segurança da informação - thoughts & words · segurança da informação fatec – americana...
TRANSCRIPT
Segurança da informaçãoSegurança da informação
FATEC – AmericanaFATEC – Americana
Tecnologia em Análise de Sistemas e Tecnologias da Tecnologia em Análise de Sistemas e Tecnologias da InformaçãoInformação
Diagnóstico e solução de problemas de TIDiagnóstico e solução de problemas de TI
Prof. Humberto Celeste InnarelliProf. Humberto Celeste Innarelli
março/2009 Segurança da informação 2
ConteúdoConteúdo
IntroduçãoIntrodução Segurança da InformaçãoSegurança da Informação Barreiras de segurançaBarreiras de segurança ExemplosExemplos ConclusãoConclusão BibliografiaBibliografia
março/2009 Segurança da informação 3
IntroduçãoIntrodução
Segurança da Informação - Proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de investimentos e oportunidades.
ISO/IEC 17799
março/2009 Segurança da informação 4
IntroduçãoIntrodução
As vulnerabilidades da segurança da As vulnerabilidades da segurança da rede são a porta de entrada para o rede são a porta de entrada para o ataque e consequente invasão da ataque e consequente invasão da rede.rede.
A invasão da rede pode gerar perda, A invasão da rede pode gerar perda, vazamento, modificações e outros vazamento, modificações e outros danos aos dados e recursos danos aos dados e recursos compartilhados.compartilhados.
março/2009 Segurança da informação 5
Segurança da InformaçãoSegurança da Informação
NBR/ISO/IEC 17799 – Norma que responsável pela normalização da segurança da informação no Brasil em vários países do mundo.
março/2009 Segurança da informação 6
Segurança da InformaçãoSegurança da Informação
Motivação para investir em segurança da informação
– PatrimônioPatrimônio– ConhecimentoConhecimento– ExperiênciaExperiência– DocumentaçãoDocumentação– OutrosOutros
março/2009 Segurança da informação 7
Segurança da InformaçãoSegurança da Informação
A segurança da informação é caracterizada pela preservação dos seguintes atributos básicos: – Confidencialidade: segurança de que a
informação pode ser acessada apenas por quem tem autorização.
– Integridade: certeza da precisão e do completismo da informação.
– Disponibilidade: garantia de que os usuários autorizados tenham acesso a informação e aos recursos associados, quando necessário.
março/2009 Segurança da informação 8
Segurança da InformaçãoSegurança da Informação
Aspectos da Segurança da InformaçãoAspectos da Segurança da Informação– AutenticaçãoAutenticação – identificação e – identificação e
reconhecimento formalreconhecimento formal– LegalidadeLegalidade – informações que possuem – informações que possuem
valor legalvalor legal
março/2009 Segurança da informação 9
Segurança da InformaçãoSegurança da Informação
AmeaçasAmeaças– NaturaisNaturais – fenômenos da natureza, sol – fenômenos da natureza, sol– InvoluntáriasInvoluntárias – ameaças inconscientes – ameaças inconscientes– VoluntáriasVoluntárias – propositais causadas pelo – propositais causadas pelo
agente humanoagente humano
março/2009 Segurança da informação 10
Segurança da InformaçãoSegurança da Informação
Vulnerabilidades (problemas que as Vulnerabilidades (problemas que as ameaças causam)ameaças causam)– Físicas Físicas – instalações fora do padrão– instalações fora do padrão– Naturais Naturais – incêndios, chuvas “internas”, – incêndios, chuvas “internas”,
poeira, etc.poeira, etc.– Hardware Hardware – obsolescência (está – obsolescência (está
obsoleto), mau uso, etc.obsoleto), mau uso, etc.– SoftwareSoftware – obsolescência, configuração, – obsolescência, configuração,
instalação, etc.instalação, etc.
março/2009 Segurança da informação 11
Segurança da InformaçãoSegurança da Informação
VulnerabilidadesVulnerabilidades– Mídias Mídias – discos, fitas, hd’s danificados, – discos, fitas, hd’s danificados,
mal condicionados, etc.mal condicionados, etc.– Comunicação Comunicação – acessos não autorizados – acessos não autorizados
ou perda de comunicaçãoou perda de comunicação– Humanas Humanas – treinamento, sabotagens, – treinamento, sabotagens,
erros, etc.erros, etc.
março/2009 Segurança da informação 12
Segurança da InformaçãoSegurança da Informação
Medidas de segurançaMedidas de segurança– PreventivasPreventivas – evitar o incidente – evitar o incidente– Detectáveis Detectáveis – identificar condições e – identificar condições e
indivíduos causadores de ameaçasindivíduos causadores de ameaças– Corretivas Corretivas – correção de problemas que – correção de problemas que
já aconteceramjá aconteceram
março/2009 Segurança da informação 13
Segurança da InformaçãoSegurança da Informação
Aspectos que devem ser consideradosAspectos que devem ser considerados– RiscosRiscos – probabilidade de ameaças – probabilidade de ameaças
explorarem as vulnerabilidadesexplorarem as vulnerabilidades– Impacto Impacto – abrangência do dano– abrangência do dano– Incidente Incidente – evento decorrente da ação – evento decorrente da ação
de uma ameçade uma ameça
março/2009 Segurança da informação 14
Barreiras de segurançaBarreiras de segurança
Desencorajar
Dificultar
Discriminar
Detectar
Deter
Diagnosticar
Negócio
Ativos
Ameaças
março/2009 Segurança da informação 15
Barreiras de segurançaBarreiras de segurança
DesencorajarDesencorajar – ação que visa – ação que visa desmotivar ou desestimulardesmotivar ou desestimular– Câmera de vídeoCâmera de vídeo– AlarmesAlarmes– CampainhasCampainhas– TreinamentoTreinamento– UniformesUniformes
março/2009 Segurança da informação 16
Barreiras de segurançaBarreiras de segurança
DificultarDificultar – barreiras que dificultam o – barreiras que dificultam o aceso indevidoaceso indevido– RoletasRoletas– Detectores de metalDetectores de metal– Leitores de cartão magnéticoLeitores de cartão magnético– SenhasSenhas– Certificados digitaisCertificados digitais– CriptografiaCriptografia– FirewallFirewall
março/2009 Segurança da informação 17
Barreiras de segurançaBarreiras de segurança
DiscriminarDiscriminar – cercar de recursos que – cercar de recursos que permitam a identificação e o acessopermitam a identificação e o acesso– Perfil de usuárioPerfil de usuário– PermissõesPermissões– LimitesLimites– Perímetros físicosPerímetros físicos– Cotas de recursos (impressão, disco, etc.)Cotas de recursos (impressão, disco, etc.)– LogsLogs
março/2009 Segurança da informação 18
Barreiras de segurançaBarreiras de segurança
DetectarDetectar – monitoramento, auditoria – monitoramento, auditoria e alerta de detecções de ameaçase alerta de detecções de ameaças– Tentativa de invasãoTentativa de invasão– Descumprimento de normas de Descumprimento de normas de
segurançasegurança– Cópia ou envio de informações sigilosasCópia ou envio de informações sigilosas– IntrusosIntrusos
março/2009 Segurança da informação 19
Barreiras de segurançaBarreiras de segurança
DeterDeter – impedir que a ameaça atinja – impedir que a ameaça atinja seu objetivoseu objetivo– Acionamento de barreiraAcionamento de barreira– Acionamento de controleAcionamento de controle– PuniçõesPunições– Bloqueios de acesso físico e lógicoBloqueios de acesso físico e lógico
março/2009 Segurança da informação 20
Barreiras de segurançaBarreiras de segurança
DiagnosticarDiagnosticar – diagnosticar a falha – diagnosticar a falha para posposição de melhoriaspara posposição de melhorias– Analisar a ocorrênciaAnalisar a ocorrência– Identificar as causasIdentificar as causas– Propor melhoriasPropor melhorias
março/2009 Segurança da informação 21
Barreiras de segurançaBarreiras de segurança
Desencorajar
Dificultar
Discriminar
Detectar
Deter
Diagnosticar
Negócio
Ativos
Ameaças
ExemplosExemplos
março/2009 Segurança da informação 23
Exemplo – segurançaExemplo – segurança
Monitoria na Invasão no Microsoft Monitoria na Invasão no Microsoft Internet Information ServicesInternet Information Services– Invasão por falha de atualização do IISInvasão por falha de atualização do IIS– Utilização de uma dll chamada Utilização de uma dll chamada author.dllauthor.dll– Permissão de escrita na pastaPermissão de escrita na pasta– Troca do index.htmlTroca do index.html– Identificação e providênciasIdentificação e providências
LogLog do IIS do IIS
março/2009 Segurança da informação 24
Funcionamento da técnica Funcionamento da técnica de enumeração - exemplode enumeração - exemplo
Usuário da técnicade enumetação
Firewall
PC01 PC02 PC03Outros
Servidor debanco de dados
Servidor PrincipalHTTP, FTP,
autenticação,DHCP, arquivos, etc.
Servidorde aplicações
Rede Ethernet
março/2009 Segurança da informação 25
Funcionamento da técnica Funcionamento da técnica de enumeração - exemplode enumeração - exemplo
Usuário da técnicade enumetação
Firewall
PC01 PC02 PC03Outros
Servidor debanco de dados
Servidor PrincipalHTTP, FTP,
autenticação,DHCP, arquivos, etc.
Servidorde aplicações
Rede Ethernet
Software deenumeração
Firewall comporta 8080
abertaServidor IIS
março/2009 Segurança da informação 26
Funcionamento da técnica Funcionamento da técnica de enumeração - exemplode enumeração - exemplo
Usuário da técnicade enumetação
Firewall
PC01 PC02 PC03Outros
Servidor debanco de dados
Servidor PrincipalHTTP, FTP,
autenticação,DHCP, arquivos, etc.
Servidorde aplicações
Rede Ethernet
Software deenumeração
Firewall comporta 8080
aberta
Servidor IIS/conexão ativapelo invasor
março/2009 Segurança da informação 27
Funcionamento da técnica Funcionamento da técnica de enumeração - exemplode enumeração - exemplo
Usuário da técnicade enumetação
Firewall
PC01 PC02 PC03Outros
Servidor debanco de dados
Servidor PrincipalHTTP, FTP,
autenticação,DHCP, arquivos, etc.
Servidorde aplicações
Rede Ethernet
Software deenumeração
Firewall comporta 8080
aberta
Servidor IIS/conexão ativapelo invasor
Identificaçãodos recursos de
rede
março/2009 Segurança da informação 28
Funcionamento da técnica Funcionamento da técnica de enumeração - exemplode enumeração - exemplo
Usuário da técnicade enumetação
Firewall
PC01 PC02 PC03Outros
Servidor debanco de dados
Servidor PrincipalHTTP, FTP,
autenticação,DHCP, arquivos, etc.
Servidorde aplicações
Rede Ethernet
Software deenumeração
Firewall comporta 8080
aberta
Servidor IIS/conexão ativapelo invasor
Identificaçãodos recursos de
rede
março/2009 Segurança da informação 29
Impacto das técnicas de Impacto das técnicas de enumeração na segurançaenumeração na segurança
As informações coletadas norteiam a As informações coletadas norteiam a estratégia de estratégia de defesadefesa ou ou ataqueataque..
DefesaDefesa– Fechamento de portasFechamento de portas– Atualização de sistemas e Atualização de sistemas e
softwaressoftwares– Rotinas de verificação de Rotinas de verificação de
sistemassistemas– Correção de bugsCorreção de bugs– ReconfiguraçãoReconfiguração– OutrosOutros
AtaqueAtaque– Conhecimento das Conhecimento das
vulnerabilidadesvulnerabilidades– Utilização indevida de Utilização indevida de
contas de usuárioscontas de usuários– Corrupção de dadosCorrupção de dados– Utilização de pUtilização de password assword
sniffing e password sniffing e password crackerscrackers
– OutrosOutros
março/2009 Segurança da informação 30
ConclusãoConclusão
Segurança de redeSegurança de rede VulnerabilidadeVulnerabilidade Utilização para defensivaUtilização para defensiva Utilização ofensivaUtilização ofensiva Tecnologia sempre em evoluçãoTecnologia sempre em evoluçãoNão há espaço digital seguro, muito menos redes 100% Não há espaço digital seguro, muito menos redes 100%
protegidas, o que realmente deve existir, são bons protegidas, o que realmente deve existir, são bons profissionais e muita ética.profissionais e muita ética.
março/2009 Segurança da informação 31
BibliografiaBibliografia
EVELYN R. K., GELSON P. Segurança de EVELYN R. K., GELSON P. Segurança de redes sistema de detecção de intrusão. redes sistema de detecção de intrusão. Curitiba, PR : Faculdade Internacional de Curitiba, PR : Faculdade Internacional de Curitiba, 2004.Curitiba, 2004.
FEITOSA, E. L. Segurança em Sistemas de FEITOSA, E. L. Segurança em Sistemas de Informação. Recife, PE : UFPE, 2005. Informação. Recife, PE : UFPE, 2005.
SEMOLA, M. SEMOLA, M. Gestão da Segurança da Gestão da Segurança da informaçãoinformação. Campus, 2003.. Campus, 2003.