Download - Exemplo Auditoria Sistemas Informaticos (1)
TECAD – Soluções CAD e Projecto Colaborativo Rua Sidónio Muralha, 5 - Loja A Vale Mourão 2635-477 Rio de Mouro Tel: 21 919 92 30 Fax: 21 919 92 39 Email: [email protected] Web site: http://www.tecad.pt
EXEMPLO AUDITORIA DE SEGURANÇA
TECAD SISTEMAS INFORMATICOS
©COPYRIGHT, TECAD-Sistemas Informáticos, Lda Interdita a reprodução de textos e imagens por quaisquer meios
TECAD SI – Auditoria de Segurança 2
www.tecad.pt [email protected]
COPYRIGHT 2007, TECAD-Sistemas Informáticos, Lda Interdita a reprodução de textos e imagens por quaisquer meios
1. Controlo do documento
1.1 Aprovação e controlo de alterações ..........................................................
1.2 Alterações a versões anteriores ...............................................................
1.3 Condições de revisão .............................................................................
1.4 Documentos relacionados .......................................................................
1.5 Reprodução e garantias ..........................................................................
1.6 Confidencialidade ..................................................................................
2. Objectivos .....................................................................................................
3. Responsáveis da segurança ..........................................................................
4. Documentos de implementação da segurança ...............................................
5. Sistemas de detecção e apoio a variáveis ambientais ....................................
6. Actividades de reforço à segurança ...............................................................
7. Controlo de acessos
7.1 Acesso físico ………………………………………………………………………………………………………
7.2 Acesso lógico
7.2.1 Equipamentos servidores ……………………………………………………………….
7.2.2 Equipamentos de comunicação ………………………………………………………
7.2.3 Estações de trabalho ……………………………………………………………………….
8. Identificação de SPF (Single Point of Failure)
8.1 Geral ………………………………………………………………………………………………………………….
8.2 Equipamentos servidores ……………………………………………………………………………………
8.3 Equipamentos de comunicações ………………………………………………………………………..
8.4 Estações de trabalho ………………………………………………………………………………………….
9. Cópias de Segurança - Backups .....................................................................
10. Sistema Antivírus ..........................................................................................
11. Actualizações ................................................................................................
12. Outras observações .......................................................................................
13. Conclusão ......................................................................................................
Anexo A – Scan de vulnerabilidades ....................................................................
3
3
3
3
3
3
4
6
6
6
6
7
7
7
7
8
8
8
8
8
9
9
9
10
11
INDICE
TECAD SI – Auditoria de Segurança 3
www.tecad.pt [email protected]
COPYRIGHT 2007, TECAD-Sistemas Informáticos, Lda Interdita a reprodução de textos e imagens por quaisquer meios
1. Controlo do documento
1.1 Aprovação e controlo de alterações
Autor Revisto por Data de Aprovação
Pedro Azevedo Pedro Azevedo
1.2 Alterações a versões anteriores
Autor Versão Data Comentários
Pedro Azevedo 1.0 Primeira versão do documento
1.3 Condições de revisão
Não existem condições de revisão do documento.
1.4 Documentos relacionados
Documento Título Versão Data
- - - -
1.5 Reprodução e garantias
Este documento não deverá ser copiado no seu todo ou em parte, ou distribuído a terceiras
partes sem prévia autorização por escrito da TECAD SI.
1.6 Confidencialidade
Este documento contém informações detalhadas acerca da rede e sistemas informáticos da
Exemplo. Por esta razão, este documento assume um estatuto de confidencialidade não
devendo ser distribuído nem apresentado a pessoas externas à empresa.
Utilizadores internos com acesso autorizado a este documento:
Nome Nome de utilizador Data de autorização
TECAD SI – Auditoria de Segurança 4
www.tecad.pt [email protected]
COPYRIGHT 2007, TECAD-Sistemas Informáticos, Lda Interdita a reprodução de textos e imagens por quaisquer meios
2. Objectivos
A percepção da realidade no mundo da informática mudou. Actualmente as empresas
conseguem perceber as inegáveis vantagens estratégicas dos sistemas informáticos,
tornando o seu sucesso dependente das suas infra-estruturas tecnológicas. Torna-se então
fundamental perceber o valor destes sistemas. Há que quantificar o custo de ter um mau
funcionamento num sistema tão fulcral como este. Quanto custa o tempo de inactividade de
um servidor? E quanto custa estar um dia sem acesso à internet, sem poder usar o email ou
qualquer outra ferramenta online?
A segurança informática ganha notoriedade na actualidade. Enquanto no passado havia o
luxo da reactividade hoje exige-se cada vez mais a proactividade. Novas ameaças surgem e
não só factores internos e controláveis, como o ciclo de vida natural da máquina, são tidos
em conta. Actualmente deparamo-nos com ameaças externas e internas perpetuadas por
indivíduos na busca de acesso a informação sensível, quer pela sua rentabilidade quer pelo
simples prazer de a conseguir alcançar.
Chegando a uma conclusão inequívoca do valor dos sistemas informáticos, torna-se
necessário implementar políticas e processos, que permitam manter um sistema com
disponibilidade efectiva e segurança o mais perto possível dos 100%.
Pretende-se com o presente relatório, documentar e clarificar o estado actual de segurança
dos sistemas informáticos da empresa Exemplo.
A análise irá ser efectuada em duas fases distintas, a recolha da informação e a conclusão. O
primeiro destes dois itens, a recolha de informação, será feito do modo mais objectivo
possível através dos seguintes pontos previamente definidos:
• Responsáveis da segurança
• Documentos de implementação da segurança
• Sistemas de detecção e apoio a variáveis ambientais
• Actividades de reforço à segurança
• Controlo de acessos
• Identificação de SPF (Single Point of Failure)
• Cópias de Segurança - Backup
• Sistema Antivírus
• Actualizações
TECAD SI – Auditoria de Segurança 5
www.tecad.pt [email protected]
COPYRIGHT 2007, TECAD-Sistemas Informáticos, Lda Interdita a reprodução de textos e imagens por quaisquer meios
Estes itens serão documentados e classificados através dum sistema de três cores (verde,
laranja e vermelho), representativas do nível de risco associado ao estado do item em
questão:
Nível de Segurança Elevado
Recomendação: Manutenção do sistema existente
Nível de Segurança Médio
Recomendação: Alterações ao sistema existente
Nível de Segurança Reduzido
Recomendação: Implementação de sistema
A segunda etapa da recolha de dados passa pela realização de scan de vulnerabilidades a
toda a rede (anexos).
Em conclusão, será efectuada a análise de toda a informação recolhida, sendo atribuído um
nível de segurança geral a toda a rede.
Esta auditoria foi concebida especificamente para o mercado das micro e pequenas
empresas, e aborda os itens que com mais frequência representam falhas de segurança
neste segmento de mercado. Deve ficar claro que empresas de maior dimensão, ou que
pretendam um nível de segurança máximo, deverão requisitar uma auditoria mais elaborada
à TECAD SI.
TECAD SI – Auditoria de Segurança 6
www.tecad.pt [email protected]
COPYRIGHT 2007, TECAD-Sistemas Informáticos, Lda Interdita a reprodução de textos e imagens por quaisquer meios
3. Responsáveis da segurança
Responsável Primário Apolinário Silva
Responsável Secundário Não
Nível médio de segurança Médio
4. Documentos de implementação da segurança
Plano Global de Segurança Não
Política de Segurança Não
Plano de Recuperação de Desastres Não
Manual de Rede Sim mas desactualizado
Nível médio de segurança Reduzido
5. Sistemas de detecção e apoio a variáveis ambientais
Detecção de fumos Não
Sistemas de extinção de incêndios Não
Existência de protecção a picos de corrente Sim
Sistema de redundância energética Sim
Controlo de temperatura Apenas no datacenter
Controlo de humidade Não
Nível médio de segurança Médio
6. Actividades de reforço à segurança
Auditorias de segurança periódicas Não
Formação inicial de utilizadores Sim
Formação contínua de utilizadores Não
Formação contínua dos responsáveis
pela segurança
Sim
Nível médio de segurança Médio
TECAD SI – Auditoria de Segurança 7
www.tecad.pt [email protected]
COPYRIGHT 2007, TECAD-Sistemas Informáticos, Lda Interdita a reprodução de textos e imagens por quaisquer meios
7. Controlo de acessos
7.1 Acesso físico
Monitorização de entradas e saídas por
circuito interno de TV
Não
Equipamentos de comunicação em
zonas de acesso reservado
Datacenter com porta aberta
Equipamentos de comunicação em
bastidor fechado
Em bastidor aberto
Equipamentos servidores em zonas de
acesso reservado
Datacenter com porta aberta
Equipamentos servidores em bastidor
fechado
Em bastidor aberto
Controlo de acessos a áreas por
métodos seguros
Não
Alarme de perímetro Não
Suportes com informação sensível
guardados em cofres ignífugos
Não
Nível médio de segurança Médio
7.2 Acesso lógico
7.2.1 Equipamentos servidores
Alteração do nome da conta de
administração
Sim
Desactivação da conta de convidado Sim
Intervalo para alteração de passwords Não definido
Complexidade da password Números e caracteres especiais (10 caract.)
Nível médio de segurança Médio
7.2.2 Equipamentos de comunicação
Alteração de valores predefinidos Sim
Intervalo para alteração de passwords Não definido
Complexidade da password Alfanumérica (8 caract.)
Nível médio de segurança Médio
TECAD SI – Auditoria de Segurança 8
www.tecad.pt [email protected]
COPYRIGHT 2007, TECAD-Sistemas Informáticos, Lda Interdita a reprodução de textos e imagens por quaisquer meios
7.2.3 Estações de trabalho
Intervalo para alteração de passwords Estações de trabalho sem password
Complexidade da password Estações de trabalho sem password
Nível médio de segurança Baixo
8. Identificação de SPF (Single Point of Failure)
8.1 Geral
Redundância energética Sim
Nível médio de segurança Elevado
8.2 Equipamentos servidores
Redundância de fontes de alimentação Apenas no KDADOS
Redundância de discos rígidos Apenas no KDADOS
Mínimo de dois DC por domínio Sim
Realização de backups em duplicado Não
Nível médio de segurança Médio
8.3 Equipamentos de comunicações
Existência de equipamento de reserva Não
Linha de backup Não
Nível médio de segurança Reduzido
8.4 Estações de trabalho
Existência de pelo menos uma estação
de trabalho de reserva
Sim
Nível médio de segurança Elevado
9. Cópias de Segurança - Backups
Periodicidade do backup Semanal
Backups efectuados em duplicado Não
Deslocalização do backup Não
Suporte guardado em cofre ingnífugo Não
Nível médio de segurança Reduzido
TECAD SI – Auditoria de Segurança 9
www.tecad.pt [email protected]
COPYRIGHT 2007, TECAD-Sistemas Informáticos, Lda Interdita a reprodução de textos e imagens por quaisquer meios
10. Sistema Antivírus
Sistema antivírus implementado Sim
Sistema de gestão central Sim
Cobertura total da rede Sim
Política de scans periódicos a estações
de trabalho
Sim (21/28)
Política de scans periódicos a
equipamentos servidores
Diário
Realtime protection Sim
Nível médio de segurança Elevado
11. Actualizações
Servidor interno de actualizações das
sistemas operativos
Não
Política de actualização do sistema
operativo dos servidores
Não definido - manual
Política de actualização do sistema
operativo das estações de trabalho
Não definido - manual
Sistema operativo dos servidores
actualizado
Sim
Sistema operativo das estações de
trabalho actualizado
Apenas algumas
Nível médio de segurança Médio
12. Outras observações
Telnet do router acessível a partir do exterior
Nível médio de segurança Baixo
TECAD SI – Auditoria de Segurança 10
www.tecad.pt [email protected]
COPYRIGHT 2007, TECAD-Sistemas Informáticos, Lda Interdita a reprodução de textos e imagens por quaisquer meios
13. Conclusão
Após a análise de todos os dados recolhidos, podemos organizar a informação por uma
classificação ordenada por risco:
Sistema Antivírus
Responsáveis da segurança
Sistemas de detecção e apoio a variáveis ambientais
Actividades de reforço à segurança
Controlo de acessos
Identificação de SPF (Single Point of Failure)
Actualizações
Documentos de implementação da segurança
Backups
Outras observações
Cruzando estes dados com a análise dos resultados dos scans de vulnerabilidades, conclui-se
o nível global de segurança da empresa Exemplo:
Nível global de segurança Médio
Após análise detalhada, conclui-se que existem algumas falhas de segurança, que devem ser
corrigidas a curto prazo como medida proactiva de prevenção de dano. Recomenda-se
atenção prioritária para as três classes onde se obtêm resultados negativos: “Documentos de
implementação da segurança”, “Backups” e “Outras observações”. Algum trabalho nestas
áreas poderia melhorar significativamente o nível segurança global. Posteriormente dever-
se-ia melhorar também os itens que obtêm uma classificação média: “Responsáveis da
segurança”, “Sistemas de detecção e apoio a variáveis ambientais”, “Actividades de reforço à
segurança”, “Controlo de acessos”, “Identificação de SPF (Single Point of Failure) ” e
“Actualizações”.
TECAD SI – Auditoria de Segurança 11
www.tecad.pt [email protected]
COPYRIGHT 2007, TECAD-Sistemas Informáticos, Lda Interdita a reprodução de textos e imagens por quaisquer meios
ANEXO 1
Retina - Network Security Scanner Network Vulnerability Assessment & Remediation Management
28-12-2005
CONFIDENTIAL INFORMATION The following report contains company confidential information. Do not distribute, email, fax, or transfer via any electronic mechanism unless it has been approved by the recipient company's security policy. All copies and backups of this document should be saved on protected storage at all times. Do not share any of the information contained within this report with anyone unless they are authorized to view the information. Violating any of the previous instructions is grounds for termination.
Retina - Network Security Scanner Network Vulnerability Assessment & Remediation Management
28-12-2005
Report Created By TECAD SI
Report Created For CLIENTE
Retina - Network Security Scanner Network Vulnerability Assessment & Remediation Management
28-12-2005
NETWORK ANALYSIS RESULTS Report Summary
Scanner Name Retina Machines Scanned 1
Scanner Version 5.4.5.1355 Vulnerabilities Total 1
Scan Start Date 28-12-2005 High Risk Vulnerabilities 1
Scan Start Time 12:01:00 Medium Risk
Vulnerabilities 0
Scan Duration 0h 1m 0s Low Risk Vulnerabilities 0
Scan Name KADMIN Information only Audits 1
Scan Status Completed Credential Used - Null Session -
Top 5 Most Vulnerable Hosts
Num. of Vulnerabilities By Risk
% of Vulnerabilities By Risk
Avg. of Vulnerabilities By Risk
Retina - Network Security Scanner Network Vulnerability Assessment & Remediation Management
28-12-2005
TOTAL VULNERABILITIES BY CATEGORY The following is an overview of the total vulnerabilities by audit category.
Accounts
AIX Local Security Audits
Anti-Virus
Backdoors
Caldera Local Security Audits
CGI Scripts
Cisco Local Security Audits Cisco Local Security Audits
Conectiva Local Security Audits
Database
Debian Local Security Audits
DNS Services
DoS
EnGarde Local Security Audits
Fedora Local Security Audits
FreeBSD Local Security Audits FTP Servers
Gentoo Local Security Audits
HPUX Local Security Audits
Immunix Local Security Audits
IP Services
IRIX Local Security Audits
Local UNIX Security Audits
MacOS X Local Security Audits
Mail Servers
Mandrake Local Security Audits
Miscellaneous
NetBIOS
NetBSD Local Security Audits
OpenBSD Local Security Audits
Peer-To-Peer P2P File Sharing Applications
RedHat Local Security Audits
Registry
Remote Access
RPC Services
SCO Local Security Audits Service Control
Slackware Local Security Audits
SNMP Servers
Solaris Local Security Audits
Spyware
SSH Servers
SuSE Local Security Audits
Trustix Local Security Audits
TurboLinux Local Security Audits
Web Servers
Windows
Wireless
Retina - Network Security Scanner Network Vulnerability Assessment & Remediation Management
28-12-2005
TOP 20 VULNERABILITIES The following is an overview of the top 20 vulnerabilities on your network.
Top 20 Vulnerabilities
Rank Vulnerability Name Count 1. Null Session 1 2. No Remote Registry Access Available 1
Retina - Network Security Scanner Network Vulnerability Assessment & Remediation Management
28-12-2005
TOP 20 OPEN PORTS The following is an overview of the top 20 open ports on your network.
Top 20 Open Ports
Rank Port Number Description Count1. TCP:25 SMTP - Simple Mail Transfer Protocol 1 2. TCP:53 DOMAIN - Domain Name Server 1 3. TCP:80 WWW-HTTP - World Wide Web HTTP (Hyper Text Transfer Protocol) 1 4. TCP:88 KERBEROS - Kerberos 1 5. TCP:135 RPC-LOCATOR - RPC (Remote Procedure Call) Location Service 1 6. TCP:139 NETBIOS-SSN - NETBIOS Session Service 1 7. TCP:389 LDAP - Lightweight Directory Access Protocol 1 8. TCP:445 MICROSOFT-DS - Microsoft-DS 1 9. TCP:464 KPASSWD - kpasswd 1 10. TCP:593 HTTP-RPC-EPMAP - HTTP RPC Ep Map 1 11. TCP:636 LDAPSSL - LDAP Over SSL 1 12. TCP:2232 IVS-VIDEO - IVS Video default 1 13. UDP:53 DOMAIN - Domain Name Server 1 14. UDP:88 KERBEROS - Kerberos 1 15. UDP:123 NTP - Network Time Protocol 1 16. UDP:135 RPC-LOCATOR - RPC (Remote Procedure Call) Location Service 1 17. UDP:137 NETBIOS-NS - NETBIOS Name Service 1 18. UDP:138 NETBIOS-DGM - NETBIOS Datagram Service 1 19. UDP:389 LDAP - Lightweight Directory Access Protocol 1 20. UDP:445 MICROSOFT-DS - Microsoft-DS 1
Retina - Network Security Scanner Network Vulnerability Assessment & Remediation Management
28-12-2005
TOP 20 RUNNING SERVICES The following is an overview of the top 20 running services on your network.
Top 20 Running Services
Rank Name Description Count 1. _Browser 1 2. _LanmanServer 1 3. _LanmanWorkstation 1 4. _Netlogon 1 5. _RpcSs 1
Retina - Network Security Scanner Network Vulnerability Assessment & Remediation Management
28-12-2005
TOP 20 OPERATING SYSTEMS The following is an overview of the top 20 operating systems on your network.
Top 20 Operating Systems
Rank Operating System Name Count 1. Windows Server 2003 1
Retina - Network Security Scanner Network Vulnerability Assessment & Remediation Management
28-12-2005
TOP 20 USER ACCOUNTS The following is an overview of the top 20 user accounts on your network.
Top 20 User Accounts
No Users Discovered
Rank Account Name Count No Users Discovered
Retina - Network Security Scanner Network Vulnerability Assessment & Remediation Management
28-12-2005
TOP 20 NETWORK SHARES The following is an overview of the top 20 network shares on your network.
Top 20 Network Shares
Rank Share Name Count 1. ADMIN$ 1 2. C$ 1 3. D$ 1 4. F$ 1 5. IPC$ 1 6. NETLOGON 1 7. SYSVOL 1 8. VPHOME 1 9. VPLOGON 1