Gerência de Segurança
Por que gerir? Só aplicação de mecanismos Só aplicação de mecanismos cultura e política ignoradas cultura e política ignoradas desequilíbrio do custo/benefício desequilíbrio do custo/benefício avaliação ineficiente da segurança avaliação ineficiente da segurança Segurança Segurança não é quantitativa, mas sim qualitativa não é quantitativa, mas sim qualitativa redução da insegurança (riscos) redução da insegurança (riscos) documentada e acompanhada documentada e acompanhada
Por que gerir? Custo/benefício Custo/benefício custo é um fator limitante custo é um fator limitante qual o nível de segurança desejado? qual o nível de segurança desejado? Aceitação de riscos Aceitação de riscos Além da técnica... Além da técnica... Políticas de segurança Políticas de segurança Educação para usuários Educação para usuários Revisão de riscos, políticas e mecanismos Revisão de riscos, políticas e mecanismos......
PolíticasPolíticas Segurança: bases MecanismosMecanismos CulturaCultura Segurança
Política de Segurança Regulamenta Regulamenta gerência gerência proteção proteção acesso acesso Determina Determina o que deve/pode ser feito o que deve/pode ser feito quem deve/pode fazer quem deve/pode fazer como deve ser feito como deve ser feito
O G Política de Segurança Tipos Tipos Organizacional Organizacional preocupações da direção preocupações da direção linhas mestras para todo o processo de gerência linhas mestras para todo o processo de gerência Gerencial Gerencial modelo para gerência de riscos modelo para gerência de riscos estruturação da disseminação de cultura estruturação da disseminação de cultura processos para atualização de políticas processos para atualização de políticas Específica Específica intimamente relacionada à Técnica intimamente relacionada à Técnica configuração de firewalls configuração de firewalls gerenciamento de senhas gerenciamento de senhas E
Política de Segurança Deve ser bem clara Deve ser bem clara No tocante ao seu conteúdo No tocante ao seu conteúdo Quanto à sua aprovação e publicação Quanto à sua aprovação e publicação Incluir participação de todos Incluir participação de todos Aprovação da diretoria Aprovação da diretoria Usuários de diferentes setores Usuários de diferentes setores Observar questões legais Observar questões legais Ex.: relativas à monitoração de atividades Ex.: relativas à monitoração de atividades
Política de Segurança Deve ser compatível Deve ser compatível Com a realidade da empresa Com a realidade da empresa Com a capacidade dos usuários Com a capacidade dos usuários Documentar a ciência dos usuários Documentar a ciência dos usuários Deve estar sempre atualizada Deve estar sempre atualizada
Gerência de Segurança Componentes Componentes Política de segurança Política de segurança Rege todos os processos Rege todos os processos Gerência de riscos Gerência de riscos Identificar bens, ameaças, vulnerabilidades Identificar bens, ameaças, vulnerabilidades Disseminação de cultura Disseminação de cultura Capacitação dos usuários Capacitação dos usuários Manutenção do processo Manutenção do processo Garantir a eficiência Garantir a eficiência
Questões principais O que se está querendo proteger? O que se está querendo proteger? Qual a probabilidade de um ataque? Qual a probabilidade de um ataque? Quais os pontos mais vulneráveis? Quais os pontos mais vulneráveis? Qual o prejuízo se o ataque for bem sucedido? Qual o prejuízo se o ataque for bem sucedido? O que é preciso para proteger? O que é preciso para proteger? Implementar procedimentos de segurança será vantajoso do ponto de vista custo/benefício? Implementar procedimentos de segurança será vantajoso do ponto de vista custo/benefício?
Gerência de riscos Tentar responder essas perguntas Tentar responder essas perguntas Guiar as decisões de segurança Guiar as decisões de segurança Monitorar as soluções implementadas Monitorar as soluções implementadas Propor novas alterações Propor novas alterações Em resumo: gerência de riscos é um processo contínuo Em resumo: gerência de riscos é um processo contínuo
Gerência de riscos Composta por 3 processos menores: Composta por 3 processos menores: Análise de riscos Análise de riscos Minimização de riscos Minimização de riscos Monitoração e controle Monitoração e controle
Gerência de Riscos Etapas Etapas Análise de riscos Análise de riscos Minimização de riscos Minimização de riscos Manutenção Manutenção Análise Minimização Manutenção
Gerência de Riscos Análise de riscos Análise de riscos Identificar Identificar bens bens infra-estrutura infra-estrutura ameaças ameaças vulnerabilidades vulnerabilidades Analisar Analisar impacto das ameaças impacto das ameaças determinar riscos determinar riscos propor soluções propor soluções
Gerência de Riscos Minimização de riscos Minimização de riscos Planejar Planejar avaliar custo/benefício avaliar custo/benefício priorizar ações priorizar ações Implementar Implementar minimização dos riscos especificados minimização dos riscos especificados responsabilidades responsabilidades prazos prazos configurações configurações
Gerência de Riscos Manutenção Manutenção Monitorar Monitorar cumprimento das tarefas definidas cumprimento das tarefas definidas eficiência das ações tomadas eficiência das ações tomadas Controlar Controlar mudanças do ambiente mudanças do ambiente potencial surgimento de novos riscos potencial surgimento de novos riscos reiniciar o processo reiniciar o processo
Disseminação de Cultura Cultura existente pode ser uma barreira Cultura existente pode ser uma barreira Vital para o cumprimento da política de segurança Vital para o cumprimento da política de segurança Não deve ser feita de forma coerciva Não deve ser feita de forma coerciva o objetivo é obter cooperação o objetivo é obter cooperação cada usuário deve entender o seu papel cada usuário deve entender o seu papel
Disseminação de Cultura Instrumentos Instrumentos Contratos Contratos Fóruns de discussão Fóruns de discussão Cartilhas/folhetos Cartilhas/folhetos Cursos de capacitação e conscientização Cursos de capacitação e conscientização interpretação da política de segurança interpretação da política de segurança identificação de novas ameaças identificação de novas ameaças identificação de ações não autorizadas identificação de ações não autorizadas
Manutenção do Processo Acompanhamento de cada componente Acompanhamento de cada componente Interações Interações conflitos conflitos violações violações atualização atualização Cumprimento das metas definidas Cumprimento das metas definidas Adequação aos objetivos da organização Adequação aos objetivos da organização Garantir que o processo seja permanente Garantir que o processo seja permanente
Análise de Riscos Caracterização do Sistema Identificação de Ameaças Identificação de Vulnerabilidades
Análise de Riscos Caracterização do Sistema Identificação de Ameaças Identificação de Vulnerabilidades Análise de Probabilidades Análise de Mecanismos
Análise de Riscos Caracterização do Sistema Identificação de Ameaças Identificação de Vulnerabilidades Análise de Probabilidades Análise de Mecanismos Análise de Impacto
Análise de Riscos Caracterização do Sistema Identificação de Ameaças Identificação de Vulnerabilidades Análise de Probabilidades Análise de Mecanismos Análise de Impacto Determinação de Riscos
Análise de Riscos Caracterização do Sistema Identificação de Ameaças Identificação de Vulnerabilidades Análise de Probabilidades Análise de Mecanismos Análise de Impacto Determinação de Riscos Recomendação de Mecanismos Documentação de Resultados
Estudo de Caso... Internet ISP DB Server Servidor Interno de Arquivos Workstations RAS Roteador DNS, MAIL, HTTP, FTP Workstations DNS, MAIL Funcionários Remotos ISP
Estudo de Caso Identificação de ameaças Identificação de ameaças Acesso não autorizado ao DB Server Acesso não autorizado ao DB Server Alteração de páginas web Alteração de páginas web Distribuição de material indevido via FTP Distribuição de material indevido via FTP Acesso irrestrito à Internet pelas máquinas internas Acesso irrestrito à Internet pelas máquinas internas Todas as máquinas vulneráveis via Internet (intrusão, instalação de backdoors, etc) Todas as máquinas vulneráveis via Internet (intrusão, instalação de backdoors, etc) Sem controle quanto aos uso de sniffers Sem controle quanto aos uso de sniffers
Estudo de Caso Identificação de vulnerabilidades Identificação de vulnerabilidades 1. Inexistência de controle de tráfego 1. Inexistência de controle de tráfego 2. Inexistência de detecção de varreduras 2. Inexistência de detecção de varreduras 3. Ataque de negação de serviço 3. Ataque de negação de serviço 4. Serviços concentrados 4. Serviços concentrados 5. Todas as máquinas visíveis da Internet 5. Todas as máquinas visíveis da Internet 6. Uso de serviços inseguros por funcionários remotos (vendedores e pessoal de suporte) 6. Uso de serviços inseguros por funcionários remotos (vendedores e pessoal de suporte) 7. Excesso de privilégios para usuários internos 7. Excesso de privilégios para usuários internos 8. Comunicação insegura entre matriz e filial 8. Comunicação insegura entre matriz e filial
Estudo de Caso Análise de mecanismos Análise de mecanismos Uso de senhas Uso de senhas Acesso ao DB diferenciado por usuário Acesso ao DB diferenciado por usuário Acesso a recursos de rede requer identificação do usuário Acesso a recursos de rede requer identificação do usuário Uso do serviço de RAS restrito a funcionários remotos e requer identificação Uso do serviço de RAS restrito a funcionários remotos e requer identificação Acesso ao DB livre de injeção de SQL Acesso ao DB livre de injeção de SQL
Estudo de Caso Análise de Probabilidades Análise de Probabilidades Inexistência de controle de tráfego - alta Inexistência de controle de tráfego - alta Inexistência de detecção de varreduras - alta/baixa Inexistência de detecção de varreduras - alta/baixa Ataque de negação de serviço - média/baixa Ataque de negação de serviço - média/baixa Serviços concentrados - alta/média Serviços concentrados - alta/média Todas as máquinas visíveis da Internet - alta/média Todas as máquinas visíveis da Internet - alta/média Uso de serviços inseguros por funcionários remotos - alta/média Uso de serviços inseguros por funcionários remotos - alta/média Excesso de privilégios para usuários internos - média/alta Excesso de privilégios para usuários internos - média/alta Comunicação insegura entre matriz e filial - média Comunicação insegura entre matriz e filial - média
Estudo de Caso Análise de Impacto Análise de Impacto Inexistência de controle de tráfego - alto Inexistência de controle de tráfego - alto Inexistência de detecção de varreduras - médio/baixo Inexistência de detecção de varreduras - médio/baixo Ataque de negação de serviço - médio/baixo Ataque de negação de serviço - médio/baixo Serviços concentrados - alto/média/baixo Serviços concentrados - alto/média/baixo Todas as máquinas visíveis da Internet - alto/médio Todas as máquinas visíveis da Internet - alto/médio Uso de serviços inseguros por funcionários remotos - alto/baixo Uso de serviços inseguros por funcionários remotos - alto/baixo Excesso de privilégios para usuários internos - médio/alto Excesso de privilégios para usuários internos - médio/alto Comunicação insegura entre matriz e filial - alto/médio Comunicação insegura entre matriz e filial - alto/médio
Estudo de Caso Determinação de riscos Determinação de riscos risco = probabilidade x impacto risco = probabilidade x impacto Risco alto: Risco alto: Sem controle de tráfego Sem controle de tráfego Todas as máquinas visíveis da Internet Todas as máquinas visíveis da Internet Risco médio: Risco médio: Serviços remotos inseguros Serviços remotos inseguros Excesso de privilégios internos Excesso de privilégios internos Serviços concentrados Serviços concentrados Comunicação insegura entre matriz e filial Comunicação insegura entre matriz e filial Risco baixo: Risco baixo: Inexistência de detecção de varreduras Inexistência de detecção de varreduras Ataque de negação de serviço Ataque de negação de serviço
Estudo de caso
Estudo de Caso... Internet ISP DB Server HTTP FTP Servidor Interno de Arquivos Workstations RAS Roteador DNS MAIL Filtro Interno Filtro e NAT VPN Gateway Funcionários Remotos
Política de segurança Conjunto de leis regras e práticas que regulam (informações e recursos): Conjunto de leis regras e práticas que regulam (informações e recursos): como gerenciar como gerenciar como proteger como proteger como distribuir como distribuir Sistema seguro = sistema que garante o cumprimento da política de segurança traçada Sistema seguro = sistema que garante o cumprimento da política de segurança traçada
Políticas: problemas Pessoas encararam políticas como: Pessoas encararam políticas como: um redutor de produtividade um redutor de produtividade medidas para controlar o comportamento medidas para controlar o comportamento Diferentes pessoas têm diferentes visões sobre as necessidades de segurança Diferentes pessoas têm diferentes visões sobre as necessidades de segurança Funcionários temem a dificuldade de implementação e de cumprimento Funcionários temem a dificuldade de implementação e de cumprimento Políticas afetam todos na organização Políticas afetam todos na organização
Políticas: características Deve: Deve: ser implementável e exeqüível ser implementável e exeqüível ter foco no futuro ter foco no futuro clara e concisa clara e concisa equilibrar proteção e produtividade equilibrar proteção e produtividade
Políticas: características Deveria: Deveria: esclarecer sua necessidade esclarecer sua necessidade descrever o que é coberto pela política descrever o que é coberto pela política definir contatos e responsabilidades definir contatos e responsabilidades discutir como tratar violações discutir como tratar violações
Políticas: estrutura Depende do tamanho e propósitos da organização Depende do tamanho e propósitos da organização Um único documento ou vários menores Um único documento ou vários menores manutenção mais fácil para pequenos documentos manutenção mais fácil para pequenos documentos Política geral e políticas específicas Política geral e políticas específicas Exemplos: Exemplos: uso admissível uso admissível acesso remoto acesso remoto proteção da informação proteção da informação segurança mínima de host/dispositivo segurança mínima de host/dispositivo
Segurança: estratégias Atribuir privilégios mínimos Atribuir privilégios mínimos Criar redundância de mecanismos Criar redundância de mecanismos Criar ponto único de acesso Criar ponto único de acesso Determinar os pontos mais fracos Determinar os pontos mais fracos Tornar o sistema livre de falhas ( fail- safe) Tornar o sistema livre de falhas ( fail- safe) Incentivar a participação universal Incentivar a participação universal Investir na diversidade de defesa Investir na diversidade de defesa Prezar a simplicidade Prezar a simplicidade
Mecanismos Criptografia Criptografia Autenticação Autenticação Redes privadas (VPNs) Redes privadas (VPNs) Firewalls Firewalls Ferramentas de verificação (auditoria) Ferramentas de verificação (auditoria) Sistemas de detecção de intrusão (IDSs) Sistemas de detecção de intrusão (IDSs)
Links: ferramentas Nessus: Nessus: NMap: NMap: Tripwire: Tripwire: Ethereal: Ethereal: SSH: SSH: PGP: PGP:
Links: páginas cve.mitre.org cve.mitre.org
Links: organizações csrc.ncsl.nist.gov csrc.ncsl.nist.gov