Segurança da Informação

Transcrição

1 Segurança da Informação Segurança da Informação

2 Segurança da Informação Vídeo Inicial

3 Eduardo Gouveia de Castro - Trajetória Bacharelem Administração de Empresas pela Universidade Paulista, Pós Graduado em Computação Forense pelo Mackenzie, MBA em Gestão de Segurança da Informação pela FIAP. 12 anos de experiência em Tecnologia da Informação voltado para projetos e processos de Segurança, Riscos, Auditoria, Compliance, Infraestrutura, Tecnologia Forense e Continuidade de Negócios, sempre trabalhando para empresas de serviços financeiros, provedores de serviços de TI, bancários, consultoria e educação (universidade) no Brasil e no Exterior. Atualmente Especialista Sênior na Porto Seguro e trabalho especifico na área de Segurança da Informação voltada para o mercado financeiro e negócios internacionais. Palestrante de Universidades, em assuntos voltados para Segurança, Riscos, Compliance e Continuidade de Negócios. Certificado ISO 27002, ISO 20000, ITIL, Cobit, Cloud Computing, ITDRA, MCP entre outras certificações.

4 Segurança da Informação

5 AGENDA 1 - Pilares de Segurança da Informação 2 - Riscos 3 - Golpes na Internet 4 - Ataques na Internet 5 - Códigos Maliciosos / Outros Riscos 6 - Mecanismos de Segurança

6 AGENDA 7 - Classificação da Informação 8 - Gestão de Vulnerabilidade x Teste de Invasão 9 - Certificação Digital 10 - Ferramentas de Segurança 11 Exemplos Reais de Ataques

7 CIDAL Pilares de Segurança da Informação Confidencialidade Garantir que as informações não serão reveladas a pessoas não autorizadas; I ntegridade Garantir a consistência dos dados, prevenindo a criação não autorizada e a alteração ou destruição dos dados; Disponibilidade Autenticidade Garantir que usuários legítimos não terão o acesso negado a informações e recursos; É a garantia de que você é quem diz ser; L egalidade Garante a legalidade (jurídica) da informação;

8 CIDAL Exercício Identifique qual pilar da Segurança da Informação é mais afetado: Roubo de Notebook: Um funcionário teve seu notebook roubado, ao deixar em uma sala de conferência. Felizmente ele havia efetuado o backup no dia anterior. A) Confidencialidade; B) Integridade; C) Disponibilidade;

9 CIDAL Exercício Identifique qual pilar da Segurança da Informação é mais afetado: Armazenamento de Fitas: Uma pesquisa realizada na Inglaterra revela que 50% das fitas de backup, quando são restauradas, nunca funcionam. A) Confidencialidade; B) Integridade; C) Disponibilidade;

10 CIDAL Exercício Identifique qual pilar da Segurança da Informação é mais afetado: Assalto ao Escritório: Em 2013 um Senador da República teve seu escritório invadido tendo os bandidos levado seu computador e vários papéis importantes de sua mesa. A) Confidencialidade; B) Integridade; C) Disponibilidade;

11 Segurança da Informação Riscos Ameaça Vulnerabilidade Risco Impacto

12 Segurança da Informação Ameaça Uma possível ocorrência, mal intencionada ou não, que pode danificar ou comprometer seus bens. Erros Humanos; Vírus, Spywares; Sabotagem; Espionagem; Falhas de equipamentose softwares; Desastres Naturais;

13 Segurança da Informação Vulnerabilidade Uma fraqueza em algum aspecto ou recurso de um sistema que torna uma ameaça possível. Bugs de Sistemas; Falta de ambiente contingenciado; Não realização de backup das informações críticas; Permissão de acesso total na Internet; Permissão de baixa de arquivos maliciosos;

14 Segurança da Informação Impacto Dimensão do resultado de um acontecimento. Indisponibilidade do site institucional; Desvio de informação de novos produtos; Indisponibilidade na URA de atendimento; Falha na telefoniados atendentes;

15 Segurança da Informação Risco A verificação dos pontos críticos que possam vir a apresentar não conformidade durante a execução de uma determinada tarefa

16 Segurança da Informação - Consequências Danos à imagem e Reputação da Empresa Falsidade ideológica Perda ou danos à informações Acesso e Uso indevido da Informação Multas Perda de Clientes

17 Segurança da Informação Golpes na Internet Furto de Identidade O furto de identidade, ou identity theft, é o ato pelo qual uma pessoa tenta se passar por outra, atribuindo-se uma falsa identidade, com o objetivo de obter vantagens indevidas. Alguns casos de furto de identidade podem ser considerados como crime contra a fé pública, tipificados como falsa identidade.

18 Segurança da Informação Golpes na Internet Phishing É uma forma de fraude eletrônica, caracterizada por tentativas de adquirir dados pessoais de diversos tipos; senhas, dados financeiros como número de cartões de crédito e outros dados pessoais. No phishing os atacantes tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso a páginas falsas, que tentam se passar pela página oficial da instituição;

19 Segurança da Informação Golpes na Internet Pharming É um tipo específico de phishing que envolve a redireção da navegação do usuário para sites falsos, por meio de alterações no serviço de DNS (Domain Name System). Boato (Hoax) É uma mensagem que possui conteúdo alarmante ou falso e que, geralmente, tem como remetente, ou aponta como autora, alguma instituição, empresa importante ou órgão governamental. Por meio de uma leitura minuciosa de seu conteúdo, normalmente, é possível identificar informações sem sentido e tentativas de golpes, como correntes e pirâmides.

20 Segurança da Informação Outros Golpes Engenharia Social Técnica por meio da qual uma pessoa procura persuadir outra a executar determinadas ações. É a tradução da ação de uma pessoa mal intencionada em se passar por uma pessoa, ou empresa enganandoseus colaboradores.

21 Segurança da Informação Outros Golpes Como se aplica a Engenharia Social? Via (Spam, correntes, etc); Via Telefone (ligações de origem duvidosa); Via propaganda impressa; Pessoalmente;

22 Segurança da Informação Ataques na Internet Ataques costumam ocorrer na Internet com diversos objetivos, visando diferentesalvos e usando variadas técnicas. Qualquer serviço, computador ou rede que seja acessível via Internet pode ser alvo de um ataque, assim como qualquer computador com acesso à Internet. Os motivos que levam os atacantes a deferir ataques na Internet são bastante diversos, variando da simples diversãoaté a realização de ações criminosas. Exemplos: Demonstração de Poder; Motivações Financeiras; Prestígio; Motivações Ideológicas; Motivações Comerciais.

23 Segurança da Informação Ataques na Internet Varreduras em redes (Scan) Varredura em redes, ou scan, é uma técnica que consiste em efetuar buscas minuciosas em redes, com o objetivo de identificar computadores ativos e coletar informações sobre eles como, por exemplo, serviços disponibilizados e programas instalados. As varreduras podem ser legítimas ou maliciosas. Falsificação de ( soopfing) É uma técnica que consiste em alterar campos do cabeçalho de um e- mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de outra.

24 Segurança da Informação Ataques na Internet Interceptação de tráfego (Sniffing) É uma técnica que consiste em inspecionar os dados trafegados em redes de computadores, por meio do uso de programas específicos chamados de sniffers. Esta técnica pode ser utilizadade forma legítimas ou maliciosas. Ex: Wireshark Força Bruta (Brute Force) Consiste em adivinhar, por tentativae erro, um nome de usuário e senha e, assim, executar processos e acessar sites, computadores e serviços em nome e com os mesmos privilégios deste usuário. Ex: Hydra Linux

25 Segurança da Informação Ataques na Internet Desfiguração de página (Defacement) É uma técnica que consiste em alterar o conteúdo da página Web de um site. As principais formas que um atacante, neste caso também chamado de defacer, pode utilizar para desfigurar uma página Web são: Explorar erros da aplicação Web; Explorar vulnerabilidadesdo servidor de aplicação Web; Explorar vulnerabilidadesda linguagem de programação ou dos pacotes utilizados no desenvolvimento da aplicação Web;

26 Segurança da Informação Ataques na Internet DOS Negação de serviço, ou DoS (Denial of Service), é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço, um computador ou uma rede conectada à Internet. DDOS Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou DDoS (DistributedDenial of Service).

27 Segurança da Informação Códigos Maliciosos Malware São programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Uma vez instalados, os códigos maliciosos passam a ter acesso aos dados armazenados no computador e podem executar ações em nome dos usuários. Vírus É um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. Alguns tipos de Vírus mais comuns: Vírus propagado por , Vírus de Script, Vírus de Macro, Vírus de telefone celular e o Ransoware.

28 Segurança da Informação Códigos Maliciosos Worm Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores. Ex: pdf infectado. Bot É um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Um computador infectado por um bot costuma ser chamado de zumbi (zombie computer), pois pode ser controlado remotamente, sem o conhecimento do seu dono. Botnet É uma rede formada por centenas ou milhares de computadores zumbis e que permite potencializar as ações danosas executadas pelos bots.

29 Segurança da Informação Códigos Maliciosos Spyware É um programa projetado para monitorar as atividades de um sistema e enviaras informações coletadas paraterceiro. Os tipos mais comuns são o keylogger e o screenlogger. Backdoor É um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Cavalo de Tróia É um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário.

30 Segurança da Informação Códigos Maliciosos Ransoware É um tipo de malware que restringe o acesso ao sistema infectado e cobra um valor de "resgate" para que o acesso possa ser reestabelecido. Ex:Arhiveus-A. Spam É o termo usado para se referir aos s não solicitados, que geralmente são enviados para umgrande número de pessoas. Spammer É a pessoa que envia o spam Blacklist Lista de s, domínios ou endereços IP, reconhecidamente fontes de spam. Recurso utilizado, tanto em servidores como em programas leitores de s, para bloquear as mensagens suspeitas de serem spam.

31 Segurança da Informação Outros Riscos Cookies São pequenos arquivos que são gravados em seu computador quando você acessa sites na Internet e que são reenviados a estes mesmos sites quando novamente visitados. São usados para manterinformações sobre você, como carrinho de compras, lista de produtos e preferências de navegação. Programasde distribuiçãode arquivos (P2P) São aqueles que permitem que os usuários compartilhem arquivos entre si. Ex: E-mule,antigo Napster,Torrent. Alguns riscos relacionados ao uso destes programas são: Acesso indevido, Obtenção de arquivos maliciosos e Violação de direitos autorais.

32 Dúvidas até aqui?

33 Segurança da Informação Mecanismos de Segurança Armazenamento Descarte Acesso Série Transporte 2000 ISO/IEC (BS7799-1) BS Boas Práticas Gerenciamento de SI BS Sistema de Gestão de Segurança BS Análise e Gerenciamento de Riscos

34 Segurança da Informação Mecanismos de Segurança Principio da confiança no ambiente eletrônico Algo que você sabe Algo que você tem Princípio da autenticação. O que você é Para um processo de autenticação seguro é necessário utilizar mais de um método.

35 Segurança da Informação Mecanismos de Segurança Avaliações de Segurança da Informação devem ser baseadas no fluxo das informações sensíveis. Armazenamento Descarte Acesso Transporte

36 Segurança da Informação Mecanismos de Segurança Gestão de Identidades e Acessos Controlar acesso à informação Assegurar acessos autorizados Gestão de Acessos Prevenir acessos não autorizados Gestão de Identidades; Concessão e uso de acessos privilegiados; Concessão e reset de senhas; Concessão e revogação de acessos à informação; Revisão Periódica Auditoria;

37 Segurança da Informação Classificação da Informação Objetivos Identificar e proteger informações sensíveis em uso, em trânsito ou armazenadas de acordo com a classificação das informações (internas, confidenciais ou privadas). Benefícios: Levantamento de processos e informações; Classificação das informações mapeadas; Identificação dos proprietários das informações; Revisão de acesso as informações e sistemas mapeados; Levantamento dos riscos encontrados; Elaboração da Matriz de Risco com plano de ação definido

38 Segurança da Informação Classificação da Informação Classificação da Informação Pública Pública Interna Pública Confidencial Pública Privada Pública Conhecimento Conhecimento público que não público que não gerem risco de gerem risco de impacto negativo impacto negativo, exceto quando, exceto quando mandatório mandatório. Práticas Conhecimento da Corporação, público que não diretrizes gerem risco e regras de de impacto negativo funcionamento., exceto quando Se mandatório divulgada, torna a corporação vulnerável. Direcionada Conhecimento para um público público que não específico gerem risco e sua de divulgação impacto negativo pode trazer, exceto impactos quando imensuráveis. mandatório Propriedade Conhecimento do dono público da que não informação gerem risco e de não pode impacto ser negativo compartilhada., exceto quando mandatório

39 Gestão de Vulnerabilidades X Testes de Invasão Gestão de Vulnerabilidades Utilização de ferramentas automatizadas para identificar vulnerabilidades conhecidas. Testes de Invasão Identifica e explora as vulnerabilidades na perspectiva de um atacante Contratação de Consultorias especializadas

40 Segurança da Informação - Certificado Digital Documento eletrônico, intransferível e único, que serve para identificar nas transações feitas pela internet que... Contém informações que identificam uma empresa, pessoa física, servidor ou site na Web, provendo autenticidade, garantia jurídica e a confidencialidade aos documentos e dados das transações

41 Segurança da Informação - E quem garante isso? Vendidos por Autoridades de Registro (AR); Emitidos por Autoridades Certificadoras (AC); Supervisionadas e submetidas à regulamentação e fiscalização pelo ITI (Instituto Nacional de Tecnologia da Informação); Zelar pela ICP Brasil (Infraestrutura de Chaves Públicas Brasileira)

42 Segurança da Informação - Tipos x Utilização e-cnpj / NF-e modelo A1 Certificado para emissão e consulta de notas ficais eletrônicas, e assinatura de apólices. Atualmente instalado nos servidores dos sistemas que possuem esta funcionalidade. E-CNPJ modelo A3 Certificado utilizado para manter em dia as obrigações de uma pessoa jurídica. Seu uso é mais comum para acesso ao portal da Receita Federal. e-cpf Certificado utilizado para emissão e consulta de notas ficais eletrônicas e acesso ao portal da Receita Federal (e-cac Centro Virtual de Atendimento ao Contribuinte). Este certificado fica em posse do dono. Certificados de Servidor - SSL Certificado utilizado para identificação de servidores e domínios. Certificados CodeSign entre outros Certificado para assinatura de código.

43 Segurança da Informação Servidor SSL

44 O que precisamos fazer? Segurança Multi-Camadas

45 Ferramentas - O que estamos fazendo? A nova geração de ataques contorna facilmente defesas baseadas em assinaturas IPS Anti-Spam Gateways Ataque direcionado Firewalls/ NGFW Secure Web Gateways As camadas de defesa atuais podem falhar

46 Segurança da Informação - Ferramentas Ferramentas mais utilizadas: IPS / IDS Antivírus Antispam Firewalls Filtros de conteúdo VPN (Virtual Private Network) SIEM (Security Information and Event Management) DLP (Data Leackage Prevention) Entre outras.

47 Segurança da Informação - Ferramentas IDS (Intrusion Detection System) É uma ferramenta utilizadapara monitorar o tráfego da rede, detectar e alertar sobre ataques e tentativas de acessos indevidos. IPS (Intrusion Prevention System) É uma ferramenta que tem a capacidade de identificar uma intrusão, analisar a relevância do evento/risco e bloquear determinados eventos, fortalecendo assim a tradicional técnica de detecção de intrusos.

48 Segurança da Informação - Ferramentas Anti Vírus São programas que procuram detectar e, então, anular ou remover os vírus de computador Funcionamento

49 Segurança da Informação - Ferramentas AntiSpam São aplicativos instalados geralmente em servidores, mas também em programas de leitura de , com a intenção de interceptar mensagens não requisitadas pelo destinatário. Funcionamento

50 Segurança da Informação - Ferramentas Firewall Os firewalls são dispositivos constituídos pela combinação de software e hardware, utilizadospara dividir e controlar o acesso entre redes de computadores. Funcionamento Tipo de Filtragem

51 Segurança da Informação - Ferramentas VPN Site-to-Site (Ponto a Ponto) As conexões VPN site a site (também conhecidas como conexões VPN roteador a roteador) permitem que as organizações mantenham conexões roteadas entre escritórios independentes ou com outras organizações em uma rede pública enquanto ajudam a manter a segurança das comunicações. Funcionamento

52 DLP (Prevenção Contra Vazamento de Informações) O que é DLP? O DLP (Data Leakage Prevention) é uma tecnologia de segurança com reconhecimento de conteúdo que lida com três questões importantes relacionadas às informações confidenciais da empresa: Onde estão armazenadas? Informações do Cliente Informações de cartão de crédito Informações da Empresa Propriedade Intelectual Como estão sendo usadas? Como as protejo contra perdas e roubos? Monitoramento Bloqueio Por que as empresa implantam um sistema DLP? Registros Médicos CPFs e Outras identificações Dados financeiros Planos Estratégicos Auditoria Interna Registros de RH O princípio é simples: evitar que informações estratégicas e/ou valiosas da empresa caiam em mãos erradas, diminuindo a lucratividade e a credibilidade da empresa. O sistema DLP auxilia na identificação de melhorias em processos existentes, exemplo: um usuário que envia informação confidencial (planilha financeira) para seu particular para trabalhar de casa.

53 DLP (Prevenção Contra Vazamento de Informações)

54 Firewall de Banco de Dados Firewall de Banco de Dados É uma solução que efetua monitoramento de atividades no Banco de Dados, sendo possível através dele monitorar, auditar e obter controles de segurança criando algumas regras no dispositivo. A implantação do Firewall de Banco de Dados tem como objetivo controlar os acessos indevidos aos Bancos de Dados. Como o Firewall de Banco de Dados funciona? A coleta é executada através de clients instalados nos servidores de banco de dados, esses clients podem coletar todo o trafego do servidor incluindo o trafego local.

55 SIEM Security Information and Event Manager Conceito SIEM É uma ferramenta de gerenciamento e correlação de eventos de segurança. Motivador Roubo e Empréstimo desenha (Acesso Simultâneo); Falta de rastreabilidade de Invasões e acessos indevidos; Incidentes causados por mudanças que não foram comunicadas; Benefícios Rastreabilidade; Centralização de logs; Agilidade;

56 Cofre de Senhas Conceito Cofre de senhas Guarda de senhas. Benefícios Rastreabilidade; Concessão de Acesso Privilegiado;

57 Ataques Hackers Mais Populares

58 Ataques Hackers

59 Segurança da Informação Recomendações:

60 Segurança da Informação Certificações:

61 Segurança da Informação Eventos:

62 Dúvidas?

63 Segurança da Informação Obrigado