Relatório. Projeto AGRIS Análise e Gerência de Riscos em Segurança

Tamanho: px
Começar a partir da página:

Download "Relatório. Projeto AGRIS Análise e Gerência de Riscos em Segurança"

Transcrição

1 Relatório Projeto AGRIS Análise e Gerência de Riscos em Segurança Luiz Fernando Rust da Costa Carmo 1 Gustavo Alberto de Oliveira Alves Ricardo de Barros Costa Edson Barbosa de Souza Carlos Augusto Reis Junior Tiago Monteiro do Nascimento Ana Cristina Ribeiro Dutra de Almeida PROGRAMA FRIDA 23 de Março 2005 NÚCLEO DE COMPUTAÇÃO ELETRÔNICA UNIVERSIDADE FEDERAL DO RIO DE JANEIRO 1 Luiz Fernado Rust ) é o ponto de contado para este relatório.

2 Índice 1 Introducão Conceitos Básicos Definições Estudo das Principais Ferramentas de Análise de Riscos existentes Introdução Visual Assurance Compliance Guardian Enterprise Suíte Check-up Tool Foundstone Enterprise Manager Bindview CRAMM Express Conclusão: Funcionalidades selecionadas para a ferramenta GRIS Análise das Principais Ferramentas de Análise e Bases de Vulnerabilidades Ferramentas de Análise (scanners) Bases de vulnerabilidades Proposta para a Base AGRIS Teste de Vulnerabilidade Ferramenta de Gerenciamento da Base Métodos de Cálculo de Risco Introdução Definições Método de CRAMM Belifed-Based CRAMM Método Estatístico Método de Mosler Método Willian T. Fine Graphical Risk Analysis GRA Conclusão: Proposta inicial de cálculo de risco para o projeto AGRIS Contexto de implementação Plataforma alvo Ambiente de Desenvolvimento... 55

3 10 Metodologia para levantamento de requisitos Descrição do processo Definições Nomenclatura e formato de um cenário de utilização Cenários de utilização primários Considerações finais Referências Anexo 1 Cronograma inicial...65

4 Núcleo de Computação Eletrônica Universidade Federal do Rio de Janeiro Relatório do Projeto Análise e Gerência de Riscos de Segurança do programa FRIDA 23/03/2005

5 SUMÁRIO EXECUTIVO Esse relatório descreve os resultados atingidos durante a primeira fase do projeto AGRIS, de um total de quatro fases (com duração de seis meses cada) suportado pelo Programa FRIDA (Fundo Regional para a Inovação Digital na América Latina e Caribe), O projeto está sendo desenvolvido no Núcleo de Computação Eletrônica da Universidade Federal do Rio de Janeiro, sendo oficialmente contratado em meados de setembro de As duas primeiras fases compreendem o desenvolvimento de uma ferramenta de análise dos riscos de segurança em sistemas operacionais. Este aplicativo deverá ser capaz de identificar ameaças, vulnerabilidades e impactos ao negócio das empresas, gerando relatório a níveis técnicos e executivos. Basicamente, o planejamento inicial da primeira fase do projeto AGRIS focava a definição e implementação da infra-estrutura básica de desenvolvimento: pesquisa sobre plataformas - verificação dos ambiente/plataformas para o desenvolvimento dos aplicativos; teste de usabilidade das plataformas - contato inicial dos desenvolvedores do projeto com os ambientes; avaliação e escolha da plataforma para o projeto - escolha do ambiente de desenvolvimento das ferramentas de análise de risco;. definição de conjunto de serviços genérico - detalhamento dos elementos da arquitetura da ferramenta, bem como do relacionamento com o usuário final. modelagem da interface de abstração. O C++ Builder 6 foi escolhido como ambiente de programação para a ferramenta pois, além de sua complitude funcional, todos os participantes do projeto já tinham experiência na sua utilização. O Interbase Server 6 será utilizado num primeiro momento como servidor local principal para a base de dados. Na etapa final, o Firebird será utilizado para abrigar a base (possui código aberto e extrema compatibilidade com o Interbase). O sistema da Microsoft Windows 2000 foi escolhido como plataforma alvo como base para o desenvolvimento da solução de análise de risco. Desde a sua inauguração em 1989, atingiu uma marca de 45 mil pessoas, que de alguma forma utilizam a plataforma para desenvolvimento, treinamento ou mesmo prestam serviço, espalhados por mais de 10 mil empresas brasileiras. Atualmente, tanto para o uso como cliente (97% do mercado), como para servidor (62% do mercado), existe uma forte predominância dos produtos Microsoft no mercado brasileiro. Esta mesma situação é também observada na América Latina como um todo. O desenvolvimento das duas últimas atividades previstas no planejamento inicial (serviços e interfaces) foi iniciado através de um levantamento e estudo das ferramentas de Risco presentes no mercado, com o intuito de dar sustentação ao estabelecimento das funcionalidades esperadas para a ferramenta AGRIS. Um resultado expressivo deste estudo foi a nítida necessidade de incorporar as funcionalidades de uma ferramenta de análise de vulnerabilidades ao projeto. Atualmente nenhum ambiente de análise de riscos de segurança oferece uma solução sem costuras (seamless), integrando análise de vulnerabilidades, controles e riscos. Para isso, foi realizado um estudo das ferramentas e fontes de vulnerabilidades disponíveis, que culminou no desenvolvimento de uma

6 ferramenta para criação e manutenção da base de vulnerabilidades/controles da ferramenta AGRIS. Uma base deste tipo é fundamental para automatizar o processo de análise, identificação e correção de vulnerabilidades encontradas nos ativos pertencentes a um dado sistema. Esta base unirá os dados oriundos de bases já existentes (CVE, OVAL,..) com as informações definidas por futuros usuários da ferramenta. Nesta primeira versão, a alimentação da base é feita por meio da especificação de arquivos em XML, (no caso da CVE e OVAL), e diretório contento plugins.nasl (no caso do Nessus). Na próxima versão, as atualizações serão extraídas automaticamente dos sites das organizações mantenedoras das bases. Em seguida foi realizado um estudo aprofundado dos principais métodos de cálculo de risco normalmente empregados, sendo constadas duas grandes deficiências: ausência de uma visão do ativo como parte do negócio, onde o valor de um ativo deve ser visto segundo o lucro que o mesmo gera para a empresa, e não ser avaliado apenas pelo valor de aquisição; o cálculo do risco de um ativo não considera o impacto que o mesmo causa em outros ativos (dependência entre ativos), por torná-los indisponíveis ou não permitir que o fluxo do negócio escoe por deles. Uma nova proposta de cálculo de risco foi elaborada permitindo estimar o valor do ativo em relação ao seu papel dentro do negócio do qual o mesmo participa. A proposta realiza o cálculo de risco levando também em consideração a dependência entre os ativos, tendo como base o cálculo utilizado pelo método de CRAMM (ativo x vulnerabilidade x impacto). Para a especificação definição de serviços e interfaces do projeto optou-se pelo emprego da metodologia de criação de cenários de utilização (uma derivação de use cases). Um cenário de utilização é uma descrição estruturada de um uso típico da ferramenta para a realização de tarefas ou funções. Os cenários de utilização são tipicamente úteis nas atividades específicas de desenvolvimento de software, proporcionando um ponto de partida no levantamento dos requisitos do sistema, ou mesmo substituindo este processo (opção feita pelo projeto de forma a acelerar sua implementação). Na próxima fase os cenários de utilização serão explodidos, promovendo um refinamento dos requisitos, em paralelo às atividades de codificação.

7 1 Introducão As atuais medidas de segurança não garantem 100% de eficácia contra todos os possíveis ataques. A análise de risco, processo de avaliação das vulnerabilidades do sistema e das potenciais ameaças, é portanto um componente essencial de qualquer programa de gerência de segurança da informação. O processo de análise identifica as prováveis conseqüências, ou riscos associados com as vulnerabilidades, e gera a base para estabelecimento de um programa de segurança que seja custo-efetivo. Este projeto tem como principal objetivo o desenvolvimento de ferramentas customizadas às práticas organizacionais latino-americanas (enfatizando as brasileiras), levando em conta nossas particularidades culturais e restrições de recursos, mas respeitando integralmente às recentes normas e padrões internacionais correlatos. O resultado deste projeto incluirá a disponibilização destas ferramentas na qualidade de software de domínio público, que funcionarão como habilitadores das mais modernas práticas de gerência de segurança da informação. O apoio do programa FRIDA têm sido essencial para o desenvolvimento de uma ferramenta de domínio público nesta área, fazendo com que o custo associado a esta prática não seja mais um impeditivo para sua ampla utilização. Além disso, certamente haverá uma maior confiança da parte dos empresários, já que a sua utilização não necessitará obrigatoriamente do envolvimento de consultoria externa. A primeira, e a maior, barreira para uma profunda disseminação de práticas de análise de risco de segurança no âmbito Brasil/América latina é o alto custo destes produtos. Algumas vezes o próprio custo de uma sólida consultoria nesta área é superior ao custo da infraestrutura de informação existente nas pequenas e microempresas nacionais. Um outro problema também muito freqüente é oriundo da disseminação voluntária/involuntária de práticas de pirataria de software, fazendo com que muito dos recursos de TI usados na empresa não sejam revelados aos consultores, comprometendo profundamente qualquer análise mais aprofundada dos riscos de segurança. O restante deste relatório está estruturado em 11 capítulos. No segundo capítulo, são apresentados os conceitos básicos necessários para o entendimento do processo de análise de riscos de segurança da informação. O terceiro capítulo detalha as principais ferramentas para análise de riscos de segurança existentes no mercado, através das suas principais características/funcionalidades, seus pontos fortes e pontos fracos. O quarto capítulo descreve o conjunto das principais funcionalidades selecionado para a ferramenta AGRIS. O quinto capítulo é dedicado ao estudo das principais ferramentas de análise/base de vulnerabilidades, abordando suas principais características e limitações. O capítulo 6 apresenta uma proposta de base de vulnerabilidades/controles para o projeto, bem como a ferramenta de gerenciamento desenvolvida. No sétimo capítulo é feita uma descrição comentada dos principais métodos de cálculo de risco de segurança existentes no mercado, embasando a proposta inicial adotada pelo projeto AGRIS, apresentada no capítulo 9. O décimo capítulo é dedicado ao ambiente de desenvolvimento escolhido para implementação do projeto. No capítulo 11, a metodologia escolhida para o levantamento dos requisitos é apresentada, bem como a descrição dos requisitos primários. O relatório é finalizado no capítulo 11, onde são apresentadas as considerações finais.

8 2 Conceitos Básicos O conceito segurança significa no dicionário Houaiss conjunto de processos, de dispositivos, de medidas de precaução que asseguram o sucesso de um empreendimento, do funcionamento preciso de um objeto, do cumprimento de algum plano etc. Já para o mundo informatizado segurança significa, segundo a NBR ISO/IEC [15] (código de melhores práticas para implementar a segurança da informação), a proteção da informação, que como qualquer outro ativo importante para os negócios, tem um valor para a organização e necessita ser adequadamente salvaguardada. A segurança tem estado presente em diversos cenários, desde um simples contrato para assegurar um automóvel, até a implementação de controles de segurança para colocar um sistema bancário no ar. Percebe-se que a segurança é um item comum no dia a dia de pessoas e empresas, passando de simples complemento para uma real necessidade. A segurança da informação protege a informação de forma a garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócios. Conforme descrição feita pela Norma ISO/IEC 17799, a proteção da informação é uma questão fundamental, podendo ser caracterizada pela preservação de alguns princípios considerados críticos para o estabelecimento de padrões de segurança: confidencialidade - garantia de que a informação é acessível somente por pessoas autorizadas ; integridade - salvaguarda da exatidão e completeza da informação e dos métodos de processamento ; disponibilidade - garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário ; autenticidade - necessidade de verificar que uma comunicação, transação ou acesso a algum serviço é legítimo ; não-repúdio - o remetente de uma mensagem não deve ser capaz de negar que enviou a mensagem ; legalidade - observar os aspectos legais envolvidos nos processos de negócio. Para existir um nível de segurança aceitável, não é necessário que todos estes fatores estejam presentes ao mesmo tempo. Basta imaginar um site onde as informações são de cunho público. Neste caso, seria necessário garantir a disponibilidade e integridade, porém como a informação foi classificada como pública, a confidencialidade não precisa estar presente. Podemos associar a combinação destes fatores com a teoria dos conjuntos, como sugere a figura 1.

9 Integridade Confidencialidade Disponibilidade Figura 1: Teoria dos conjuntos aplicado à segurança 2.1 DEFINIÇÕES A segurança da informação é formada pela salvaguarda da informação, como vimos anteriormente. Dentro deste contexto, existem diversos elementos e terminologias que compõem o cenário da segurança. Alguns dos principais elementos estão enumerados a seguir: Ativo Tudo que representa valor para o negócio da instituição. Exemplos: Humanos (Ex. Pessoas) Tecnológicos (Ex. Software, Hardware) Físicos (Ex. Escritórios, CPD) Ameaças Causas potenciais (agente) responsáveis por um incidente de segurança; Exploram falhas (vulnerabilidades). Exemplos: Hackers Crackers Agentes naturais Vândalos Vulnerabilidades Falha e/ou conjunto de falhas que podem ser exploradas por ameaças. Exemplos: Contas sem senha Buffer Overflow (DNS, FTP, SMTP, etc) SQL Injection Year Vulnerabilities 1,090 2,437 4,129 3,784 3,780 Tabela 1: Estatística de Vulnerabilidades divulgadas pelo CERT

10 Impacto Resultado de um incidente de segurança, que poderá resultar em perdas ou danos pequenos, médios ou grandes. Um exemplo claro, seria o comprometimento de um site de comércio eletrônico na Internet, e a posterior divulgação deste incidente pelos meios de comunicação. Provavelmente as compras com cartão de crédito cairiam em grande escala, podendo chegar até a comprometer a existência do negócio. Risco A avaliação dos riscos permite identificar as ameaças dos ativos, as vulnerabilidades e a sua probabilidade de ocorrência, e também os seus impactos sobre as organizações. Quanto maior o conhecimento sobre os riscos, mais fácil será decidir como tratá-lo. Basicamente, podemos conduzir o tratamento do risco de três formas: aceitá-lo, reduzilo ou mesmo transferi-lo. É através da análise de risco que teremos informação suficiente para identificar qual das três opções melhor se aplica ao cenário, sempre levando em consideração os objetivos de negócio. Para garantir a continuidade e a evolução da análise de risco, é necessário implementar uma Gestão de Risco, de forma a otimizar o processo e custos de operação.

11 3 Estudo das Principais Ferramentas de Análise de Riscos existentes 3.1 INTRODUÇÃO O principal objetivo desta seção é estabelecer um perfil do que se espera de uma ferramenta de análise de risco, através de uma avaliação minuciosa das ferramentas existentes no mercado, observando duas premissas básicas: as funcionalidades comuns à maioria das ferramentas existentes devem ser mantidas por se tratar de características esperadas em ferramentas desse tipo; evitar a necessidade de uso de ferramentas adicionais para garantir uma gerência integral dos riscos. As ferramentas foram selecionadas segundo a importância que as mesmas possuem dentro da área de Tecnologia da Informação. 3.2 VISUAL ASSURANCE Visual Assurance foi desenvolvida pela Kilclare Software em 1984, sendo uma ferramenta pró-ativa que tem como metas avaliar, monitorar e reportar riscos identificados, visando à redução dos custos associados. Faz uso do paradigma cliente/servidor, de forma que o aplicativo possa ser executado ininterruptamente, gerando resultados em tempo real. Permite a criação de templates, bem como a importação dos mesmos (de versões anteriores). Sua análise é orientada a entidades, que definem um checklist (conjunto de análises) a ser executado em determinado setor empresarial. Permite à alta gerência ver a empresa sob o prisma do nível de exposição e risco agregado, e ainda quantificar o nível da exposição atual do sistema por meio de um ranking de exposição. A persistência é garantida pela utilização de uma base de dados em Oracle, MSSQL Server, Interbase ou Sybase. Para cada entidade analisada a ferramenta busca associar manuais, tutoriais, e outras documentações que possam auxiliar o processo de mitigação dos riscos encontrados. As novas versões da ferramenta atualizam automaticamente a Base de Informação (Knowledge Base - KB) da ferramenta; com acesso a documentos on-line. Pontos fortes: uso de templates; identificação de ativos; permite definir valor de ativos; associação de documentos ao risco; relatórios especializados para a alta gerência.

12 Pontos fracos: o cálculo de risco de um ativo é visto independente de sua função no negócio da empresa; não existe geração de um plano de ação (para apoio a tomada de decisão); não identifica alteração no parque tecnológico; não permite a inclusão de vulnerabilidades não previstas; não permite ver o custo por controle; não valida controle, isto é, não verifica se a vulnerabilidade foi mitigada; não há verificação de compliance com padrões pré-estabelecidos; não mostra a evolução da gerência de risco, em termos de maturidade. 3.3 COMPLIANCE GUARDIAN Desenvolvida pela Ernest & Young, a ferramenta é acessada unicamente via interface web. Seus objetivos principais são: (i) amadurecer a prática em gerência de risco do setor de T.I. da empresa e (ii) verificar a conformidade (compliance) da mesma com padrões pré-estabelecidos, apontando as políticas necessárias para que tal conformidade seja atingida. A ferramenta divide-se em dois módulos: um de avaliação e outro de gerência. Avaliação O módulo de avaliação visa auxiliar a equipe de compliance a monitorar as próprias práticas de governança e ferramentas para compliance. Com os resultados obtidos pela ferramenta é possível criar um plano de ação e documentação necessários para garantir o padrão desejado. A ferramenta pode ser utilizada de tal forma que cada setor da empresa pode, independente dos demais, configurar a mesma, com informações de seu setor apenas. Este módulo é caracterizado por quatro fases: 1. uma série de perguntas (do tipo sim/não) que visam avaliar o nível de conformidade atual; 2. a cada resposta positiva, um texto explicativo (sobre o tema da pergunta em questão) é apresentado; 3. na medida em que pontos falhos são identificados, um plano de ação é desenvolvido com toda documentação necessária para servir de orientação na eliminação de falhas; todos os responsáveis no processo recebem informando os procedimentos necessários que cada setor deve adotar; 4. a equipe informa o nível de conformidade, para geração de relatórios, ordenado por data e pela importância dos serviços prestados pela organização. Gerência O módulo de gerência produz relatórios para que a equipe possa medir o nível de conformidade. O intuito desse módulo é permitir que os gerentes de conformidade verifiquem as informações enviadas pelos diversos setores da organização através do módulo de avaliação, indicando as áreas, setores e departamentos mais vulneráveis.

13 A ferramenta permite a utilização de padrões estabelecidos pela própria empresa, ou o uso de padrões estabelecidos pelo mercado e demais órgãos. Pontos fortes: verificação de conformidade; independência entre os setores da empresa envolvidos, o que permite colher uma gama maior de visões; criação de um plano de ação; verificação do nível de maturidade. Pontos fracos: não permite a classificação de ativos; não permite a inserção de vulnerabilidades não previstas; plano de ação dependente do conhecimento da equipe; não identifica vulnerabilidades; não identifica alteração no parque tecnológico; cálculo de risco não leva em conta a dependência entre ativos. 3.4 ENTERPRISE SUÍTE Conjunto de ferramentas da empresa Encore, visando integrar quatro áreas críticas de T.I.: mudanças, configuração, segurança e documentação. Ecora Enterprise Auditor Software de Gerência de Configuração. Gera relatório sobre as configurações dos sistemas pertencentes à organização e verifica o nível de maturidade destes, de acordo com padrões pré-estabelecidos. Coleta informações críticas sobre sistemas heterogêneos, para posterior auditoria, relatórios, recuperação de desastres identificação de mudanças, etc. Ecora Patch Manager (fig. 2) Análise e correção (por meio de patches Windows) da rede, a partir de uma máquina central. Utiliza os dados coletados dos sistemas para determinar quais patches são necessários. Ecora Reporter Subconjunto do Ecora Enterprise Auditor, usando uma base MSDE. Relatórios pré-definidos. Não oferece sistema de gerência de mudanças ou identificação de alterações. Ecora DeviceLock Controles que procuram evitar danos à rede e /ou aos sistemas, periféricos causados por programas maliciosos restringindo o acesso a dispositivos wireless, bluetooth, CD-ROM, disquetes, etc.

14 Figura 2: Ciclo de operações do Ecora Patch Manager Pontos fortes: identificação automática de ativos tecnológicos; verifica a maturidade de ativos em relação à configuração; relatórios sobre as vulnerabilidades encontradas; estende a segurança nativa do Sistema Windows; coleta informações sobre os ativos. Pontos Fracos: verifica vulnerabilidades do tipo patch apenas; não permite customização de relatórios; não associa a aplicação de patches a custos; não gera relatórios voltados para a alta gerência; não gera plano de ação. 3.5 CHECK-UP TOOL Desenvolvida pela Módulo, essa ferramenta leva em conta ativos tecnológicos e não tecnológicos em sua análise de risco. Sua análise de risco gera tanto relatórios voltados para o setor de T.I., quanto para alta gerência, respeitando as particularidades e interesses de cada um deles. Além disso, associa o amadurecimento da gerência de risco ao ROI sobre os gastos com risco. A análise de risco é feita por meio de checklists, que utilizam as respostas recebidas para a geração do planejamento de gestão e segurança e para a criação de índices de risco (Secure Scorecard). Possui interface Desktop e Web. Esta última funciona como uma série de entrevistas feitas com os membros de diversos setores da empresa.

15 Apoio à implementação dos requisitos de Certificação BS7799, COBIT, de agências reguladoras, Sarbanes-Oxley Act e Basiléia II. Usa a tecnologia Risk Wizard, para a geração dos relatórios (fig. 3) em forma de gráficos (setor empresarial) e tabelas (setor técnico) para a tomada de decisão. Figura 3: Exemplo de relatório gerado pelo Check-up tool Os resultados podem ser individuais, referentes a um componente ou ativo; ou resultado consolidados por vários componentes e ativos, com visões por componentes de negócios, ameaças, perímetros, etc. Pontos positivos: grande dependência da entrada do usuário; fornece subsídios para a análise de ativos não tecnológicos; gera relatórios diversificados (técnico e alta gerência); verifica o nível de maturidade; relação entre gerência de risco e ROI; criação de plano de ação; verificação de conformidade; customização de gráficos. Pontos negativos: não realiza o scanning de vulnerabilidades; não fornece relatório Risco x Impacto; cálculo de risco não leva em conta a dependência entre ativos; mistura diferentes visões da empresa;

16 3.6 FOUNDSTONE ENTERPRISE MANAGER Criado pela empresa de mesmo nome, é um sistema distribuído de gerência de risco. O Foundstone Enterprise Manager (FEM) congrega várias funcionalidades existentes em diversas ferramentas de gerência de risco. Devido a sua alta escalabilidade, a FEM pode ser considerada uma excelente candidata para a gerência de empresas de grande porte, além de proporcionar a mitigação de riscos associados a vulnerabilidades tecnológicas. Figura 4: Elementos envolvido no cálculo do risco - Foundstone A partir da identificação dos ativos inicia-se o inventário e a priorização destes dentro da infra-estrutura da rede. O segundo passo é o início da análise inteligente de vulnerabilidades e o processo de correlação das mesmas. Terminado essa etapa, iniciase o módulo de remediação, que a partir da coleta de informação sobre os ativos gera o plano de ação a ser executado. O módulo de correlação cria um ranking com as possíveis ameaças identificadas, apresentando as vulnerabilidades e riscos associados. Considerando a continuidade do negócio e a adoção de modelos pré-definidos que a empresa deve seguir (compliance), a tomada de decisão é feita visando garantir uma ação pró-ativa que coloquea empresa dentro do nível de maturidade desejado. Além de analisar e reportar ameaças e vulnerabilidades encontradas, a FEM também registra os esforços da empresa no processo de remediação/prevenção das ameaças identificadas. Com base nesses dados, emitem-se relatórios e gráficos mostrando a evolução de tais esforços, por ativo ou por unidade de negócio (setor empresarial, processo empresarial, etc.). Com base nesses gráficos é possível identificar o processo de maturidade da empresa no que diz respeito às suas vulnerabilidades. Para cada vulnerabilidade encontrada, o FEM gera um ticket que fica ativo até que ele

17 avalie se a solução adotada foi eficaz. O FEM define níveis de relação com a ferramenta, ou seja, um conjunto de ações possíveis de serem tomadas pelo usuário em questão. Dessa forma é possível que a alta gerência possa, por exemplo, analisar relatórios sem se preocupar com os processos que os geraram. Ilustração 0 - Ciclo de vida do FEM Figura 5 Ciclo de operações da ferramenta Foundstone Com relação aos relatórios gerados, os principais tipos são: técnico caracterizado pelo alto detalhamento; alerta - novas vulnerabilidades encontradas executivo - auxílio à tomada de decisão de melhor custo/benefício. Pontos fortes: correlação de vulnerabilidades; geração do plano de ação; classificação de ativos; verificação de conformidade; tomada de decisão em relação ao nível de maturidade pretendido; histórico de esforços realizados na gerência de risco; validação de controle; definição de perfil de usuário da ferramenta. Pontos fracos: escalabilidade apenas para média e grande empresa; correlação não busca enquadrar grupo de vulnerabilidades que poderiam ser mitigados por um mesmo controle; não correlaciona riscos.

18 3.7 BINDVIEW Desenvolvida pela BindView Corporation baseada em três pilares: políticas de conformidade; gerência de vulnerabilidades; administração de diretórios (Active Directory, NDS, etc.). Políticas de conformidade Ferramentas para gerar e medir políticas de segurança e compliance. Auxilia na adoção dos padrões estabelecidos pelo mercado e órgãos competentes (Sarbanes-Oxley, HIPAA, GLBA, COBIT e o CIS Benchmarks). Feito isso, a ferramenta verifica (dentre os setores, departamentos e pessoal) os que estão e os que não estão dentro do padrão adotado. Provê salvaguardas para os principais ativos, ajudando a desenvolver políticas para classificação dos ativos e avaliação dos riscos. Estabelecimento de prioridades. Benchmark. Gerência de Vulnerabilidades Auditoria pró-ativa sobre os principais ativos para evitar ataques externos. Auxilia na configuração e aplicação de patch nos ativos. Emissão de alertas automáticos. Emissão de relatórios de vulnerabilidade. Administração de diretórios Gerência de controle de permissão sobre os ativos tecnológicos, definindo o papel (e as permissões) de cada pessoa envolvida no processo. Pontos fortes: realiza compliance com padrões do mercado; benchmark; possui metodologia para auxiliar no cálculo do valor do ativo e avaliação de risco. Pontos fracos: não realiza cálculo de risco; não define perfil de usuário; não correlaciona riscos. 3.8 CRAMM EXPRESS Ferramenta baseada no método CRAMM através de uma metodologia que envolve aspectos técnicos e não técnicos da gerência de risco. Segue as regulamentações da BS para a classificação de controles e ameaças, bem como sua associação com vulnerabilidades. Possui wizard para auxiliar na definição de políticas. A ferramenta divide-se em três fases: identificação e cálculo do valor do ativo; avaliação de vulnerabilidade e ameaças;

19 seleção de contramedidas e recomendação. Identificação e cálculo do valor do ativo Identificação dos ativos que compõe o sistema (hardware, software, etc.). Ativos físicos (e.g. hardware) podem ser avaliados em termos do custo de reposição. Ativos lógicos (dados e software) são avaliados em termos do impacto devido a sua destruição, indisponibilidade ou alteração. Avaliação de vulnerabilidades e ameaças Identificação dos possíveis problemas associados com os ativos classificados. Analisa, além do tipo de problema, a forma em que eles podem ocorrer (deliberados, acidentais, etc.) e os classifica segundo as categorias: hacking; virus; falhas de hardware ou software; catástrofe ou terrorismo; erro humano; Nesse estágio, utiliza-se o método de CRAMM para calcular o risco. Contramedida e Recomendação As recomendações e contramedidas são retiradas de sua base, com mais de 3000 contramedidas organizadas em 70 grupos. A justificativa de implementação é feita confrontando o risco encontrado com a sua informação na base. Cada entrada na base possui um limiar que identifica se o risco é alto o suficiente para justificar a instalação da contramedida. O sistema fornece relatórios sobre os riscos encontrados Pontos fortes: realiza compliance com BS 7799; wizard para classificação de ativo; possui metodologia para auxiliar no cálculo do valor do ativo e avaliação de risco. Pontos fracos: não define perfil de usuário; não correlaciona riscos; não agrupa vulnerabilidades segundo o seu controle. O quadro a seguir (Tabela 2) fornece um comparativo com algumas características que foram identificadas como importantes em uma ferramenta de gerência de Risco:

20 Visualização ao nível de Ativos Customizaçã o dos custos de ativo Definição de Políticas por ativo Suporte a Sistemas Heterogêneos Uso de Templates na Definição de Políticas Correção de Falhas Associação do Risco à KB Atualização da KB Benchmark empresas de Mercado Controle de Correções Atualização de Compliance Relatórios Empresariais Relatórios Técnicos Análise de Risco Visual Assurance Sim, Visão em árvore Compliance Guardian Não Ecora Não, ao nível de Tecnologia Check-up tool Sim (integra ativos não tecnológicos) Foundstone Enterprise Risk Mgnt BindView CRAMM Express Sim Sim Sim Não Não Não Não Sim Não Não Sim Não Não Sim (checklist, sem definir riscos). Sim Sim Não Não Sim Sim Não Sim Sim Não Não Não Sim Não Sim Sim Não Não Não Sim (patch manager) Não Não Não (mas possui módulo de migração) Sim Não Não Sim Sim ---- Sim Sim --- Não Sim ---- Não Não Não Não Não Não Não Não Sim Sim (resumo) Sim (Gráficos de exceção, matrizes de Risco) Qualitativa e Quantitativa Sim, no servidor. Sim, custos relacionados junto com dados técnicos Sim, limitado a um conjunto de perguntas Não (apenas em relação à própria e a padrões internos) Sim, apenas Ticket. Não (padrões internos apenas) Sim Não Não Sim Sim Sim Sim Sim Sim Não Sim, ao nível da Tecnologia Sim (Risk Wizard) Sim Quant. Quant. Quant. Sim, (com impacto financeiro inclusive). Sim, (Com detalhamento técnico dos ativos) Qual. e Quant Sim Quant. Sim Quant. Tabela 2: Quadro comparativo das principais ferramentas de análise de riscos

21 3.9 CONCLUSÃO: As ferramentas estudadas fornecem alguns aspectos importantes na gerência de risco, mas não há nenhuma que ofereça todas as funcionalidades essenciais, o que leva a necessidade do uso de mais de uma delas para uma completa realização da Gerência de Risco. Este procedimento pode levar a uma desnecessária repetição de testes (pelo fato dessas ferramentas possuírem características em comum) ou mesmo a uma possível incompatibilidade de resultados (pelo fato dessas ferramentas utilizarem métricas diferentes). Uma solução seria uma ferramenta que integrasse a análise de risco e análise de vulnerabilidades, possuindo um conjunto mínimo de características comuns às principais ferramentas: classificação de ativos por meio de sua funcionalidade em relação ao negócio; identificação automática de alterações tecnológicas na empresa; scanning de vulnerabilidades; criação de um plano de ação que leve em conta a melhor relação custo/benefício; cálculo de risco deve levar em conta a dependência entre ativos; geração relatórios diversificados (técnico e alta gerência) previstos, relacionando características diversificadas (Risco x Ativo, Controle x Impacto, etc.). justificativa de investimento através do ROI; customização de gráficos; verificação de compliance com diversos padrões do mercado; verificação do nível de maturidade.

22 4 Funcionalidades selecionadas para a ferramenta GRIS Tendo em vista o atual quadro de fragilidade das infra-estruturas coorporativas de TI brasileiras e latino-americanas, tanto no aspecto estrutural quanto no metodológico, acredita-se que uma ferramenta de análise e gerência de riscos de segurança deva ter tanto um caráter funcional (focando eficiência), quanto educativo (para ajudar aos profissionais de TI envolvidos a gerar bons métodos para a análise e gerência de riscos de segurança). Após uma análise criteriosa das diversas ferramentas existentes no mercado, foi gerada uma lista das principais funcionalidades que devem estar presentes no projeto AGRIS: Visualização por ativos A ferramenta deve fazer uso de um nível de abstração que permita ao usuário definir ações sobre cada ativo individualmente. Nessa mesma linha, os resultados da análise (vulnerabilidades encontradas e gráficos de tendência gerados) devem ser mostrados por ativo. Como os prejuízos de uma empresa podem ser quantificados em termos de seus ativos (tecnológicos ou não), é importante que a ferramenta identifique quais ativos estão (ou não) dentro dos parâmetros estabelecidos pela empresa e, qual o prejuízo estimado para essa falta de conformidade. Definição do valor do ativo Ativos iguais podem assumir diferentes graus de importância em diferentes empresas, mesmo quando estas empresas pertencem a segmentos de mercado semelhantes. Desta forma, para que a ferramenta reflita com fidelidade o impacto que a indisponibilidade do mesmo causaria, é necessário que além do valor de mercado que o ativo venha a possuir, seja possível realizar ajustes individualizados. Definição de políticas por ativos Além de uma visão especializada por ativo, é importante que a ferramenta também permita a definição de políticas diferenciadas para cada ativo de uma mesma empresa. Para isso, a ferramenta precisa prover informações sobre a maturidade (em termos de gerência e análise de risco em redes) de empresas do mesmo segmento, e de ativos, que possam pertencer, ou não, ao mesmo segmento. Uso de templates A configuração de uma ferramenta deste porte pode ser extremamente complexa, restringindo o uso da mesma a profissionais com razoável experiência em processos de análise de risco de segurança. Para que isso não seja um impeditivo ao uso da ferramenta, é necessário disponibilizar modelos básicos -templates- (baseados nos diferentes tipos de 22

23 empresas) que sejam apropriados a todos os tipos de usuários da ferramenta. O uso de templates possibilita: (i) uma avaliação mais acurada da ferramenta no que diz respeito à adoção da mesma ou não; e (ii) um aprendizado sobre o uso da ferramenta e das técnicas de análise de risco, à medida que o modelo vai sendo ajustado à realidade da empresa. Controle e correção de falhas Além da identificação de um risco, é importante a existência de um mecanismo de verificação dos controles implementados pelo usuário para mitigar as vulnerabilidades encontradas. Tal mecanismo deve ter a função de instruir, acompanhar a implementação dos controles, verificar se o controle foi corretamente aplicado e quais riscos foram mitigados. Em outras palavras, deve-se integrar à ferramenta de análise de risco, todas as funcionalidades comumente encontradas em ferramentas de análise de vulnerabilidades. Este tipo de abordagem permite ao usuário interagir com apenas uma única ferramenta, criando um ambiente de análise sem costuras (seamless) - o que não é atualmente disponível em nenhuma ferramenta disponível no mercado. Para isso, outras características se fazem necessárias: disponibilização de uma KB - visando orientar o profissional de TI na correção de riscos encontrados é importante viabilizar um mecanismo de associação com documentos informativos sobre o problema e sua precisa correção; mecanismos para ampliação da KB - possivelmente alguma estratégia implementada por um profissional de TI pode não estar prevista em nenhuma KB e ainda assim se mostrar mais eficiente que as existentes; para isso deve ser prevista na ferramenta, uma interface para a atualização da KB, com informações geradas pelo próprio usuário; sincronização da KB - é importante que a ferramenta possa sincronizar (com freqüência definida pelo usuário) sua base com a de um servidor central constantemente atualizada; Benchmarks e conformidade É importante para uma empresa saber como a mesma está situada (no que diz respeito à gerência de risco implementação de políticas e alocação de recursos) em relação a outras empresas do mesmo segmento. A comparação é uma importante fonte de inspiração para o processo de alocação de recursos em segurança, ou ainda na estratégia de marketing. Por isso a ferramenta deve fornecer diferentes subsídios sobre implementação de políticas de segurança: comparação entre a empresa e outras do mercado; comparação entre o momento atual da empresa e algum momento anterior; comparação entre diferentes setores e/ou ativos da mesma empresa; comparação com algum padrão pré-estabelecido (compliance). 23

24 Relatórios O ponto crucial de uma ferramenta de análise de risco de segurança é a sua capacidade de apresentar os resultados das análises de uma forma completa e didática, de acordo com o público alvo a que estes se destinam. A partir destes resultados serão definidas as políticas que devem ser adotadas e a prioridade que cada uma deve ter. Como a linguagem utilizada por profissionais de TI, gerentes e executivos é diferente, os relatórios produzidos devem adequar-se a cada um desses grupos: relatórios técnicos - informando com detalhes que dispositivos e qual o nível de exposição cada um possui, exemplos: o Gráficos: importância do ativo x dificuldade de implementação do controle; o Gráficos: ativo x nível de exposição. Relatórios empresariais: relatórios com formatação e características próprias para empresários e administradores; exemplos: o Gráficos: custo x benefício na implementação de controles; o Gráfico gasto com segurança x retorno obtido. 24

25 5 Análise das Principais Ferramentas de Análise e Bases de Vulnerabilidades 5.1 FERRAMENTAS DE ANÁLISE (SCANNERS) Um scanner de segurança é um programa que busca brechas de segurança em uma máquina/rede que possam vir a ser usadas por um cracker. A seguir, serão apresentadas as melhores ferramentas de scanners de vulnerabilidades disponíveis no mercado, com suas características mais importantes. Nessus O Nessus tem exatamente essa função, encontrar "brechas" em sua máquina. Ele foi criado em 1998, como uma alternativa open-source aos vários softwares de segurança comerciais da época. Ele busca ser o mais atualizado possível e simples de usar (dentro das limitações), sendo dividido em Nessusd (servidor) e nessus (cliente), sendo que o último pode rodar sobre o ambiente X com uma interface amigável e fácil de entender. Utiliza técnicas intrusivas para varrer a rede. O Nessus necessita do Nmap, do GTK (se for rodar no ambiente X) e do SSL (opcional) para funcionar corretamente. Plataformas: Unix Sara Ferramenta gratuita que funciona como scanner remoto e local. Oferece suporte ao SANS TOP 20 de vulnerabilidades, sendo que as atualizações são feitas duas vezes por mês. É baseada no CIS BENCHMARK, o que permite que sejam feitas comparações de sistemas com padrões de segurança mundialmente reconhecidos. Apenas classifica o nível de vulnerabilidade: vermelho, amarelo e marrom. Sua base de dados está em XML Plataformas: Unix e MAC OS X Retina Ferramenta comercial que atua como scanner remoto e local. Utiliza técnicas não intrusivas para a varredura da rede, ou seja, permite varrer a rede sem causar indisponibilidades de serviços e sistemas. Permite validar vulnerabilidades de redes sem fio. A sua arquitetura permite que os próprios usuários cadastrem as suas vulnerabilidades. 25

26 Retina exibe dois tipos de relatórios: técnico (bem detalhado); \executivo (gráficos e informações superficiais). Possui uma extensa base de vulnerabilidades, com monitoramento constante dos principais fabricantes, sendo a atualização feita pelo Retina s Auto Update. Languard Ferramenta comercial que pode ser um scanner remoto e local, permitindo varrer um ou mais IP s. Verifica a atrás de possíveis vulnerabilidades que um hacker poderia explorar (ausência de patches e erros de configurações) e, para cada vulnerabilidade encontrada, apresenta uma solução de segurança (KB Microsoft, fabricante, etc). Permite agendar scanners periódicos e comparar com execuções anteriores, permitindo ainda, configurar o tipo de vulnerabilidade a ser pesquisada (ausência de patches, erros de configurações, etc) e exportar resultados em XML. Sua base de vulnerabilidades é extensa e gratuita: SANS, CVE, KB Microsoft, etc Plataforma: Windows BASES DE VULNERABILIDADES CVE CVE é uma base que padroniza nomes e descrições de vulnerabilidades. É usada como padrão pela indústria de segurança. Atualmente, possui 205 produtos compatíveis, isto é, que usam e produzem referências a esta base, e 128 organizações contribuindo com ela. É organizada pelo MITRE, que supervisiona o processo de nomeação das vulnerabilidades. Seu quadro editorial, que atua no processo de nomeação, adota duas definições para analisar as entradas: vulnerabilidades universais e exposições. As entradas em análise são chamadas candidatas e recebem uma identificação provisória (CAN-AAAA-NNNN). Entretanto, seu objetivo é servir como uma referência para informações de vulnerabilidades de diferentes fontes. Por isso, em suas entradas não há informações como correções, risco, etc. Não é feito nenhum tipo classificação em suas entradas, nem mesmo quanto a serem vulnerabilidades ou exposições. 26

27 Uma entrada nesta base consiste de um nome padrão (CVE-AAAA-NNNN) e uma breve descrição e referências para fontes que possuem mais informações. É distribuída em vários formatos, incluindo XML. Exemplo de uma entrada: CVE CVE Version: Name Description CVE smbmnt in Samba 2.x and 3.x on Linux 2.6, when installed setuid, allows local users to gain root privileges by mounting a Samba share that contains a setuid root program, whose setuid attributes are not cleared when the share is mounted. References BUGTRAQ: Samba 3.x + kernel 2.6.x local root vulnerability BUGTRAQ: Re: Samba 3.x + kernel 2.6.x local root vulnerability DEBIAN:DSA-463 XF:samba-smbmnt-gain-privileges(15131) BID:9619 OSVDB:3916 OVAL Open Vulnerability Assessment Language (OVAL) foi desenvolvida em 2002, quando foi constatada a ausência de uma forma estruturada de se avaliar a existência de vulnerabilidades em softwares de rede. A idéia inicial era criar consultas SQL para determinar a existência de vulnerabilidades em redes de computadores e outros dispositivos. Atualmente o formato preferencial de OVAL é em XML. Sua detecção é feita em termos das características do sistema e informações sobre a configuração do mesmo, sem o uso de exploits. Por características do sistema entende-se o sistema operacional instalado, as configurações feitas no mesmo, aplicativos instalados e suas configurações. Por configurações do sistema entende-se valor de chave de registros, atributos de arquivos de sistemas e arquivos de configuração. Sua base de informações é retirada da CVE, desenvolvido pela Mitre. A partir das entradas presentes na CVE, a base OVAL acrescenta maiores detalhes sobre a 27

28 vulnerabilidade e informações necessárias para a identificação da mesma. Além das informações retiradas da CVE (considerada metadados), cada entrada OVAL inclui metadados, uma descrição em alto nível, e uma consulta detalhada: metadados - identificação OVAL (OVAL-ID), status da entrada na base (Submissão inicial, ínterim ou aceita) e uma breve descrição sobre a vulnerabilidade; descrição em alto nível o primeira seção ("Vulnerable software exists"), que informa qual o sistema operacional, o nome do arquivo, a vulnerabilidade, versão de aplicação e o status da correção; o segunda seção ("Vulnerable configuration"), que indica se o serviço está rodando, configurações específicas e afins; consulta detalhada: acesso a chaves de registro, arquivos de configuração e atributos do sistema operacional e de outros arquivos. Organizações que dão suporte à base OVAL: CERIAS/Purdue University SANS Institute Debian IBM Microsoft Red Hat Bastille Linux Center for Internet Security CERT/CC (Software Engineering Institute,Carnegie Mellon University) Defense Information Systems Agency (DISA) National Security Agency (NSA) MITRE Corporation BindView Corporation Cisco Systems Citadel Security Software Harris Corporation Symantec BugTraq É uma mailing list moderada, organizada pela SecurityFocus. Nela, vulnerabilidades são postadas e discutidas em detalhe. Porém há uma recomendação para que novas vulnerabilidades sejam primeiramente postadas para o fabricante. Isto evita que alguém possa explorá-la antes que o fabricante tome alguma medida. Não disponibiliza um arquivo com as vulnerabilidades, como por exemplo, em formato XML. O conteúdo e a exatidão das postagens são verificadas somente pela SecurityFocus. Os itens de busca podem ser por palavra-chave, título, fabricante, BugTraq ID ou pela correspondente 28

29 entrada na CVE. Suas entradas são classificadas em 10 categorias. 1. Condição de erro limite - ocorre quando: um processo tenta ler ou escrever além de um endereço limite válido; um recurso de sistema é esgotado; um erro resulta de um overflow de uma estrutura de dados estática. Esta classe é a classe da condição de buffer overflow. 2. Erro de validação de acesso - ocorre quando: alguém invoca uma operação ou um objeto fora do domínio de acesso; um erro ocorre com resultado de leitura ou escrita de/para um arquivo ou dispositivo; um erro ocorre quando um objeto aceita entrada de algo não autorizado; um erro ocorre porque o sistema falhou ao autenticar alguém. 3. Erro de validação de entrada - ocorre quando: um erro ocorre porque um programa falhou ao reconhecer sintaticamente uma entrada incorreta; um erro ocorre quando o módulo aceita campos de entrada estranhos; um erro ocorre quando um módulo falha, ao tratar campos de entrada não preenchidos. 4. Origem do erro de validação - ocorre quando o sistema falha ao autenticar alguém antes de executar operações privilegiadas; por exemplo, o erro pode ocorrer quando um objeto aceita uma entrada de alguém não autorizado, ou porque falha ao autenticar o sujeito. 5. Falha no tratamento de exceções - ocorre quando o sistema falha ao tratar exceções geradas por um módulo, dispositivo ou entrada do usuário. 6. Erros de condição de corrida - é explorado durante uma janela de tempo entre duas operações 7. Erro de serialização - resulta da serialização inadequada ou imprópria de operações. 8. Erros de atomicidade - ocorrem quando: estruturas de dados parcialmente modificadas são observadas por outro processo; porque o código terminou com dados modificados apenas parcialmente de alguma operação que deveria ter sido atômica. 9. Erros de ambiente resulta de uma interação em um ambiente específico entre módulos corretos funcionalmente; ocorrem quando: um programa é executado em uma máquina específica, em uma configuração particular. o sistema operacional é diferente daquele para o qual o software foi escrito. 29

30 10. Erros de Configuração ocorrem: quando o sistema utilizado foi instalado com parâmetros incorretos; pela exposição do sistema que foi instalado em lugar errado; porque o acesso a permissões foi incorretamente configurado. Exemplo de uma entrada (a mesma acima para o CVE): bugtraq id 9619 object class cve remote local Info Access Validation Error CAN No Yes published Feb 09, 2004 updated Sep 15, 2004 vulnerable Gentoo Linux 1.4 _rc3 Gentoo Linux 1.4 _rc2 Gentoo Linux 1.4 _rc1 Gentoo Linux 1.4 Linux kernel 2.6 -test9-cvs Linux kernel 2.6 -test9 ( ) not vulnerable Discussion A local privilege escalation vulnerability has been reported to affect the 2.6 Linux kernel. The issue appears to exist due to a lack of sufficient sanity checks performed when executing a file that is hosted on a remote Samba share. An attacker may exploit this condition to gain elevated privileges, as the setuid/setgid bit of a remote file is honored on the local system. Exploit Solution Credits 30

31 SANS Top 20 É uma lista das 20 classes de vulnerabilidades mais críticas, feita pela SANS Institute e pela NIPC (National Infrastructure Protection Center) do FBI. A idéia, é que com essa lista, as empresas possam priorizar as correções realizadas em seus sistemas. É apenas uma lista das vulnerabilidades mais críticas e não uma base. Divide-se em duas, 10 de ambientes Windows e 10 de ambiente Unix/Linux: Vulnerabilidades Top para Sistemas Windows w1 Servidor web & Serviços w2 Workstation Service w3 Serviço de Acesso Remoto do Windows W4 Microsoft SQL Server (MSSQL) W5 Autenticação do Windows W6 Web Browsers W7 Aplicações de Compartilhamento de Arquivo W8 Exposição LSAS W9 Cliente de W10 Mensagens Instantâneas Vulnerabilidades Top para sistemas Unix U1 BIND Domain Name System U2 Servidor Web U3 Autenticação U4 Controle de Versão do Sistema U5 Serviço de Transporte de Mensagens U6 Simple Network Management Protocol (SNMP) U7 Open Secure Sockets Layer (SSL) U8 Misconfiguration of Enterprise Services NIS/NFS U9 banco de Dados U10 Kernel Cada classe inclui instruções passo a passo para correção dessas vulnerabilidades, e também links para mais informações em outras fontes, como, por exemplo, entradas na CVE. Nessus Constituída de uma série de arquivos, cada um sendo uma entrada em sua base. Esses arquivos, chamados de plugins, são escritos numa linguagem (interpretada) desenvolvida para o Nessus, a NASL. Eles contêm scripts que exploram uma determinada vulnerabilidade, e também, informações sobre a vulnerabilidade. É possível extrair de sua base os seguintes dados: ID; BUGTRAQ_ID lista de id s bugtraq (opcional); 31

32 CVE_ID lista de id s da base CVE (opcional); REVISAO; NOME ; DESCRICÃO descrição sobre a vulnerabilidade identificada, podendo possuir os seguintes campos: o descrição propriamente dita; o solução (opcional); o fator de risco (opcional); SUMMÁRIO; CATEGORIA ao qual ele pertence dentro do Nessus; COPYRIGHT; FAMÍLIA grupo ao qual o mesmo está relacionado; Com essa base é possível extrair além da descrição da vulnerabilidade, o fator de risco e um possível controle. Base Microsoft A lista de vulnerabilidades dos produtos da Microsoft é publicada pelo MSRC (Microsoft Security Response Center), órgão responsável por detectar e corrigir vulnerabilidades nos produtos da Microsoft. Basicamente, ele faz a coleta de relatos de consumidores, sites especializados em segurança, suporte da Microsoft e de seus próprios desenvolvedores, e realiza uma triagem para averiguar se correspondem a alguma vulnerabilidade de segurança. Para passar na triagem, o relato precisa se encaixar na definição de vulnerabilidade de segurança da MSRC: A security vulnerability is a flaw in a product that makes it infeasible (even when using the product properly) to prevent an attacker from usurping privileges on the user's system, regulating its operation, compromising data on it, or assuming ungranted trust. Ou seja, para eles, vulnerabilidade se restringe à existência de uma falha específica no produto que o torne incapaz de prevenir que uma entidade aja de forma maliciosa no sistema. Após a triagem, uma investigação formal é realizada junto com o time de desenvolvimento, para concluir de que se trata de uma legítima vulnerabilidade. Caso proceda, o patch é criado. O boletim de segurança é escrito e o artigo na Knowledge Base é desenvolvido. 32

33 O Boletim de Segurança Atualmente, os boletins podem ser encontrados num único arquivo XML, que é atualizado a cada publicação de um novo boletim. O arquivo XML (MSSecure.XML) é disponibilizado em formato comprimido (.cab). Várias ferramentas da Microsoft para gerenciamento de atualizações, utilizam este arquivo como fonte de atualização. Programas como HFNetChk e Microsoft Baseline Security Analyzer (MBSA) ao realizarem o update, utilizam o arquivo MSSecure.cab. Exemplo de informações contidas num boletim: Issued (Data de publicação) Last Revised (Data de revisão) Version Number (Versão) Summary (Sumário) Who should read this document (Informações sobre o público alvo do boletim) Impact of vulnerability (Impacto da vulnerabilidade) Maximum Severity Rating (Nível de severidade) Racommendation (Recomendações) Patch Replacement (Quais patches serão substituídos pelo patch do boletim) Caveats (Considerações especiais ao instalar o patch) Tested Products and Patch Download Locations: o Affected Software (lista softwares afetados e links para os patchs) o Non Affected Software (lista de softwares não afetados) Technical Details (Detalhes técnicos) o Technical Description (uma descrição mais técnica) o Mitigation Factors (fatores de mitigação) o Severity Rating (explicação para o nível de severidade atribuído) o Vulnerability Identifier (ID na base CVE, como candidato ou entrada definitiva) Workaround (contornos, Quebra-galhos ) o Description (Descrição do contorno) o Impact of workaround (Descrição do impacto, caso o contorno seja implementado) FAQ Security Patch Information (Detalhes sobre informações de instalação do patch) o Prerequisites (Quais produtos e service packs são necessários para o patch) o Installation Information o Deployment Information (informações de como instalar o patch) o Restart Requirement (informa de será necessário reinicializar) o Removal Information (informações de como desinstalar o patch) o File Information (informações sobre o executável do patch) o Verifying Patch Installation (descreve como certificar que o patch está instalado) 33

34 Os boletins possuem um identificador para a base CVE (Common Vulnerabilities and Exposures). Os mais recentes, porém, possuem um identificador CVE Candidate. Todo boletim possui um código, que o identifica: MSAA-NNN, onde AA indica os dois dígitos do ano em que o patch foi publicado e NNN é o número (contador) atribuído ao patch dentro do ano. Este contador é reiniciado a cada ano. 34

35 6 Proposta para a Base AGRIS 6.1 TESTE DE VULNERABILIDADE Uma base de teste de vulnerabilidades para redes heterogêneas é importante para automatizar o processo de análise, identificação e correção de vulnerabilidades encontradas nos ativos pertencentes a uma LAN. A idéia é coletar dados oriundos de bases já existentes e informações definidas por futuros usuários da ferramenta para servir dados para um interpretador comum a todos os S.O. Inicialmente os dados passam por um interpretador que os coloca em um mesmo formato acessível por uma biblioteca para análise de vulnerabilidades, construída de tal forma que novos tipos de análise possam ser aceitos sem grandes alterações no código. Inicialmente definem-se os possíveis tipos de teste e os acessos relacionados: 1. teste de registro: acesso a chaves e valores de chaves em registro; 2. teste de arquivo: acesso a informações contidas em arquivo; 3. teste de socket: acesso remoto a serviços. Para cada tipo de teste acima, as seguintes consultas podem ser realizadas: a) existencial - verifica se o recurso (arquivo, chave de registro, recurso, processo, etc) existe (está instalado) no sistema em questão. (resultado true/false); b) permissão - verifica o tipo de permissão que o recurso possui (ler, escrever, executar). (resultado access_perm{int,int,int}, com os valores de acesso dono/grupo/todos); c) chave/valor - busca o valor associado a uma dada chave (resultado string, contendo o valor relacionado à chave); d) valor - busca a existência de determinada seqüência em um recurso (resultado true/false); e) write-before-read - envia uma seqüência e lê o resultado (resultado string, contendo o valor retornado). A tabela 3 descreve a relação entre os tipos de teste e tipos de consulta (sim/não): Teste/Consulta Existencial Permissão Chave/Valor Valor Write-B-Read Registro S S S N N Arquivo S S S S N Socket S N S N S Tabela 3: tipos de teste versus tipos de consulta 35

36 Inicialmente, para qualquer teste devem ser criados os recursos necessários para a devida consulta. Após a criação dos recursos, uma ou mais consultas devem ser realizadas no intuito de se estabelecer a existência ou não da vulnerabilidade em questão (exemplo de especificação da classe para esse fim: Classe: AGRIS_TestVul). Atributos ID: estrutura de acesso aos recursos necessários para a execução do teste; SysTarget: informações sobre o sistema alvo (plataforma, família); SysTest: informações sobre o tipo de teste a ser executado e link para os recursos necessários. Métodos ID opentest(test_id): retorna o identificador para o teste e armazena informações do sistema alvo e recursos necessários à execução. Bool exectest(test_id): retorna o resultado de uma análise de vulnerabilidade - verdadeiro para vulnerável. String writeread(id &, String & in): envia a string in via socket, e retorna o resultado como string. Bool getstuff (ID &, String & pattern): verifica se o recurso existe no sistema. Dependendo de SysTest associado a ID pode procurar por serviço, ou arquivo, etc. access_perm stuffstatus(id &, String & pattern): retorna a permissão associada ao recurso em questão. String getkeyvalue(id &, String & key): retorna o valor associado a chave informada por key. bool getvalue((id &, String & value): verifica se recurso possui o valor informado por value. Persistência O conjunto de informações a serem persistidas é o mesmo utilizado pelo interpretador: identificador do teste; a plataforma: define as primitivas a serem usadas; adentificador de ações: identifica o conjunto de ações que utilizados para a análise da vulnerabilidade em questão; operador de agregação: informa se uma única resposta positiva ou o conjunto delas é necessário para identificar-se uma vulnerabilidade; ação: Par pergunta resposta que valida se o resultado de uma análise é idêntica a resposta esperada. O diagrama apresentado na figura 6 mostra uma proposta inicial de persistência dessas informações: 36

37 teste_id plataforma comentário tipo_de_teste operador_de_agregação resposta_id resultado_esperado plataforma comentário tipo_de_teste operador_de_agregação Obs: 1 N 1 N ação_id tipo_de_consulta dados_da_consulta resposta_id Figura 6: Proposta incial de persistência das informações 6.2 FERRAMENTA DE GERENCIAMENTO DA BASE A ferramenta visa facilitar a entrada de dados na Base de Vulnerabilidades e Controles do projeto AGRIS. Ela oferece ao gerenciador, entradas de outras bases (Nessus, OVAL e CVE), permitindo que este escolha qual a melhor fonte para determinado campo de uma entrada na Base AGRIS. 37

38 Base AGRIS A Base Agris é formada por 6 tabelas: agris_vul (Armazena as entradas relacionadas às vulnerabilidades) ag_v_id nome autor data autor_revisao data_revisao versao descricao plataforma familia produto agris_ctrl (Armazena entradas dos controles) ag_c_id ag_agr_id nome autor data autor_revisao data_revisao versao implementacao dificuldade tempo kb ag_vul_ctrl_ref (Relaciona vulnerabilidades com seus controles) ag_v_id ag_c_id agris_agrupamento (Armazena os agrupamentos) ag_agr_id agrupamento agris_ameaca (Armazena as ameaças) ag_am_id ameaça ag_am_ref (Relaciona controles com suas ameaças) ag_c_id ag_am_id Cada vulnerabilidade, na Base AGRIS, pode ter zero ou mais controles associados. Cada entrada informa a família, plataforma e produto suscetível à vulnerabilidade. Os controles, em particular, possuem o campo dificuldade e tempo, que informam o nível de dificuldade e o tempo gasto (em minutos) para a implementação do controle, respectivamente. Estes dois campos entrarão no cálculo do custo de implementação do controle. Cada controle pode, ainda, ser classificado em um agrupamento, e ter zero ou mais ameaças relacionadas. 38

39 Estas tabelas formam a parte principal da Base AGRIS. Existem ainda, outras tabelas que armazenam informações das Bases de Pesquisa. Elas implementam as entradas para a base de plugins do Nessus, CVE e OVAL. Figura 7: Diagrama de relações da Base AGRIS A ferramenta possibilita a atualização das entradas nas Bases de Pesquisa. Nesta primeira versão, a atualização é feita por meio da especificação de arquivos em XML, no caso da CVE e OVAL, e diretório contento plugins.nasl, no caso do Nessus. Na próxima versão da ferramenta, as fontes de atualização serão extraídas automaticamente de repositórios remotos, como o site das organizações das bases. A ferramenta foi toda desenvolvida no ambiente O C++ Builder, sendo que os componentes de comunicação com bases de dados foram intensamente utilizados. O Interbase Server 6 foi utilizado num primeiro momento durante a programação como servidor local principal para a base de dados. Na etapa final, o Firebird foi utilizado para abrigar a base, permitindo que conexão da ferramenta com a base fosse modificada de local para remota. 39

40 A interface desenvolvida visa agilizar ao máximo a entrada de dados na Base AGRIS e a consulta as outras Bases de Pesquisa. Basicamente é divida em dois painéis tabulados (fig. 8). Na esquerda está a parte da Base AGRIS, com tábuas separadas para vulnerabilidades e controles. Na direita estão as tábuas para acesso as entradas das Bases de Pesquisa. Figura 8: Tela de consulta/entrada de dados da Base AGRIS As ações de copiar e colar podem ser utilizadas para transmitir informação de um campo para outro. As Bases de Pesquisa não são editáveis, sendo disponibilizadas somente para consulta. A atualização, como já dito, é feita através de uma caixa de diálogo (fig. 9), onde se especificam os arquivos e quais bases serão alvo da atualização. 40

41 Figura 9: Tela de atualização da Base AGRIS 41

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança + Conformidade Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança e Conformidade via Software-as-a-Service (SaaS) Hoje em dia, é essencial para as empresas administrarem riscos de segurança

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar.

C O B I T. Gerenciamento dos Riscos Mitigação. Aceitação. Transferência. Evitar/Eliminar. C O B I T Evolução Estratégica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI (ITIM) B) Provedor de Serviços Gerenciamento de Serviços de TI (ITSM) C) Parceiro Estratégico Governança

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper

Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper Outubro de 2007 Resumo Este white paper explica a função do Forefront Server

Leia mais

FANESE Faculdade de Administração e Negócios de Sergipe

FANESE Faculdade de Administração e Negócios de Sergipe I FANESE Faculdade de Administração e Negócios de Sergipe GERENCIAMENTO DE PATCHES Atualizações de segurança Aracaju, Agosto de 2009 DAYSE SOARES SANTOS LUCIELMO DE AQUINO SANTOS II GERENCIAMENTO DE PATCHES

Leia mais

O Módulo Risk Manager fornece workflow para tratamento dos riscos identificados nas avaliações e priorização das ações.

O Módulo Risk Manager fornece workflow para tratamento dos riscos identificados nas avaliações e priorização das ações. GRC - Governança, Riscos e Compliance já é uma realidade nas organizações. Sua adoção, no entanto, implica no desenvolvimento e na manutenção de um framework que viabilize a integração e colaboração entre

Leia mais

Estratégias para avaliação da segurança da computação em nuvens

Estratégias para avaliação da segurança da computação em nuvens Academia de Tecnologia da IBM White paper de liderança de pensamento Novembro de 2010 Estratégias para avaliação da segurança da computação em nuvens 2 Proteção da nuvem: do desenvolvimento da estratégia

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

AVDS Vulnerability Management System

AVDS Vulnerability Management System DATA: Agosto, 2012 AVDS Vulnerability Management System White Paper Brazil Introdução Beyond Security tem o prazer de apresentar a nossa solução para Gestão Automática de Vulnerabilidade na núvem. Como

Leia mais

Qualidade de Processo de Software Normas ISO 12207 e 15504

Qualidade de Processo de Software Normas ISO 12207 e 15504 Especialização em Gerência de Projetos de Software Qualidade de Processo de Software Normas ISO 12207 e 15504 Prof. Dr. Sandro Ronaldo Bezerra Oliveira srbo@ufpa.br Qualidade de Software 2009 Instituto

Leia mais

Gerenciamento de Redes de Computadores. Introdução ao Gerenciamento de Redes

Gerenciamento de Redes de Computadores. Introdução ao Gerenciamento de Redes Introdução ao Gerenciamento de Redes O que é Gerenciamento de Redes? O gerenciamento de rede inclui a disponibilização, a integração e a coordenação de elementos de hardware, software e humanos, para monitorar,

Leia mais

Gerenciamento do Risco Operacional. Gerenciamento do Risco Operacional

Gerenciamento do Risco Operacional. Gerenciamento do Risco Operacional Gerenciamento do Risco Operacional Controle do documento Data Autor Versão Outubro/2010 Compliance 001 Dezembro/2011 Compliance 002 Dezembro/2012 Compliance 003 Agosto/2014 Compliance 004 Revisão do documento

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &\QDUD&DUYDOKR F\QDUDFDUYDOKR#\DKRRFRPEU

Leia mais

Software de gerenciamento do sistema Intel. Guia do usuário do Pacote de gerenciamento do servidor modular Intel

Software de gerenciamento do sistema Intel. Guia do usuário do Pacote de gerenciamento do servidor modular Intel Software de gerenciamento do sistema Intel do servidor modular Intel Declarações de Caráter Legal AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO SÃO RELACIONADAS AOS PRODUTOS INTEL, PARA FINS DE SUPORTE ÀS PLACAS

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos

O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos computadores existentes numa determinada rede, permitindo

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública - USP 3 3 Apresentação : Introdução. NBR ISO/IEC 27001 e 17799. Proposta de Plano de Trabalho/Ação. Referências. Confidencialidade Permitir

Leia mais

Amplie os horizontes da sua empresa com o Software Assurance e o Windows Vista.

Amplie os horizontes da sua empresa com o Software Assurance e o Windows Vista. Amplie os horizontes da sua empresa com o Software Assurance e o Windows Vista. Introdução Software Assurance Windows Vista Trazendo uma série de novas ofertas para maximizar o seu investimento, o Software

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Aranda SQL COMPARE. [Manual de Uso] Todos os direitos reservados Aranda Software www.arandasoft.com [1]

Aranda SQL COMPARE. [Manual de Uso] Todos os direitos reservados Aranda Software www.arandasoft.com [1] [1] Aranda SQL COMPARE Versão 1.0 Aranda Software Corporation 2002-2007. Todos os direitos reservados. Qualquer documentação técnica fornecida pela Aranda software Corporation é um produto registrado da

Leia mais

MINISTÉRIO DA FAZENDA

MINISTÉRIO DA FAZENDA MINISTÉRIO DA FAZENDA Procuradoria-Geral da Fazenda Nacional PGFN Departamento de Gestão Corporativa - DGC Coordenação-Geral de Tecnologia da Informação - CTI CATÁLOGO DE SERVIÇOS DE TECNOLOGIA Infraestrutura

Leia mais

NetMRI. Reduzir riscos e melhorar a eficiência da área de TI através de Configuração de rede automática e Gestão de mudança(s)

NetMRI. Reduzir riscos e melhorar a eficiência da área de TI através de Configuração de rede automática e Gestão de mudança(s) Benefícios para os Negócios Detecte e automatize mudanças de rede, e veja quem mudou o que, quando e onde, e monitore qual o impacto na condição e estabilidade da rede. Reduza as suposições com total descoberta,

Leia mais

Plano de Gerência de Configuração

Plano de Gerência de Configuração Plano de Gerência de Configuração Objetivo do Documento Introdução A aplicação deste plano garante a integridade de códigos-fonte e demais produtos dos sistemas do, permitindo o acompanhamento destes itens

Leia mais

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti

Governança AMIGA. Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti e d a id 4 m IN r fo a n m Co co M a n ua l Governança AMIGA Para baixar o modelo de como fazer PDTI: www.microsoft.com/brasil/setorpublico/governanca/pdti Um dos grandes desafios atuais da administração

Leia mais

Gerenciamento de Serviços de TI com base na ITIL

Gerenciamento de Serviços de TI com base na ITIL Gerenciamento de Serviços de TI com base na ITIL Information Technology Infrastructure Library ou Biblioteca de Infraestrutura da Tecnologia da Informação A TI de antes (ou simplesmente informática ),

Leia mais

Consulte a parte de trás para obter informações sobre instalação rápida.

Consulte a parte de trás para obter informações sobre instalação rápida. Guia do Usuário Consulte a parte de trás para obter informações sobre instalação rápida. Protegemos mais usuários contra ameaças on-line do que qualquer outra empresa no mundo. Cuidar de nosso meio ambiente,

Leia mais

Ferramenta: Spider-CL. Manual do Usuário. Versão da Ferramenta: 1.1. www.ufpa.br/spider

Ferramenta: Spider-CL. Manual do Usuário. Versão da Ferramenta: 1.1. www.ufpa.br/spider Ferramenta: Spider-CL Manual do Usuário Versão da Ferramenta: 1.1 www.ufpa.br/spider Histórico de Revisões Data Versão Descrição Autor 14/07/2009 1.0 15/07/2009 1.1 16/07/2009 1.2 20/05/2010 1.3 Preenchimento

Leia mais

Glossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart.

Glossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart. Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart. Versão 1.6 15/08/2013 Visão Resumida Data Criação 15/08/2013 Versão Documento 1.6 Projeto Responsáveis

Leia mais

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE

Prof. Dr. Ivanir Costa. Unidade III QUALIDADE DE SOFTWARE Prof. Dr. Ivanir Costa Unidade III QUALIDADE DE SOFTWARE Normas de qualidade de software - introdução Encontra-se no site da ABNT (Associação Brasileira de Normas Técnicas) as seguintes definições: Normalização

Leia mais

LEI DE ACESSO A INFORMAÇÃO DIREITO DO CIDADÃO

LEI DE ACESSO A INFORMAÇÃO DIREITO DO CIDADÃO DESCRIÇÃO DO SIGAI O SIGAI (Sistema Integrado de Gestão do Acesso à Informação) é uma solução de software que foi desenvolvida para automatizar os processos administrativos e operacionais visando a atender

Leia mais

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA SERVIÇO DE RESPOSTA A INCIDENTES D Solução de segurança que fornece orientações para o efetivo controle ou correção de ataques externos causados por vulnerabilidades encontradas no ambiente do cliente.

Leia mais

Requisitos de business intelligence para TI: O que todo gerente de TI deve saber sobre as necessidades reais de usuários comerciais para BI

Requisitos de business intelligence para TI: O que todo gerente de TI deve saber sobre as necessidades reais de usuários comerciais para BI Requisitos de business intelligence para TI: O que todo gerente de TI deve saber sobre as necessidades reais de usuários comerciais para BI Janeiro de 2011 p2 Usuários comerciais e organizações precisam

Leia mais

Symantec Network Access Control

Symantec Network Access Control Conformidade abrangente de endpoints Visão geral O é uma solução completa para o controle de acesso que permite às empresas controlar o acesso às redes corporativas de forma segura e eficiente, através

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

INTERNET HOST CONNECTOR

INTERNET HOST CONNECTOR INTERNET HOST CONNECTOR INTERNET HOST CONNECTOR IHC: INTEGRAÇÃO TOTAL COM PRESERVAÇÃO DE INVESTIMENTOS Ao longo das últimas décadas, as organizações investiram milhões de reais em sistemas e aplicativos

Leia mais

Política de Sistemas Corporativos e Serviços da Rede Governamental

Política de Sistemas Corporativos e Serviços da Rede Governamental Dezembro de 2006 1.0 02/12/2006-2 - Índice 1 Objetivo... 3 2 Abrangência... 3 3 Considerações Gerais... 4 4 Exigências de Segurança para sistemas governamentais... 4 4.1 Exigências dos Níveis de Segurança...

Leia mais

CA Network Automation

CA Network Automation FOLHA DE PRODUTOS: CA Network Automation agility made possible CA Network Automation Ajude a reduzir o risco e aprimore a eficiência da TI automatizando o gerenciamento de mudança e da configuração de

Leia mais

Gerenciamento de Riscos em Segurança da informação. cynaracarvalho@yahoo.com.br

Gerenciamento de Riscos em Segurança da informação. cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR Gerenciamento de Riscos em Segurança da informação cynaracarvalho@yahoo.com.br

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

Aranda INVENTORY. Benefícios Estratégicos para sua Organização. (Standard & Plus Edition) Beneficios. Características V.2.0907

Aranda INVENTORY. Benefícios Estratégicos para sua Organização. (Standard & Plus Edition) Beneficios. Características V.2.0907 Uma ferramenta de inventario que automatiza o cadastro de ativos informáticos em detalhe e reporta qualquer troca de hardware ou software mediante a geração de alarmes. Beneficios Informação atualizada

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Otimização do Gerenciamento de Datacenters com o Microsoft System Center

Otimização do Gerenciamento de Datacenters com o Microsoft System Center Otimização do Gerenciamento de Datacenters com o Microsoft System Center Aviso de Isenção de Responsabilidade e Direitos Autorais As informações contidas neste documento representam a visão atual da Microsoft

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

CA Protection Suites Proteção Total de Dados

CA Protection Suites Proteção Total de Dados CA Protection Suites Proteção Total de Dados CA. Líder mundial em software para Gestão Integrada de TI. CA Protection Suites Antivírus Anti-spyware Backup Migração de dados Os CA Protection Suites oferecem

Leia mais

A Disciplina Gerência de Projetos

A Disciplina Gerência de Projetos A Disciplina Gerência de Projetos Atividades, Artefatos e Responsabilidades hermano@cin.ufpe.br Objetivos Apresentar atividades da disciplina Gerência de Projetos Discutir os artefatos e responsáveis envolvidos

Leia mais

Gestão de Riscos. Risco

Gestão de Riscos. Risco Gestão de Riscos A crescente importância da TI para os processos de negócio de uma empresa trouxe em paralelo, também, um aumento de problemas de segurança em relação à informação. Assim, a necessidade

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

É desejável que o Proponente apresente sua proposta para ANS considerando a eficiência e conhecimento do seu produto/serviço.

É desejável que o Proponente apresente sua proposta para ANS considerando a eficiência e conhecimento do seu produto/serviço. 1 Dúvida: PROJETO BÁSICO Item 4.1.1.1.2 a) Entendemos que o Suporte aos usuários finais será realizado pelo PROPONENTE através de um intermédio da CONTRATANTE, que deverá abrir um chamado específico para

Leia mais

Melhores práticas para gerenciamento de suporte a serviços de TI

Melhores práticas para gerenciamento de suporte a serviços de TI Melhores práticas para gerenciamento de suporte a serviços de TI Adriano Olimpio Tonelli Redes & Cia 1. Introdução A crescente dependência entre os negócios das organizações e a TI e o conseqüente aumento

Leia mais

Symantec Discovery. Controle seu software e hardware e monitore a conformidade com as licenças em toda a infra-estrutura de TI de várias plataformas

Symantec Discovery. Controle seu software e hardware e monitore a conformidade com as licenças em toda a infra-estrutura de TI de várias plataformas Symantec Discovery Controle seu software e hardware e monitore a conformidade com as licenças em toda a infra-estrutura de TI de várias plataformas VISÃO GERAL O Symantec Discovery ajuda a garantir a resiliência

Leia mais

CobiT 5. Como avaliar a maturidade dos processos de acordo com o novo modelo? Conhecimento em Tecnologia da Informação

CobiT 5. Como avaliar a maturidade dos processos de acordo com o novo modelo? Conhecimento em Tecnologia da Informação Conhecimento em Tecnologia da Informação CobiT 5 Como avaliar a maturidade dos processos de acordo com o novo modelo? 2013 Bridge Consulting All rights reserved Apresentação Sabemos que a Tecnologia da

Leia mais

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada Visão Geral do Mercado Embora o uso dos produtos da Web 2.0 esteja crescendo rapidamente, seu impacto integral sobre

Leia mais

Fundamentos de Teste de Software

Fundamentos de Teste de Software Núcleo de Excelência em Testes de Sistemas Fundamentos de Teste de Software Módulo 2- Teste Estático e Teste Dinâmico Aula 3 Teste Estático SUMÁRIO INTRODUÇÃO... 3 1. Definição... 3 2. Custo Versus Benefício...

Leia mais

Tratamento de Incidentes de Segurança em Redes de Computadores. GRA - Grupo de Resposta a Ataques

Tratamento de Incidentes de Segurança em Redes de Computadores. GRA - Grupo de Resposta a Ataques Tratamento de Incidentes de Segurança em Redes de Computadores GRA - Grupo de Resposta a Ataques Palestrante: Indiana Belianka Kosloski de Medeiros 30/09/2004 ASPECTOS GERENCIAIS ESTRUTURA DE SEGURANÇA

Leia mais

Grid e Gerenciamento Multi-Grid

Grid e Gerenciamento Multi-Grid Principais Benefícios Alta disponibilidade, Escalabilidade Massiva Infoblox Oferece serviços de rede sempre ligados através de uma arquitetura escalável, redundante, confiável e tolerante a falhas Garante

Leia mais

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF

Análise de Riscos de Segurança da Informação. Prof. Paulo Silva UCEFF Análise de Riscos de Segurança da Informação Prof. Paulo Silva UCEFF Roteiro 1. Conceitos Fundamentas de Seg. Informação 2. Identificação e Avaliação de Ativos 3. Identificação e Avaliação de Ameaças 4.

Leia mais

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com

Gestão de T.I. GESTÃO DE T.I. ITIL. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. José Luís Padovan jlpadovan@gmail.com 1 Information Technology Infrastructure Library 2 O que é o? Information Technology Infrastructure Library é uma biblioteca composta por sete livros

Leia mais

Especificações da oferta Gerenciamento de dispositivos distribuídos: Gerenciamento de ativos

Especificações da oferta Gerenciamento de dispositivos distribuídos: Gerenciamento de ativos Visão geral do Serviço Especificações da oferta Gerenciamento de dispositivos distribuídos: Gerenciamento de ativos Os Serviços de gerenciamento de dispositivos distribuídos ajudam você a controlar ativos

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Roubo de identidade Hackers e cibervandalismo Roubo de informações pessoais (número de identificação da Previdência Social, número da

Leia mais

Apresentação da Empresa. CAPO Software. your team more agile

Apresentação da Empresa. CAPO Software. your team more agile Apresentação da Empresa CAPO Software QUEM SOMOS A CAPO SOFTWARE é provedora de serviços diversificados de TI com vasta experiência em desenvolvimento de sistemas e processo de configuração que compreende

Leia mais

Rotina de Discovery e Inventário

Rotina de Discovery e Inventário 16/08/2013 Rotina de Discovery e Inventário Fornece orientações necessárias para testar a rotina de Discovery e Inventário. Versão 1.0 01/12/2014 Visão Resumida Data Criação 01/12/2014 Versão Documento

Leia mais

Software Support. Maintenance and Technical Support

Software Support. Maintenance and Technical Support Software Support Maintenance and Technical Support Estrutura de suporte a software da IBM Os especialistas do suporte a software contam com uma estrutura de suporte global para melhor atender os Clientes

Leia mais

Gerenciador de Mudanças automatizadas

Gerenciador de Mudanças automatizadas Benefícios para os Negócios Minimizando a dependência em processos manuais e reduzindo risco de erro humano Reduz o tempo, esforço e risco de erro humano que existem ao mudar a configuração em dispositivos

Leia mais

CA Nimsoft Monitor Snap

CA Nimsoft Monitor Snap CA Nimsoft Monitor Snap Guia de Configuração do Gateway de email emailgtw série 2.7 Avisos legais Copyright 2013, CA. Todos os direitos reservados. Garantia O material contido neste documento é fornecido

Leia mais

A INTERNET E A NOVA INFRA-ESTRUTURA DA TECNOLOGIA DE INFORMAÇÃO

A INTERNET E A NOVA INFRA-ESTRUTURA DA TECNOLOGIA DE INFORMAÇÃO A INTERNET E A NOVA INFRA-ESTRUTURA DA TECNOLOGIA DE INFORMAÇÃO 1 OBJETIVOS 1. O que é a nova infra-estrutura informação (TI) para empresas? Por que a conectividade é tão importante nessa infra-estrutura

Leia mais

Dell Infrastructure Consulting Services

Dell Infrastructure Consulting Services Proposta de Serviços Profissionais Implementação do Dell OpenManage 1. Apresentação da proposta Esta proposta foi elaborada pela Dell com o objetivo de fornecer os serviços profissionais de implementação

Leia mais

L A C Laboratory for Advanced Collaboration

L A C Laboratory for Advanced Collaboration Publicação de Dados Governamentais no Padrão Linked Data 1.2 - Dados Governamentais Abertos Karin Breitman José Viterbo Edgard Marx Percy Salas L A C Laboratory for Advanced Collaboration Objetivo deste

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

Lista de Verificação / Checklist

Lista de Verificação / Checklist Lista de Verificação / Checklist Avaliação NC / PC / C Departamentos Padrões de Referência /// Referências do MQ //// Referências Subjetivas A B C D E Cláusula Padrão Conforme/ Não C. 4 Sistema de Gestão

Leia mais

SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE

SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE Modelo de Otimização de SAM Controle, otimize, cresça Em um mercado internacional em constante mudança, as empresas buscam oportunidades de ganhar vantagem competitiva

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

III. Norma Geral de Segurança da Informação para Uso da Internet

III. Norma Geral de Segurança da Informação para Uso da Internet O B J E CT I V O Estabelecer critérios para acesso à Internet utilizando recursos do Projecto Portal do Governo de Angola. Orientar os Utilizadores sobre as competências, o uso e responsabilidades associadas

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA Nº 139, DE 10 DE MAIO DE DE 2011. Aprova a instituição e o funcionamento da equipe de tratamento e resposta a incidentes em redes computacionais do IPEA.

Leia mais

Segurança da Informação

Segurança da Informação Agência Nacional de Vigilância Sanitária Segurança da Informação (Gerenciamento de Acesso a Sistemas de Informação) Projeto a ser desenvolvido no âmbito da Gerência de Sistemas/GGTIN Brasília, junho de

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

SIMULADO: Simulado 3 - ITIL Foundation v3-40 Perguntas em Português

SIMULADO: Simulado 3 - ITIL Foundation v3-40 Perguntas em Português 1 de 7 28/10/2012 16:47 SIMULADO: Simulado 3 - ITIL Foundation v3-40 Perguntas em Português RESULTADO DO SIMULADO Total de questões: 40 Pontos: 0 Score: 0 % Tempo restante: 55:07 min Resultado: Você precisa

Leia mais

PARTE III Auditoria Conceitos Introdutórios

PARTE III Auditoria Conceitos Introdutórios FATERN Faculdade de Excelência Educacional do RN Coordenação Tecnológica de Redes e Sistemas Curso Superior de Tecnologia em Sistemas para Internet Auditoria em Sistemas de Informação Prof. Fabio Costa

Leia mais

Módulo 3 Procedimento e processo de gerenciamento de riscos, PDCA e MASP

Módulo 3 Procedimento e processo de gerenciamento de riscos, PDCA e MASP Módulo 3 Procedimento e processo de gerenciamento de riscos, PDCA e MASP 6. Procedimento de gerenciamento de risco O fabricante ou prestador de serviço deve estabelecer e manter um processo para identificar

Leia mais

Simplificando o Gerenciamento do Microsoft Exchange

Simplificando o Gerenciamento do Microsoft Exchange Documento Técnico Simplificando o Gerenciamento do Microsoft Exchange Lokesh Jindal George Hamilton Maio de 2004 O Desafio do Gerenciamento do Exchange Para se criar e manter vantagem competitiva, é necessário

Leia mais

CONSULTORIA E SERVIÇOS DE INFORMÁTICA

CONSULTORIA E SERVIÇOS DE INFORMÁTICA CONSULTORIA E SERVIÇOS DE INFORMÁTICA Quem Somos A Vital T.I surgiu com apenas um propósito: atender com dedicação nossos clientes. Para nós, cada cliente é especial e procuramos entender toda a dinâmica

Leia mais

ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente;

ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente; ITIL ITIL - Por que surgiu? Dependências de TI; A qualidade, quantidade e disponibilidade de infra-estrutura de TI afetam diretamente; ITIL Mas o que gerenciar? Gerenciamento de Serviço de TI. Infra-estrutura

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

Aula 12 Lista de verificação de segurança para o Windows 7

Aula 12 Lista de verificação de segurança para o Windows 7 Aula 12 Lista de verificação de segurança para o Windows 7 Use esta lista de verificação para ter certeza de que você está aproveitando todas as formas oferecidas pelo Windows para ajudar a manter o seu

Leia mais

SELinux. Security Enhanced Linux

SELinux. Security Enhanced Linux SELinux Security Enhanced Linux Segurança da Informação A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de segurança Objetivando a proteção das

Leia mais

reputação da empresa.

reputação da empresa. Segurança premiada da mensageria para proteção no recebimento e controle no envio de mensagens Visão geral O oferece segurança para mensagens enviadas e recebidas em sistemas de e-mail e mensagens instantâneas,

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Consolidação inteligente de servidores com o System Center

Consolidação inteligente de servidores com o System Center Consolidação de servidores por meio da virtualização Determinação do local dos sistemas convidados: a necessidade de determinar o melhor host de virtualização que possa lidar com os requisitos do sistema

Leia mais

Anexo V - Planilha de Apuração Aquisição de Solução de Redes Sociais

Anexo V - Planilha de Apuração Aquisição de Solução de Redes Sociais Anexo V - Planilha de Apuração Aquisição de Solução de Redes Sociais Será utilizado o seguinte critério: Atende / Não atende (Atende em parte será considerado Não atende) Item Itens a serem avaliados conforme

Leia mais

UNIVERSIDADE FEDERAL DE PELOTAS

UNIVERSIDADE FEDERAL DE PELOTAS Usando um firewall para ajudar a proteger o computador A conexão à Internet pode representar um perigo para o usuário de computador desatento. Um firewall ajuda a proteger o computador impedindo que usuários

Leia mais

Hardware (Nível 0) Organização. Interface de Máquina (IM) Interface Interna de Microprogramação (IIMP)

Hardware (Nível 0) Organização. Interface de Máquina (IM) Interface Interna de Microprogramação (IIMP) Hardware (Nível 0) Organização O AS/400 isola os usuários das características do hardware através de uma arquitetura de camadas. Vários modelos da família AS/400 de computadores de médio porte estão disponíveis,

Leia mais

Metodologia de Auditoria com Foco em Riscos.

Metodologia de Auditoria com Foco em Riscos. Metodologia de Auditoria com Foco em Riscos. 28 de Novembro de 2003 Dados do Projeto Colaboradores: Bancos ABN Amro Real Banco Ficsa Banco Itaú Banco Nossa Caixa Bradesco Caixa Econômica Federal HSBC Febraban

Leia mais