Segurança de Redes Aula 1 - Conceitos

Segurança de Redes Aula 1 - Conceitos
Universidade Estadual do Ceará (UECE) Segurança de Redes Aula 1 - Conceitos

AGENDA Surgimento da preocupação com segurança da informação;
Conceitos e princípios da Segurança da Informação; Segurança como parte dos negócios.

Lembre-se desta regra:
Se um HACKER quiser invadir seu sistema, ele conseguirá! E não existe muito o que você possa fazer para impedir isso. A única coisa que você poderá fazer é tornar esta tarefa difícil para ele.

INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Notícias recentes que demonstram o quão frágil é a infraestrutura de segurança dos sites web governamentais. E os sites web das empresas privadas, estão seguros?

“O preço da liberdade é a eterna vigilância” (Thomas Jefferson)

Estamos seguros na Internet? Qual o impacto se o site de uma empresa for “pichado”?

INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Prejuízos (em milhões de dólares)
Prejuízos causados pelos principais vírus. Fonte: Computer Economics e mi2g Ano Vírus Prejuízos (em milhões de dólares) 1999 Melissa 1,200 2000 I Love You 8,750 2001 Nimda 635 Code Red 2,620 Sircam 1,150 2002 Klez 13,900 2003 Slammer / Sapphire Yaha 6,300 Blast 525 SoBig 14,600 2004 MyDoom 89,600 NetSky 43,800 Bagle 5,300 Sasser 18,100 2008 Conficker 9,100

Spams reportados

Incidentes reportados

Realidade da segurança nos órgãos do governo. E nas empresas privadas, será que estes números são muito diferentes? Esperar um incidente para se proteger?!?

Os 10 HACKERS mais famosos Fonte: terra.com.br 1º. Kevin Mitnick. Um dos mais famosos hackers de todos os tempos, Foi o primeiro hacker a entrar para a lista dos 10 criminosos mais procurados pelo FBI. 2º. Adrian Lamo. Na lista de invasões do jovem hacker americano estão os sites da Microsoft, do Yahoo! e do jornal The New York Times. 3º. Raphael Gray. O hacker britânico Raphael Gray, 19 anos, foi condenado por roubar 23 mil números de cartões de crédito, entre eles um de Bill Gates. 4º Jonathan James. Preso aos 16 anos, o hacker invadiu uma das agências Departamento de Defesa americano. 5º. Jon Lech Johansen. Conhecido como DVD Jon, o hacker norueguês ganhou fama após burlar os sistemas de proteção dos DVDs comerciais. 6º. Vladimir Levin. O criminoso russo liderou uma gangue que invadiu computadores do Citibank e desviou US$ 10 milhões, em º. Onel de Guzman. Com apenas 23 anos, o filipino Onel de Guzman causou um prejuízo de US$ 10 bilhões com seu vírus “I Love You”, que atingiu sistemas de no mundo todo. 8º. Kevin Poulsen. Ganhou um Porsche num concurso realizado por uma rádio americana. O 102º ouvinte que telefonasse para a emissora, levava o carro. Poulsen invadiu a central. 9º. Robert Morris. O americano, filho do cientista chefe do Centro Nacional de Segurança Computacional dos EUA, espalhou o primeiro worm que infectou milhões de computadores e fez grande parte da Internet entrar em colapso, em º. David L. Smith. Com o vírus Melissa, o programador conseguiu derrubar servidores de grandes empresas, como Intel e Microsoft.

Mas nós estamos do lado da LEI!!

A segurança deve ser considerada não apenas uma proteção, mas o elemento habilitador dos negócios da organização. Pesquisas indicam que os consumidores deixam de realizar negócios via internet quando não confiam na segurança de um site. [IDG Now] A segurança apareceu em uma pesquisa como o principal fator de consumidores não realizarem compras pela internet. [INFO Online]

Fatores que justificam a preocupação com a segurança contínua: Entender a natureza dos ataques é fundamental; Novas tecnologias trazem consigo novas vulnerabilidades; Novas formas de ataques são criadas; Aumento da conectividade resulta em novas possibilidades de ataques; Existência tanto de ataques direcionados quanto de ataques oportunísticos; A defesa é mais complexa do que o ataque; Aumento dos crimes digitais.

Não é um fato isolado, mas um conjunto de fatores que acarreta o aumento das vulnerabilidades e a crescente preocupação com a proteção: A competitividade e a pressa no lançamento de novos produtos; O alto nível de conectividade; O aumento do número de potenciais atacantes; O avanço tecnológico, que resulta em novas vulnerabilidades intrínsicas; O aumento da interação entre organizações, resultando nos ambientes cooperativos; (ex: Multinacional adquirindo uma filial) A integração entre diferentes tecnologias, que multiplica as vulnerabilidades; (ex: WinZip e Windows) O aumento da complexidade dos ambientes, resultando do aumento de relacionamentos, da integração tecnológica e do aumento de serviços.

Segurança como parte dos negócios Crescimento comercial do Internet Protocol (IP). Foco passa a ser também a disponibilidade. A Tecnologia da Informação tornou-se essencial aos negócios Surgimento dos ambientes de rede. A integridade passou a ser de suma importância. Proteção focava a informação, não os dados Foco principal era manter o sigilo dos dados 1970 1980 1990 Dados: conjunto de bits armazenados, como nomes, endereços, datas de nascimento, números de cartões de crédito ou históricos financeiros. Informação: quando um dado passa a ter um sentido, como as informações referentes a um cliente especial. Ou também o preço de um produto competitivo.

Histórico da Segurança da Informação Nasceu como elemento de estratégia militar; Amadureceu em entidades militares, governamentais e Acadêmicas; Desde a década passada faz parte da estratégia corporativa. Principais Desafios Definição das Funções e Responsabilidades; Participação ativa nas estratégias organizacionais; Integração com a missão da Organização.

CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
O que é Informação? “Conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos ou transacionais“ (Marcos Sêmola) O que é Segurança? “[...] um estado e qualidade ou condição de seguro, assim também como convicção e certeza” (Dicionário Aurélio)

Definições de Segurança da Informação Segurança da Informação é a proteção da informação de vários tipos de ameaças para a continuidade do negócio e também para minimizar o risco ao negócio. Segurança da Informação: área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou a sua indisponibilidade.

Confid. INFORMAÇÃO Integridade Disponibilidade Marcos Sêmola

Princípios básicos da Segurança da Informação: Aspectos da Segurança da Informação:

Ciclo de Vida da Informação

Elementos

ATIVO: É tudo aquilo que possui valor para uma organização. Exemplo de classificação de ativos:

Ameaças Agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade e, consequentemente, causando impactos aos negócios de uma organização.

Vulnerabilidade Fragilidade presente ou associada a ativos que manipulam e/ou processam informações que, ao ser explorada por ameaças, permite a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: Confidencialidade, Integridade e Disponibilidade. Por si só não provocam incidentes, são elementos passivos, necessitando para tanto de um agente causador ou condição favorável, que são as ameaças. São as falhas que são exploradas pelas ameaças.

Vulnerabilidades x Ameaças Vulnerabilidades Ameaças Como peças que se encaixam, ameaças específicas exploram vulnerabilidades compatíveis

Medidas de Segurança Preventivas: objetivam evitar que incidentes venham a ocorrer. Visam manter a segurança já implementada por meio de mecanismos que estabeleçam a conduta e a ética da segurança na instituição. Ex.: políticas de segurança, instruções e procedimentos de trabalho, especificação de segurança, campanhas e palestras de conscientização de usuários; ferramentas para implementação da política de segurança (firewall, antivírus, configurações adequadas de roteadores e dos sistemas operacionais, etc). Detectáveis: visam identificar condições ou indivíduos causadores de ameaças, a fim de evitar que as mesmas explorem vulnerabilidades. Ex.: análise de riscos, sistemas de detecção de intrusão, alertas de segurança, câmeras de vigilância, alarmes, etc. Corretivas: Ações voltadas à correção de uma estrutura tecnológica e humana para que as mesmas se adaptem às condições de segurança estabelecidas pela instituição, ou voltadas à redução dos impactos: equipes para emergências, restauração de backup, plano de continuidade operacional, plano de recuperação de desastres.

Barreiras de Segurança DESENCORAJAR DIFICULTAR DISCRIMINAR DETECTAR DETER DIAGNOSTICAR NEGÓCIO AMEAÇAS ATIVOS CRESCIMENTO DO IMPACTO

Barreiras de Segurança Barreira 1: Desencorajar Esta é a primeira das cinco barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Estas, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmera de vídeo, mesmo falsa, de um aviso da existência de alarmes, campanhas de divulgação da política de segurança ou treinamento dos funcionários informando as práticas de auditoria e monitoramento de acesso aos sistemas, já são efetivos nesta fase. Barreira 2: Dificultar O papel desta barreira é complementar a anterior através da adoção efetiva dos controles que irão dificultar o acesso indevido. Como exemplo, podemos citar os dispositivos de autenticação para acesso físico, como roletas, detectores de metal e alarmes, ou lógicos, como leitores de cartão magnético, senhas, smartcards e certificados digitais, além da criptografia, firewall, etc.

Barreiras de Segurança Barreira 3: Discriminar Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações de computadores e bancos de dados. Os processos de avaliação e gestão do volume de uso dos recursos, como , impressora, ou até mesmo o fluxo de acesso físico aos ambientes, são bons exemplos das atividades desta barreira. Barreira 4: Detectar Mais uma vez agindo de forma complementar às suas antecessoras, esta barreira deve munir a solução de segurança de dispositivos que sinalizem, alertem, e instrumentem os gestores da segurança na detecção de situações de risco. Seja em uma tentativa de invasão, uma possível contaminação por vírus, o descumprimento da política de segurança da empresa, ou a cópia e envio de informações sigilosas de forma inadequada. Entram aqui os sistemas de monitoramento e auditoria para auxiliar na identificação de atitudes de exposição, como o antivírus e o sistema de detecção de intrusos, que reduziram o tempo de resposta a incidentes.

Barreiras de Segurança Barreira 5: Deter Representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, respectivamente a ambientes e sistemas, são bons exemplos. Barreira 6: Diagnosticar Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Pode parecer o fim, mas é o elo de ligação com a primeira barreira, criando um movimento cíclico e contínuo. Devido a esses fatores esta é a barreira de maior importância. Deve ser conduzida por atividades de análise de riscos que considerem tanto os aspectos tecnológicos quanto os físicos e humanos, sempre orientados às características e às necessidades específicas dos processos de negócio de uma empresa.

CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Risco = Probabilidade x Impacto
Riscos: Probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando possivelmente, impactos nos negócios. Probabilidade: Chances de uma ameaça explorar uma vulnerabilidade. Impacto: Abrangência dos danos causados por um incidente de segurança sobre um ou mais processo ou ativos de negócio. Risco = Probabilidade x Impacto Portanto: Segurança é uma prática voltada à eliminação de Vulnerabilidades para reduzir os Riscos de uma Ameaça se concretizar no ambiente que se quer proteger.

RISCOS AMEAÇAS CONCEITOS DE SEGURANÇA DA INFORMAÇÃO VULNERABILIDADES
EXPLORAM VULNERABILIDADES AUMENTAM AUMENTAM PROTEGEM CONTRA EXPÕEM AÇÕES DE SEGURANÇA DA INFORMAÇÃO RISCOS INFORMAÇÕES DIMINUEM AUMENTAM IMPLEMENTADAS COM TÊM INDICAM AUMENTAM NECESSIDADES DE SEGURANÇA VALORES (QUE CAUSAM POTENCIAIS IMPACTOS NOS NEGÓCIOS) Ciclo da Segurança da Informação – ISO/IEC :1998

Conforme (Stoneburner, 2001), a forma para descobrir se existe algum risco em um projeto e se o mesmo é aceitável, é apresentada na próxima figura:

Nas últimas décadas começamos a entrar em uma era onde o que mandava era o bloqueio! Aos poucos nos tornamos caixas pretas interligadas à Internet. Privamos os usuários do acesso a diversos tipos de sites. Nossos serviços ficaram centralizados. E nos últimos anos estamos tendo que rever estes conceitos. Acessos às redes sociais, etc. As vantagens de disponibilizar nossos serviços nas Nuvens!

Mitos sobre segurança Isso nunca acontecerá conosco; Nunca fomos atacados, não precisamos de mais segurança; Já estamos seguros com um firewall; Utilizamos os melhores sistemas, então, eles devem ser seguros; Não dá para gastar com segurança agora, deixa assim mesmo; Utilizamos as últimas versões dos sistemas dos melhores fabricantes; Nossos fornecedores irão nos avisar, caso alguma vulnerabilidade seja encontrada; Ninguém vai descobrir essa brecha em nossa segurança; Tomamos todas as precauções, de modo que os testes não são necessários; Vamos deixar funcionando e depois resolveremos os problemas de segurança; Os problemas de segurança são de responsabilidade do departamento de TI; Está tudo seguro, eu mesmo escolho as senhas de meus funcionários; O nosso parceiro é confiável, podemos liberar o acesso para ele.

Exercício: Quantas falhas de segurança você é capaz de encontrar?

Mencionar senha por telefone. Antes de disponibilizar qualquer tipo de informação, saber: Com quem fala, de onde fala, conferir se possível se o telefone de onde se origina o número esteja batendo com o mencionado (via bina por exemplo) e por que, quer aquela informação; Fatores externos (Visitantes) ter acesso à área interna na empresa, obtendo contato à informações confidenciais; Entrega de informações sem o devido conhecimento real de quem esta levando essa informação; Entrada de pessoas não autorizadas ou sem identificação de quem se trata, com portas abertas e expostas a entrada de qualquer um; Recebimento de informações digitais (disquete, cd etc..) sem o prévio conhecimento da procedência de onde realmente vem, de quem vem e do que se trata, sem fazer primeiramente uma inspeção do material recebido em algum lugar ou equipamento que não comprometa a empresa ou organização; Descarte incorreto de material que se acha inútil depois de jogado no lixo. O não picotamento em diversos pedaços e de preferência em diversos lixos; Cabos e fios que interligam os computadores soltos no meio da sala, sem a devida organização de estar atrás do micro salvaguardados de qualquer tropeço ou acidente; Gavetas abertas, de fácil acesso a documentos;

Jogos via internet ou mesmo por disquetes ou CD-ROM são passíveis de conter armadilhas, como ativação de worms, cavalos de tróia , vírus dentre outros perigos que se escondem por traz dos envolventes jogos, ou diversões oferecidas; Deixar exposto arquivos de backup, não guardando em lugar seguro e confiável. Além de demonstrar explicitamente que é um backup. Como do absurdo de colocar em risco a perda de todo backup sem os devidos cuidados necessários a segurança física, em caso de algum acidente como uma xícara de café cair em cima do material de backup; Nome de usuário e senhas expostos para qualquer um que passar, ver e ter acesso; Disquetes, Cds, documentos, material particular como bolsas, carteiras em cima da mesa ou expostos, com grande facilidade de alguém se apoderar ou ter acesso, principalmente se as portas ou janelas ficam sempre abertas; Fumar em ambiente de trabalho, já não é tão correto dependendo de onde se trabalha, quanto mais se neste lugar têm-se carpetes! ; Programas, documentos digitais gravados em disquete ou Cds, não sendo devidamente guardados em lugares seguros onde somente aqueles que podem ter realmente acesso seriam portadores da informação; Materiais eletro-eletrônicos, perto das máquinas de trabalho; Cabos de energia soltos, comprometendo a segurança física dos funcionários;

Computador ligado demonstrando informações confidenciais como senha, usuário, códigos fontes; Acesso a sites indevidos, não confiáveis, ou fora das políticas de trabalho da empresa; Computador ligado e, sobretudo logado com a senha e nome de algum usuário esquecidinho, deixando a mercê o uso da máquina por alguém não autorizado; Sistema de alarme desativado, desligado ou inoperante, em caso de alguma urgência ou emergência; Material (softwares de aplicativos) exposto sem estar guardado em lugar seguro. Bem como livros, apostilas etc, que contenham informações que sirva como um facilitador em trazer palavras de cunho técnico de modo à “achar” id, passwords, sejam elas default ou não; Enfeites, como vasos, quadros dentre outros, servindo como mera distração, fugindo do habitual e tradicional layout de arranjo do ambiente de trabalho, quando surgem, podem ser alvo de suspeita, pois de traz desses “enfeites” , podem estar guardados, escondidos ou implantados sistemas de escuta, gravadores dentre outros pequenos sistemas que podem colher informações ditas ou vivenciadas naquele ambiente. (paranóias e neuroses à parte todo cuidado é pouco!);

INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Tempo Implementação Controle
CURIOSIDADE!! Tempo Implementação Controle Controle mal implementado = Menor tempo gasto – Produtividade Menor Controle bem implementado = Mais tempo gasto – Produtividade praticamente igual Produtividade do usuário final afetada: Gasta tempo da sua produtividade já comprometida tentando encontrar uma maneira de burlar a segurança. Após o usuário conseguir você continua sem segurança!

Bibliografia NAKAMURA, Emilio; GEUS, Paulo. Segurança de Redes em Ambientes Cooperativos. São Paulo: Novatec, 2010. PEIXOTO, Mário César Pintaudi. Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006. SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. 14ª ed. Campus Elsevier, 2011

Segurança de Redes Aula 1 - Conceitos

Apresentações semelhantes

Apresentação em tema: "Segurança de Redes Aula 1 - Conceitos"— Transcrição da apresentação:

Apresentações semelhantes

Sobre projeto

Feedback

Login

Autorizar-se através da rede social:

Segurança de Redes Aula 1 - Conceitos

Apresentações semelhantes

Apresentação em tema: "Segurança de Redes Aula 1 - Conceitos"— Transcrição da apresentação:

Apresentações semelhantes

Sobre projeto

Feedback