Auditoria nos Controles de Acesso aos Portais Corporativos e Redes sem Fio através de Ferramentas Livres

Documentos relacionados
Sistema de Gerenciamento de Hotspots

CSI IT Solutions. WebReport2.5. Relatórios abertos. Informações detalhadas dos jobs!

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

BAND PAULISTA. Guia de Utilização do Sistema de Envio de Arquivos. Data: 18/09/2018 S.E.A v2.2 Autor: Tecnologia da Informação

Gestão de Identidades e Governança

BM&FBOVESPA. Política de Controles Internos. Diretoria de Controles Internos, Compliance e Risco Corporativo. Última Revisão: março de 2013.

POLÍTICA DE CONTROLES INTERNOS

Instrução de Trabalho: Instalar Client

GERENCIAMENTO INTEGRADO DE RISCOS CORPORATIVOS, CONTROLES INTERNOS E COMPLIANCE. Histórico de Revisões. Elaboração do Documento.

Manual de utilização ANBIMA Drive Serviço de armazenamento e sincronização de arquivos

Grupo Técnico de Cibersegurança 1 Pesquisa ANBIMA de Cibersegurança 2017

A JL tem uma super novidade. para sua empresa!!!!

Em referência ao preâmbulo do Edital referente ao Pregão em epígrafe: Nº 128/2017/SENAI

Política de Controles Internos BM&FBOVESPA. Página 1

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

Especificação Técnica Sistema de Acesso

ATA DE REGISTRO DE PREÇO FEDERAL WIRELESS

SAA Cesurg. SAA Aluno

CATÁLOGO DE APLICAÇÕES Cotação de Compra WEB

Procedimentos para Instalação do Sisloc (Estação de Trabalho) versão

SSC531 Gestão de Sistemas de Informação Gerenciamento de Serviços de TI ITIL e CobIT

MANUAL DE INSTALAÇÃO SISTEMA DE GERÊNCIA CONSCIUS

Apresentação Institucional. Informações referentes ao 1º trimestre de 2018 Data de atualização: maio/2018

POLÍTICA DE SEGURANÇA CIBERNÉTICA

3. Ao conectar-se, será apresentada uma tela

Conheça nossa solução Corporativa de Backup e Armazenamento

III Fórum de Governança de TI. Governança de TI nos Correios

Solicitação e utilização da VPN (Utilizando Token físico ou Token no celular corporativo)

CATÁLOGO DE CUSTOMIZAÇÕES Cotação de Compra WEB

PROCESSO REQUISIÇÕES DE TI Versão 1.0 GERÊNCIA CORPORATIVA DE TECNOLOGIA DA INFORMAÇÃO

Sistemática de compartilhamento de pastas.

INFORMATIVO VERSÃO

Serviços Integrados: Segmentos de mercado. Cobrança Pagamentos Folha de Pagamento Débito Automático Extrato Eletrônico

FINNET FAST WEB. Manual do usuário. Perfil Usuário

CATÁLOGO DE SERVIÇOS DE TI Versão 2.0 DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO

TITULO: N o : REVISÃO: PROCESSO DE INSTALACAO SAMSUNG 003

FACULDADES INTEGRADAS SANTA CRUZ DE CURITIBA MONITORAMENTO - WIRESHARK

MANUAL. Localizador: SGI-INFRA-WIFI

Solicitação e utilização da VPN (Utilizando Token físico ou Token no celular corporativo)

TUTORIAL APLICATIVO CREA-APP

Guia de Segurança do Oracle Hardware Management Pack para Oracle Solaris 11.3

CAU Controle de Acesso Unificado. Manual de Usuário

Configurar ajustes do bridge de grupo de trabalho nos Access point WAP125 ou WAP581

MANUAL DE USUÁRIO. Versão 1.0 Servidor

Integração da Cadeia Produtiva na Gestão de Empreendimentos da Sabesp

O futuro do saneamento no Brasil 2º Congresso Brasileiro do PVC Gesner Oliveira Presidente

Políticas Corporativas

Ferramenta de apoio a Segurança

Estabelecer critérios e procedimentos padronizados necessários para utilização e controle da internet e da empresa Coco do Vale.

POLÍTICA DE CONTROLE DE INFORMAÇÕES CONFIDENCIAIS

COMPARTILHANDO EXPERIÊNCIAS EM T.I.

Manual do portal Webplan para Beneficiários CNEN / IPEN

PROCESSO GESTÃO DE ATIVOS DE TI Versão 1.0 GERÊNCIA CORPORATIVA DE TECNOLOGIA DA INFORMAÇÃO

Política de Gerenciamento de Risco de Mercado e Operacional

Companhia de Saneamento Básico do Estado de São Paulo - SABESP

Workshop Controles Internos. Programa Destaque em Governança de Estatais Propostas para os Segmentos Especiais (N2 e NM)

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

FUNDAÇÃO CELPE DE SEGURIDADE SOCIAL - CELPOS CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Luiza M. Prestrêlo de Lima Diretoria Executiva

Versão 4.0. Ecoscard Serviços de Suporte em Cartões Inteligentes Ltda Confidencial 1

Intercâmbio Eletrônico Diretoria de Integração Cooperativista e Mercado Dr. Valdmário Rodrigues Jr

Nova Área de Cliente

SOFTWARE DE GERENCIAMENTO DE

PORTFÓLIO DE SERVIÇOS

MANUAL EDUROAM CAT. 1. Procedimentos para acesso à rede EDUROAM usando o CAT

Novo Portal do Participante

Manual de acesso. a rede cabeada UFPR. UFPR aspec

Linha de Sistemas Folhamatic

Título: Como configurar o gerenciador Busca NF-e no Escritório?

OBJETIVO... 2 ABRANGÊNCIA... 2 POLÍTICAS...

Redes wireless PRO. WiseFi. Software de gerenciamento centralizado. Características

Manual de regras, procedimentos e controles internos ICVM 558/15

Manual de Acesso ao Portal do Beneficiário

Companhia de Saneamento Básico do Estado de São Paulo - SABESP

Especificação Técnica Sistema de Acesso

Segurança Informática em Redes e Sistemas

SERVIÇOS DE DIRETÓRIO

GERENCIAMENTO RISCO DE LIQUIDEZ

Manual de Uso Recuperação Fiscal

POLÍTICA DE CONTROLE DE INFORMAÇÕES CONFIDENCIAIS

ROTEIRO DE TESTES DA AUDITORIA OPERACIONAL PROCESSOS DE TECNOLOGIA DA INFORMAÇÃO Plano de Trabalho 2018

Case Sabesp: Melhores práticas para implantação de SAP em Utilities

DESCRIÇÃO DA ESTRUTURA DE GERENCIAMENTO DE RISCOS E DE CAPITAL

Manual de Utilização do Sistema MONI

Gerência de Projetos de TI

DOS USUÁRIOS. Art. 4º. Aos usuários compete:

CAPA... 1 ÍNDICE... 2 BOAS VINDAS... 3 APRESENTAÇÃO... 4 CONCEITO... 4 INSTALAÇÃO DO APLICATIVO... 5 ACESSANDO O SISTEMA... 6

PROJETOS. Reduza seus Custos com TI sem perder a qualidade.

PRODUÇÃO INTELECTUAL SIGAA

Ministério da Educação Universidade Tecnológica Federal do Paraná Câmpus Medianeira Departamento de Serviços Gerais

Lojamundi Tecnologia Sem Limites br

Universidade Estadual do Paraná Credenciada pelo Decreto Estadual nº 9538, de 05/12/2013. Campus de União da Vitória

PROJETO DE BANCO DE DADOS

Manual de Utilização PrintScout

Elaborado pela DGTI. Mapeamento de Autenticação do Sistema SUAP

Transcrição:

19/10/2015 Auditoria nos Controles de Acesso aos Portais Corporativos e Redes sem Fio através de Ferramentas Livres Décio de Abreu Malta Gerente de Auditoria de Sistemas SABESP Cia. de Saneamento Básico do Estado de SP

A Sabesp...

A Sabesp... STATUS: Fundada em 1973 como sociedade de participação acionária (Governo do Estado de São Paulo, acionistas privados e municípios) Faturamento: R$ 11,2 bilhões Ambiente de Rede: 12.000 estações de trabalho

Sabesp Municípios Atendidos 364 municípios, quase 67% da população urbana de São Paulo Pontos de acesso em todos os municípios e sistemas corporativos centralizados

Sabesp Relação com demais empresas em milhões de clientes Sabesp 28,8 Beijing Enterprises Water Group 28,4 Veolia Environment (França) 24,1 Shanghai Industrial Holdings (China) 17,5 NWS Holdings 16,1 Veolia Environment (França) 131,2 Suez Environment (França) 117,3 FCC (Espanha) 29,9 Sabesp 28,8 Beijing Enterprises Water Group 28,4 1º 2º 3º 4º 5º Mercado interno Mercado interno e externo Fonte: 14ª edição do Pinsent Masons Water Yearbook

Estrutura Financeira Primeira empresa de saneamento a ser listada na NYSE (Bolsa de Valores de Nova Iorque) 25,9% Listada na Bolsa de Valores de São Paulo (Bovespa) desde 1997 e parte do Novo mercado desde 2002; ações presentes em 100% dos pregões Governo do Estado de São Paulo 50,3% Sólido compromisso com os acionistas minoritários 23,8% Ações na Bolsa de Valores de Nova Iorque Posição em abril/2015

A Auditoria Interna...

Sabesp - Auditoria Interna Presidência Auditoria Comitê de Auditoria Controle de Processos e Qualidade Sistemas e Tecnologia Financeira e Contábil Engenharia e Obras Operacional e Averiguações 8

Atividades de Auditoria de Sistemas e Tecnologia Avaliação dos processos de Tecnologia da Informação para aderência às melhores práticas de mercado; Avaliação dos controles internos de tecnologia da informação com impacto nas demonstrações financeiras; Avaliação dos sistemas visando identificar controles na aplicação com impacto nos negócios (entrada de dados, interface, controles automatizados, matriz SoD, cálculos etc.); Avaliação das informações geradas pelos sistemas corporativos e que suportam controles manuais utilizados pelas unidades de negócios; 9

Atividades de Auditoria de Sistemas e Tecnologia Averiguações com características de Tecnologia da Informação e apoio às equipes de averiguação operacional; Avaliação do ambiente de Segurança da Informação e seus controles para garantir o ambiente corporativo (Teste de Invasão, Lógicas, contingências, informações sigilosas etc.); Coleta e avaliação forense de dados para os processos de averiguação de denúncias ou ocorrências solicitadas pela administração; Participação em comitês corporativos e consultoria em projetos relevantes para o negócio (Gestão de Riscos de TI, Segurança da Informação etc.). 10

Os Frameworks...

COSO 2013 Avaliação de Controles Internos OBJETIVOS: 1. Operações 2. Divulgação 3. Compliance COMPONENTES: 1. Ambiente de Controle 2. Avaliação de Riscos 3. Atividades de Controle 4. Informação & Comunicação 5. Atividades de monitoramento

COSO 2013 Princípio 11 Para que o sistema de controles internos possa ser considerado implantado, cada um dos cinco componentes e 17 princípios devem estar presentes e funcionando:

COBIT 5 Modelo de Governança COBIT: Modelo de gestão para Governança Corporativa de Tecnologia da Informação. ISACA: Associação responsável pelo desenvolvimento de metodologias para o desempenho das atividades de Auditoria e Controle de Sistemas. 14 Superintendência de Auditoria

Avaliação dos Controles Domínio 04 DSS Domínio 04 :::: Deliver, Service and Support Os acessos aos sistemas corporativos e ambientes tecnológicos são concedidos através de workflows de aprovação demandado pelo respectivo gerente hierárquico do usuário que deseja obter acesso; Os acessos aos sistemas corporativos e ambientes tecnológicos são revisados periodicamente (semestralmente) pelos respectivos gerentes dos usuários; Os acessos aos sistemas corporativos e ambiente tecnológicos são bloqueados, automaticamente, em situações de impossibilidade de acesso dos usuários (afastamentos e demissão); Os sistemas e ambientes tecnológicos utilizam padrões para formação da senha para o respectivo acesso dos usuários (tamanho, prazos e complexidade), visando proteger a identidade do usuário; 15

Avaliação dos Controles Domínio 04 DSS Domínio 04 :::: Entregar, Servir e Suportar Os servidores de armazenamento de informações possuem controles que limitam o acesso conforme alçada e características dos usuários; O acesso lógico aos ambientes da intranet e internet são continuamente monitorados, possibilitando a consulta quanto as ações efetuadas e tráfego de informações; As estações de trabalho e servidores estão interligadas em ambiente de rede corporativa visando garantir o processo de atualização periódica e aplicação de regras de segurança; Os acessos externos ao ambiente corporativo interno são controlados por sistemas de segurança contra vulnerabilidades. 16

Avaliação de Portal Corporativo...

Fluxo do Portal Corporativo Necessidade: Baixar arquivos de um servidor corporativo. Ambiente: Intranet Ambiente de Simulação

Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Autenticação na rede corporativa O acesso a rede ocorre através de consulta no MS - AD (diretório da Microsoft). O acesso é provisionado durante o processo de admissão. O Gerente do empregado solicita sua liberação e demais recursos.

Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de O acesso ao Portal ocorre através de validação da senha. O login e senha são compatíveis com os utilizados para acesso à rede

Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de O menu de acesso é dinâmico com base nas permissões do usuário. Conforme às necessidades, o usuário recebe o acesso aos conteúdos aprovados.

Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Quando o usuário clicar na opção para baixar arquivos, o mesmo é direcionado para um servidor com essa finalidade e são solicitadas novas credenciais.

Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de São exibidos os arquivos passíveis de download, o usuário deve selecionar o respectivo arquivo que será baixado. Lista de

Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Arquivo copiado com SUCESSO!!!!!

Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Controles As permissões de acesso são concedidas mediante solicitação formal do gerente do usuário; Semestralmente os acessos são revisados para garantir a autorização; a Na ausência de vínculo o acesso é bloqueado automaticamente; a a

Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Controles As contas de são parametrizadas com regras de segurança para avaliação de prazos, repetições e complexidade; Os usuários não possuem acesso direto ao servidor de arquivo, sendo necessária a autenticação em servidor de aplicação; a a a Controles de Continuidade para os serviços de disponibilização de informações.

Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de

Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Os Riscos foram mitigados e o Ambiente? está seguro

Avaliação de Portal Corporativo Continuação...

Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Autenticação na rede corporativa

Diagrama de Redes Acesso Facilitado Acesso às informações de rede para identificação de pontos vulneráveis ; Divulgação sem restrição do acesso aos diagramas de rede com informações de IPs, modelos e fabricantes de APs. http://www.dparra.com.br/imgs/projetos_de_rede_engenharia_dparra2.jpg http://wiki.sj.ifsc.edu.br/wiki/images/4/4b/rede.png Imagem: http://the-dude.br.uptodown.com/

The Dude Identificar Access Point Imagem: http://the-dude.br.uptodown.com/ The Dude é uma ferramenta da Mikrotik, ela pode ser usada para monitorar desde switches a servidores de forma dinâmica e centralizada com a criação do Mapa de Rede.

Kali Linux Distribuição Linux Kali Linux é uma distribuição Linux especializada em Testes de Intrusão e Auditoria de Segurança, desenvolvida pela Offensive-Security e contém mais de 300 ferramentas de testes de intrusão.

Kali Linux Aircrack para Identificar Senha

Kali Linux Aircrack para Identificar Senha

Kali Linux Aircrack para Identificar Senha Usuário sem autenticação com acesso à rede!

Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de

Análise de Pacotes da Rede http://www.ademar.org/ Os Sniffers são ferramentas utilizadas para capturar e opcionalmente analisar tráfego de rede e podem ser utilizado de diversas maneiras e com diversos propósitos, mas seu princípio de funcionamento continua sendo o mesmo: capturar e analisar o tráfego de rede sem interferir no funcionamento.

WireShark - Análise de Pacotes da Rede

WireShark - Análise de Pacotes da Rede

WireShark - Análise de Pacotes da Rede Acesso ao portal com identidade de outro usuário!

Fluxo para Download dos! Rede Corporativa Portal Corporativo Informações Seleção de Servidor de

Fluxo para Download dos! Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Com o link o acesso pode direcionar o acesso diretamente pela barra de endereços, burlando os controles de acesso.

Fluxo para Download dos Acesso às páginas Internas sem passar pelo processo de Logon.!

Fluxo para Download dos! Rede Corporativa Portal Corporativo Informações Seleção de Servidor de

WireShark - Análise de Pacotes da Rede

WireShark - Análise de Pacotes da Rede Acesso ao portal com identidade de outro usuário!

Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Lista de

WireShark - Análise de Pacotes da Rede

WireShark - Análise de Pacotes da Rede Acesso ao serviço de downloads por meio das contas! de serviço.

Recomendações...

Recomendações para as vulnerabilidades Acesso à rede Wireless: Implementar protocolos de segurança para o ambiente Wi-Fi e validação por conta de usuário no MS-AD; Pontos de Acesso: Centralizar o gerenciamento dos pontos de acesso e suas configurações; Acesso aos Portais: Implementar criptografia nos controles de acessos aos portais corporativos; Acesso ao FTP: Implementar criptografia nos controles de acesso aos serviços de FTP.

Recomendações para as vulnerabilidades Validação de Acesso: Implementar Single Sign-On em todo o processo e sua cadeia de permissionamento. Acesso entre servidores: Implementar controles para garantir o acesso exclusivo pelo servidor de aplicação; Logs de Acesso: Monitorar os logs de acesso aos servidores buscando identificar acessos ou tentativas fora do padrão; Metodologia de Desenvolvimento: Implementar controles durante o processo de desenvolvimento para validar itens críticos de segurança da informação.

Ferramentas...

Ferramentas Livres The Dude www.mikrotik.com/thedude Kali Linux https://www.kali.org WireShark https://www.wireshark.org

Agradecimentos Obrigado!!!!! Décio de Abreu Malta Gerente de Auditoria de Sistemas e Tecnologia dmalta@sabesp.com.br - tel.: (11) 3388-8178 www.sabesp.com.br @ciasabesp SaneamentoSabesp www.facebook.com.br/oficialsabesp www.flickr.com/sabesp

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback