segurança da informação - thoughts & words · segurança da informação fatec – americana...

Segurança da informaçãoSegurança da informação

FATEC – AmericanaFATEC – Americana

Tecnologia em Análise de Sistemas e Tecnologias da Tecnologia em Análise de Sistemas e Tecnologias da InformaçãoInformação

Diagnóstico e solução de problemas de TIDiagnóstico e solução de problemas de TI

Prof. Humberto Celeste InnarelliProf. Humberto Celeste Innarelli

março/2009 Segurança da informação 2

ConteúdoConteúdo

IntroduçãoIntrodução Segurança da InformaçãoSegurança da Informação Barreiras de segurançaBarreiras de segurança ExemplosExemplos ConclusãoConclusão BibliografiaBibliografia


IntroduçãoIntrodução

Segurança da Informação - Proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de investimentos e oportunidades.

ISO/IEC 17799


IntroduçãoIntrodução

As vulnerabilidades da segurança da As vulnerabilidades da segurança da rede são a porta de entrada para o rede são a porta de entrada para o ataque e consequente invasão da ataque e consequente invasão da rede.rede.

A invasão da rede pode gerar perda, A invasão da rede pode gerar perda, vazamento, modificações e outros vazamento, modificações e outros danos aos dados e recursos danos aos dados e recursos compartilhados.compartilhados.


Segurança da InformaçãoSegurança da Informação

NBR/ISO/IEC 17799 – Norma que responsável pela normalização da segurança da informação no Brasil em vários países do mundo.



Motivação para investir em segurança da informação

– PatrimônioPatrimônio– ConhecimentoConhecimento– ExperiênciaExperiência– DocumentaçãoDocumentação– OutrosOutros



A segurança da informação é caracterizada pela preservação dos seguintes atributos básicos: – Confidencialidade: segurança de que a

informação pode ser acessada apenas por quem tem autorização.

– Integridade: certeza da precisão e do completismo da informação.

– Disponibilidade: garantia de que os usuários autorizados tenham acesso a informação e aos recursos associados, quando necessário.



Aspectos da Segurança da InformaçãoAspectos da Segurança da Informação– AutenticaçãoAutenticação – identificação e – identificação e

reconhecimento formalreconhecimento formal– LegalidadeLegalidade – informações que possuem – informações que possuem

valor legalvalor legal



AmeaçasAmeaças– NaturaisNaturais – fenômenos da natureza, sol – fenômenos da natureza, sol– InvoluntáriasInvoluntárias – ameaças inconscientes – ameaças inconscientes– VoluntáriasVoluntárias – propositais causadas pelo – propositais causadas pelo

agente humanoagente humano



Vulnerabilidades (problemas que as Vulnerabilidades (problemas que as ameaças causam)ameaças causam)– Físicas Físicas – instalações fora do padrão– instalações fora do padrão– Naturais Naturais – incêndios, chuvas “internas”, – incêndios, chuvas “internas”,

poeira, etc.poeira, etc.– Hardware Hardware – obsolescência (está – obsolescência (está

obsoleto), mau uso, etc.obsoleto), mau uso, etc.– SoftwareSoftware – obsolescência, configuração, – obsolescência, configuração,

instalação, etc.instalação, etc.



VulnerabilidadesVulnerabilidades– Mídias Mídias – discos, fitas, hd’s danificados, – discos, fitas, hd’s danificados,

mal condicionados, etc.mal condicionados, etc.– Comunicação Comunicação – acessos não autorizados – acessos não autorizados

ou perda de comunicaçãoou perda de comunicação– Humanas Humanas – treinamento, sabotagens, – treinamento, sabotagens,

erros, etc.erros, etc.



Medidas de segurançaMedidas de segurança– PreventivasPreventivas – evitar o incidente – evitar o incidente– Detectáveis Detectáveis – identificar condições e – identificar condições e

indivíduos causadores de ameaçasindivíduos causadores de ameaças– Corretivas Corretivas – correção de problemas que – correção de problemas que

já aconteceramjá aconteceram



Aspectos que devem ser consideradosAspectos que devem ser considerados– RiscosRiscos – probabilidade de ameaças – probabilidade de ameaças

explorarem as vulnerabilidadesexplorarem as vulnerabilidades– Impacto Impacto – abrangência do dano– abrangência do dano– Incidente Incidente – evento decorrente da ação – evento decorrente da ação

de uma ameçade uma ameça


Barreiras de segurançaBarreiras de segurança

Desencorajar

Dificultar

Discriminar

Detectar

Deter

Diagnosticar

Negócio

Ativos

Ameaças



DesencorajarDesencorajar – ação que visa – ação que visa desmotivar ou desestimulardesmotivar ou desestimular– Câmera de vídeoCâmera de vídeo– AlarmesAlarmes– CampainhasCampainhas– TreinamentoTreinamento– UniformesUniformes



DificultarDificultar – barreiras que dificultam o – barreiras que dificultam o aceso indevidoaceso indevido– RoletasRoletas– Detectores de metalDetectores de metal– Leitores de cartão magnéticoLeitores de cartão magnético– SenhasSenhas– Certificados digitaisCertificados digitais– CriptografiaCriptografia– FirewallFirewall



DiscriminarDiscriminar – cercar de recursos que – cercar de recursos que permitam a identificação e o acessopermitam a identificação e o acesso– Perfil de usuárioPerfil de usuário– PermissõesPermissões– LimitesLimites– Perímetros físicosPerímetros físicos– Cotas de recursos (impressão, disco, etc.)Cotas de recursos (impressão, disco, etc.)– LogsLogs



DetectarDetectar – monitoramento, auditoria – monitoramento, auditoria e alerta de detecções de ameaçase alerta de detecções de ameaças– Tentativa de invasãoTentativa de invasão– Descumprimento de normas de Descumprimento de normas de

segurançasegurança– Cópia ou envio de informações sigilosasCópia ou envio de informações sigilosas– IntrusosIntrusos



DeterDeter – impedir que a ameaça atinja – impedir que a ameaça atinja seu objetivoseu objetivo– Acionamento de barreiraAcionamento de barreira– Acionamento de controleAcionamento de controle– PuniçõesPunições– Bloqueios de acesso físico e lógicoBloqueios de acesso físico e lógico



DiagnosticarDiagnosticar – diagnosticar a falha – diagnosticar a falha para posposição de melhoriaspara posposição de melhorias– Analisar a ocorrênciaAnalisar a ocorrência– Identificar as causasIdentificar as causas– Propor melhoriasPropor melhorias



Desencorajar

Dificultar

Discriminar

Detectar

Deter

Diagnosticar

Negócio

Ativos

Ameaças

ExemplosExemplos


Exemplo – segurançaExemplo – segurança

Monitoria na Invasão no Microsoft Monitoria na Invasão no Microsoft Internet Information ServicesInternet Information Services– Invasão por falha de atualização do IISInvasão por falha de atualização do IIS– Utilização de uma dll chamada Utilização de uma dll chamada author.dllauthor.dll– Permissão de escrita na pastaPermissão de escrita na pasta– Troca do index.htmlTroca do index.html– Identificação e providênciasIdentificação e providências

LogLog do IIS do IIS


Funcionamento da técnica Funcionamento da técnica de enumeração - exemplode enumeração - exemplo

Usuário da técnicade enumetação

Firewall

PC01 PC02 PC03Outros

Servidor debanco de dados

Servidor PrincipalHTTP, FTP,

autenticação,DHCP, arquivos, etc.

Servidorde aplicações

Rede Ethernet




Firewall






Rede Ethernet

Software deenumeração

Firewall comporta 8080

abertaServidor IIS




Firewall






Rede Ethernet



aberta

Servidor IIS/conexão ativapelo invasor




Firewall






Rede Ethernet



aberta


Identificaçãodos recursos de

rede


Impacto das técnicas de Impacto das técnicas de enumeração na segurançaenumeração na segurança

As informações coletadas norteiam a As informações coletadas norteiam a estratégia de estratégia de defesadefesa ou ou ataqueataque..

DefesaDefesa– Fechamento de portasFechamento de portas– Atualização de sistemas e Atualização de sistemas e

softwaressoftwares– Rotinas de verificação de Rotinas de verificação de

sistemassistemas– Correção de bugsCorreção de bugs– ReconfiguraçãoReconfiguração– OutrosOutros

AtaqueAtaque– Conhecimento das Conhecimento das

vulnerabilidadesvulnerabilidades– Utilização indevida de Utilização indevida de

contas de usuárioscontas de usuários– Corrupção de dadosCorrupção de dados– Utilização de pUtilização de password assword

sniffing e password sniffing e password crackerscrackers

– OutrosOutros


ConclusãoConclusão

Segurança de redeSegurança de rede VulnerabilidadeVulnerabilidade Utilização para defensivaUtilização para defensiva Utilização ofensivaUtilização ofensiva Tecnologia sempre em evoluçãoTecnologia sempre em evoluçãoNão há espaço digital seguro, muito menos redes 100% Não há espaço digital seguro, muito menos redes 100%

protegidas, o que realmente deve existir, são bons protegidas, o que realmente deve existir, são bons profissionais e muita ética.profissionais e muita ética.


BibliografiaBibliografia

EVELYN R. K., GELSON P. Segurança de EVELYN R. K., GELSON P. Segurança de redes sistema de detecção de intrusão. redes sistema de detecção de intrusão. Curitiba, PR : Faculdade Internacional de Curitiba, PR : Faculdade Internacional de Curitiba, 2004.Curitiba, 2004.

FEITOSA, E. L. Segurança em Sistemas de FEITOSA, E. L. Segurança em Sistemas de Informação. Recife, PE : UFPE, 2005. Informação. Recife, PE : UFPE, 2005.

SEMOLA, M. SEMOLA, M. Gestão da Segurança da Gestão da Segurança da informaçãoinformação. Campus, 2003.. Campus, 2003.

segurança da informação - thoughts & words · segurança da informação fatec – americana...

Documents