Segurança em Redes de Computadores. Conceitos Básicos Aula II

Transcrição

1 Segurança em Redes de Computadores Conceitos Básicos Aula II

2 Falsa Sensação de Segurança Quando o profissional não conhece os riscos, ele tende a achar que tudo está seguro com o ambiente. Negligência = riscos maiores

3 Mitos sobre Segurança Isso nunca acontecerá conosco. Nunca fomos atacados, não precisamos de mais segurança. Já estamos seguros com o firewall. Utilizamos os melhores sistemas, então eles devem ser seguros. Não dá para gastar com segurança agora, deixa assim mesmo. Utilizamos as últimas versões dos sistemas dos melhores fabricantes. Nossos fornecedores irão nos avisar, caso alguma vulnerabilidade seja encontrada. Ninguém vai descobrir essa brecha em nossa segurança.

4 Mitos sobre Segurança Tomamos todas as precauções, de modo que os testes não são necessários. Vamos deixar funcionando e depois resolveremos os problemas de segurança. Os problemas de segurança são de responsabilidade do Departamento de TI. Luís, depois de instalar o Word para a Cláudia, você pode instalar o firewall? A companhia de TI que foi contratada irá cuidar da segurança. O nosso parceiro é confiável, podemos liberar o acesso para ele. Não precisamos nos preocupar com a segurança, pois segurança é um luxo para quem tem dinheiro.

5 Vulnerabilidade São as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança. Elementos a serem rastreados e eliminados de um ambiente de tecnologia da informação. Ao identificar as vulnerabilidades será possível dimensionar as ameaças as quais o ambiente está suscetível e definir as medidas de segurança apropriadas para a sua correção.

6 Tipos de Vulnerabilidades Físicas - presentes nos ambientes onde a informação está sendo armazenada ou manipulada (afetam principalmente a disponibilidade): Instalações inadequadas do espaço de trabalho; Ausência de recursos para combate à incêndios; Disposição de fios de energia e cabos de rede; Ausência de identificação de pessoas e de locais, etc.

7 Tipos de Vulnerabilidades Naturais - relacionadas às condições da natureza que possam colocar em risco as informações: Umidade; Poeira; Inundações; Terremotos; Maremotos; Furacões, etc.

8 Tipos de Vulnerabilidades Hardware relacionada ao desempenho dos equipamentos envolvidos: Ausência de atualizações; Conservação inadequada dos equipamentos; Dimensionamento inadequado para suas funcionalidades; Capacidade de armazenamento insuficiente; Processamento e velocidades inadequadas, etc.

9 Tipos de Vulnerabilidades Software possibilitam acessos indevidos aos sistemas mesmo sem o conhecimento do usuário ou administrador de TI (alvo predileto dos agentes causadores de ameaças): Configuração e instalação inadequadas; Ausência de atualizações; Programação inconsistente; Softwares ilegais (não licenciados), etc.

10 Tipos de Vulnerabilidades Mídias - suportes físicos ou magnéticos usados na armazenagem de informações (CD-ROMs, fitas magnéticas, discos rígidos, DVD s, documento em papel): Prazo de validade vencido Defeito de fabricação; Uso incorreto; Armazenamento em locais insalubres, com alta umidade, mofo, etc.

11 Tipos de Vulnerabilidades Comunicação relativo ao tráfego de informações (via cabo, satélite, fibra ótica, ondas de rádio, etc.): Pode tornar uma informação indisponível para seus usuários; Pode tornar informação disponível para quem não possui direitos de acesso; Pode levar à alteração da informação em seu estado original, afetando sua integridade.

12 Tipos de Vulnerabilidades Humanas - danos que as pessoas podem causar às informações e ao ambiente tecnológico que as suporta (intencionais ou não): Causadas por erros e acidentes; Desconhecimento das politicas de segurança; Ausência de políticas de segurança consistentes e/ou adequadas; Falta de capacitação e falta de consciência de segurança para atividades rotineiras, erros, omissões, insatisfações, etc; Senhas fracas; Compartilhamento de identificadores (nome de usuário, crachá de acesso, etc.).

13 Ameaça Um agente externo ao ativo de informação, que se aproveitando de suas vulnerabilidades poderá quebrar a confidencialidade, integridade ou disponibilidade da informação utilizada pelo ativo: espiões; vândalos; sobrecarga elétrica; tempestades, código malicioso (vírus, worms, spywares, etc).

14 Classificação das Ameaças Naturais (condições da natureza e suas intempéries): fogo; inundação; terremotos; etc.

15 Classificação das Ameaças Intencionais (ameaças propositais): vírus; fraude; vandalismo; sabotagem; espionagem; invasões e ataques; roubos e furtos de informações, etc.

16 Classificação das Ameaças Involuntárias - decorrentes de ações inconscientes de usuários (causada muitas vezes pela falta de conhecimento no uso dos ativos): erros; acidentes; falta de conhecimento, etc.

17 Ativo Todo elemento que compõe o processo da comunicação (informação, emissor, meio de transmissão, até chegar a seu receptor). São os elementos que a segurança da informação busca proteger. Possuem valor para as empresas e, como conseqüência, precisam receber uma proteção adequada para que seus negócios não sejam prejudicados.

18 Ativos Ativos sempre trarão consigo VULNERABILIDADES que, por sua vez, serão exploradas por AMEAÇAS. V Ativo V V

19 Exemplos de Ativos hardware; patentes; softwares; informações de mercado; backup; código de programação; recursos Humanos; linhas de comando; documentos; arquivos de configuração; relatórios; livros; manuais; correspondências; planilhas de remuneração de funcionários; plano de negócios de uma empresa, etc.

20 Grupos de ativos Equipamentos: infra-estrutura tecnológica (computadores, mídias, roteadores, conectividade, etc); Aplicações: sistemas operacionais, , banco de dados, firewall, etc; Informação (em meio magnético ou físico); Usuários (técnicos, operadores, funcionários, visitantes, etc); Organização e espaço físico (salas, armários, CPD, etc.

21 Riscos Probabilidade de que as ameaças explorem os pontos fracos, causando perdas ou danos aos ativos e impactos no negócio, ou seja, afetando: a confidencialidade, a integridade e a disponibilidade da informação.

22 Riscos Risco = Valor do Ativo x Ameaça x Vulnerabilidade Valor do Ativo - importância de um ativo de informação para a estratégia da empresa. Ameaças - eventos ou ações que poderiam ter um impacto negativo na disponibilidade, integridade ou confidencialidadede um ativo de informação. Vulnerabilidade - ausência, inadequação, ou inconsistência de instalações e processos que são implementados para proteger o valor de ativo contra ameaças identificadas.

23 Avaliação de Riscos O que devemos considerar: Quanto vale nossas informações? (Valor do Ativo); Quem pode se beneficiar com o acesso a essas informações? (Ameaças); Como estamos protegendo nossas informações? Qual o grau de segurança de nossas proteções? (Vulnerabilidades).

24 Perfil de Risco da Organização Quais as maiores ameaças para nossa empresa? Quais ativos elas afetam e qual o grau de risco/exposição? Que nível de segurança o nosso negócio exige? Quais os aspectos vulneráveis?

25 Incidentes de Segurança Qualquer evento que possa causar interrupções ou prejuízos aos processos do negócio, decorrente da violação de um dos princípios de segurança da informação.

26 Probabilidade Chance de uma determinada falha de segurança ocorrer. (Relacionado com o grau da ameaça e o grau da vulnerabilidade).

27 Impacto Referente aos potenciais prejuízos causados ao negócio por esse incidente. Os ativos possuem valores diferentes, já que a informação que eles utilizam tem relevâncias diferentes para o negócio da organização. Quanto maior for a relevância do ativo, tanto maior será o impacto de um eventual incidente.

28 Controle Qualquer mecanismo utilizado para diminuir a fraqueza ou a vulnerabilidade de um ativo, seja esse ativo uma tecnologia, uma pessoa, um processo ou um ambiente.

29 Medidas de Segurança Vulnerabilidades afetam a disponibilidade, confidencialidade integridade da informação. Medidas de segurança devem ser específicas para o tratamento de cada caso. Antes de definir as medidas de segurança a serem adotada, devese conhecer o ambiente em seus mínimos detalhes (buscar vulnerabilidades existentes)

30 Ações de Segurança Preventivas (buscando evitar o surgimento de novas vulnerabilidades e ameaças); Detectivas(revelação de atos que ponham em risco a informação); Corretivas (correção dos problemas de segurança conforme sua ocorrência);

31 Hacker Termo genérico para identificar quem realiza um ataque em um sistema computacional. Indivíduo que utiliza seus conhecimentos para invadir sistemas, não com o intuito de causar danos às vítimas, mas sim como um desafio às suas habilidades. (Nakamura & Geus, 2007)

32 Cracker Elemento que invade sistemas para roubar informações e causar danos as vítimas. Denominação utilizada para indivíduos que decifram códigos e destroem proteções de software.

33 Script Kiddies Também conhecidos como newbies; São em geral inexperientes e novatos; Conseguem suas ferramentas já prontas na Internet; Utilizam essas ferramentas sem saber o que estão fazendo.

34 Cyberpunks Dedicam-se as invasões de Sistemas por puro divertimento e desafio. Possuem grande conhecimento; São obcecados por segurança de dados e criptografia; São considerados românticos e paranóicos por teorias de comspiração.

35 Insiders Responsáveis pelos incidentes mais graves; Normalmente são funcionários descontentes com o trabalho; São manipulados por Empresas concorrentes. Qualquer funcionário pode se tornar um Insider seja ele antigo ou até mesmo os considerados confiáveis.

36 Coders Hackers que compartilham seus conhecimentos (escrevendo livros, ministrando cursos e proferindo seminários); Motivados pelo aspecto financeiro;

37 White Hat Utilizam seus conhecimentos para descobrir vulnerabilidades e aplicar as correções necessárias; Responsáveis por testar os sistemas de segurança de grandes corporações (simulando ataques e invasões); São conhecidos como Hackers do Bem.

38 Black Hat Utilizam seus conhecimentos para invadir sistemas e roubar informações; Tentam vender essas informações novamente aos seus legítimos donos sob pena de divulgá-las para concorrentes (blackmail); São também conhecidos como Crackers.