Segurança de Sistemas

Documentos relacionados
Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Universidade Paulista

Conhecimento em Tecnologia da Informação. CobiT 5. Apresentação do novo framework da ISACA Bridge Consulting All rights reserved

Gerenciamento de Problemas

QUALIDADE DE SOFTWARE

FACULDADE SENAC GOIÂNIA

ISO Aécio Costa

Apresentação. Objetivo. Dados Principais. Período 20/06 à 25/07

Gerenciamento de Redes Gerenciamento OSI

Gerenciamento de Níveis de Serviço

Referências internas são os artefatos usados para ajudar na elaboração do PT tais como:

Capítulo 9. Gerenciamento de rede

Engenharia de Software

Padrões de Qualidade de Software

Governança Corporativa. A importância da Governança de TI e Segurança da Informação na estratégia empresarial.

SENAC GO. Gestão da Tecnologia da Informação. Tópicos especiais em administração. Professor Itair Pereira da Silva. Alunos: Eduardo Vaz

Tecnologia Web Focada em Negócios

Avaliação da Segurança da Informação no âmbito da APF

Fundamentos em Teste de Software. Vinicius V. Pessoni

Introdução a Computação

FATEC Cruzeiro José da Silva. Ferramenta CRM como estratégia de negócios

Padrões de Qualidade de Software e Métricas de Software

ISO/IEC 12207: Gerência de Configuração

Governança de TI UNICAMP 13/10/2014. Edson Roberto Gaseta

UNIVERSIDADE POTIGUAR UNP CURSO DE SISTEMAS DE INFORMAÇÃO

No final do curso, os alunos devem ser capazes de:

Fonte: - Illustration by Gaich Muramatsu

Material didático ESR

Curso de Engenharia de Produção. Organização do Trabalho na Produção

MÓDULO 14 Sistema de Gestão da Qualidade (ISO 9000)

TCE-Login. Manual Técnico

Gerenciamento de Incidentes

TI Aplicada. Aula 02 Áreas e Profissionais de TI. Prof. MSc. Edilberto Silva prof.edilberto.silva@gmail.com

Especialização em Gestão de Segurança da Informação

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

GESTÃO DE SERVIÇOS DE TI: OTIMIZAÇÃO DE RECURSOS E PROCESSOS. Realização:

DELEGAÇÃO REGIONAL DO ALENTEJO CENTRO DE FORMAÇÃO PROFISSIONAL DE ÉVORA REFLEXÃO 3

I SIMPÓSIO INTERNACIONAL DE CIÊNCIAS INTEGRADAS DA UNAERP CAMPUS GUARUJÁ

Requisitos. Sistemas de Informações

Conceitos de Banco de Dados

Adriano Marum Rômulo. Uma Investigação sobre a Gerência de Projetos de Desenvolvimento de Software em Órgãos do Governo do Ceará com Base no MPS-BR

Integração de Dados Plataforma Hub Magento E-Commerce

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001

PLANEJAMENTO OPERACIONAL - MARKETING E PRODUÇÃO MÓDULO 3 O QUE É PLANEJAMENTO DE VENDAS E OPERAÇÕES?

GARANTIA DA QUALIDADE DE SOFTWARE

Histórico de mercado. Gestão da Qualidade. Histórico de mercado. Histórico de mercado. Antes do século 20. Em Anos 40

LOJAS VIRTUAIS COMPLETAS

1 A Evolução do COBIT

Sistema RH1000. Gestão de Pessoas por Competências. Foco em Resultados. Ohl Braga Desenvolvimento Empresarial desde Atualizado em 01Set2015 1

Fábrica de Software Fatores motivadores, restrições e tendências

Como organizar um processo de planejamento estratégico

Política de uso: Serviço de Conferência Web

CONTEÚDOS PROGRAMÁTICOS DA ACADEMIA

gerenciamento de portais e websites corporativos interface simples e amigável, ágil e funcional não dependendo mais de um profissional especializado

Implantação de um Processo de Medições de Software

Método para aplicação de modelos de melhoria e avaliação do processo de desenvolvimento de software em sistemas críticos de segurança.

BANCO CENTRAL DO BRASIL 2009/2010

Processos de Desenvolvimento de Software

Sistemas Operacionais

Engenharia de Software. Apostila I >>> Introdução à ES - HEngholmJr

Governança de TI. Governanca de TI. Objetivos. Governanca de TI - ESR - Confluence. 1 de 5 12/04/ :15

C.E.S.A.R Centro de Estudos e Sistemas Avançados do Recife Regimento Interno do Mestrado Profissional em Engenharia de Software

PROJETO NOVAS FRONTEIRAS. Descrição dos processos de gerenciamento da qualidade

Wesley Vaz, MSc., CISA

9. Quais as características a tecnologia de conexão à Internet denominada ADSL A) Conexão permanente, custo variável, linha telefônica liberada e

Prof. Marcelo Machado Cunha

UNIDADE VI - Planejamento e Controle de Projetos

Transcrição:

Faculdade de Tecnologia Senac Curso de Análise e Desenvolvimento de Sistemas Segurança de Sistemas Edécio Fernando Iepsen (edeciofernando@gmail.com)

Segurança em Desenvolvimento de Software Segurança do ambiente de desenvolvimento Segurança da aplicação desenvolvida Garantia de segurança da aplicação desenvolvida

Segurança do ambiente de desenvolvimento Espaço físico restrito Separação entre ambiente de desenvolvimento, teste e construção (build) Gerência de configuração dos fontes Criar processos de desenvolvimento Equipe de testes capacitada e equipada

Segurança da aplicação desenvolvida Relação entre segurança da aplicação e normas de boa programação Necessita de um ambiente de desenvolvimento seguro Boa especificação de segurança Realização de testes apropriados

Garantia de segurança da aplicação Fornecer garantia para o cliente sobre a segurança da aplicação Aproximar o cliente dos testes do sistema Especificar a segurança de forma clara e objetiva Construir conforme esta especificação

Normas de Segurança A segurança das informações, em função de sua grande importância para a sociedade moderna, deu origem a diversos grupos de pesquisa, cujos trabalhos, muitas vezes, são traduzidos em padrões de segurança, ou mesmo projetos legislativos: Orange Book TCSEC (Trusted Computer Security Evaluation Criteria) Commom Criteria (Commom Criteria for Information Tecnology Security Evolution) CobiT

Orange Book Primeiro padrão para avaliação de segurança (1980) Bastante aceito porém continha alguns problemas estruturais: fixava atributos de segurança em níveis estáticos

Common Criteria Norma ou padrão de indústria criado a partir de diversos padrões anteriores com o objetivo de gerar uma norma internacional no assunto (ISO/IEC 15.408) Tem por objetivo fornecer um conjunto de critérios fixos que permitem especificar a segurança de uma aplicação Estabelece que qualquer sistema para ser considerado seguro, precisa ter seu Security Target (objetivo ou alvo de segurança)

Security Target Especificação de segurança Indica quais aspectos de segurança foram considerados importantes e porque o foram para aquele sistema em particular.

Níveis de garantia de segurança do Common Criteria Sete níveis de garantia de segurança Maior número de testes a cada nível Os níveis são denominados EAL (Evalution Assurance Level): EAL-1 a EAL-7 Apenas os níveis EAL-1 a EAL-4 são reconhecidos pela ISO, pois os níveis EAL-5 a EAL-7 são considerados muito rígidos

Etapas do Commom Criteria 1. Desenvolvimento do sistema conforme a norma 2. Teste do sistema em um laboratório credenciado 3. Obtenção do selo de certificação

Especificação da Segurança da Aplicação Não há um parâmetro único Identificação da necessidade de segurança do cliente No geral, a necessidade de segurança atende dois motivos Legislação ou políticas de segurança Ameaças ao negócio da empresa

Ameaças x Estratégia Identificar ameaças e legislações Relacionar para cada ameaça/legislação uma estratégia de segurança Definir formas de teste da segurança

Ameaças Qualquer situação que ponha em risco o sistema É impossível levantar todas as ameaças a que um sistema está submetido Focar em um grupo de ameaças e garantir o seu tratamento pelo sistema. Agente x Mecanismo x Ativo

Agente Alguém que vai ganhar algo com a eventual exploração dos dados da empresa Classificação do agente pode se dar de acordo com as categorias: Acesso ao sistema Conhecimento do sistema Capacidade do agente

Mecanismos Cross-site Scripting: Ataque que usa uma aplicação web para atingir um outro visitante/usuário. By-pass de controle de Acesso: Agente com acesso ao sistema utiliza funções externas a este visando burlar o controle de acesso. Força bruta: Usada para quebrar senhas e criptografia. Tentativa e erro. Estouro de buffer: Muito comum e incrivelmente destrutível. Quebra de autenticidade: Apoderar-se da conta de um usuário ou do administrador, através de ferramentas de sniffer ou de engenharia social. Command/SQL Injection: Informações enviadas para a construção de queries (consultas SQL) e interações com o banco de dados não são devidamente validadas e checadas.

Ativos São as informações importantes de um sistema, aquilo que pode ser de interesse do agente em termos de leitura, alteração ou até destruição.

Motivação O Agente pode ter uma ou mais motivações para um ataque Financeira: Interesse em retorno financeiro. Imagem: Interesse em destacar suas habilidades. Dano: Busca por vingança ou prejuízo de empresa para a qual já trabalhou ou empresa concorrente Aprendizado: Estudo de ferramentas de ataque

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback