Segurança em Redes Análise de risco Redes de Comunicação de Dados Departamento de Engenharia da Electrónica e das Telecomunicações e de Computadores Instituto Superior de Engenharia de Lisboa
Atacantes: Hackers e Crackers Hacker (picareta) fanático de computadores gosta de desafios gosta de expor as vulnerabilidades para provar a sua inteligência superior normalmente não é mal intencionado Cracker (ou black hacker) mal intencionado aplica receitas explora vulnerabilidades em proveito próprio A maior parte dos atacantes são híbridos 03-07-2008 ISEL - DEETC - Redes de Comunicação 2
Motivações para os ataques Ataques do interior da organização representam 70 % das ocorrências com intenção: ex. colaboradores insatisfeitos sem intenção: ex. equipa de limpeza são muito difíceis de proteger Ataques do exterior representam 30 % das ocorrências concorrência (ex. espionagem industrial, denial of service, alteração de conteúdos WWW, etc.) militância (ex. causa de Timor, ambientalistas, pacífistas, etc.) visibilidade (ex. ataques ao site da NASA e do FBI) relay de mensagem SPAM 03-07-2008 ISEL - DEETC - Redes de Comunicação 3
Potencial alvo de ataque Treze questões (classificar de 1 a 5) Acesso físico de público ao interior do edifício? Acesso aos recursos de estranhos à organização? Suporte de serviços de comunicação para o público em geral (ex.isp)? Mais alguém para além da equipa de gestão tem acesso a privilégios de administração? Existe partilha de contas entre utilizadores ou contas genéricas (ex. guest)? A actividade da organização pode ser considerada controversa? 03-07-2008 ISEL - DEETC - Redes de Comunicação 4
Potencial alvo de ataque (cont.) Treze questões (classificar de 1 a 5) A actividade da organização está relacionada com a área financeira? Existem servidores expostos à Internet? São usadas redes públicas para dados sensíveis (ex. Internet, Frame Relay, X.25, RDIS)? A actividade da organização é altamente especializada? A organização teve um crescimento muito rápido? A organização tem tido muita visibilidade nos media? Os utilizadores são especialista de informática? 03-07-2008 ISEL - DEETC - Redes de Comunicação 5
Pontuação? < 15 pode dormir descansado (mais ou menos)! > 15 e < 30 potencial de ser alvo de ataque baixo > 30 e < 40 potencial de ser alvo de ataque médio > 40 e < 50 potencial de ser alvo de ataque elevado > 50 e < 60 potencial de ser alvo de ataque muito elevado > 60 você está neste momento a ser atacado! 03-07-2008 ISEL - DEETC - Redes de Comunicação 6
Qual o nível de segurança? Análise de risco identificar os bens a proteger identificar as ameaças a esses bens identificar os custos associados 03-07-2008 ISEL - DEETC - Redes de Comunicação 7
Qual o nível de segurança? (cont.) Definição de uma política de segurança objectivos definição das medidas a implementar papel dos vários elementos da organização definição das medidas para impor a política de segurança relação com a legislação em vigor 03-07-2008 ISEL - DEETC - Redes de Comunicação 8
Qual o nível de segurança? (cont.) Implementação da política de segurança instalação de mecanismos de segurança monitorização de segurança auditorias de segurança 03-07-2008 ISEL - DEETC - Redes de Comunicação 9
Análise de risco O que é que necessita de protecção? Recursos físicos computadores, impressoras, servidores, Recursos intelectuais informação Tempo tempo de reparação tempo de down-time Tempo é dinheiro 03-07-2008 ISEL - DEETC - Redes de Comunicação 10
Análise de risco (cont.) De quem é necessário garantir protecção? Rede local Redes remotas de outros edifício Redes de clientes ou fornecedores Internet Acesso comutado através de modems ou RDIS Redes sem fios 03-07-2008 ISEL - DEETC - Redes de Comunicação 11
Análise de risco (cont.) Quem é que pode estar interessado em atacar os recursos informáticos? Colaboradores Colaboradores não permanentes (ex. consultores) Concorrência Indivíduos com ideias radicalmente diferentes Indivíduos com motivos de vingança Indivíduos que queiram adquirir visibilidade 03-07-2008 ISEL - DEETC - Redes de Comunicação 12
Análise de risco (cont.) Qual é a probabilidade de uma tentativa ser bem sucedida? Quais os acessos ao exterior existentes? Quais os mecanismos de autenticação existentes? Quais os mecanismos de firewall existentes? Que ganhos pode ter o atacante? 03-07-2008 ISEL - DEETC - Redes de Comunicação 13
Análise de risco (cont.) Quais são os custos imediatos de uma intrusão? Custos de reparação Custos de produtividade (ex. paragem de uma equipa de projecto) Implicações na vida humana (ex. hospital) - Credibilidade da empresa (ex. preço das acções na bolsa) 03-07-2008 ISEL - DEETC - Redes de Comunicação 14
Análise de risco (cont.) Quais são os custos de recuperar de um ataque? Custos de recuperação de sistemas Custos de recuperação de informação Custos de negação de serviços (DoS) Custos devidos a acesso não autorizado e não detectado à informação 03-07-2008 ISEL - DEETC - Redes de Comunicação 15
Análise de risco (cont.) Como garantir protecção a custos controlados? Que nível de protecção é necessário? Instalar firewall? Contratar perito em segurança? Quais os custos de produtividade dos mecanismos a instalar? Não sobredimensionar as soluções (overkill)! O custo de garantir protecção deve ser inferior ao custo de recuperação 03-07-2008 ISEL - DEETC - Redes de Comunicação 16
Análise de risco (cont.) Existe alguma legislação que regulamente as medidas de segurança a adoptar? É obrigatória a instalação de mecanismos de segurança (ex. militares)? É proibida a utilização de alguns mecanismos de segurança (ex. criptografia, biometria)? 03-07-2008 ISEL - DEETC - Redes de Comunicação 17
Referências Folhas de Segurança em Redes Edmundo Monteiro Departamento de Engenharia Informática da Universidade de Coimbra 03-07-2008 ISEL - DEETC - Redes de Comunicação 24