Segurança em Redes Análise de risco. Instituto Superior de Engenharia de Lisboa

Transcrição

1 Segurança em Redes Análise de risco Redes de Comunicação de Dados Departamento de Engenharia da Electrónica e das Telecomunicações e de Computadores Instituto Superior de Engenharia de Lisboa

2 Atacantes: Hackers e Crackers Hacker (picareta) fanático de computadores gosta de desafios gosta de expor as vulnerabilidades para provar a sua inteligência superior normalmente não é mal intencionado Cracker (ou black hacker) mal intencionado aplica receitas explora vulnerabilidades em proveito próprio A maior parte dos atacantes são híbridos ISEL - DEETC - Redes de Comunicação 2

3 Motivações para os ataques Ataques do interior da organização representam 70 % das ocorrências com intenção: ex. colaboradores insatisfeitos sem intenção: ex. equipa de limpeza são muito difíceis de proteger Ataques do exterior representam 30 % das ocorrências concorrência (ex. espionagem industrial, denial of service, alteração de conteúdos WWW, etc.) militância (ex. causa de Timor, ambientalistas, pacífistas, etc.) visibilidade (ex. ataques ao site da NASA e do FBI) relay de mensagem SPAM ISEL - DEETC - Redes de Comunicação 3

4 Potencial alvo de ataque Treze questões (classificar de 1 a 5) Acesso físico de público ao interior do edifício? Acesso aos recursos de estranhos à organização? Suporte de serviços de comunicação para o público em geral (ex.isp)? Mais alguém para além da equipa de gestão tem acesso a privilégios de administração? Existe partilha de contas entre utilizadores ou contas genéricas (ex. guest)? A actividade da organização pode ser considerada controversa? ISEL - DEETC - Redes de Comunicação 4

5 Potencial alvo de ataque (cont.) Treze questões (classificar de 1 a 5) A actividade da organização está relacionada com a área financeira? Existem servidores expostos à Internet? São usadas redes públicas para dados sensíveis (ex. Internet, Frame Relay, X.25, RDIS)? A actividade da organização é altamente especializada? A organização teve um crescimento muito rápido? A organização tem tido muita visibilidade nos media? Os utilizadores são especialista de informática? ISEL - DEETC - Redes de Comunicação 5

6 Pontuação? < 15 pode dormir descansado (mais ou menos)! > 15 e < 30 potencial de ser alvo de ataque baixo > 30 e < 40 potencial de ser alvo de ataque médio > 40 e < 50 potencial de ser alvo de ataque elevado > 50 e < 60 potencial de ser alvo de ataque muito elevado > 60 você está neste momento a ser atacado! ISEL - DEETC - Redes de Comunicação 6

7 Qual o nível de segurança? Análise de risco identificar os bens a proteger identificar as ameaças a esses bens identificar os custos associados ISEL - DEETC - Redes de Comunicação 7

8 Qual o nível de segurança? (cont.) Definição de uma política de segurança objectivos definição das medidas a implementar papel dos vários elementos da organização definição das medidas para impor a política de segurança relação com a legislação em vigor ISEL - DEETC - Redes de Comunicação 8

9 Qual o nível de segurança? (cont.) Implementação da política de segurança instalação de mecanismos de segurança monitorização de segurança auditorias de segurança ISEL - DEETC - Redes de Comunicação 9

10 Análise de risco O que é que necessita de protecção? Recursos físicos computadores, impressoras, servidores, Recursos intelectuais informação Tempo tempo de reparação tempo de down-time Tempo é dinheiro ISEL - DEETC - Redes de Comunicação 10

11 Análise de risco (cont.) De quem é necessário garantir protecção? Rede local Redes remotas de outros edifício Redes de clientes ou fornecedores Internet Acesso comutado através de modems ou RDIS Redes sem fios ISEL - DEETC - Redes de Comunicação 11

12 Análise de risco (cont.) Quem é que pode estar interessado em atacar os recursos informáticos? Colaboradores Colaboradores não permanentes (ex. consultores) Concorrência Indivíduos com ideias radicalmente diferentes Indivíduos com motivos de vingança Indivíduos que queiram adquirir visibilidade ISEL - DEETC - Redes de Comunicação 12

13 Análise de risco (cont.) Qual é a probabilidade de uma tentativa ser bem sucedida? Quais os acessos ao exterior existentes? Quais os mecanismos de autenticação existentes? Quais os mecanismos de firewall existentes? Que ganhos pode ter o atacante? ISEL - DEETC - Redes de Comunicação 13

14 Análise de risco (cont.) Quais são os custos imediatos de uma intrusão? Custos de reparação Custos de produtividade (ex. paragem de uma equipa de projecto) Implicações na vida humana (ex. hospital) - Credibilidade da empresa (ex. preço das acções na bolsa) ISEL - DEETC - Redes de Comunicação 14

15 Análise de risco (cont.) Quais são os custos de recuperar de um ataque? Custos de recuperação de sistemas Custos de recuperação de informação Custos de negação de serviços (DoS) Custos devidos a acesso não autorizado e não detectado à informação ISEL - DEETC - Redes de Comunicação 15

16 Análise de risco (cont.) Como garantir protecção a custos controlados? Que nível de protecção é necessário? Instalar firewall? Contratar perito em segurança? Quais os custos de produtividade dos mecanismos a instalar? Não sobredimensionar as soluções (overkill)! O custo de garantir protecção deve ser inferior ao custo de recuperação ISEL - DEETC - Redes de Comunicação 16

17 Análise de risco (cont.) Existe alguma legislação que regulamente as medidas de segurança a adoptar? É obrigatória a instalação de mecanismos de segurança (ex. militares)? É proibida a utilização de alguns mecanismos de segurança (ex. criptografia, biometria)? ISEL - DEETC - Redes de Comunicação 17

18 Referências Folhas de Segurança em Redes Edmundo Monteiro Departamento de Engenharia Informática da Universidade de Coimbra ISEL - DEETC - Redes de Comunicação 24