Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU
Aula passada
Auditoria - Tradição Contábil Auditoria de gestão; Auditoria de conformidade; Auditoria operacional.
Exemplo Considere a seguinte situação: Suponha que com base na ISO 27002, foi redigido um plano de segurança que contempla a implementação de antivírus em 100% dos computadores da empresa. Auditoria de gestão - Verificar se o anti-virus foi instalado em 100% dos computadores; Auditoria de conformidade - verficar se os antivirus foram instalados com base na norma ISO 27002; Audioria operacional - Verificar se os antivirus estão funcionando corretamente ou se o número de infecções diminuiu.
Instrumentose Ferramentasde Auditoria
Tópicos Instrumento de coleta e registro de evidências; Auditoria e Perícia; Exemplos de ferramentas para gerência de auditoria.
Instrumento de coleta e registro de evidências
Motivação A realização de uma auditoria eficaz não pode prescindir de: Instrumentos; Ferramentas; Trabalhos de técnicos especializados.
Coleta e registro de evidências Um auditor experiente provavelmente lança mão de vários modelos de instrumentos de coleta de dados, conforme o tipo de auditoria e os objetos verificados; Vários deles são formulários ou questionários impressos, alguns com suporte de software especializado ou planilhas eletrônicas customizadas; Esses instrumentos darão origem aos papéis de trabalho do auditor.
Modelode instrumentode coletade dados - Apostila Rodrigues e Fernandes
Modelode instrumentode coletade dados - Apostila Rodrigues e Fernandes
Modelode instrumentode coletade dados - Apostila Rodrigues e Fernandes Quatro perguntas: A primeira indica se o controle existe para cada objeto e ponto de controle; A coluna em Andamento indica que providências já estão sendo tomadas para a análise; A coluna Verificado indica se o ponto de controle foi testado; A coluna Validado indica se o controle referente ao PC (Ponto de Controle) foi testado e está em pleno funcionamento.
Modelode instrumentode coletade dados - Apostila Rodrigues e Fernandes Com base no exemplo fictício, responda as seguintes perguntas: 1) Quais PCs são prioritários para a auditoria? 2) Quais são os pontos fortes e fracos da empresa até o momento?
Diferenças entre Perícia e Auditoria
Auditoria operacional- Exemplo Suponha que você foi contratado para investigar um ataque de negação de serviço que derrubou o site de uma instituição por 24 horas. A instituição solicitou uma auditoria operacional. Ou seja, ela quer avaliar a eficiência dos controles de segurança implementados. Quais seriam alguns possíveis pontos de controle da auditoria?
Auditoria operacional- Exemplo Durante o processo de auditoria a instituição solicitou uma investigação sobre as razões do referido incidente. Que tipo de auditoria seria essa?
Auditoria operacional- Exemplo Durante o processo de auditoria a instituição solicitou uma investigação sobre as razões do referido incidente. Que tipo de auditoria seria essa? Resposta: Perícia Forense Computacional
Auditoria ou Perícia- Diferenças Auditor Desempenha suas tarefas analisando a entidade como um todo, ou seja, os trabalhos de auditoria e fiscalização; Perito Irá analisar questões pontuais e determinadas. Após seus trabalhos emitirá um laudo sobre a questão levantada.
Conceitos básicos Perícia Forense Computacional Perícia Forense Computacional existe com o objetivo de suprir as necessidades de instituições legais pela manipulação de evidências eletrônicas; Estuda a aquisição, preservação, identificação, extração, recuperação e análise de dados em formato eletrônico, produzindo informações diretas e não interpretativas.
Conceitos básicos A ideia principal consiste em responder, cientificamente, a perguntas básicas como: Quando? Onde? Porque? Como? Porém, sempre lançando mão de normas e procedimentos bem definidos e aceitos pela comunidade científica.
Conceitos básicos Perícia Forense Computacional Poderíamos definir Computação Forense como: A ciência que trata do exame, análise e investigação de um incidente computacional, ou seja, que envolva a computação como meio, sob a ética forense, sendo ela cível ou penal. A Computação Forense pode tratar o incidente computacional na esfera penal, determinando causas, meios, autoria e consequências;
Conceitos básicos Perícia Forense Computacional Permite o rastreamento, identificação e comprovação da autoria de ações não autorizadas; Auxilia em investigações que apuram desde violações de normas internas a crimes eletrônicos; A principal missão do perito computacional forense seria a recuperação e análise de dados, da maneira mais imparcial e livre de distorções possível, para reconstruir estes dados ou o que aconteceu a um sistema no passado.
Porque investigar um incidente? Algumas razões podem ser levantadas para a não investigação de um incidente: Custo; Demora; Falta de objetividade; Disponibilidade de recursos. É um processo que demanda tempo e recursos e que nem sempre pode ser útil para a empresa; Pode ser mais fácil somente reinstalar uma máquina comprometida do que realizar uma investigação.
Investigação de um incidente- Motivação Por que investigar um incidente? Principais fatores: Identificar sinais de ataque; Determinar a extensão do comprometimento; Reconstruir a ordem dos eventos; Entender o modus operandi do atacante.
Metodologia para obtenção de evidências Premissas básicas para a análise de evidências: Obtenção e coleta de dados; Identificação; Preservação; Análise; Apresentação (Documentação).
Metodologia para obtenção de evidências
Tipos de sistemas comprometidos Sistemas desligados; É o caso mais difícil de coleta de evidências, pois as informações voláteis foram perdidas (memória e tela do sistema). Devem ser realizadas cópias de mídias ou sistemas de arquivos para que se prossiga com a perícia;
Tipos de sistemas comprometidos Sistemas ligados; Informações específicas como atividade de rede, permitindo identificar com mais segurança se o sistema foi comprometido ou não, assim como realizar cópia da memória principal para futura análise e cópia da tela atual do sistema; Dependendo da criticidade do sistema, muitas vezes não será possível simplesmente desligar a máquina da energia;
Ferramentas para perícia computacional Distribuições Linux Helix; DEFT (Digital Evidence and Forensic Toolkit); BackTrack; The Coroner s Toolkit (TCT); FDTK-UbuntuBR; PeriBR; CAINE;
Ferramentas para perícia computacional Pacotes Forenses EnCase (Windows); Forensic Acquisition Utilities FAU (Windows); DEFT Extra (Windows); ProDiscover DFT (Windows); The Sleuth Kit TSK (Linux/Windows); Autopsy (Linux/Windows);
Ferramentas para gerência de auditoria
Ferramentas para gerência de auditoria IDEA (Interactive Data Extraction & Analysis); Audimation Versão americana do IDEA; Galileo; Pentana; Spreadsheets como o Microsoft Excel.