1 segurança de informações analisando ameaças. 2 segurança de informações analisando ameaças...

1

Segurança de Informações

Analisando ameaças

2


Analisando ameaças

• Ameaça é tudo aquilo que pode comprometer a segurança de um sistema, podendo ser acidental (falha de hardware, erros de programação/usuários, etc...), ou deliberada (roubo, espionagem, sabotagem, invasão, etc...).

• Pode ser uma pessoa, uma coisa, um evento, uma idéia capaz de causar dano.

• Ameaças deliberadas:•Passivas – envolvem invasão e/ou monitoramento, sem alteração de informações.•Ativas – Envolvem alteração nos dados.

A magnitude de uma ameaça deliberada está relacionada com a oportunidade, motivação e forma de detecção e punição de quebras de segurança.

3


• Analisando ameaças - tipos• Vazamento de informações - informações desprotegidas/reveladas• Violação de integridade – comprometimento da consistência• Indisponibilidade de serviços – impedimento ao acesso aos recursos• Acesso e uso não autorizado –pessoa ou uso não autorizado.

• Após as ameaças se efetivarem em um ataque:• Mascaramento – uma entidade ou pessoa se passa por outra• Desvio de controles – falhas nos controles permitem acessos• Violação autorizada – usuário autorizado com propósitos não autorizados• Ameaças Programadas – códigos de softwares embutidos nos sistemas para violar segurança, alterar ou destruir dados.

Ameaças Vulnerabilidades ou Fragilidades Impactos

4


• Bugs de Software• Bug - erro num programa de computador que o faz executar incorretamente. Trazem aborrecimentos e muitas vezes prejuízo.• Back doors – Bugs propositalmente inseridos nos programas para permitir acesso não autorizado (brechas de segurança).• Hackers estão sempre em busca de back doors para invadir sistemas.

• Ameaças programadas• Programas podem passar a ter comportamentos estranho, pela execução de códigos gerados para danificar ou adulterar o comportamento normal dos softwares.• Podem ser confundidos ou identificados como vírus.

5


• Vírus – Perigo real, imediato e crescente.• Surgimento de novas pragas, cada vez mais eficientes e desastrosas e de longo alcance.• Ambiente Internet contribui para disseminação.• Atualização do antivírus não acontece na mesma freqüência.

São classificadas pela forma de como se comportam, como são ativados ou como se espalham:

• Vírus• Worms• Bactéria• Bomba Lógica• Cavalo de Tróia

6


•Tipos de Vírus• Vírus de Boot - move ou altera o conteúdo original do boot, ocupando aquele espaço e passando atuar como se fosse o próprio boot do sistema.

• Vírus parasita – utilizam arquivos executáveis (.com, .exe) como hospedeiros, inserindo códigos de desvio para o código do vírus.

• Vírus camuflados – para dificultar o seu reconhecimento pelos anti-vírus.

• Vírus polimórficos – mudam seu aspecto cada vez que infectam um novo programa.

• Vírus de macro – macros são pequenos programas embutidos em planilhas e arquivos de texto. Como esses arquivos são os mais comuns, tratam-se de excelente meio de propagação.

7


• Fontes de infecção por Vírus

• Disquetes• Redes• Cd-Rom´s de revistas• E-mails• Pen drive

• Softwares Anti-Vírus

• Prevenção• Detecção• Remoção

8


•Analisando impactos e calculando riscos

• Em função do tempo em que um impacto, causado por uma ameaça, permanece afetando a instituição: curto ou longo prazo.

• Escala de Classificação:• 0 - Impacto irrelevante.• 1 – Pouco significativo, sem afetara a maioria dos processos.• 2 – Sistemas não disponíveis por um período de tempo, pequenas perdas financeiras e de credibilidade.• 3 – Perdas financeiras de maior vulto e de clientes.• 4 – Efeitos desastrosos, sem comprometer a sobrevivência da instituição.• 5 – Efeitos desastrosos, comprometendo a sobrevivência da instituição.

9


•Analisando impactos e calculando riscos• Além do nível do impacto, temos também os tipos de impacto, definidos a critério de cada instituição.

• Exemplos de tipos de impactos:• 01 – Modificação dados.• 02 – Sistemas vitais não disponíveis• 03 – Divulgação de informações não confidenciais• 04 – Fraudes.• 05 – Perda de credibilidade• 06 – Possibilidade de processo contra a instituição• 07 – Perda de clientes para a concorrência

10


•Analisando impactos e calculando riscos• Assim como os impactos, as probabilidades de ameaças podem ser distribuídas em uma escala

• Escala de Classificação:• 0 – Ameaça completamente improvável de acontecer.• 1 – Probabilidade de ocorrer mais de uma vez por ano.• 2 – Probabilidade de ocorrer pelo menos uma vez por ano.• 3 – Probabilidade de ocorrer pelo menos uma vez por mês.• 4 – Probabilidade de ocorrer pelo menos uma vez por semana.• 5 – Probabilidade de ocorrer diariamente.

11


Matriz de Relacionamento entre Ameaças, Impactos e Probabilidades

Ameaças Genéricas Tipo

Impacto

Impacto

0-5

Probabilidade

0-5

Erros Humanos

Ameaças associadas à identificação

Cavalos de Tróia

Ameaças associadas à disponibilidade

Desastres Naturais

Ameaças associadas à confidencialidade

Monitoramento tráfego rede interna

Ameaças associadas à integridade

Modificações deliberadas das informações

Ameaças associadas ao controles de Acesso

Acesso a arquivos de senhas

12

Auditoria de Tecnologia da Informação

Controles Sobre Banco de Dados

• Os dados corporativos são os maiores patrimônios de uma organização. Como são armazenados e manipulados por softwares de banco de dados, os controles sobre eles é de importância vital.

• SGBD – Vários modelos e padrões disponíveis no mercado. Independente de qual seja, há a necessidade de auditagem e monitoramento.

• Auditores especializados com cada SGBD, conhecendo seus pontos fracos em termos de segurança.

Software de Banco de Dados

• Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários.

13


Software de Banco de Dados (cont.)

• Instalação - verificar se foi feito de acordo com as recomendações do Fornecedor e se foram instaladas as correções e alterações de segurança mais atualizadas.

• Configuração - comparar os parâmetros de configuração com as Recomendações de segurança conhecidas para SGDB em exame.

• Manutenção e documentação – verificar se os procedimentos de atualização de versões, instalação de correções e de documentação são adequados.

• Utilitários - alguns SGDB possuem software utilitários associados a sua implementação que permitem acesso direto a dados, sem passar pelos controles normais de segurança de acesso. A equipe deve verificar a existência desses utilitários e garantir que seu uso seja feito por um número restrito de pessoas e controlado por mecanismos de segurança.

14



• Disponibilidade – Característica fundamental do BD. Mecanismos de recuperação devem garantir a a recuperação rápida de dados, em caso de perda ou corrupção. Uma vantagem é que maioria dos SGBD´s , principalmente os de grande porte, contém facilidades que mantêm cópias da base de dados e registros das últimas alterações.

• Backup – Bases e logs devem ser copiados diariamente. Devido a custos de armazenamento, esse período pode ser avaliado pela equipe. Toda rotina de backup deve ser testada para comprovar sua eficiência. Logs e dados devem estar em unidades diferentes.

• Replicação e redundância – Distribuição e espelhamento de dados entre servidores, para uma maior disponibilidade de dados.

15

Controles Sobre Banco de Dados• Integridade – Garantia que os dados estão completos e corretos. Restrição a atualização simultânea - apenas um usuário de cada vezobtém acesso para atualização de um determinado registro. Restabelecimento dos ponteiros e índices para as estruturas de dados -grande parte dos SGDB possuem mecanismos internos de detecção,análise e recuperação dos ponteiros e índices para as estruturas de dados. Controle de atualização de dados em ambientes de banco de dados distribuídos – é necessário que haja mecanismos de controle e atualizaçãode dados nesse ambiente. Mecanismos de reorganização – de tempos em tempos, após váriasatualizações, a base de dados precisa ser reorganizada para que aintegridade dos dados seja mantida. Mecanismos de verificação de integridade e correção – é necessário existir mecanismos que analisem e corrigem a integridade caso detectemalgum problema


16


• Confidencialidade – Nem todos os usuários precisam ter acesso atodos os dados. Para garantir a confidencialidade dos dados, devem

existirmecanismos de controle que permitam que os usuários acessem

apenas os dados necessários para a execução de suas funções na empresa.

• Controles de Acesso – O acesso deve restringir aos dados necessários

para o desempenho das funções.

• Controle de Uso - O registro de uso através de logs garante o controle

das alterações.


17


Controles Sobre Microcomputadores

• A proliferação do uso de microcomputadores fez com que esses ambientes cada vez mais passassem a ser alvos de auditorias.

Características:• Configuração de HW e SW cada vez mais complexas.• Maior interação entre usuário e computador.

• Tarefas como boot, localizar e copiar arquivos, deletar, etc., tornaram-se tarefas simples para usuários.• Menor controle físico e ambiental sobre equipamentos.

• Mesmo assim, as políticas de segurança e auditoria não podem deixar de ser aplicadas ao ambiente de microinformática.

Riscos e Controles Específicos

• O risco vem da própria falta de controle do ambiente. Os usuários vêem os micros em suas mesas como propriedades, sobre as quais exercem seus próprios controles e agem da forma como acharem melhor.

18



Riscos e Controles Específicos

•Programas educativos, treinamentos e boletins ajudam a quebrar resistências.

• Não faz sentido os micros estarem “ilhados”, como forma de controle e prevenção, mas a conexão destes equipamentos à rede da empresa requer cuidados e alguns procedimentos padrões, em virtude da segurança.

Conformidade com a Legislação

• Usuários de micro têm sempre a tentação de instalar e usar softwares estranhos à organização.

• Posturas desses usuários:

• “Ninguém vai ficar sabendo.”

• “Ninguém me disse que não podia.”

• “Eu não sabia que era proibido por lei”.

19



Conformidade com a Legislação

• Os usuários devem conhecer previamente as normas da empresa em relação à instalação de softwares, para que se respeitem direitos autorais e que também saibam como proteger as informações confidenciais da empresa.

Pirataria

• Formas comuns:

• Comprar uma licença e copiá-la para vários computadores.

• Alugar software sem permissão do detentor de copyright.

• Fazer, distribuir ou vender cópias de SW como se fosse seu proprietário.

• Baixar pela Internet sem anuência do detentor do copyright.

• Prática condenada em instituições, por razões de legalidade, ética e riscos de perdas e danos.

• Verificação de SW pirata é prática comum em qualquer auditoria.

20



Controles de Acesso Físico e Lógico

• O acesso físico é menos controlado nos micros. Essa facilidade representa uma porta de entrada ou uma tentação para burlar os controles. Os dados também podem ser copiados, apagados ou alterados por usuários não autorizados.

• Interfaces amigáveis ao mesmo tempo que ajudam o usuário com inúmeras ferramentas, facilitam também o acesso a arquivos e programas.

• A instalação de pacotes de segurança, senhas, criptografia e armazenamento de dados importantes somente em servidores, provê um grau de proteção maior contra acesso não autorizado.

• Estabilizadores e no-breaks podem garantir a disponibilidade dos micros.

21



Proteção Contra Vírus

• Os micros se tornaram principal alvo dessa ameaça, pois onde estão as maiores falhas na prevenção e sobretudo pela alta conectividade destes equipamentos.

• Existem alguns controles para a empresa reduzir os riscos de vírus, alguns técnicos, outros administrativos.

Uso de Anti-Vírus

• Necessário não apenas a instalação, mais uma correta configuração e atualização periódica.

• Participação em listas ou fóruns para tomar conhecimento de novas pragas e como prevenir do seu ataque. Cuidado com mensagens falsas.

• Disseminação entre todos os usuários da existência de novos vírus, suas formas de ataque e, caso disponível, sua vacina.

Lista de Verificações

22

Exercícios Propostos – Banco de dados

• 1) Além dos aspectos típicos de segurança que devem ser verificados em uma auditoria, a equipe de auditoria deve checar os controles gerais aplicados a SGDB. Que controles são esses? Fale sobre cada um.

• 2) Quais as principais vantagens dos SGBD, que dizem respeito a DISPONIBILIDADE de informações?

• 3) Quais são as propriedades intrínsecas dos SGDB’s para garantir a INTEGRIDADE dos dados? Fale sobre cada uma delas.

• 4) Fale sobre a CONFIDENCIALIDADE dos dados garantidas pelos SGBD’s.

23

Exercícios Propostos - Microcomputadores

• 1) Os mesmos controles aplicados a um ambiente de tecnologia de grande porte pode ser aplicado ao ambiente de pequeno porte, como ambiente de microcomputadores? Explique.

• 2) Cite as principais características de um ambiente de pequeno porte (micro)

• 3) Quais são os principais riscos associados ao ambiente de pequeno porte (micro)?

• 4) Quais os principais controles que devem ser utilizados em um ambiente de pequeno porte (micro)? Fale sobre cada um deles.

1 segurança de informações analisando ameaças. 2 segurança de informações analisando ameaças...

Documents