0,969esponencial ajustada pelo
método dos mínimos quadradosAtente-se para o grau de aderência
0
500
1.000
1.500
2.000
2.500
1940 1960 1980 2000 2020
Década
Perd
as m
édia
s anua
is em
milh
ões
de
dóla
res
Conceitos
• Sinistro– Evento externo ao indivíduo ou grupo de indivíduos que
altera as condições que estavam causando perturbações, danos, prejuízos sempre gerando vítmas podendo até ser fatal.
• Desastre– É o sinistro que ultrapassa a capacidade de resposta da
comunidade afetada• Emergência
– Sinistro que pode ser absorvido (tratado e superado) pela comunidade afetada sem necessidade de auxílio externo
Porque os sistemas são frágeis?
Conceitos (2)
• Ameaças– Fenômenos naturais ou de origem tecnológica ou
social que possam causar sinistros • Vulnerabilidade
– Situação em que se encontram pessoas ou bens que permitam com maior ou menor facilidade a ocorrência de sinistros.
– A vulnerabilidade varia de acordo com cada ameaça.
• Problema: Grande número de usuários de serviços financeiros on-line vulneráveis, facilidade de criar sites falsos
• Soluções: Implantar software antiphishing e serviços e sistema de autenticação multinível para identificar ameaças e reduzir tentativas de phishing
• Implantar novas ferramentas, tecnologias e procedimentos de segurança, além de educar os consumidores, aumenta a confiabilidade e a confiança dos clientes.
Ameaça 1- Phishing
COMUNICAÇÃO
2-Vírusprograma desenvolvido para alterar a forma
como um computador opera, sem a permissão ou o conhecimento do seu usuário.
Um vírus precisa atender a dois critérios:
1)deverá executar a si próprio, freqüentemente inserindo alguma versão do seu próprio código no caminho de execução de outro programa.
2)ele deve se disseminar.• pode se copiar em outros arquivos executáveis ou em discos que o
usuário acessa.
• podem invadir tanto computadores desktop como servidores de rede.
Tipos de vírus
• Vírus de programa: têm extensões como .COM, .EXE, .OVL, .DLL, .DVR, .SYS,.BIN e, até mesmo, .BAT. Exemplos de vírus de programa conhecidos são Jerusalem e Cascade.
• Vírus de setor de boot: infectam a área do sistema de um disco - ou seja, o registro de inicialização em disquetes e discos rígidos.
• Vírus de macro: infectam os arquivos dos programas Microsoft Office Word, Excel, PowerPoint e Access.
• Variações mais recentes também estão aparecendo em outros programas. Usam a linguagem de programação interna do programa, que foi criada para permitir que os usuários automatizem determinadas tarefas neste programa. Devido à facilidade com que estes vírus podem ser criados, existem milhares deles espalhados.
Ameaças• Bugs de Software
• Bug - erro num programa de computador que o faz executar incorretamente.
• Bugs trazem aborrecimentos e muitas vezes prejuízo.
• Back doors – Bugs propositalmente inseridos nos programas para permitir acesso não autorizado (brechas de segurança).
• Hackers estão sempre em busca de back doors para invadir sistemas.• Ameaças programadas
• Programas podem passar a ter comportamentos estranho, pela execução de códigos gerados para danificar ou adulterar o comportamento normal dos softwares.
• Podem ser confundidos ou identificados como vírus.
• Mais freqüentes em microcomputadores.
PILARES DA SEGURANÇA DA INFORMAÇÃO
Os pilares refletem na organização e envolvem 3 aspectos principais:
• Pessoas – Usuários bem orientados, treinados e conscientizados.
• Processos – Regras claras para utilização dos recursos tecnológicos fornecidos pela empresa e leis que em caso de desvio de informações punam severamente o infrator.
• Tecnologia – Sistemas bemimplementados proteger as informações da empresa
para assegurar e
• O que torna determinado e-mail suspeito?
• Você costuma abrir e-mails suspeitos? Quais são as conseqüências dessa ação?
• Você costuma reportar e-mails suspeitos a alguém?
• Que medidas você tem adotado para proteger-se do phishing?
• Sua instituição possui política clara sobre as ameaças e riscos do phising? Como seria um rascunho dessa política (inclua punições cabíveis)
Discussão: Phishing
Software Mal-intencionado: Vírus, Worms, Cavalos de Tróia e Spyware
• Malware• Vírus• Worms• Cavalos de Tróia• Spyware• Key loggers (registradores de teclas)
2 - Malwares
é um software destinado a infiltrar-se em um sistema de computador de forma ilícita, com o intuito de causar:1. danos, 2. alterações 3. ou roubo de informações (confidenciais ou
não).
"malware”=malicious software”
• Vírus de computador, • worms, • trojans (cavalos de troia) • Spywares
como os códigos maliciosos podem infectar ou comprometer um computador (EXEMPLOS)
• pela exploração de vulnerabilidades existentes nos programas instalados;
• pela auto-execução de mídias removíveis infectadas, como pen-drives;
• pelo acesso a páginas Web maliciosas, utilizando navegadores vulneráveis;
EXEMPLOS
• pela ação direta de atacantes que, após invadirem o computador, incluem arquivos contendo códigos maliciosos;
• pela execução de arquivos previamente infectados,
• obtidos em anexos de mensagens eletrônicas, • via mídias removíveis, • em páginas Web ou • diretamente de outros computadores (através do
compartilhamento de recursos).
pode ser considerada malware uma aplicação legal que, por uma falha de programação (intencional ou não) execute funções que maliciosas
Os programas antivírus e firewalls são algumas das ferramentas mais comuns para prevenir que estes tipos de programas entrem no computador e o danifiquem.
Os antivírus modernos também protegem contra spywares e adwares. Antivírus têm proteção em tempo real para verificar os processos em execução no sistema.
Os antivírus devem ser constantemente atualizados para que possam oferecer proteção contra os mais novos tipos de malware.
PROTEÇÃO POSSÍVEL
A melhor forma de evitar um malware é o bom senso.• Computadores com windows são mais propensos
à infecção mas computadores da Apple também estão sujeitos aos malwares.
• Não baixar nenhum programa ou arquivo executável de origem desconhecida.
• Não entrar em sites suspeitos. • O simples ato de entrar em um site pode infectar
o seu computador com o uso de exploits.
• Cuidar ao trocar arquivos com outros usuários, mesmo que sejam conhecidos.
• Existem ataques como o man-in-the browser que roubam informações passadas em uma conexão.
• O recomendável para se fazer antes da instalação de algum software é a criação de um ponto de restauração no computador. (Ponto de retorno).
• uso de um produto antivírus é indispensável, porém não deve ser a única medida de segurança em um computador.
• Firewalls também são necessários para barrar intrusões na máquina e protegem a rede local.
• Em sistemas operacionais Unix, somente o superusuário deve se preocupar com danos, já que cada usuário tem sua própria estrutura.
O Comitê Gestor da Internet (CGI) no Brasil tem uma cartilha descrevendo os procedimentos para evitar estes softwares maliciosos.
http://cartilha.cert.br/
Ataques• Geralmente divididos nos seguintes tipos:
– Pelo alvo geral do ataque (aplicações, redes ou misto)– Se o ataque é ativo ou passivo– Pelo mecanismo de ataque (quebra de senha, exploração
de código, ...)• Ataques Ativos
– DoS, DDoS, buffer overflow, inundação de SYN• Ataques Passívos
– Pesquisa de vulnerabilidade, sniffing, ...• Ataques de Senha
– Força bruta, Dicionário, “hackish”, Rainbow Tables• Código malicioso (malware)
– Vírus, trojans, worms, ...
Ataques Ativos• DoS/DDoS
– Reduzir a qualidade de serviço a níveis intoleráveis
– Tanto mais difícil quanto maior for a infra-estrutura do alvo
– Enquanto DoS é de fácil execução e pode ser corrigido, DDoS é de difícil e não pode ser evitado
– “Zombies” e Mestres (Masters), ataque smurf
– BOTs e BOTNets, ataques “massificados” por banda larga
– Tipos• Consumo de Recursos (largura de banda, cpu,
RAM, ...)• Pacotes malformados (todas as flags ligadas)
Ataques Ativos (cont.)• Buffer Overflow
– Sobrescrever o próprio código em execução– “Shell code”, escrito em assembler– Tem como objetivo executar algum código, ou
conseguir acesso privilegiado• Ataques SYN
– Fragilidade nativa do TCP/IP– Conexão de 3-vias (Syn, Syn-Ack, Ack)
• Spoofing– Se fazer passar por outro ativo da rede– MITM (Man-In-The-Middle)
Dsniff
Ataques Ativos (Cont.)• Lixeiros
– Documentos sensíveis mal descartados– Informações em hardwares obsoletos– Falta de Política de Classificação da
Informação• Engenharia social
– Kevin Mitnick– Normalmente relevada nos esquemas de
segurança– Utiliza-se do orgulho e necessidade de auto-
reconhecimento, intrínseco do ser humano
“Um computador não estará seguro nem quando desligado e trancado em uma
sala, pois mesmo assim alguém pode ser instruído a ligá-lo.”
[ Kevin Mitnick – A arte de enganar/The Art of Deception ]
Ataques ativos por código malicioso
• Malware– MALicious softWARE– Não apenas Spyware ou Adware– “Payload” Vs Vetor
• Vírus– Auto replicante– Interfere com hardware, sistemas
operacionais e aplicações– Desenvolvidos para se replicar e iludir
detecção– Precisa ser executado para ser ativado
Ataques ativos por código malicioso (cont)
• Cavalos de Tróia (Trojans)– Código malicioso escondido em uma aplicação
aparentemente legítma (um jogo por exemplo)– Fica dormente até ser ativado– Muito comum em programas de gerência remota (BO
e NetBus)– Não se auto replica e precisa ser executado
• Bombas Lógicas– Caindo em desuso pela utilização de segurança no
desenvolvimento– Aguarda uma condição ser atingída– Chernobyl, como exemplo famoso (26, Abril)
Ataques ativos por código malicioso (cont)
• Worms– Auto replicante, mas sem alteração de
arquivos– Praticamente imperceptíveis até que
todo o recurso disponível seja consumido
– Meio de contaminação mais comum através de e-mails e/ou vulnerabilidades em aplicações de rede
– Não necessita de ponto de execução– Se multiplica em proporção geométrica– Exemplos famosos:
• LoveLetter, Nimda, CodeRed, Melissa, Blaster, Sasser, ...
Ataques ativos por código malicioso (cont)
• Back Door– Trojan, root kits e programas legítmos
• VNC, PCAnyware, DameWare• SubSeven, Th0rnkit
– Provê acesso não autenticado a um sistema
• Rootkit– Coleção de ferramentas que possibilitam a
criação “on-demand” de backdoors– Modificam rotinas de checagem dos
sistemas operacionais comprometidos para impedir detecção
– Iniciam no boot junto com os processos do sistema
Ataques Passívos• Normalmente utilizado antes de um ataque
ativo• Pesquisa de Vulnerabilidades
– Pesquisa por Portas/Serviços• http://www.insecure.org – Nmap
• Escuta (sniffing)– Extremamente difícil detecção– Não provoca ruído sensível– Senhas em texto claro, comunicações não
encriptadas– Redes compartilhadas Vs comutadas
• Switch Vs Hub– WireShark (Lin/Win), TCPDump (Lin)
• http://www.wireshark.org• http://www.tcpdump.org
Ataques Passívos (cont)• Ataques de Senha
– Muito comuns pela facilidade de execução e taxa de sucesso
• Cain&Abel, LC5, John The Ripper, ...– Compara Hash’s, não texto
• Força Bruta– Teste de todos os caracteres possíveis– Taxa de 5 a 6 Milhões de testes/seg, em
um P4• Ataques de Dicionário
– Reduz sensivelmente o tempo de quebra– Já testa modificado para estilo “hackish”
• B4n4n4, C@73dr@l, P1p0c@, R007, ...• Rainbow Tables
– Princípio Time Memory Trade-off (TMTO)
Vulnerabilidade dos Sistemas e Uso Indevido
• Um computador desprotegido conectado à Internet pode ser danificado em poucos segundos
• Segurança: políticas, procedimentos e medidas técnicas usados para impedir acesso não autorizado, alteração, roubo ou danos físicos a sistemas de informação
• Controles: métodos, políticas e procedimentos organizacionais que garantem
• a segurança dos ativos da organização,• a precisão • a confiabilidade de seus registros • a adesão operacional aos padrões administrativos
Por que os Sistemas São Vulneráveis?
• Problemas de hardware (quebras, erros de configuração, danos por uso impróprio ou crime)
• Problemas de software (erros de programação, erros de instalação, mudanças não autorizadas)
• Desastres (quedas de energia, enchentes, incêndios etc.)
• Vulnerabilidades da Internet
• Desafios da segurança sem fio
Vulnerabilidade dos Sistemas e Uso Indevido
Desafios de Segurança Contemporâneos
Por que os Sistemas São Vulneráveis?Vulnerabilidade dos Sistemas e Uso Indevido
• Visite o site http://securelist.com/ • Quais são os principais vírus em termos de taxa de infecção?
• Quais são as ameaças de vírus mais recentes?• Leia descrições dos principais vírus e das ameaças mais recentes• O que os downloads do securelist oferecem para ajudar os usuários a
proteger e a reparar seus computadores?• Compare e contraste o conteúdo disponível no security com as ofertas
do site da Symantec em www.symantec.com
Por que os Sistemas São Vulneráveis?Vulnerabilidade dos Sistemas e Uso Indevido
Hackers e Cibervandalismo
• Hackers versus crackers• Cibervandalismo• Spoofing• Sniffing• Ataque de recusa de serviço (DoS)• Ataque Distribuído de Recusa de Serviço (DDoS)• Botnets (‘redes de robôs’)
Por que os Sistemas São Vulneráveis?Vulnerabilidade dos Sistemas e Uso Indevido
• Encontre as definições e formas de proteçao para essas ameaças. Responda:• Qual problema as empresas enfrentam com essas
ameaças? Como são detectados? Como afetam os negócios?
• Quais eram as soluções disponíveis para resolver o problema?
• Que outras soluções poderiam ter sido consideradas?• Como as questões humanas, organizacionais e
tecnológicas contribuíram para o problema?
Chantagem Cibernética e Redes de Zumbis: Novas Ameaças dos Ataques DoS
Por que os Sistemas São Vulneráveis?Vulnerabilidade dos Sistemas e Uso Indevido
Crimes de Informática e Ciberterrorismo
• Crime de informática: ‘Quaisquer violações da legislação criminal que envolvam um conhecimento de tecnologia da informática em sua perpetração, investigação ou instauração de processo’ – Departamento de Justiça dos Estados Unidos
• As empresas norte-americanas perdem 14 bilhões de dólares por ano para o cibercrime
• Roubo de identidade (phishing, evil twins, pharming, uso indevido do computador [spamming])
• Ciberterrorismo e guerra cibernética
Por que os Sistemas São Vulneráveis?Vulnerabilidade dos Sistemas e Uso Indevido
Ameaças Internas: Funcionários
• Ameaças à segurança freqüentemente se originam dentro da empresa
• Engenharia social
Vulnerabilidades do Software
• Softwares comerciais contêm falhas que criam vulnerabilidades de segurança
• Patches (remendos)
Por que os Sistemas São Vulneráveis?Vulnerabilidade dos Sistemas e Uso Indevido
• O não funcionamento dos sistemas de computador pode levar a perdas significativas ou totais das funções empresariais
• As empresas estão agora mais vulneráveis do que nunca• Uma brecha de segurança pode reduzir o valor de mercado
de uma empresa quase imediatamente• Segurança e controles inadequados também produzem
problemas de confiabilidade
Valor Empresarial da Segurança e do Controle
Por que os Sistemas São Vulneráveis?Vulnerabilidade dos Sistemas e Uso Indevido
Prova Eletrônica e Perícia Forense Computacional
• Grande parte das provas para ações legais são encontradas hoje em formato digital
• O controle adequado de dados pode economizar dinheiro quando for necessário apresentar informações
• Perícia forense computacional: procedimento científico de coleta, exame, autenticação, preservação e análise de dados mantidos em — ou recuperados por — meios de armazenamento digital, de tal maneira que as informações possam ser usadas como prova em juízo
• Dados ambientes
Valor Empresarial da Segurança e do Controle
Por que os Sistemas São Vulneráveis?Vulnerabilidade dos Sistemas e Uso Indevido
Como Estabelecer uma Estrutura para Segurança e Controle
• ISO 27000:2013• Avaliação de risco• Política de segurança
• Chief security officer (CSO)• Política de uso aceitável (AUP)• Políticas de autorização• Sistemas de gerenciamento de autorização
Por que os Sistemas São Vulneráveis?Vulnerabilidade dos Sistemas e Uso Indevido
Como Assegurar a Continuidade dos Negócios-Capítulo Específico
• Downtime• Sistemas de computação tolerantes a falhas• Computação de alta disponibilidade• Computação orientada a recuperação• Plano da recuperação de desastres• Plano de continuidade dos negócios• Outsourcing da segurança (provedores de serviços de
segurança gerenciada)
Por que os Sistemas São Vulneráveis?Vulnerabilidade dos Sistemas e Uso Indevido
O Papel da Auditoria no Processo de Controle
• Auditoria de sistemas• Identifica todos os controles que governam sistemas
individuais de informação e avalia sua efetividade. • O auditor entrevista indivíduos-chave e examina os
controles de aplicação, os controles gerais de integridade e as disciplinas de controle.
Por que os Sistemas São Vulneráveis?Vulnerabilidade dos Sistemas e Uso Indevido
Controle de Acesso
Tecnologias e Ferramentas para Garantir a Segurança
• Autenticação• Tokens• Smart cards• Autenticação biométrica
Por que os Sistemas São Vulneráveis?Vulnerabilidade dos Sistemas e Uso Indevido
Ataques
Ameaças Digitais Mais "Focadas”
Novas Soluções para o Gerenciamento de Identidade
• Quais os problemas que grandes empresa podem enfrentarn com o Authentication, authorization,& accounting (AAA)?• Qual pode ser impacto desses problemas? Como eles poderiam ser
resolvidos? • Quais são as soluções disponíveis para as empresas? • Quais questões humanas, organizacionais e tecnológicas precisam ser
abordadas no desenvolvimento das soluções? • Você acha que as soluções podem efetivamente resolver o problema da
Authentication, authorization, & accounting (AAA) e Por quê?
Tecnologias e Ferramentas para Garantir a Segurança
Triple A (AAA)
http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfaaa.html
• Firewall: a combinação de hardware e software que controla o fluxo de tráfego que entra ou sai da rede
• Sistemas de detecção (IDS) e prevenção (IPS) de invasão monitoram em redes corporativas para detectar e deter intrusos
• Software antivírus e antispyware de gateway (emair router ou SMTP server) verifica a presença de malware em computadores e freqüentemente também é capaz de eliminá-lo
Firewalls, Sistemas de Detecção e Prevenção de Invasão e Software Antivírus
Tecnologias e Ferramentas para Garantir a Segurança
• A segurança WEP pode ser melhorada quando usada com a tecnologia VPN
• Especificações Wi-Fi Alliance/Acesso Protegido (WPA/WPA2)
• Protocolo de Autenticação Extensível (EAP)• Proteção contra redes falsas• IEEE 802.1x
Segurança em Redes Sem Fio
Tecnologias e Ferramentas para Garantir a Segurança
• Criptografia: transformar textos comuns ou dados em um texto cifrado, que não possa ser lido por ninguém a não ser o remetente e o destinatário desejado• Secure Sockets Layer (SSL)• Transport Layer Security (TLS)• Secure Hypertext Transfer Protocol (S-HTTP)• Criptografia de chave pública• Assinatura digital• Certificado digital• Intra-estrutura de chave pública (PKI)
Criptografia e Infra-Estrutura de Chave Pública
Tecnologias e Ferramentas para Garantir a Segurança
Criptografia – Capítulo específico
Analise o Documento Symantec Threats to virtual environments no site da disciplinaE responda:1. Máquinas virtuais são mais seguras que as físicas? Explique.2. Quais os principais problemas que podem afetar os ambientes virtualizados?3. Quais as melhores práticas para se evitarem problemas nesses ambientes?
Capítulo específicoDentre os diversos assuntos tratados pela
gestão de segurança da informação, um dos principais elementos que direcionam as ações é o gerenciamento de risco, iniciado com a implementação de um processo de análise de risco.
Risco e Gestão de Risco
Avaliação dos Riscos
• O que é um risco?– É um contexto que inclui as ameças,
vulnerabilidades e o valor a proteger
• O que é a análise de risco?– É o processo de avaliar em que medida é que um
certo contexto é ou não aceitável para uma organização
Técnicas de Análise de Risco
• Prever cenários de:– Ameaças– Vulnerabilidades
• Para cada cenário:– Prever os prejuízos / Recursos a envolver para
evitar a concretização dos cenários– Fazer uma análise de custo/benefício
Técnicas de Análise de Risco
• Análise subjectiva– Documentos escritos com vários cenários como
base para sessão de “brainstorming”• Análise Quantitativa
– Para cada ameaça quantificar a sua incidência– Estimar o valor dos prejuízos que pode causar– Estimar o custo de combater a ameaça– Pesar as várias ameaças para obter um valor
final (que algoritmo?)
Técnicas de Análise de Risco
• Técnicas Automatizadas– Uso de ferramentas informáticas que
implementam UM algoritmo específico– CRAMM no Reino Unido
• CCTA Risk Analysis and Management Method– CCTA - Central Computer Telecommunications Agency
CRAMM
• 3 Etapas– Etapa 1 - Identificação dos recursos a proteger, seu
custo, grau de criticalidade da sua indisponibilidade, ...
– Etapa 2 - Avaliação das vulnerabilidades do sistema (o CRAMM considera 31 tipos de ameaças)
• São usados questionários que são passados para o pessoal para fazer a avaliação ponderada de várias pessoas
CRAMM
– Etapa 3 - Usa um algoritmo e faz recomendações sobre os recursos a proteger, medidas a tomar.
Vulnerabilidades do Software
• Bugs do sistema operativo– Especificações com erros– Implementação com erros
• Bugs das aplicações– Especificações com erros– Implementação com erros
CERT
• CERT - Computer Emergency Response Team• Estrutura organizativa que recolhe e divulga
debilidades de segurança• Cadeia segura de troca de informação
– Bugs de sistema operativo– Bugs de aplicativos comuns– Vírus