Segurança e auditoria de sistemas. Professor Emiliano S. Monteiro

Transcrição

1 Segurança e auditoria de sistemas Professor Emiliano S. Monteiro

2 ISO sobre segurança BS 7799 ISO ISO ABNT NBR ISO/IEC = ISO/IEC 17799:2005 ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2013

3 Introdução 1 Objetivo 2 Termos e definições 3 Estrutura desta Norma 4 Análise/avaliação e tratamento de riscos 5 Política de segurança da informação 6 Organizando a segurança da informação 7 Gestão de ativos 8 Segurança em recursos humanos 9 Segurança física e do ambiente 10 Gerenciamento das operações e comunicações 11 Controle de acessos 12 Aquisição, desenvolvimento e manutenção de sistemas de informação 13 Gestão de incidentes de segurança da informação 14 Gestão da continuidade do negócio 15 Conformidade

4 Compliance Conformidade!

5

6

7 Introdução 2. Escopo 3. referências normativas 4. Termos e definições 5. Estrutura deste padrão 6. Políticas de Segurança da Informação 7. Organização da Segurança da Informação 8. Segurança de Recursos Humanos 9. Gestão de ativos 10. Controle de acesso 11. Criptografia 12. Segurança física e ambiental 13. Operação Segurança - procedimentos e responsabilidades, Proteção contra malware, Backup, Log e monitoramento, Controle de software operacional, Gerenciamento de vulnerabilidades técnicas e Coordenação de auditoria de sistemas de informação 14. Segurança de comunicação - Gerenciamento de segurança de rede e transferência de informações 15. Aquisição, desenvolvimento e manutenção de sistemas - Requisitos de segurança de sistemas de informação, Segurança em processos de desenvolvimento e suporte e Dados de teste 16. Relacionamento com fornecedores - segurança da informação nas relações com fornecedores e gerenciamento da entrega de serviços do fornecedor 17. Gerenciamento de incidentes de segurança da informação - Gerenciamento de incidentes de segurança da informação e melhorias 18. Aspectos de segurança da informação na gestão de continuidade de negócios - Continuidade da segurança da informação e redundâncias 19. Conformidade - Conformidade com requisitos legais e contratuais e Revisões de segurança da informação

8 Família Nome completo: Information Security Management Systems ISO / IEC Sistemas de gerenciamento de segurança da informação - Visão geral e vocabulário ISO / IEC Tecnologia da informação - Técnicas de segurança - Sistemas de gerenciamento de segurança da informação - Requisitos. A versão de 2013 da norma especifica um sistema de gerenciamento de segurança da informação da mesma maneira formalizada, estruturada e sucinta como outros padrões ISO especificam outros tipos de sistemas de gerenciamento. ISO / IEC Código de práticas para controles de segurança da informação - essencialmente um catálogo detalhado de controles de segurança da informação que podem ser gerenciados através do SGSI. ISO / IEC Orientação para implementação do sistema de gerenciamento de segurança da informação ISO / IEC Gerenciamento de segurança da informação - Monitoramento, medição, análise e avaliação ISO / IEC Gerenciamento de risco de segurança da informação ISO / IEC Requisitos para organismos que fornecem auditoria e certificação de sistemas de gerenciamento de segurança da informação ISO / IEC Diretrizes para auditoria de sistemas de gerenciamento de segurança da informação (com foco na auditoria do sistema de gerenciamento) ISO / IEC TR Orientação para auditores nos controles do SGSI (com foco na auditoria dos controles de segurança da informação)

9 Família ISO / IEC Essencialmente um documento interno para o comitê de desenvolvimento de setores / variantes específicas do setor ou diretrizes de implementação para os padrões ISO27K ISO / IEC Gerenciamento de segurança da informação para comunicações Inter setoriais e Inter organizacionais ISO / IEC Diretrizes de gerenciamento de segurança da informação para organizações de telecomunicações baseadas na ISO / IEC ISO / IEC Diretriz sobre a implementação integrada da ISO / IEC e ISO / IEC (derivada da ITIL) ISO / IEC Governança de segurança da informação. Mahncke avaliou esse padrão no contexto da e-saúde australiana. ISO / IEC TR Diretrizes de gerenciamento de segurança da informação para serviços financeiros. ISO / IEC TR economia da segurança da informação ISO / IEC Código de práticas para controles de segurança da informação com base na ISO / IEC para serviços em nuvem ISO / IEC Código de prática para proteção de informações pessoalmente identificáveis (PII) em nuvens públicas que atuam como processadores de PIIde saúde usando a ISO / IEC

10 Família ISO / IEC TR Segurança da informação para controle de processo no setor de energia ISO / IEC Diretrizes para disponibilidade de tecnologia de informação e comunicação para continuidade de negócios ISO / IEC Diretriz para segurança cibernética ISO / IEC Segurança de rede - Parte 1: Visão geral e conceitos ISO / IEC Segurança de rede - Parte 2: Diretrizes para o projeto e implementação de segurança de rede ISO / IEC Segurança de rede - Parte 3: Cenários de rede de referência - Ameaças, técnicas de design e questões de controle ISO / IEC Segurança de rede - Parte 4: Protegendo as comunicações entre redes usando gateways de segurança ISO / IEC Segurança de rede - Parte 5: Protegendo as comunicações entre redes usando redes virtuais privadas (VPNs) ISO / IEC Segurança de rede - Parte 6: Protegendo o acesso à rede IP sem fio ISO / IEC Segurança de aplicativos - Parte 1: Diretriz para segurança de aplicativos ISO / IEC Segurança de aplicativos - Parte 2: Estrutura normativa da organização ISO / IEC Segurança de aplicativos - Parte 6: Estudos de caso

11 Família ISO / IEC Gerenciamento de incidentes de segurança da informação - Parte 1: Princípios do gerenciamento de incidentes ISO / IEC Gerenciamento de incidentes de segurança da informação - Parte 2: Diretrizes para planejar e preparar a resposta a incidentes ISO / IEC Segurança da informação para relacionamentos com fornecedores - Parte 1: Visão geral e conceitos ISO / IEC Segurança da informação para relacionamentos com fornecedores - Parte 2: Requisitos ISO / IEC Segurança da informação para relacionamentos com fornecedores - Parte 3: Diretrizes para segurança da cadeia de fornecimento de tecnologia da informação e comunicação ISO / IEC Segurança da informação para relacionamentos com fornecedores - Parte 4: Diretrizes para segurança de serviços em nuvem ISO / IEC Diretrizes para identificação, coleta, aquisição e preservação de evidências digitais ISO / IEC Especificação para redação digital em documentos digitais ISO / IEC Prevenção contra intrusões ISO / IEC Segurança de armazenamento ISO / IEC Garantia de investigação ISO / IEC Analisando evidências digitais ISO / IEC Investigação de incidentes ISO / IEC Descoberta Eletrônica - Parte 1: Visão Geral e Conceitos Computação forense ISO Gerenciamento de segurança da informação em saúde usando a ISO / IEC orienta as organizações do setor de saúde sobre como proteger informações pessoais de saúde usando a ISO / IEC

12 ISO/IEC (Common Criteria) Common Criteria for Information Technology Security Evaluation ou Common Criteria ou CC) Permite aos usuários especificar os requisitos funcionais de segurança e aos fornecedores o que deve ser implementado, posteriormente os produtos gerados poderão ser avaliados quando ao que foi especificado. Alguns conceitos do padrão... TOE (Target of evaluation): o produto ou sistema objeto da avaliação. Protection Profile: requisitos de segurança importantes ao usuário. Security target: propriedades de segurança do alvo de avaliação (TOE).

13 ISO/IEC (Common Criteria)

14 ISO/IEC (Common Criteria)

15 SOX O ato Sarbanes-Oxley de 2002, também é conhecido como "Public Company Accounting Reform and Investor Protection Act" (no senado) e "Corporate and Auditing Accountability, Responsibility, and Transparency Act" (para os deputados) e mais popularmente chamado de Sarbanex-Oxley, Sabox ou Sox é uma lei federal dos Estados Unidos que estabelece novos e adicionais requisitos para todas as empresas públicas, de gestão e contabilidade. É originada do nome de Paul Sarbanes e Michael Oxley. 1. Seção Sarbanes-Oxley 302: Controles de Divulgação 2. Sarbanes Oxley Seção 303: Influência indevida na condução de auditorias 3. Sarbanes-Oxley Seção 401: Divulgações em relatórios periódicos (itens extrapatrimoniais) 4. Sarbanes-Oxley Seção 404: Avaliação do controle interno 5. Sarbanes-Oxley 404 e empresas públicas menores 6. Sarbanes-Oxley Seção 802: Penalidades criminais por influenciar a investigação da Agência dos EUA / administração adequada 7. Sarbanes-Oxley Seção 806: Ação civil para proteger contra retaliação em casos de fraude 8. Seção Sarbanes-Oxley 906: Penalidades criminais para certificação de demonstrativo financeiro de CEO / CFO 9. Sarbanes-Oxley Seção 1107: Penalidades criminais por retaliação contra denunciantes.

16 Política da mesa limpa (CDP - Clean Desk Policy) 1. Os funcionários são obrigados a garantir que todas as informações confidenciais sejam removidas da mesa de trabalho ao final do dia. 2. As estações de trabalho do computador devem estar bloqueadas quando o espaço de trabalho estiver desocupado. 3. As estações de trabalho dos computadores devem estar completamente fechadas no final do dia de trabalho. 4. Qualquer informação restrita ou sensível deve ser removida da mesa e trancada em um gaveta quando a mesa está desocupada e no final do dia de trabalho. 5. Armários de arquivo contendo informações restritas ou sensíveis devem ser mantidos fechados e bloqueado quando não estiver em uso ou quando não estiver presente.

17 Política da mesa limpa (clean desk policy) 6. As chaves usadas para acesso a informações restritas ou sensíveis não devem ser deixadas em mesa desacompanhada. 7. Os laptops devem ser trancados com um cabo de trava ou trancados em uma gaveta. 8. As senhas não podem ser deixadas em notas postadas sobre ou sob um computador, nem podem ser deixado escrito em um local acessível. 9. As impressões contendo informações restritas ou sensíveis devem ser imediatamente removido da impressora. 10. Eliminação de documentos restritos e / ou sensíveis devem ser triturados por trituradores ou colocados nas caixas de eliminação confidenciais. 11. Bloqueie dispositivos de computação portáteis, como laptops e tablets. 12. Bloqueie PC, também! Fonte:

18 Evita acesso não autorizado. Evita o vazamento de informações. Compatível com Política da tela limpa

19

20 Dilbert

21

22 LAI - Brasil

23 PKI

24

25

26 Política de segurança da informação na administração federal

27 CERT Computer Emergency Response Team Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil

28 Princípios de Segurança Confidencialidade: Isso significa que as informações só estão sendo vistas ou usadas por pessoas autorizadas a acessá-las. Integridade: Isso significa que quaisquer alterações nas informações por um usuário não autorizado são impossíveis (ou pelo menos detectadas) e as alterações feitas por usuários autorizados são rastreadas. Disponibilidade: Isso significa que as informações estão acessíveis quando os usuários autorizados precisam delas.

29 Princípios de Segurança 1. Dividir os usuários e recursos 2. Atribuir Privilégios Mínimos 3. Usar Defesas Independentes 4. Um plano para as falhas 5. Gravar, gravar, gravar (geração de log) 6. Execute testes frequentes (auditorias)

30 Certificações profissionais em Segurança de Informação Certified Information Systems Security Professional - CISSP CompTIA Cyber Security Analyst CompTIA Pentest+ Information Systems Audit and Control Association ISACA

31

32

33 OpenBSD

34 OpenBSD Este sistema operacional utiliza o mesmo conceito de permissão e autenticação que o Unix/Linux, ou seja, conceitos como proprietários, grupos e outros também são aplicados aqui. Conceitos relacionados com permissão como leitura, escrita e execução também são válidos. Assim um usuário de um sistema Unix/Linux não estaria tão desconfortável em um BSD (Berkeley Software Distribution Distribuição de software de Berkeley). Os sistemas BSD são vários : FreeBSD, NetBSD, 386BSD e OpenBSD. Todos estes possuem algumas similaridades com os Unixes e os diversos tipos de Linux. Comparando o BSD com o Linux e Unix temos o seguinte: a) a equipe de desenvolvimento do BSD tem a segurança em primeiro lugar; b) eles não possuem restrições para uso e/ou exportação de tecnologia relacionada com a criptografia. Isto já é um pouco diferente de sistemas Unix e Linux.

35 OpenBSD Nos sistemas Unix proprietários, os fabricantes devem seguir as regras do governo Americano quanto a exportação de tecnologia relacionada com criptografia, e podem ter em mente outras prioridades. Nos sistemas Linux, a maioria destes sistemas já possui um certo nível de criptografia adquirida de diversos países, porém muitas distribuições com o objetivo de deixar o Linux mais fácil de usar acabam deixando a segurança de lado. Nos sistemas BSD o usuário deve ir ativando cada serviço conforme surgir a necessidade de uso. Não possui restrição quanto a exportação de criptografia, pois sua equipe de desenvolvimento está localizada no Canadá e recebe contribuições de desenvolvedores de outros países também.

36

37 OpenBSD 1. Usa OpenSSH, uma versão para livre distribuição do SSH (Secure Shell). 2. Libssl, uma biblioteca que fornece segurança para comunicações de rede com criptografia, geralmente usada nas autenticações e criptografia de dados; 3. Geradores de pseudo número randômicos, usados em diversas áreas do sistema como: identificação de processos, identificação de datagramas ip, etc; 4. Funções Hash: MD5 (Message Digest 5, função resumo), SHA1-5 e RIPEMD-160; 5. DES (Data Encription Standart), 3DES, Blowfish; 6. Suporte a hardware criptográfico; 7. Criptografia do sistema da área de swap. 8. Entre outros como suporte a dispositivos de armazenamento seguros (criptografia no sistema de arquivos); S/Key; Kerberos; IPSec, etc... AIX, SCO, Solaris, etc 9. Network File System 10. Secure Socket Layer - SSL

38

39 Sistema Operacional desenvolvido pelo Prof. Dr. Andrew S. Tanenbaum, em início da década de 90. TANENBAUM (1999) descreve como as Capacidades são criadas no Amoeba, para criar um objeto, o cliente deve fazer uma chamada remota a procedimento com o servidor apropriado, especificando o que deseja. O servidor cria o objeto e retorna a capacidade ao cliente, nas próximas operações deste cliente com o objeto ele deverá apresentar a capacidade do objeto. A capacidade pode ser vista como um ticker formado por 4 campos, um de 48 bits com a Porta do Servidor, um com 24 bits com o objeto, um com 8 bits com os direitos de acesso e o último com 48 bits de verificação. Porta do Servidor: a identidade do servidor deverá estar na cache da máquina caso contrário é realizado um broadcast na rede para achar o servidor, a porta é um endereço lógico, a porta não está associada a uma máquina e sim a conjunto de serviços. Objeto: identificador do objeto (pode ser um arquivo). Direitos: são as informações que o possuidor da capacidade pode realizar sobre o objeto escolhido (leitura, escrita, execução, etc). Verificação: usado para validar as capacidades.... as capacidades são manipuladas diretamente por processos de usuários. Não havendo uma forma de proteção, não há como se evitarem falsificações de capacidades., TANENBAUM (1999).... As capacidades são usadas pelo Amoeba tanto para identificar um objeto como para protegê-lo... transparente a localização, ou seja, para realizar uma operação sobre um objeto, não há necessidade de saber onde se encontra tal objeto... em um ambiente mais ou menos inseguro, todavia, podemos adicionar um nível de criptografia, para evitar que as capacidades sejam descobertas... TANENBAUM (1999).

40

41

42

43

44

45

46

47 a) Kali ou BlackArch (pentest análise de vuln) b) Zentyal ou ClearOS (servidores tudo em um [inclusive: Firewall + Proxy + IPS + Anti vírus + certificado digital + controle de permissão do linux ]) c) Microsoft Windows Server Small Business Edition d) Microsoft Azure

48 Kerberos Certificado digital