Segurança em Redes Análise de risco. Instituto Superior de Engenharia de Lisboa
|
|
- Marisa Salazar Nobre
- 8 Há anos
- Visualizações:
Transcrição
1 Segurança em Redes Análise de risco Redes de Comunicação de Dados Departamento de Engenharia da Electrónica e das Telecomunicações e de Computadores Instituto Superior de Engenharia de Lisboa
2 Atacantes: Hackers e Crackers Hacker (picareta) fanático de computadores gosta de desafios gosta de expor as vulnerabilidades para provar a sua inteligência superior normalmente não é mal intencionado Cracker (ou black hacker) mal intencionado aplica receitas explora vulnerabilidades em proveito próprio A maior parte dos atacantes são híbridos ISEL - DEETC - Redes de Comunicação 2
3 Motivações para os ataques Ataques do interior da organização representam 70 % das ocorrências com intenção: ex. colaboradores insatisfeitos sem intenção: ex. equipa de limpeza são muito difíceis de proteger Ataques do exterior representam 30 % das ocorrências concorrência (ex. espionagem industrial, denial of service, alteração de conteúdos WWW, etc.) militância (ex. causa de Timor, ambientalistas, pacífistas, etc.) visibilidade (ex. ataques ao site da NASA e do FBI) relay de mensagem SPAM ISEL - DEETC - Redes de Comunicação 3
4 Potencial alvo de ataque Treze questões (classificar de 1 a 5) Acesso físico de público ao interior do edifício? Acesso aos recursos de estranhos à organização? Suporte de serviços de comunicação para o público em geral (ex.isp)? Mais alguém para além da equipa de gestão tem acesso a privilégios de administração? Existe partilha de contas entre utilizadores ou contas genéricas (ex. guest)? A actividade da organização pode ser considerada controversa? ISEL - DEETC - Redes de Comunicação 4
5 Potencial alvo de ataque (cont.) Treze questões (classificar de 1 a 5) A actividade da organização está relacionada com a área financeira? Existem servidores expostos à Internet? São usadas redes públicas para dados sensíveis (ex. Internet, Frame Relay, X.25, RDIS)? A actividade da organização é altamente especializada? A organização teve um crescimento muito rápido? A organização tem tido muita visibilidade nos media? Os utilizadores são especialista de informática? ISEL - DEETC - Redes de Comunicação 5
6 Pontuação? < 15 pode dormir descansado (mais ou menos)! > 15 e < 30 potencial de ser alvo de ataque baixo > 30 e < 40 potencial de ser alvo de ataque médio > 40 e < 50 potencial de ser alvo de ataque elevado > 50 e < 60 potencial de ser alvo de ataque muito elevado > 60 você está neste momento a ser atacado! ISEL - DEETC - Redes de Comunicação 6
7 Qual o nível de segurança? Análise de risco identificar os bens a proteger identificar as ameaças a esses bens identificar os custos associados ISEL - DEETC - Redes de Comunicação 7
8 Qual o nível de segurança? (cont.) Definição de uma política de segurança objectivos definição das medidas a implementar papel dos vários elementos da organização definição das medidas para impor a política de segurança relação com a legislação em vigor ISEL - DEETC - Redes de Comunicação 8
9 Qual o nível de segurança? (cont.) Implementação da política de segurança instalação de mecanismos de segurança monitorização de segurança auditorias de segurança ISEL - DEETC - Redes de Comunicação 9
10 Análise de risco O que é que necessita de protecção? Recursos físicos computadores, impressoras, servidores, Recursos intelectuais informação Tempo tempo de reparação tempo de down-time Tempo é dinheiro ISEL - DEETC - Redes de Comunicação 10
11 Análise de risco (cont.) De quem é necessário garantir protecção? Rede local Redes remotas de outros edifício Redes de clientes ou fornecedores Internet Acesso comutado através de modems ou RDIS Redes sem fios ISEL - DEETC - Redes de Comunicação 11
12 Análise de risco (cont.) Quem é que pode estar interessado em atacar os recursos informáticos? Colaboradores Colaboradores não permanentes (ex. consultores) Concorrência Indivíduos com ideias radicalmente diferentes Indivíduos com motivos de vingança Indivíduos que queiram adquirir visibilidade ISEL - DEETC - Redes de Comunicação 12
13 Análise de risco (cont.) Qual é a probabilidade de uma tentativa ser bem sucedida? Quais os acessos ao exterior existentes? Quais os mecanismos de autenticação existentes? Quais os mecanismos de firewall existentes? Que ganhos pode ter o atacante? ISEL - DEETC - Redes de Comunicação 13
14 Análise de risco (cont.) Quais são os custos imediatos de uma intrusão? Custos de reparação Custos de produtividade (ex. paragem de uma equipa de projecto) Implicações na vida humana (ex. hospital) - Credibilidade da empresa (ex. preço das acções na bolsa) ISEL - DEETC - Redes de Comunicação 14
15 Análise de risco (cont.) Quais são os custos de recuperar de um ataque? Custos de recuperação de sistemas Custos de recuperação de informação Custos de negação de serviços (DoS) Custos devidos a acesso não autorizado e não detectado à informação ISEL - DEETC - Redes de Comunicação 15
16 Análise de risco (cont.) Como garantir protecção a custos controlados? Que nível de protecção é necessário? Instalar firewall? Contratar perito em segurança? Quais os custos de produtividade dos mecanismos a instalar? Não sobredimensionar as soluções (overkill)! O custo de garantir protecção deve ser inferior ao custo de recuperação ISEL - DEETC - Redes de Comunicação 16
17 Análise de risco (cont.) Existe alguma legislação que regulamente as medidas de segurança a adoptar? É obrigatória a instalação de mecanismos de segurança (ex. militares)? É proibida a utilização de alguns mecanismos de segurança (ex. criptografia, biometria)? ISEL - DEETC - Redes de Comunicação 17
18 Referências Folhas de Segurança em Redes Edmundo Monteiro Departamento de Engenharia Informática da Universidade de Coimbra ISEL - DEETC - Redes de Comunicação 24
A falha em alguns destes pontos pode resultar num excessivo e desnecessário investimento/despesa
Nuno Melo e Castro Segurança Infra-estruturas Hardware e software Políticas de autenticação Protecção dos dados Algoritmos de cifra Sistemas de detecção e prevenção de intrusões Medidas de segurança Devem
Leia maisNo final do curso, os alunos devem ser capazes de:
BEHAVIOUR GROUP Bringing value to you Certified Information Systems Security Professional (CISSP) Treinamento Reconhecimento global em segurança da informação Introdução Este curso, com a duração de cinco
Leia maisMestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Modelos de analise
Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Modelos de analise Fernando Correia Capitão-de-fragata EN-AEL 8 de Dezembro de 2013 Fernando
Leia maisObjetivos deste capítulo
1 Objetivos deste capítulo Identificar a finalidade de uma política de segurança. Identificar os componentes de uma política de segurança de rede. Identificar como implementar uma política de segurança
Leia maisSegurança de Redes & Internet
Boas Práticas Segurança de Redes & Internet 0800-644-0692 Video Institucional Boas Práticas Segurança de Redes & Internet 0800-644-0692 Agenda Cenário atual e demandas Boas práticas: Monitoramento Firewall
Leia maisPolítica de Uso e Segurança dos Recursos de TI
1 Política de Uso e Segurança dos Recursos de TI Conceitos Desenvolvimento da Informática no Brasil Por que ter segurança? Principais Vulnerabilidades Principais Ameaças às Informações Exemplos de Problemas
Leia maisTELEDIAGNÓSTICO DO CASINO ONLINE UNIBET
TELEDIAGNÓSTICO DO CASINO ONLINE UNIBET 9 PRÁTICAS RESPONSÁVEIS CARACTERIZADAS POR UM AMBIENTE SEGURO E FIÁVEL O Casino Online UNIBET e as Normas para a Estrutura de Administração e Imputabilidade 9.1.
Leia maisInformática. Aula 7. Redes e Telecomunicações
Informática Aula 7 Redes e Telecomunicações Comunicação Empresarial 2º Ano Ano lectivo 2003-2004 Introdução Para as empresas modernas funcionarem eficazmente, são vitais as ligações que conectam as suas
Leia maisSegurança na Rede UFBA
Dia Mundial de Segurança da Informação Segurança na Rede UFBA Roberto Ferreira Prado Quaresma UFBA - Números UFBA (2001) 58 cursos de graduação 39 mestrados 16 doutorados 30 cursos de especialização/ano
Leia maisSistemas para Internet 06 Ataques na Internet
Sistemas para Internet 06 Ataques na Internet Uma visão geral dos ataques listados na Cartilha de Segurança para Internet do CGI Comitê Gestor da Internet Componente Curricular: Bases da Internet Professor:
Leia maisCompartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por
$XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &\QDUD&DUYDOKR F\QDUDFDUYDOKR#\DKRRFRPEU
Leia maisMestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Gestão da Segurança da Informação
Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Gestão da Segurança da Informação Fernando Correia Capitão-de-fragata EN-AEL 30 de Novembro
Leia mais3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança
3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade
Leia maisEmpresa de Projecto e Desenvolvimento de. Engenharia Civil - EPDEC
Empresa de Projecto e Desenvolvimento de Engenharia Civil - EPDEC Pedido de Proposta para Implementação da Rede Informática Projecto: Rede Informática da EPDEC Novembro de 2007 Índice 1 Introdução...1
Leia maisSegurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro
Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro Ameaças A informação é um ativo! A informação deve estar preservada e protegida: Vulnerabilidades existem, o que fazer? Vulnerabilidades
Leia maisHackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso.
Firewalls Hackers Gostam de alvos fáceis. Podem não estar interessados nas suas informações. Podem invadir seu computador apenas por diversão. Para treinar um ataque a uma máquina relativamente segura.
Leia maisCoordenação de Segurança cooseg@celepar.pr.gov.br. 1 de 37
Implementando Segurança em Software Livre Coordenação de Segurança cooseg@celepar.pr.gov.br 1 de 37 Internet Incidente de Segurança Ataques Ameaças Vulnerabilidades Riscos Estatísticas Agenda Políticas
Leia maisAtaques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers
Ataques e Intrusões Professor André Cardia andre@andrecardia.pro.br msn: andre.cardia@gmail.com Ataques e Intrusões O termo genérico para quem realiza um ataque é Hacker. Essa generalização, tem, porém,
Leia maisSegurança na Rede Local Redes de Computadores
Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3
Leia maisCONSULTORIA E SERVIÇOS DE INFORMÁTICA
CONSULTORIA E SERVIÇOS DE INFORMÁTICA Quem Somos A Vital T.I surgiu com apenas um propósito: atender com dedicação nossos clientes. Para nós, cada cliente é especial e procuramos entender toda a dinâmica
Leia maisFonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu
Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de
Leia maisARTIGO TÉCNICO. Os objectivos do Projecto passam por:
A metodologia do Projecto SMART MED PARKS ARTIGO TÉCNICO O Projecto SMART MED PARKS teve o seu início em Fevereiro de 2013, com o objetivo de facultar uma ferramenta analítica de confiança para apoiar
Leia maisSegurança de Rede Prof. João Bosco M. Sobral 1
1 Sinopse do capítulo Problemas de segurança para o campus. Soluções de segurança. Protegendo os dispositivos físicos. Protegendo a interface administrativa. Protegendo a comunicação entre roteadores.
Leia maisMestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Gestão de Configuração
Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Gestão de Configuração Fernando Correia Capitão-de-fragata EN-AEL 14 de Dezembro de 2013
Leia maisEscola Secundária/3 da Maia Cursos em funcionamento 2009-2010. Técnico de Electrónica, Automação e Comando
Ensino Secundário Diurno Cursos Profissionais Técnico de Electrónica, Automação e Comando PERFIL DE DESEMPENHO À SAÍDA DO CURSO O Técnico de Electrónica, Automação e Comando é o profissional qualificado
Leia maisBem-vindos! Curso Profissional de Técnico de Gestão e Programação de Sistemas Informáticos
Escola Secundária de São João do Estoril Bem-vindos! Curso Profissional de Técnico de Gestão e Programação de Sistemas Informáticos Os Cursos Profissionais podem corresponder às tuas expectativas por vários
Leia maisSegurança a da Informação Aula 05. Aula 05
Segurança a da Informação 26/9/2004 Prof. Rossoni, Farias 1 Análise do risco econômico para a segurança: a: Não háh almoço o grátis; alguém m sempre paga a conta. Qual é o valor da conta da segurança para
Leia maisPrimeira Pesquisa TecnoAtiva de Segurança da Informação da Bahia e Sergipe 2006
Apresentamos os resultados da Primeira Pesquisa TecnoAtiva de Segurança da Informação da Bahia e Sergipe, realizada com o apoio da SUCESU-BA. O objetivo dessa pesquisa é transmitir aos gestores e ao mercado
Leia maisMINISTÉRIO DA EDUCAÇÃO SECRETÁRIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA BAIANO CAMPUS CATU
MINISTÉRIO DA EDUCAÇÃO SECRETÁRIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA BAIANO CAMPUS CATU Segurança e Desafios Éticos de e-business Profª. Eneida Rios Crimes
Leia maisDia Regional da Segurança na
Dia Regional da Segurança na Internet - 19 de Março de 2010 Objectivos: - Sensibilizar a comunidade para uma utilização mais segura da Internet. - Dar a conhecer ferramentas/estratégias de protecção Partilhar
Leia maisMicro Empresas. Inquérito à Utilização das Tecnologias da Informação e da Comunicação. Resultados 2005
Micro Empresas Inquérito à Utilização das Tecnologias da Informação e da Comunicação Resultados 2005 BREVE NOTA METODOLÓGICA Universo de referência: Universo das empresas em Portugal com menos de 10 trabalhadores
Leia maisAuditoria e Segurança de Sistemas Segurança de Redes de Computadores Adriano J. Holanda
Auditoria e Segurança de Sistemas Segurança de Redes de Computadores Adriano J. Holanda Segurança na rede Segurança na rede refere-se a qualquer atividade planejada para proteger sua rede. Especificamente
Leia maisProf. Celio Conrado 1
CEAP CENTRO DE ENSINO SUPERIOR DO AMAPÁ CURSO DE ADMINISTRAÇÃO TECNOLOGIA DA INFORMAÇÃO Prof Célio Conrado E-mail: celio.conrado@gmail.com Site: www.celioconrado.com Conceito Por que usar? Como funciona
Leia maisRecrutamento de RH. Perfil de Administração de Base de Dados e Plataforma Aplicacional. ID do Documento:
Recrutamento de RH Perfil de Administração de Base de Dados e Plataforma Aplicacional ID do Documento: Versão: Elaborado por: Aprovado por: Data de Re99visão: 1 Administração de Base de Dados e Plataforma
Leia maisInsider Threats Estamos convidando os inimigos a entrar?
Insider Threats Estamos convidando os inimigos a entrar? Miriam von Zuben miriam@cert.br! Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Núcleo de Informação e Coordenação
Leia maisPERFIL PROFISSIONAL OPERADOR(A) DE ELECTRÓNICA. PERFIL PROFISSIONAL Operador/a de Electrónica Nível 2 CATÁLOGO NACIONAL DE QUALIFICAÇÕES 1/16
PERFIL PROFISSIONAL OPERADOR(A) DE ELECTRÓNICA PERFIL PROFISSIONAL Operador/a de Electrónica Nível 2 CATÁLOGO NACIONAL DE QUALIFICAÇÕES 1/16 ÁREA DE ACTIVIDADE - ELECTRÓNICA E AUTOMAÇÃO OBJECTIVO GLOBAL
Leia maisUNIVERSIDADE LUSÍADA DE LISBOA. Programa da Unidade Curricular SISTEMAS TECNOLÓGICOS DE SEGURANÇA Ano Lectivo 2011/2012
Programa da Unidade Curricular SISTEMAS TECNOLÓGICOS DE SEGURANÇA Ano Lectivo 2011/2012 1. Unidade Orgânica Ciências Humanas e Sociais (1º Ciclo) 2. Curso Políticas de Segurança 3. Ciclo de Estudos 1º
Leia maisUNIVERSIDADE LUSÍADA DE LISBOA. Programa da Unidade Curricular SEGURANÇA DA INFORMAÇÃO Ano Lectivo 2011/2012
Programa da Unidade Curricular SEGURANÇA DA INFORMAÇÃO Ano Lectivo 2011/2012 1. Unidade Orgânica Ciências Humanas e Sociais (1º Ciclo) 2. Curso Políticas de Segurança 3. Ciclo de Estudos 1º 4. Unidade
Leia maisCódigo de prática para a gestão da segurança da informação
Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia
Leia maisANEXO C (Requisitos PCI DSS)
ANEXO C (Requisitos ) O Cliente obriga-se a respeitar e a fazer respeitar as normas que lhes sejam aplicáveis, emanadas do Payment Card Industry Security Standards Council (organização fundada pelas marcas
Leia mais