Segurança e Auditória de Sistemas Tauller Matos www.tauller.com tauller@yahoo.com.br Material 4

Segurança como parte do negocio

Agenda Falta de cuidado com relação à segurança Segurança como parte dos negócios Como a segurança é vista hoje Investimentos em segurança Mitos sobre segurança Riscos e considerações quanto à segurança Segurança versus funcionalidades Segurança versus produtividade Uma rede totalmente segura

FALTA DE CUIDADO COM RELAÇÃO À SEGURANÇA TCP/IP e Internet: alcance mundial dos invasores aos seus alvos Portas TCP/IP Macros (Word e Excel): Nova geração de vírus Infecção muito mais veloz Meios diversos de infecção (p.e., email) Qualquer tipo de arquivo pode ser infectado Linguagens para a Internet (JavaScript, ActiveX) Difícil controle Podem causar sérios problemas numa rede interna

FALTA DE CUIDADO COM RELAÇÃO À SEGURANÇA Sofisticação dos emails Interpretam diversos tipos de códigos e arquivos Códigos maliciosos se utilizam destes avanços

SEGURANÇA COMO PARTE DOS NEGÓCIOS Muitos processos de negócios não enfocaram a segurança Filosofia “funcionou, está ótimo” Falso senso de segurança Instalar um firewall ou anti-vírus e se achar protegido

SEGURANÇA COMO PARTE DOS NEGÓCIOS Negócios na Web Segurança passa a ser o principal responsável Exemplos: Transmissão e armazenamento de informações de clientes Disponibilidade dos sites Imagem da empresa em caso de ataque bem-sucedido Comunicação segura entre matrizes, filiais, fornecedores, parceiros comerciais, distribuidores e clientes

SEGURANÇA COMO PARTE DOS NEGÓCIOS Profissional de segurança Ouvir as pessoas Conhecer as tecnologias Aplicar as tecnologias na organização de acordo com: Estratégia de negócios Necessidades Estratégias de segurança

COMO A SEGURANÇA É VISTA HOJE Reputação Anos para ser construída Destruída num instante As organizações se baseiam na confiança de seus clientes No ambiente cooperativo é pior ainda Problema com uma organização afeta todas

COMO A SEGURANÇA É VISTA HOJE Vista como um gasto, não um investimento Nem sempre é quantificável Deve ser transparente Deve ser como a qualidade: Ninguém discute se a qualidade é necessária hoje Ele passou a ser algo necessário

INVESTIMENTOS EM SEGURANÇA (como é feito) Orçamento geralmente pequeno Falta de visão da importância Fatos recentes mudaram esta visão Principais pontos de fortalecimento: Fortificação do perímetro da rede Segurança e disponibilidade do servidor web Segurança e disponibilidade do servidor de comércio eletrônico Segurança de email Segurança de acesso remoto

INVESTIMENTOS EM SEGURANÇA Tendência no aumento gradual no nível de investimentos em segurança Principais setores: Consultoria tecnológica Setor bancário e financeiro Governo e militares Menos investimento: Educação revendedores

INVESTIMENTOS EM SEGURANÇA Quantificação geralmente suposta (“chute”) Necessidade: Análise de risco Metodologia para quantificar e qualificar os níveis de segurança de cada recurso na organização

MITOS SOBRE SEGURANÇA “Isso não acontecerá conosco” “Já estamos seguros com o firewall” “Utilizamos os melhores sistemas, então eles devem ser seguros” “Utilizamos as últimas versões dos sistemas dos melhores fabricantes” “Nosso fornecedores irão nos avisar, caso alguma vulnerabilidade seja encontrada” “Ninguém vai descobrir essa ‘brecha’ em nossa segurança”

MITOS SOBRE SEGURANÇA “Tomamos todas as precauções, de modo que os testes não são necessários” “Vamos deixar funcionando e depois resolveremos os problemas de segurança“ “Os problemas de segurança são de responsabilidade do departamento de TI“ “Depois de instalar o Word, por favor, instale o firewall“ “A companhia de segurança que foi contratada irá cuidar da segurança”

MITOS SOBRE SEGURANÇA “O nosso parceiro é confiável, podemos liberar o acesso para ele” “Não precisamos nos preocupar com a segurança, pois a segurança é um luxo para quem tem dinheiro” Outros? ...

Exercícios 1) Você já foi afetado por vírus de macro? Dê exemplos. 2) Quanto aos mitos discutidos na aula de hoje, quais você já ouviu? Conhece outros mitos sobre segurança?

RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA Falta de classificação das informações Qual o valor? Qual a sua confiabilidade? Que risco estamos correndo? Quanto se perderia com um ataque?

RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA Controle de acesso mal definido Somente autenticação inicial Acesso irrestrito depois de autenticado Acesso a partes do sistema não necessárias

RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA Dificuldade de controle sobre todos os sistemas Sistemas operacionais Softwares Equipamentos ativos ‘bugs’ podem abrir ‘brechas’ internas

RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA A Internet é um ambiente hostil Não pode ser presumida confiável Todo usuário é potencialmente um atacante

RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA As informações que trafegam na rede estão sujeitas a serem capturadas Não apenas a informação, mas o padrão de tráfego pode ser monitorado As mensagens que são enviadas para fora da rede interna podem ser: capturadas lidas modificadas falsificadas

RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA Qualquer conexão entre a rede interna e qualquer outro ponto (do mundo!) pode ser utilizado para ataques à rede interna Os telefones podem ser grampeados, e as informações (voz ou dados) podem ser gravadas Os firewalls protegem contra acessos explicitamente proibidos e quanto aos serviços legítimos?

RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA Segurança pela obscuridade “Ninguém me invade por que não conhece meus segredos” “Guardar a chave da porta debaixo do tapete” “Ninguém sabe o que eu guardo dentro desta caixa” “Tomara que ninguém desconfie de quanto eu tenho neste envelope”

SEGURANÇA VERSUS FUNCIONALIDADES Quanto maior a quantidade de funcionalidades, tanto menor é a segurança Funcionalidades: Serviços Aplicativos Pessoas envolvidas

SEGURANÇA VERSUS FUNCIONALIDADES Realidade de muitas organizações: Ênfase nas funcionalidades Segurança em segundo plano O ambiente cooperativo exige segurança Falta de preocupação com segurança Pode ser bom no início Traz graves problemas depois

SEGURANÇA VERSUS FUNCIONALIDADES - FATORES Exploração de vulnerabilidades Sistemas Operacionais Aplicativos Protocolos Serviços Exploração de aspectos humanos Engenharia social Falha no desenvolvimento ou implementação da política de segurança

SEGURANÇA VERSUS FUNCIONALIDADES - FATORES Falha na configuração de serviços e sistemas de segurança Desenvolvimento de ataques mais sofisticados

SEGURANÇA VERSUS FUNCIONALIDADES Pontos de vulnerabilidade: Número de pontos de vulnerabilidade = número de recursos críticos x número de usuários que acessam estes recursos Exemplo: Dez mil arquivos num servidor Cem usuários com acesso a estes arquivos Um milhão de possíveis pontos de acesso vulneráveis

SEGURANÇA VERSUS PRODUTIVIDADE Quanto maior a segurança, menor a produtividade Políticas muito restritivas afetam a produtividade Política de segurança deve ser balanceada Liberar serviços necessários Impedir os desnecessários ou de risco

SEGURANÇA VERSUS PRODUTIVIDADE Áudio por demanda, ICQ, MSN, chats Comprometem nível de produtividade Consomem grande largura de banda da rede Trazem vulnerabilidades a rede interna

UMA REDE TOTALMENTE SEGURA Não existe! Segurança envolve diversos aspectos: Técnológicos (autenticação) Técnicos (administrador) Sociais (insiders) Humanos (funcionários ludibriados) Educacionais (escolha de senhas)

UMA REDE TOTALMENTE SEGURA Definir a “máxima proteção” baseado em: Que recursos devem ser protegidos Quem irá administrar a segurança Que investimento será feito

UMA REDE TOTALMENTE SEGURA Segurança inclui: Política e procedimentos abrangentes Controle de usuários Autenticação de: Meios de acesso Transações Comunicações Proteção dos dados Monitoramento Evolução no nível da segurança Uso de novas tecnologias

UMA REDE TOTALMENTE SEGURA Segurança total não existe Segurança parcial assume os riscos Definição do nível de segurança de acordo com o desejado

UMA REDE TOTALMENTE SEGURA Objetivo: Criar uma rede altamente confiável Capaz de anular ataques casuais Capaz de tolerar acidentes Falhas benignas podem ser toleradas Colocar as vulnerabilidades onde causem o mínimo de problemas Estar preparado para o pior

Exercícios 3) Porque quando se fala de segurança, diz se, redução das vulnerabiliades e não eliminação das vulnerabilidades? 4) Comente sobre segurança versus Funcionalidade. 5) Comente sobre segurança versus produtividade.

Bibliografia deste material SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. 1. ed. Rio de Janeiro: Elsevier, 2003. 156p. Material dos professor Mehran Misaghi

Dúvidas Obrigado pela atenção! 39