Segurança & Auditoria de Sistemas AULA 02 Eduardo Silvestri www.eduardosilvestri.com.br.

Slides:



Advertisements
Apresentações semelhantes
Nome da Apresentação Clique para adicionar um subtítulo.
Advertisements

Sistema de Detecção de Intrusão.
Confiança.
SEGURANÇA E AUDITORIA DE SISTEMAS
1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
Mecanismo de Proteção (Prevenção e Detecção)
Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
Segurança em Redes Elmar Melcher
Criptografia e Segurança em Rede Capítulo 1
GERENCIAMENTO DE REDES
Instrutor: Edson Santos
Curso Técnico em Manutenção e Suporte em Informática
Segurança em Aplicações 1. Introdução
Segurança e Auditoria de Sistemas
Trabalho – 03/09/ FIM.
Segurança Conceitos de Ataques Mauro Mendes.
Fundamentos de Segurança da Informação
1.1 – Conceitos Básicos Definições e Propriedades; Ameaças; Ataques;
Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.
Sistemas de Detecção de Intrusão
Segurança e auditoria de sistemas
4.
Segurança de Redes Wayne Palmeira.
Aula 8 – Segurança em Redes de Computadores
SISTEMAS DE INFORMAÇÃO Segurança em Computação Distribuída
Disciplina: Sistema Operacional Professor: Luciano Ricardi Scorsin
Segurança da informação
Malwares Malicious software.
Gestão de Segurança em Comércio Eletrônico
IDS - Sistemas de Detecção de Intrusão (Intrusion Detection System)‏
Denis B Vieira Nº 03 3H15 Marcos Vasconcelos Nº 11
Segurança da Informação – SI
Segurança de Redes Curso Superior de Tecnologia em Redes de Computadores CEFETES – Unidade Colatina.
SISTEMAS DISTRIBUIDOS Aula 4
Segurança & Auditoria de Sistemas AULA 03 Eduardo Silvestri
Segurança e Auditoria de Sistemas
1. Conceitos de Segurança
Segurança da Informação
Testes de Software AULA 02 Eduardo Silvestri
Segurança & Auditoria de Sistemas AULA 03
Segurança & Auditoria de Sistemas AULA 09 Eduardo Silvestri
Testes de Software AULA 06 Eduardo Silvestri
Conceitos de Segurança em Redes
Tópicos Avançados em Redes de Computadores Prof. Fabiano Sabha.
O Valor da Segurança da Informação
Introdução a Banco de Dados Aula 04
Princípios Fundamentais e Secundários
Segurança & Auditoria de Sistemas AULA 07 Eduardo Silvestri
Segurança Online Entenda e aprenda a driblar os perigos de compartilhar informações pessoais online.
Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
Sistema de Gestão de Segurança da Informação
Segurança da informação
Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri
Segurança da Informação e seus Critérios
Sistemas de Informações em Recursos Humanos
Segurança & Auditoria de Sistemas AULA 02
Segurança da Informação
Tecnologia da informação Aula 11 – Segurança e Ética
Informação É recomendável que seja sempre protegida adequadamente, seja qual for a forma apresentada: Impressa; Escrita em papel; Armazenada eletronicamente;
FIREWALL.
Componentes: Cáren Soares Érika Rodrigues Jeniffer Roxana Eduardo Borges Professor: LÔBO.
VISÃO GERAL DA ÁREA DE SEGURANÇA DA INFORMAÇÃO  ESTÁ RELACIONADA COM A PROTEÇÃO DE UM CONJUNTO DE INFORMAÇÕES, NO SENTIDO DE PRESERVAR O VALOR QUE POSSUEM.
TECNOLOGIA DA INFORMAÇÃO Gildo Leonel Lillian Cherrine.
Objetivos do Capítulo Identificar diversos problemas éticos causados pelo uso das tecnologias de informação em e-business, tais como os relacionados ao.
Análise de vulnerabilidades
IDS (Intrusion Detection System) Sistemas de Detecção de Intrusão
Segurança em Comércio Eletrônico Comércio tradicional realizado de maneira centralizada cercado de restrições legais Comércio eletrônico realização de.
Fundamentos de Sistemas de Segurança da Informação
Segurança da Informação Anderson Lara Éder Klister Igor S. Oliveira Sharles Magdiel.
Transcrição da apresentação:

Segurança & Auditoria de Sistemas AULA 02 Eduardo Silvestri

Situando a Segurança Milhões de Corporações, empresas, instituições e usuários domésticos estão usando a Internet para fazer transações bancárias, comercio eletrônico, etc. Portanto, segurança hoje, é um problema potencial critico.

O que é Informação ? Informação é um recurso que, como outros importantes recursos de negócios, tem valor a uma organização e por conseguinte precisa ser protegido adequadamente [BS : 1999, British Standards Institute]

O que é Segurança ? segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção. seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, garantido. 8. Em quem se pode confiar. 9. Certo, indubitável, incontestável. 10. Eficaz, eficiente. [Dicionário Aurélio]

O que é Segurança da Informação ? A Segurança de informação protege a informação de uma gama extensiva de ameaças para assegurar continuidade dos negócios, minimizar os danos empresariais e maximizar o retorno em investimentos e oportunidades. (...) A segurança da Informação é caracterizada pela preservação da: confidencialidade, integridade e disponibilidade. [BS : 1999, British Standards Institute]

O que é Segurança da Informação ? : 1.Confidencialidade: assegurar que a informação será acessível somente por quem tem autorização de acesso; 2.Integridade: assegurar que a informação não foi alterada durante o processo de transporte da informação. 3.Disponibilidade: assegurar que usuários autorizados tenham acesso as informações e a recursos associados quando requeridos.

Dicionário da Segurança  Ataque Evento que pode comprometer a segurança de um sistema ou uma rede. Um ataque pode ou não ter sucesso. Um ataque com sucesso caracteriza uma invasão.  Autenticação – É o processo de se confirmar a identidade de um usuário ou um host, esta pode ser feita de diversas maneiras.  Back Door – É um programa escondido, deixado por um intruso, o qual permite futuro acesso a maquina alvo.  Bug – Uma falha ou fraqueza em programas de computador.

Dicionário da Segurança  Cavalo de Tróia Uma aplicação ou código que, sem conhecimento do usuário realiza uma tarefa que compromete a segurança de um sistema, em geral, esta aplicação se apresenta ao usuário de forma rotineira e legítima.  Crack – Programa utilizado para quebrar licenças de outros programas. Também pode se referir a programas utilizados para quebra de senhas.  Cracker – Individuo com conhecimentos avançados de computação e segurança, que os utiliza para fins criminosos, destruição de dados ou interrupção de sistemas.

Dicionário da Segurança  Engenharia Social – Técnica utilizada por hackers e crackers para obter informações interagindo diretamente com pessoas.  Exploit – Programa utilizado por hackers e crackers para explorar vulnerabilidade nos sistemas, conseguindo assim acesso com maior privilegio.  Hacker– Individuo com conhecimentos elevados de computação e segurança, que os utiliza para fins de diversão, interesse, emoção. Em geral, hackers não destroem dados, possuem um código de etica e não buscam ganhos financeiros. O termo hacker é atualmente adotado pela midia de forma indiscriminada, se referindo a crackers por exemplo.

Dicionário da Segurança  IDS – Intrusion Detection System – É um sistema de detecção de intrusão, um software responsável por monitorar uma rede ou Sistema e alerta sobre possíveis invasões.  Invasão – Caracteriza um ataque bem sucedido.  Lammer – É uma palavra que os hacker utilizam para identificar os indivíduos que se acham hacker, mas ainda estão no estagio inicial do aprendizado.  Sniffer – Ferramenta que serve para monitorar e gravar pacotes que trafegam pela rede.

Dicionário da Segurança  IDS – Intrusion Detection System – É um sistema de detecção de intrusão, um software responsável por monitorar uma rede ou Sistema e alerta sobre possíveis invasões.  Invasão – Caracteriza um ataque bem sucedido.  Lammer – É uma palavra que os hacker utilizam para identificar os indivíduos que se acham hacker, mas ainda estão no estagio inicial do aprendizado.  Sniffer – Ferramenta que serve para monitorar e gravar pacotes que trafegam pela rede.

Serviços de Segurança Autenticação Controle de Acesso Rastreabilidade Auditoria Particionamento de Segurança Integridade Confidencialidade

Autenticação Deve responder à questão: “É a pessoa certa para acessar esta informação?” É uma das funções de segurança mais importante que um sistema operacional deve fornecer.

Níveis de Autenticação Algo que você sabe Algo que você possui Algo que você é Algum lugar onde você está

Controle de Acesso Uma vez determinado que a pessoa certa está em sessão, deve ser respondida a seguinte questão: “Qual informação está disponível para este usuário?” Os mecanismos de controle de acesso impedem que “entidades” não autorizadas acessem recursos do sistema.

Mandatory Access Control - o controle é definido por uma autoridade centralizada. Discretionary Access Control - o controle é definido pelo proprietário da informação. Role-based Access Control - modelo emergente onde os controles são aplicados a cargos aos quais os usuários são associados. Modelos de Controle de Acesso

Rastreabilidade Os serviços de rastreabilidade de um sistema operacional associam cada um dos eventos de segurança relevantes a uma entidade única. Tal entidade pode ser uma pessoa, um recurso do sistema operacional ou um sistema externo como um computador ou uma rede de computadores.

Auditoria Os serviços de auditoria de um sistema operacional devem ser capazes de responder à pergunta: “O que aconteceu?” Do ponto de vista da segurança, a auditoria é a habilidade de reconstituir uma ocorrência de segurança, permitindo a análise de suas causas e efeitos.

Particionamento de Segurança Do ponto de vista da segurança, toda entidade (usuário ou computador) está a uma partição de segurança ou domínio. Um domínio de segurança é uma construção lógica que contém todos os objetos que essa entidade está autorizada a acessar. Um domínio de usuário pode incluir espaço para armazenamento de arquivos, dispositivos de E/S, aplicativos, etc.

Integridade Integridade é a capacidade de garantir que o conteúdo de um objeto não foi alterado por uma entidade não autorizada. Formas de garantia da integridade: Controle de acesso para impedir alterações em arquivos; “Checksum” e CRC (Cyclic Redundancy Check); Assinatura digital e “hash”;

Confidencialidade Confidencialidade é a garantia de que apenas os usuários autorizados possam acessar a informação, independente de quem possui o “recipiente” contendo a informação. A forma mais comum de se implementar confidencialidade em sistemas de computador é através do uso da criptografia.

Publicações e Entrega -Mapa Conceitual da Aula.

Eduardo Silvestri Dúvidas