Avaliação de Vulnerabilidades. O que eu preciso saber?

Transcrição

1 Avaliação de Vulnerabilidades O que eu preciso saber?

2 Mito 1 Estamos protegidos, já possuímos um bom firewall e também sistemas IDS/IPS. Realidade A implementação dessas ferramentas muitas vezes levam os administradores a acreditar que suas redes estão a salvo de intrusos. Infelizmente, não é o caso. Em um ambiente de ameaças complexas de hoje, malware, spyware, funcionários descontentes e hackers internacionais agressivos, o desenvolvimento e aplicação de uma rigorosa e regular política de segurança de rede que incorpora a avaliação de vulnerabilidadesé fundamental para manter a continuidade dos negócios.

3 Mito 2 Nossa empresa não é alvo para ataques. Realidade Se você olhar para a história recente você vai ver que nem todos os ataques são direcionados. CodeRed, Blaster, Sasser, Bagel, etc. tem atacado empresas e sistemas de forma aleatória, com base nas vulnerabilidades específicas. Por outro lado, não são apenas as grandes empresas que precisam se preocupar com ataques direcionados. Funcionários, fornecedores e provedores de serviço, todos podem tirar proveito de vulnerabilidades de rede para violar a política de segurança. Essencialmente, intrusões maliciosas são evitáveis se as empresas adotam uma política de segurança forte e aderem a avaliações de vulnerabilidaderegulares, fazendo correções de forma proativa.

4 Mito 3 Nós já temos um sistema de gerenciamento de patches implantado. A avaliação de vulnerabilidades parece ser uma duplicação de esforços. Realidade Embora existam sistemas de remediação automatizados que podem fornecer alguma identificação de baixo nível de arquivos desatualizados, avaliação de vulnerabilidades com auditoria personalizada é muito mais abrangente.

5 Mito 4 Nosso pessoal de TI pode ficar em cima de vulnerabilidades e dos sistemas de correção, conforme necessário. Temos, inclusive, um sistema caseiro que funciona muito bem. Realidade Embora teoricamente seja possível para uma equipe de TI lidar com correção manualmente, não é muito realista esperar que as auditorias possam ser completas e oportunas. Para reduzir o potencial de relatórios falsos negativos, é imperativo que a solução de avaliação de vulnerabilidades seja atualizado regularmente, com mecanismo de verificação comprovada.

6 Mito 5 Proteção contra vulnerabilidades é uma tarefa impossível - nunca estaremos à frente dos atacantes. Realidade O verdadeiro benefício de avaliação de vulnerabilidadesé que é um processo proativo poderoso para proteger uma rede corporativa. Com as soluções de avaliação de vulnerabilidades, potenciais falhas de segurança são corrigidas antes de se tornarem problemáticas, permitindo que as empresas se defendam de ataques antes que eles ocorram. A verdade é que praticamente todos os ataques vêm de vulnerabilidades já conhecidas. CERT / CC relata que cerca de 99% de todas as intrusões resultaram da exploração de vulnerabilidades conhecidas ou erros de configuração básicos.

7 Mito 6 Temos muitas aplicações caseiras em nosso ambiente. Soluções de avaliação de vulnerabilidadessão ineficazes na detecção de problemas neste caso. Realidade A maioria dos atacantes vai focar em vulnerabilidades de aplicações já conhecidas. Análise personalizada de vulnerabilidades pode encontrar padrões de desenvolvimento de aplicações repletos de falhas de segurança em diversos níveis.

8 Padrões e Recomendações Recomendações OWASP Open Web ApplicationSecurity Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional, que contribui para a melhoria da segurança de softwares aplicativos reunindo informações importantes que permitem avaliar riscos de segurança e combater formas de ataques através da internet.

9 Padrões e Recomendações Recomendações PCI-DSS O Payment Card Industry Security Standards Council (PCI-SSC) foifundadopelaamerican Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc., comoum fórumglobal paraa disseminação de padrões de segurança na proteção de dados de pagamento, edefine o PCI Data Security Standard (PCI-DSS). Os 12 requerimentos do PCI-DSS são divididos em 6 seções que visam de modo geral proteger a integridade dos dados de pagamento do usuário do cartão de crédito.

10 Padrões e Recomendações

11 Padrões e Recomendações Recomendações ISO/IEC ISO/IEC (International Organization for Standardization/International Electrotechnical Commission): ISO/IEC-27001: Norma que trata de técnicas para implantação de um SGSI (Sistema de Gestão da Segurança da Informação) ISO/IEC-27002: Complementa a ISO Lista os objetivos de controle para o SGSI e recomenda um conjunto de especificações e melhores práticas para iniciar, implementar e manter o SGSI. Trata-se da nova denominação da ISO/IEC 17799:2000, lançada em 2005 e renomeada oficialmente como sua substituta em ISO/IEC27005:InformationSecurity RiskManagement. O propósito daiso/iec 27005:2008 é prover diretrizes para orientar e assistir a implantação de processos de Segurança da Informação baseados numa abordagem de Gerenciamento de Risco, suportando os conceitos gerais especificados na ISO/IEC e ISO/IEC-17799: Foi substituída pela ISO/IEC após a revisão de ISO/IEC-15408: Common Criteria, é uma referência internacional para desenvolvedores, administradores e auditores de segurança para sistemas de informação. A Common Criteria simplesmente atesta que o produto de software (aplicação web) implementa um determinado conjunto de funcionalidades de segurança, mas não garante que o mesmo seja seguro apenas por conta disso.

12 Padrões e Recomendações ITIL v3 COBiTv4 MOF v4

13 Padrões e Recomendações 3 Camadas de Proteção e Controle

14 Incidentes de segurança CERT.br Jan/Mar 2013

15 BYOD A mobilidade e a insegurança de redes de mãos dadas. BringYourOwnDevice(BYOD). Não são apenas alguns dispositivos que estão fora do controle do departamento de TI das organizações, mas as infinidades de atalhos de acesso e configurações de redes que já podem, potencialmente, significar comprometimento dos níveis de segurança. Uma situação que se torna especialmente preocupante quando dispositivos móveis, de várias origens, passam a ter acesso total ao servidor interno da empresa e aos diversos recursos de rede.

16 Conclusão Cada vez mais,hackersem busca de informações sigilosas estão focando no roubo de dados de dentro para fora das redes empresariais, analisa a empresa de segurança digital Trustwave. O que mudou nos últimos anos é que os atacantes viram que a tecnologia externa está ficando cada vez melhor, então se voltaram para a tecnologia mais fraca, que é a rede do usuário, explicou Luiz Eduardo dos Santos, Diretor do SpiderLabsda Trustwavepara América Latina e Caribe, durante o evento de segurança digital Trustwave Security Day, realizado em São Paulo na última terçafeira (21/05/2013). Matéria completa: O conteúdo do Canalteché protegido sob a licença CreativeCommons(CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.

17 Conclusão Hoje, cada usuário tem um ou dois dispositivos, mais um notebook, e ele leva isso para onde vai, diz dos Santos. Para o especialista, é necessário que equipes de TI passem a trabalhar na conscientização do usuário para que evite uma contaminação de dentro para fora. A gente dá muito ferramenta para o usuário hoje, e às vezes não os ensinamos como ele teria que utilizar aquela tecnologia. O usuário não tem ideia das implicações e problemas que ele pode causar, até sem querer, na empresa inteira, explica. Matéria completa: O conteúdo do Canalteché protegido sob a licença CreativeCommons(CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.

18 Conclusão Outro fator decisivo para o sucesso de invasões e roubo de dados é o longo tempo que empresas costumam levar para identificar um ataque. Segundo o levantamento mais recente, a média é de 210 dias desde a invasão até a identificação do problema. Mesmo em empresas mais preparadas (5% do total), a identificação pode levar até 10 dias, considerado tempo mais que o suficiente para um roubo de dados. Matéria completa: O conteúdo do Canaltech é protegido sob a licença Creative Commons(CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.

19 Conclusão Apenas duas em cada cinco empresas usam tecnologias eficientes contra ameaças corporativas. Estudo realizado pela B2B Internationalsob encomenda da KasperskyLabnão são reconfortantes: apenas pouco mais de um terço dos pesquisados criptografa dados corporativos; somente 43% usam sistemas que detectam ataques à infraestrutura de TI (IPS/IDS), e 15% não estão cientes da existência desses sistemas ou não têm interesse em usá-los. Menos da metade das empresas pesquisadas controlam o uso de dispositivos externos ou de aplicativos de terceiros; e apenas 55% usam a tecnologia de controle de acesso à rede (NAC - Network Access Control). Ao mesmo tempo, há uma tendência positiva: cerca de um quinto das empresas pesquisadas planejam implementar uma ou mais das tecnologias citadas acima ainda este ano.

20 Nossos serviços Auditoria de segurança de rede típica e/ou reconhecimento de atividades Reunião de informações Inventário de vulnerabilidades Exploitation Privilégios do sistema Acesso à manutenção de sistemas Engenharia reversa Forense Ferramentas e relatório Reconfiguração de serviços

21 Contato