19/10/2015 Auditoria nos Controles de Acesso aos Portais Corporativos e Redes sem Fio através de Ferramentas Livres Décio de Abreu Malta Gerente de Auditoria de Sistemas SABESP Cia. de Saneamento Básico do Estado de SP
A Sabesp...
A Sabesp... STATUS: Fundada em 1973 como sociedade de participação acionária (Governo do Estado de São Paulo, acionistas privados e municípios) Faturamento: R$ 11,2 bilhões Ambiente de Rede: 12.000 estações de trabalho
Sabesp Municípios Atendidos 364 municípios, quase 67% da população urbana de São Paulo Pontos de acesso em todos os municípios e sistemas corporativos centralizados
Sabesp Relação com demais empresas em milhões de clientes Sabesp 28,8 Beijing Enterprises Water Group 28,4 Veolia Environment (França) 24,1 Shanghai Industrial Holdings (China) 17,5 NWS Holdings 16,1 Veolia Environment (França) 131,2 Suez Environment (França) 117,3 FCC (Espanha) 29,9 Sabesp 28,8 Beijing Enterprises Water Group 28,4 1º 2º 3º 4º 5º Mercado interno Mercado interno e externo Fonte: 14ª edição do Pinsent Masons Water Yearbook
Estrutura Financeira Primeira empresa de saneamento a ser listada na NYSE (Bolsa de Valores de Nova Iorque) 25,9% Listada na Bolsa de Valores de São Paulo (Bovespa) desde 1997 e parte do Novo mercado desde 2002; ações presentes em 100% dos pregões Governo do Estado de São Paulo 50,3% Sólido compromisso com os acionistas minoritários 23,8% Ações na Bolsa de Valores de Nova Iorque Posição em abril/2015
A Auditoria Interna...
Sabesp - Auditoria Interna Presidência Auditoria Comitê de Auditoria Controle de Processos e Qualidade Sistemas e Tecnologia Financeira e Contábil Engenharia e Obras Operacional e Averiguações 8
Atividades de Auditoria de Sistemas e Tecnologia Avaliação dos processos de Tecnologia da Informação para aderência às melhores práticas de mercado; Avaliação dos controles internos de tecnologia da informação com impacto nas demonstrações financeiras; Avaliação dos sistemas visando identificar controles na aplicação com impacto nos negócios (entrada de dados, interface, controles automatizados, matriz SoD, cálculos etc.); Avaliação das informações geradas pelos sistemas corporativos e que suportam controles manuais utilizados pelas unidades de negócios; 9
Atividades de Auditoria de Sistemas e Tecnologia Averiguações com características de Tecnologia da Informação e apoio às equipes de averiguação operacional; Avaliação do ambiente de Segurança da Informação e seus controles para garantir o ambiente corporativo (Teste de Invasão, Lógicas, contingências, informações sigilosas etc.); Coleta e avaliação forense de dados para os processos de averiguação de denúncias ou ocorrências solicitadas pela administração; Participação em comitês corporativos e consultoria em projetos relevantes para o negócio (Gestão de Riscos de TI, Segurança da Informação etc.). 10
Os Frameworks...
COSO 2013 Avaliação de Controles Internos OBJETIVOS: 1. Operações 2. Divulgação 3. Compliance COMPONENTES: 1. Ambiente de Controle 2. Avaliação de Riscos 3. Atividades de Controle 4. Informação & Comunicação 5. Atividades de monitoramento
COSO 2013 Princípio 11 Para que o sistema de controles internos possa ser considerado implantado, cada um dos cinco componentes e 17 princípios devem estar presentes e funcionando:
COBIT 5 Modelo de Governança COBIT: Modelo de gestão para Governança Corporativa de Tecnologia da Informação. ISACA: Associação responsável pelo desenvolvimento de metodologias para o desempenho das atividades de Auditoria e Controle de Sistemas. 14 Superintendência de Auditoria
Avaliação dos Controles Domínio 04 DSS Domínio 04 :::: Deliver, Service and Support Os acessos aos sistemas corporativos e ambientes tecnológicos são concedidos através de workflows de aprovação demandado pelo respectivo gerente hierárquico do usuário que deseja obter acesso; Os acessos aos sistemas corporativos e ambientes tecnológicos são revisados periodicamente (semestralmente) pelos respectivos gerentes dos usuários; Os acessos aos sistemas corporativos e ambiente tecnológicos são bloqueados, automaticamente, em situações de impossibilidade de acesso dos usuários (afastamentos e demissão); Os sistemas e ambientes tecnológicos utilizam padrões para formação da senha para o respectivo acesso dos usuários (tamanho, prazos e complexidade), visando proteger a identidade do usuário; 15
Avaliação dos Controles Domínio 04 DSS Domínio 04 :::: Entregar, Servir e Suportar Os servidores de armazenamento de informações possuem controles que limitam o acesso conforme alçada e características dos usuários; O acesso lógico aos ambientes da intranet e internet são continuamente monitorados, possibilitando a consulta quanto as ações efetuadas e tráfego de informações; As estações de trabalho e servidores estão interligadas em ambiente de rede corporativa visando garantir o processo de atualização periódica e aplicação de regras de segurança; Os acessos externos ao ambiente corporativo interno são controlados por sistemas de segurança contra vulnerabilidades. 16
Avaliação de Portal Corporativo...
Fluxo do Portal Corporativo Necessidade: Baixar arquivos de um servidor corporativo. Ambiente: Intranet Ambiente de Simulação
Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Autenticação na rede corporativa O acesso a rede ocorre através de consulta no MS - AD (diretório da Microsoft). O acesso é provisionado durante o processo de admissão. O Gerente do empregado solicita sua liberação e demais recursos.
Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de O acesso ao Portal ocorre através de validação da senha. O login e senha são compatíveis com os utilizados para acesso à rede
Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de O menu de acesso é dinâmico com base nas permissões do usuário. Conforme às necessidades, o usuário recebe o acesso aos conteúdos aprovados.
Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Quando o usuário clicar na opção para baixar arquivos, o mesmo é direcionado para um servidor com essa finalidade e são solicitadas novas credenciais.
Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de São exibidos os arquivos passíveis de download, o usuário deve selecionar o respectivo arquivo que será baixado. Lista de
Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Arquivo copiado com SUCESSO!!!!!
Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Controles As permissões de acesso são concedidas mediante solicitação formal do gerente do usuário; Semestralmente os acessos são revisados para garantir a autorização; a Na ausência de vínculo o acesso é bloqueado automaticamente; a a
Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Controles As contas de são parametrizadas com regras de segurança para avaliação de prazos, repetições e complexidade; Os usuários não possuem acesso direto ao servidor de arquivo, sendo necessária a autenticação em servidor de aplicação; a a a Controles de Continuidade para os serviços de disponibilização de informações.
Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de
Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Os Riscos foram mitigados e o Ambiente? está seguro
Avaliação de Portal Corporativo Continuação...
Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Autenticação na rede corporativa
Diagrama de Redes Acesso Facilitado Acesso às informações de rede para identificação de pontos vulneráveis ; Divulgação sem restrição do acesso aos diagramas de rede com informações de IPs, modelos e fabricantes de APs. http://www.dparra.com.br/imgs/projetos_de_rede_engenharia_dparra2.jpg http://wiki.sj.ifsc.edu.br/wiki/images/4/4b/rede.png Imagem: http://the-dude.br.uptodown.com/
The Dude Identificar Access Point Imagem: http://the-dude.br.uptodown.com/ The Dude é uma ferramenta da Mikrotik, ela pode ser usada para monitorar desde switches a servidores de forma dinâmica e centralizada com a criação do Mapa de Rede.
Kali Linux Distribuição Linux Kali Linux é uma distribuição Linux especializada em Testes de Intrusão e Auditoria de Segurança, desenvolvida pela Offensive-Security e contém mais de 300 ferramentas de testes de intrusão.
Kali Linux Aircrack para Identificar Senha
Kali Linux Aircrack para Identificar Senha
Kali Linux Aircrack para Identificar Senha Usuário sem autenticação com acesso à rede!
Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de
Análise de Pacotes da Rede http://www.ademar.org/ Os Sniffers são ferramentas utilizadas para capturar e opcionalmente analisar tráfego de rede e podem ser utilizado de diversas maneiras e com diversos propósitos, mas seu princípio de funcionamento continua sendo o mesmo: capturar e analisar o tráfego de rede sem interferir no funcionamento.
WireShark - Análise de Pacotes da Rede
WireShark - Análise de Pacotes da Rede
WireShark - Análise de Pacotes da Rede Acesso ao portal com identidade de outro usuário!
Fluxo para Download dos! Rede Corporativa Portal Corporativo Informações Seleção de Servidor de
Fluxo para Download dos! Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Com o link o acesso pode direcionar o acesso diretamente pela barra de endereços, burlando os controles de acesso.
Fluxo para Download dos Acesso às páginas Internas sem passar pelo processo de Logon.!
Fluxo para Download dos! Rede Corporativa Portal Corporativo Informações Seleção de Servidor de
WireShark - Análise de Pacotes da Rede
WireShark - Análise de Pacotes da Rede Acesso ao portal com identidade de outro usuário!
Fluxo para Download dos Rede Corporativa Portal Corporativo Informações Seleção de Servidor de Lista de
WireShark - Análise de Pacotes da Rede
WireShark - Análise de Pacotes da Rede Acesso ao serviço de downloads por meio das contas! de serviço.
Recomendações...
Recomendações para as vulnerabilidades Acesso à rede Wireless: Implementar protocolos de segurança para o ambiente Wi-Fi e validação por conta de usuário no MS-AD; Pontos de Acesso: Centralizar o gerenciamento dos pontos de acesso e suas configurações; Acesso aos Portais: Implementar criptografia nos controles de acessos aos portais corporativos; Acesso ao FTP: Implementar criptografia nos controles de acesso aos serviços de FTP.
Recomendações para as vulnerabilidades Validação de Acesso: Implementar Single Sign-On em todo o processo e sua cadeia de permissionamento. Acesso entre servidores: Implementar controles para garantir o acesso exclusivo pelo servidor de aplicação; Logs de Acesso: Monitorar os logs de acesso aos servidores buscando identificar acessos ou tentativas fora do padrão; Metodologia de Desenvolvimento: Implementar controles durante o processo de desenvolvimento para validar itens críticos de segurança da informação.
Ferramentas...
Ferramentas Livres The Dude www.mikrotik.com/thedude Kali Linux https://www.kali.org WireShark https://www.wireshark.org
Agradecimentos Obrigado!!!!! Décio de Abreu Malta Gerente de Auditoria de Sistemas e Tecnologia dmalta@sabesp.com.br - tel.: (11) 3388-8178 www.sabesp.com.br @ciasabesp SaneamentoSabesp www.facebook.com.br/oficialsabesp www.flickr.com/sabesp