segurança de redes - projeto e gerenciamento de redes seguras
Post on 09-Jun-2015
5.978 Views
Preview:
DESCRIPTION
TRANSCRIPT
SEGURANÇA DE REDES
Projeto e Gerenciamento de Redes Seguras
Jivago Alves
Roteiro
O que é segurança? O processo de segurança O processo está funcionando? Política de segurança Como escrever uma política Conteúdo da política Quem está atacando? Boas práticas
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 3
O que é segurança?
Segurança é proporcional ao valor protegido.
Lidamos com componentes humanos!
Que tipo de empresa estamos protegendo?
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 4
O processo de segurança
Processo contínuo...
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 5
O processo de segurança
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 6
O processo está funcionando?
Não existe forma provar um ataque e receber os créditos pelo sucesso da defesa.
Atividade não pode ser diferenciada como legítima ou acidental.
Paradoxo: impossível quantificar, mas sem quantificação o processo parecerá ser um fracasso.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 7
Política de segurança
O que e por que está sendo protegido? Prioridades de segurança: o que tem mais
valor? Definir acordo explícito entre partes. Fornece motivos válidos para se dizer não e
para sustentá-lo. Impede que tenhamos um desempenho fútil.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 8
Como escrever uma política
Escreva um esboço com idéias genéricas e essenciais.
Descubra 3 pessoas para o comitê de política de segurança.
O comitê será legislador, você é o executor! Divulgue a política, crie um site interno. Trate a política como regras absolutas com
força de lei.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 9
Como escrever uma política
Se alguém tiver algum problema com a política, faça com que a pessoa proponha uma sugestão.
Programe encontros regulares para consolidar a política.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 10
Conteúdo da política
Defina prioridades
1) Saúde e segurança humana
2) Conformidade com legislação local, estadual e federal
3) Interesses da empresa
4) Interesses de parceiros da empresa
5) Disseminação gratuita e aberta de informações não-sensíveis.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 11
Conteúdo da política
Defina níveis de acesso aos recursos: Vermelho: somente func. ”vermelhos” Amarelo: somente funcionários. Verde: funcionários contratados e selecionados. Branco: funcionários e contratados. Preto: funcionários, contratados e público
(selecionado)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 12
Conteúdo da política
Caracterize seus recursos: Vermelho: informações extremamente confidenciais Amarelo: informações sensíveis, serviços
importantes Verde: capaz de ter acesso a recursos vermelhos,
ou amarelos, mas sem info. essenciais. Branco: sem acesso a vermelho, amarelo ou verde,
sem acesso externo Preto: acessível externamente, sem acesso aos
anteriores.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 13
Conteúdo da política
Descrever responsabilidades e privilégios: Geral: conhecimento da política Admin. de sistemas: informações de usuário
tratadas como confidenciais. Admin. de segurança: mais alto nível de conduta
ética. Contratado: acesso a máquinas especificamente
autorizadas. Convidado: nenhum acesso, exceto com
notificação prévia por escrito à segurança.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 14
Conteúdo da política
Definir penalidades: Crítica: recomendação de demissão, abertura de
ação legal. Séria: recomendação de demissão, desconto de
salário. Limitada: desconto de salário, repreensão formal
por escrito, suspensão não-remunerada.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 15
Quem está atacando?
É preciso estudar ameaças para uma boa defesa
Segurança é uma questão social. Segredo é dificultar a vida do atacante. Um ataque terá êxito se o atacante tiver:
Habilidade Motivação Oportunidade
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 16
Quem está atacando?
Navegadores, aproveitadores e vândalos. Probab. alta, número grande, motivação baixa a
média, e habilidade baixa a alta.
Estratégia de defesa: Não ofereça recursos públicos e sem autenticação,
que possam ser controlados pelos outros. Examine os recursos periodicamente. Elimine características atraentes para os atacantes. Mantenha-se atualizado com metodologias de
ataque.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 17
Quem está atacando?
Espiões e sabotadores. Probab. depende da atividade, número baixo,
motivação média a alta, habilidade média a alta.
Estratégia de defesa: Sob ponto de vista externo, aparente ser um
objetivo muito arriscado. Elimine meios conhecidos de ataques de DoS. Limite o que é conhecido publicamente sobre suas
defesas. Preteja os principais sistemas comerciais.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 18
Quem está atacando?
(Ex-)funcionários e (ex-)contratados frustrados. Probab. média a alta, número depende da
atividade, motivação alta, habilidade média a alta.
Estratégia de defesa: Sob ponto de vista externo, aparente ser um
objetivo muito arriscado. Mantenha felizes seus funcionários.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 19
Quem está atacando?
Estratégia de defesa (cont.): Desenvolva um plano para despedir funcionários
que conhecem detalhes de segurança. Elimine imediatamente o acesso. Avise que o funcionário será o primeiro suspeito, em
caso de ataque. Crie situação na qual o funcionário demitido não será
capaz de abusar do sistema.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 20
Boas práticas
Aprenda tudo que puder sobre as ameaças que encontrar.
Planeje o melhor possível de acordo com o que aprendeu, antes de implementar qualquer coisa.
Pense patologicamente e fortaleça o projeto. Implemente exatamente como foi projetado. Verifique tudo continuamente, previna-se!
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 21
Boas práticas
Pratique a execução para chegar a perfeição. Simplifique o que deseja que as pessoas
façam. Dificulte o que não deseja que elas façam. Facilite a identificação de problemas: um bom
registro de problemas ajuda. Teste tudo que puder testar!
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 22
Dúvidas?
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 23
Referências
Segurança de Redes – Thomas A. Wadlow.
top related