Gerência de Segurança. Por que gerir? Só aplicação de mecanismos Só aplicação de mecanismos...
Transcript of Gerência de Segurança. Por que gerir? Só aplicação de mecanismos Só aplicação de mecanismos...
Gerência de SegurançaGerência de Segurança
Por que gerir?Por que gerir?
Só aplicação de mecanismosSó aplicação de mecanismos cultura e política ignoradascultura e política ignoradas desequilíbrio do custo/benefíciodesequilíbrio do custo/benefício avaliação ineficiente da segurançaavaliação ineficiente da segurança
SegurançaSegurança não é quantitativa, mas sim qualitativanão é quantitativa, mas sim qualitativa redução da insegurança (riscos)redução da insegurança (riscos) documentada e acompanhadadocumentada e acompanhada
Por que gerir?Por que gerir?
Custo/benefícioCusto/benefício custo é um fator limitantecusto é um fator limitante qual o nível de segurança desejado?qual o nível de segurança desejado?
Aceitação de riscosAceitação de riscos
Além da técnica...Além da técnica... Políticas de segurançaPolíticas de segurança Educação para usuáriosEducação para usuários Revisão de riscos, políticas e mecanismosRevisão de riscos, políticas e mecanismos ......
Políticas
Segurança: basesSegurança: bases
Me
ca
ni
smo
s
Cultura
Segurança
Política de SegurançaPolítica de Segurança
RegulamentaRegulamenta gerênciagerência proteçãoproteção acessoacesso
DeterminaDetermina o que deve/pode ser feitoo que deve/pode ser feito quem deve/pode fazerquem deve/pode fazer como deve ser feitocomo deve ser feito
OG
Política de SegurançaPolítica de Segurança
TiposTipos OrganizacionalOrganizacional
preocupações da direçãopreocupações da direção linhas mestras para todo o processo de gerêncialinhas mestras para todo o processo de gerência
GerencialGerencial modelo para gerência de riscosmodelo para gerência de riscos estruturação da disseminação de culturaestruturação da disseminação de cultura processos para atualização de políticasprocessos para atualização de políticas
EspecíficaEspecífica intimamente relacionada à Técnicaintimamente relacionada à Técnica configuração de firewallsconfiguração de firewalls gerenciamento de senhasgerenciamento de senhas
E
Política de SegurançaPolítica de Segurança
Deve ser bem claraDeve ser bem clara No tocante ao seu conteúdoNo tocante ao seu conteúdo Quanto à sua aprovação e publicaçãoQuanto à sua aprovação e publicação
Incluir participação de todosIncluir participação de todos Aprovação da diretoriaAprovação da diretoria Usuários de diferentes setoresUsuários de diferentes setores
Observar questões legaisObservar questões legais Ex.: relativas à monitoração de atividadesEx.: relativas à monitoração de atividades
Política de SegurançaPolítica de Segurança
Deve ser compatívelDeve ser compatível Com a realidade da empresaCom a realidade da empresa Com a capacidade dos usuáriosCom a capacidade dos usuários
Documentar a ciência dos usuáriosDocumentar a ciência dos usuários
Deve estar sempre atualizadaDeve estar sempre atualizada
Gerência de SegurançaGerência de Segurança
ComponentesComponentes Política de segurançaPolítica de segurança
Rege todos os processosRege todos os processos
Gerência de riscosGerência de riscos Identificar bens, ameaças, vulnerabilidadesIdentificar bens, ameaças, vulnerabilidades
Disseminação de culturaDisseminação de cultura Capacitação dos usuáriosCapacitação dos usuários
Manutenção do processoManutenção do processo Garantir a eficiênciaGarantir a eficiência
Questões principaisQuestões principais
O que se está querendo proteger?O que se está querendo proteger? Qual a probabilidade de um ataque?Qual a probabilidade de um ataque? Quais os pontos mais vulneráveis?Quais os pontos mais vulneráveis? Qual o prejuízo se o ataque for bem sucedido?Qual o prejuízo se o ataque for bem sucedido? O que é preciso para proteger?O que é preciso para proteger? Implementar procedimentos de segurança Implementar procedimentos de segurança
será vantajoso do ponto de vista será vantajoso do ponto de vista custo/benefício?custo/benefício?
Gerência de riscosGerência de riscos
Tentar responder essas perguntasTentar responder essas perguntas Guiar as decisões de segurançaGuiar as decisões de segurança Monitorar as soluções implementadasMonitorar as soluções implementadas Propor novas alteraçõesPropor novas alterações Em resumo: gerência de riscos é um Em resumo: gerência de riscos é um
processo contínuoprocesso contínuo
Gerência de riscosGerência de riscos
Composta por 3 processos menores:Composta por 3 processos menores: Análise de riscosAnálise de riscos Minimização de riscosMinimização de riscos Monitoração e controle Monitoração e controle
Gerência de RiscosGerência de Riscos
EtapasEtapas Análise de riscosAnálise de riscos Minimização de riscosMinimização de riscos ManutençãoManutenção
IdentificarIdentificar
AnalisarAnalisar
MonitorarMonitorar
ControlarControlar
ImplementarImplementar
PlanejarPlanejar
Análise
Minimização
Manutenção
Gerência de RiscosGerência de Riscos
Análise de riscosAnálise de riscos IdentificarIdentificar
bensbens infra-estruturainfra-estrutura ameaçasameaças vulnerabilidadesvulnerabilidades
AnalisarAnalisar impacto das ameaçasimpacto das ameaças determinar riscosdeterminar riscos propor soluçõespropor soluções IdentificarIdentificar
AnalisarAnalisar
MonitorarMonitorar
ControlarControlar
ImplementarImplementar
PlanejarPlanejar
Gerência de RiscosGerência de Riscos
Minimização de riscosMinimização de riscos PlanejarPlanejar
avaliar custo/benefícioavaliar custo/benefício priorizar açõespriorizar ações
ImplementarImplementar minimização dos riscos especificadosminimização dos riscos especificados responsabilidadesresponsabilidades prazosprazos configuraçõesconfigurações
IdentificarIdentificar
AnalisarAnalisar
MonitorarMonitorar
ControlarControlar
ImplementarImplementar
PlanejarPlanejar
Gerência de RiscosGerência de Riscos
ManutençãoManutenção MonitorarMonitorar
cumprimento das tarefas definidascumprimento das tarefas definidas eficiência das ações tomadaseficiência das ações tomadas
ControlarControlar mudanças do ambientemudanças do ambiente potencial surgimento de novos riscospotencial surgimento de novos riscos reiniciar o processoreiniciar o processo
IdentificarIdentificar
AnalisarAnalisar
MonitorarMonitorar
ControlarControlar
ImplementarImplementar
PlanejarPlanejar
Disseminação de CulturaDisseminação de Cultura
Cultura existente pode ser uma barreiraCultura existente pode ser uma barreira
Vital para o cumprimento da política de Vital para o cumprimento da política de segurançasegurança
Não deve ser feita de forma coercivaNão deve ser feita de forma coerciva o objetivo é obter cooperaçãoo objetivo é obter cooperação cada usuário deve entender o seu papelcada usuário deve entender o seu papel
Disseminação de CulturaDisseminação de Cultura
InstrumentosInstrumentos ContratosContratos Fóruns de discussãoFóruns de discussão Cartilhas/folhetosCartilhas/folhetos Cursos de capacitação e conscientizaçãoCursos de capacitação e conscientização
interpretação da política de segurançainterpretação da política de segurança identificação de novas ameaçasidentificação de novas ameaças identificação de ações não autorizadasidentificação de ações não autorizadas
Manutenção do ProcessoManutenção do Processo
Acompanhamento de cada componenteAcompanhamento de cada componente InteraçõesInterações
conflitosconflitos violaçõesviolações atualizaçãoatualização
Cumprimento das metas definidasCumprimento das metas definidas Adequação aos objetivos da organizaçãoAdequação aos objetivos da organização
Garantir que o processo seja Garantir que o processo seja permanentepermanente
Análise de RiscosAnálise de Riscos
Caracterizaçãodo Sistema
Caracterizaçãodo Sistema
Identificação deAmeaças
Identificação deAmeaças
Identificação deVulnerabilidadesIdentificação deVulnerabilidades
Vulnerabilidade Agente Ameaça
Contas de antigos funcionáriosnão foram removidas do sistema
Antigos funcionários Usar os serviços de acesso discadoda empresa para obter dados internos
Firewall da empresa permite telnetexterno e existe uma conta guest noservidor XYZ
Usuários não autorizados (e.g.hackers, antigos funcionários,concorrentes)
Conectar, via telnet, no servidor XYZ enavegar no sitema de arquivos atravésda conta guest
Vendedor identificou problemas desegurança em seu sistema; entretanto,novas correções (patches) não foramaplicados ao sistema
Usuários não autorizados (e.g.hackers, antigos funcionários,concorrentes)
Obter acesso não autorizado aarquivos críticos do sistema, atravésdas vulnerabilidades conhecidas
Análise de RiscosAnálise de Riscos
Caracterizaçãodo Sistema
Caracterizaçãodo Sistema
Identificação deAmeaças
Identificação deAmeaças
Identificação deVulnerabilidadesIdentificação deVulnerabilidades
Análise deProbabilidades
Análise deProbabilidades
Análise deMecanismosAnálise de
Mecanismos
Probabilidade Definição
Alto O agente da ameaça é altamente motivado e suficientemente capaz e os mecanismos paraprevenir a exploração das vulnerabilidades existentes são ineficazes
Médio O agente da ameaça é motivado e capaz, mas os mecanismos existentes podem impedir aexploração das vulnerabilidades do sistema
Baixo O agente da ameaça não é motivado e suficientemente capaz, ou os mecanismos para prevenira exploração das vulnerabilidades são eficazes
Análise de RiscosAnálise de Riscos
Caracterizaçãodo Sistema
Caracterizaçãodo Sistema
Identificação deAmeaças
Identificação deAmeaças
Identificação deVulnerabilidadesIdentificação deVulnerabilidades
Análise deProbabilidades
Análise deProbabilidades
Análise deMecanismosAnálise de
MecanismosAnálise deImpacto
Análise deImpacto
Impacto Definição
Alto A exploração da vulnerabilidade pode: (1) resultar em altas perdas financeiras; (2) violarsignificantemente bens intangíveis; (3) resultar em perdas humanas ou em sérios danos;
Médio A exploração da vulnerabilidade pode: (1) resultar em perdas financeiras; (2) violar bensintangíveis; (3) resultar em sérios danos;
Baixo A exploração da vulnerabilidade pode: (1) resultar na perda de algum bem convencional; (2)afetar bens intangíveis;
Análise de RiscosAnálise de Riscos
Caracterizaçãodo Sistema
Caracterizaçãodo Sistema
Identificação deAmeaças
Identificação deAmeaças
Identificação deVulnerabilidadesIdentificação deVulnerabilidades
Análise deProbabilidades
Análise deProbabilidades
Análise deMecanismosAnálise de
MecanismosAnálise deImpacto
Análise deImpacto
Determinaçãode Riscos
Determinaçãode Riscos
Impacto
Probabilidade de Ameaça Baixo
(10)
Médio
(50)
Alto
(100)
Alto (1,0) Baixo
10 x 1,0 = 10
Médio
50 x 1,0 = 50
Alto
100 x 1,0 = 100
Médio (0,5) Baixo
10 x 0,5 = 5
Médio
50 x 0,5 = 25
Médio
100 x 0,5 = 50
Baixo (0,1) Baixo
10 x 0,1 = 1
Baixo
50 x 0,1 = 5
Baixo
100 x 0,1 = 10
Análise de RiscosAnálise de Riscos
Caracterizaçãodo Sistema
Caracterizaçãodo Sistema
Identificação deAmeaças
Identificação deAmeaças
Identificação deVulnerabilidadesIdentificação deVulnerabilidades
Análise deProbabilidades
Análise deProbabilidades
Análise deMecanismosAnálise de
MecanismosAnálise deImpacto
Análise deImpacto
Determinaçãode Riscos
Determinaçãode Riscos
Recomendaçãode MecanismosRecomendaçãode Mecanismos
Documentaçãode ResultadosDocumentaçãode Resultados
Estudo de CasoEstudo de Caso
...
...
Internet
ISP
ISP
DBServer
ServidorInterno deArquivos
Workstations
RAS Roteador
DNS, MAIL,HTTP, FTP
Workstations
DNS, MAIL
FuncionáriosRemotos
ISP
Estudo de CasoEstudo de Caso
Identificação de ameaçasIdentificação de ameaças Acesso não autorizado ao DB ServerAcesso não autorizado ao DB Server Alteração de páginas webAlteração de páginas web Distribuição de material indevido via FTPDistribuição de material indevido via FTP Acesso irrestrito à Internet pelas máquinas Acesso irrestrito à Internet pelas máquinas
internasinternas Todas as máquinas vulneráveis via Internet Todas as máquinas vulneráveis via Internet
(intrusão, instalação de backdoors, etc)(intrusão, instalação de backdoors, etc) Sem controle quanto aos uso de sniffersSem controle quanto aos uso de sniffers
Estudo de CasoEstudo de Caso
Identificação de vulnerabilidadesIdentificação de vulnerabilidades 1. Inexistência de controle de tráfego1. Inexistência de controle de tráfego 2. Inexistência de detecção de varreduras 2. Inexistência de detecção de varreduras 3. Ataque de negação de serviço3. Ataque de negação de serviço 4. Serviços concentrados 4. Serviços concentrados 5. Todas as máquinas visíveis da Internet5. Todas as máquinas visíveis da Internet 6. Uso de serviços inseguros por funcionários 6. Uso de serviços inseguros por funcionários
remotos (vendedores e pessoal de suporte)remotos (vendedores e pessoal de suporte) 7. Excesso de privilégios para usuários internos7. Excesso de privilégios para usuários internos 8. Comunicação insegura entre matriz e filial8. Comunicação insegura entre matriz e filial
Estudo de CasoEstudo de Caso
Análise de mecanismosAnálise de mecanismos Uso de senhasUso de senhas Acesso ao DB diferenciado por usuárioAcesso ao DB diferenciado por usuário Acesso a recursos de rede requer Acesso a recursos de rede requer
identificação do usuárioidentificação do usuário Uso do serviço de RAS restrito a Uso do serviço de RAS restrito a
funcionários remotos e requer identificaçãofuncionários remotos e requer identificação Acesso ao DB livre de injeção de SQL Acesso ao DB livre de injeção de SQL
Estudo de CasoEstudo de Caso
Análise de ProbabilidadesAnálise de Probabilidades Inexistência de controle de tráfego - altaInexistência de controle de tráfego - alta Inexistência de detecção de varreduras - alta/baixa Inexistência de detecção de varreduras - alta/baixa Ataque de negação de serviço - média/baixaAtaque de negação de serviço - média/baixa Serviços concentrados - alta/médiaServiços concentrados - alta/média Todas as máquinas visíveis da Internet - alta/médiaTodas as máquinas visíveis da Internet - alta/média Uso de serviços inseguros por funcionários remotos Uso de serviços inseguros por funcionários remotos
- alta/média- alta/média Excesso de privilégios para usuários internos - Excesso de privilégios para usuários internos -
média/altamédia/alta Comunicação insegura entre matriz e filial - médiaComunicação insegura entre matriz e filial - média
Estudo de CasoEstudo de Caso
Análise de ImpactoAnálise de Impacto Inexistência de controle de tráfego - altoInexistência de controle de tráfego - alto Inexistência de detecção de varreduras - Inexistência de detecção de varreduras -
médio/baixo médio/baixo Ataque de negação de serviço - médio/baixoAtaque de negação de serviço - médio/baixo Serviços concentrados - alto/média/baixoServiços concentrados - alto/média/baixo Todas as máquinas visíveis da Internet - alto/médioTodas as máquinas visíveis da Internet - alto/médio Uso de serviços inseguros por funcionários remotos Uso de serviços inseguros por funcionários remotos
- alto/baixo- alto/baixo Excesso de privilégios para usuários internos - Excesso de privilégios para usuários internos -
médio/altomédio/alto Comunicação insegura entre matriz e filial - Comunicação insegura entre matriz e filial -
alto/médioalto/médio
Estudo de CasoEstudo de Caso
Determinação de riscosDeterminação de riscos risco = probabilidade x impactorisco = probabilidade x impacto Risco alto:Risco alto:
Sem controle de tráfegoSem controle de tráfego Todas as máquinas visíveis da InternetTodas as máquinas visíveis da Internet
Risco médio:Risco médio: Serviços remotos insegurosServiços remotos inseguros Excesso de privilégios internosExcesso de privilégios internos Serviços concentradosServiços concentrados Comunicação insegura entre matriz e filialComunicação insegura entre matriz e filial
Risco baixo:Risco baixo: Inexistência de detecção de varredurasInexistência de detecção de varreduras Ataque de negação de serviçoAtaque de negação de serviço
Estudo de casoEstudo de caso
G1 G2 G3 G4
P I R P I R P I R P I R
1 .8 95 76 .8 95 76 .9 80 72 .8 70 56
2 .05 25 1,2 .9 10 9 1 5 5 .9 10 9
3 .2 80 16 .1 35 3,5 .1 10 1 .1 60 6
4 .7 85 59,5 .3 40 12 .35 60 21 .6 80 48
5 .85 85 72,2 .6 80 48 .95 70 66,5 .9 70 63
6 .6 75 45 .2 95 19 .4 90 36 .2 90 18
7 .4 60 24 .4 80 32 .8 70 56 .9 70 63
8 .65 80 52 .2 95 19 .45 90 40,5 .3 90 27
Estudo de CasoEstudo de Caso
...
Internet
ISP
ISP
ISP
DBServer
HTTPFTP
Servidor Interno de Arquivos
Workstations
RAS
Roteador
DNSMAIL
Filtro Interno
Filtro e NAT
VPNGateway
FuncionáriosRemotos
Política de segurançaPolítica de segurança
Conjunto de leis regras e práticas que regulam Conjunto de leis regras e práticas que regulam (informações e recursos):(informações e recursos): como gerenciarcomo gerenciar como protegercomo proteger como distribuircomo distribuir
Sistema seguro = sistema que garante o Sistema seguro = sistema que garante o cumprimento da política de segurança traçadacumprimento da política de segurança traçada
Políticas: problemasPolíticas: problemas
Pessoas encararam políticas como:Pessoas encararam políticas como: um redutor de produtividadeum redutor de produtividade medidas para controlar o comportamentomedidas para controlar o comportamento
Diferentes pessoas têm diferentes visões Diferentes pessoas têm diferentes visões sobre as necessidades de segurançasobre as necessidades de segurança
Funcionários temem a dificuldade de Funcionários temem a dificuldade de implementação e de cumprimentoimplementação e de cumprimento
Políticas afetam todos na organizaçãoPolíticas afetam todos na organização
Políticas: característicasPolíticas: características
Deve:Deve: ser implementável e exeqüívelser implementável e exeqüível ter foco no futuroter foco no futuro clara e concisaclara e concisa equilibrar proteção e produtividadeequilibrar proteção e produtividade
Políticas: característicasPolíticas: características
Deveria:Deveria: esclarecer sua necessidadeesclarecer sua necessidade descrever o que é coberto pela políticadescrever o que é coberto pela política definir contatos e responsabilidadesdefinir contatos e responsabilidades discutir como tratar violaçõesdiscutir como tratar violações
Políticas: estruturaPolíticas: estrutura
Depende do tamanho e propósitos da Depende do tamanho e propósitos da organizaçãoorganização
Um único documento ou vários menoresUm único documento ou vários menores manutenção mais fácil para pequenos documentosmanutenção mais fácil para pequenos documentos
Política geral e políticas específicasPolítica geral e políticas específicas Exemplos:Exemplos:
uso admissíveluso admissível acesso remotoacesso remoto proteção da informaçãoproteção da informação segurança mínima de host/dispositivosegurança mínima de host/dispositivo
Segurança: estratégiasSegurança: estratégias
Atribuir privilégios mínimosAtribuir privilégios mínimos Criar redundância de mecanismosCriar redundância de mecanismos Criar ponto único de acessoCriar ponto único de acesso Determinar os pontos mais fracosDeterminar os pontos mais fracos Tornar o sistema livre de falhas (Tornar o sistema livre de falhas (fail-fail-safesafe))
Incentivar a participação universalIncentivar a participação universal Investir na diversidade de defesaInvestir na diversidade de defesa Prezar a simplicidadePrezar a simplicidade
MecanismosMecanismos
CriptografiaCriptografia AutenticaçãoAutenticação Redes privadas (VPNs)Redes privadas (VPNs) FirewallsFirewalls Ferramentas de verificação (auditoria)Ferramentas de verificação (auditoria) Sistemas de detecção de intrusão (IDSs)Sistemas de detecção de intrusão (IDSs)
Links: ferramentasLinks: ferramentas
Nessus: Nessus: www.nessus.orgwww.nessus.org
NMap: NMap: www.nmap.orgwww.nmap.org
Tripwire: Tripwire: www.tripwire.comwww.tripwire.com
Ethereal: Ethereal: www.ethereal.comwww.ethereal.com
SSH: SSH: www.ssh.comwww.ssh.com
PGP: PGP: www.pgp.comwww.pgp.com
Links: páginasLinks: páginas
www.securityfocus.comwww.securityfocus.com
www.infosyssec.netwww.infosyssec.net
www.cerias.purdue.eduwww.cerias.purdue.edu
cve.mitre.orgcve.mitre.org
www.commoncriteria.orgwww.commoncriteria.org
www.whitehats.comwww.whitehats.com
Links: organizaçõesLinks: organizações
www.cert.orgwww.cert.org
www.first.orgwww.first.org
csrc.ncsl.nist.govcsrc.ncsl.nist.gov
www.ietf.orgwww.ietf.org
www.sans.orgwww.sans.org
www.nic.brwww.nic.br