palestra - introdução à segurança da informação

TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Segurança da Informação:Controles e Perspectivas

Março de 2010

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Termo de isenTermo de isençção de responsabilidadeão de responsabilidade

A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas.

Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.


Sobre a TI SafeSobre a TI Safe

• MissãoFornecer produtos e serviços de qualidade para a Segurança da Informação

• VisãoSer referência de excelência em serviços de Segurança da Informação

• Equipe técnica altamente qualificada

• Apoio de grandes marcas do mercado


Não precisa copiar...Não precisa copiar...

http://www.tisafe.com/recursos/palestras/


AgendaAgenda

• Introdução• Mecanismos de Controle• O Ponto Mais Fraco• Gestão de Segurança• Gestão de Riscos• Considerações Finais


Conhecendo um pouco vocês...Conhecendo um pouco vocês...

• Qual a pior coisa que poderia acontecer para o seu negócio?

Incêndio, inundação, desmoronamentoMorte ou invalidez de pessoalRoubo ou furto de

• Bens materiais– Dinheiro– Produtos e estoque– Equipamentos

• Bens intelectuais– Agenda de contatos– Dados de clientes– Informações de funcionários– Tabela de preços e contatos de

fornecedores

Outros fatores. Quais?


Quanto vale a informaQuanto vale a informaçção?ão?

• A fórmula de um novo combustível• O esquema de defesa militar de um país• A última ligação feita pelo seu celular• O telefone daquela garota• A lista de descontos do distribuidor• Contatos de clientes• O seu endereço• A versão sem cortes do carnaval das celebridades


Casos reais Casos reais –– Ford do BrasilFord do Brasil

Fonte: Revista Época (Brasil) em 27/6/2005

Notícia completa em http://revistaepoca.globo.com

• Dados roubados por funcionário via CD (revista Época, 06/2005)

• Concorrentes diziam ser “prejuízo incalculável”

• Projeto B402 (novo Ka)• R$ 800 Milhões• 3 anos

• Planejamento comercial da montadora para os próximos anos


SeguranSegurançça da Informaa da Informaççãoão

• Ações para proteger informações que, se violadas, podem afetar nossas vidas ou empresas

Proteger ativos• Equipamentos• Instalações• Informações • Pessoal

Manter• Confidencialidade/ Privacidade• Disponibilidade/ Continuidade• Integridade

Evitar/reduzir perdas de produtividadeAuxiliar na redução de prejuízos

• Alinhada com o negócio SuficienteConfortávelDentro do melhor custo/benefício


Pilares da SeguranPilares da Seguranççaa

• ConfidencialidadeÉ a garantia de que uma informação só poderá ser conhecida por aqueles que tiverem tal direito

• IntegridadeProteger a informação, processo ou sistema de alterações não autorizadas

• DisponibilidadeInformação, processo ou sistema acessíveis quando solicitados Confidencialidade

Dis

poni

bilid

ade


Proteger informaProteger informaçções. Por quê?ões. Por quê?

• Adequar-se a leis e normasSOx, ISOs, ANSI/ISA...

• Evitar perdas financeiras Processos civis e criminaisRoubo ou furto de bens materiaisDesvio e lavagem de dinheiro

• Apresentar-se como empresa confiável

• Manter a reputação• Manter o negócio em

andamento


Para Para quemquem a a seguranseguranççaa de de destinadestina??

• TodosConectam na internetUsam emailFazem download de programas e documentosFazem alguma coisa online

• Bancos• Sistemas do governo• Equipamentos médicos modernos• Dados de clientes, pacientes, parceiros

• Cada vez mais os computadores fazem parte das nossas vidas –ataques podem nos afetar diretamente

• Implementar a segurança tem se tornado mandatório


AmeaAmeaççasas

• Físicas e materiaisIncêndio, inundação, e outros desastres naturaisRoubo de mercadorias/ produtosRoubo de dinheiroFalsificações

• TecnológicasUso indevido de recursos (rede, internet, telefone, etc)Malware: Vírus, Spyware, Worms

• IntelectuaisEngenharia SocialMá conduta de funcionáriosVazamento de informações e dados de clientes, fornecedores, funcionários e proprietários


DistDistúúrbios aos pilaresrbios aos pilaresAbrangência Ameaça Exemplo

Confidencialidade

Browsing Procurar por informações sem necessariamente saber seu tipo

Shoulder surfing (“papagaio de pirata”) Olhar sobre o ombro da pessoa o que édigitado.

Engenharia Social Fingir ser alguém com a intenção de ter acesso a informações.

Integridade

Modificar uma mensagem Interceptar uma mensagem, alterá-la e enviá-la ao seu destino original

Alteração de logs de auditoria Modificar os logs de auditoria, normalmente com a intenção de ocultar fatos

Modificação de arquivos de configuração

Alterar arquivos críticos em um sistema para modificar sua fucionalidade.

Disponibilidade

Desastres naturais ou provocados Vandalismo, incêndios, terremotos, terrorismo, vulcanismo, ...

Negação de serviço (DoS) Comprometimento de serviços de importância fundamental para processos

Comprometimento de informações Modificar dados de forma a ficarem inúteis para outras pessoas


Antigamente...Antigamente...

Chen-Ing Hau, 24(Autor do vírus CIH)

Joseph McElroy, 16(Invadiu o laboratório de pesquisas

nucleares dos EUA)Jeffrey Parson, 18(autor do Blaster.B virus)

Objetivo:Destruir


O novo O novo atacanteatacante

• SilenciososSem alarmes, sem vestígios

• PrecisosPersonalização, códigosespecíficosMulti-estágio: mail2web2trojan2homeTomam vantagem sobrefraquezas tecnológicas e humanas…


O O queque movimentamovimenta esseesse mercadomercado??

SPAM

Phishing

EspionagemIndustrial

Roubo deidentidades

Roubo de dados

corporativos

Sequestro debrowser

Pop ups& BOs

Roubo deDados

pessoais

É um negócio!


Venda de armas

Malware=Malware=DinheiroDinheiro……..


Mercenários

Malware=Malware=DinheiroDinheiro……..


• Operação de bots• Aluguel de redes• Infecção com Trojans• Phishing• Falsidade ideológica• Desvio de dinheiro• Pornografia infantil• Prescrição ilegal de

medicamentos• Pirataria de Software

Fonte: Register Of Known Spam Operations (ROKSO) database + SpamhausBlocklist (SBL) database.

Spam Spam emem 2007: Cyber2007: Cyber--crime crime OrganizadoOrganizado

O spam que você recebe é apenas uma parte disso!


ProfissionaisProfissionais

QuemQuem estestáá porpor trtrááss disso?disso?

Jeremy JaynesMilionário & spammer

Jay EchouafniCEO Orbit communications.

Atacante de DDoS

Andrew Schwarmkoff Fraudador de senhas


AchoAcho queque tenhotenho quequeclicarclicar emem ““simsim””!!

UsuUsuááriorio ““ClicadorClicador FelizFeliz””


63% clicam em "Ok" sem pensar63% clicam em "Ok" sem pensar

• Psicólogos da Universidade do Estado da Carolina do Norte descobriram que usuários de computadores têm dificuldades para distinguir entre mensagens de alarmes falsos do Windows e as reais.

Em uma experiência que testou a reação de 42 estudantes universitários usuários de internet, revelou-se que quase dois terços deles (63%) clicariam em "Ok" sempre que vissem uma pop-up de alerta, fossem falsas ou não.

"Muitas pessoas caem nesse tipo de ataque por não reconhecer os elementos visuais que diferenciam as janelas de alertas falsos das reais", concluíram os pesquisadores.

• IDG Now, 25 de setembro de 2008


ProblemasProblemas

• Segurança da InformaçãoRoubo/ furto de informaçõesRoubo/ furto de identidades

• ProdutividadeNavegação improdutivaSPAMSistemas desligadosMuitos chamados de Help desk

• ComplianceFalha no atendimento de leis e normas

• Imagem e consumidorReferência da MarcaReputação


AgendaAgenda

• Introdução• Mecanismos de Controle• O Ponto Mais Fraco• Gestão de Segurança• Gestão de Riscos • Considerações Finais


ObjetivosObjetivos

• Proteger ativos• Evitar ou reduzir prejuízos

financeiros e perdas de produtividade

• ControlesFísicosControles Técnicos

• Controle de Acesso• Arquitetura de Segurança• Redes e Telecomunicações• Segurança de Aplicações• Criptografia


ControlesControles

• Administrativos• Físicos• Técnicos


O que as empresas usam?O que as empresas usam?


Camadas de proteCamadas de proteçção: controlesão: controles

Fisica Operações Acesso Redes Básica Aplicações Criptografia


Ambiente originalAmbiente original

Comercial

Secretária

Diretor Técnico MarketingRH


SeguranSegurançça Fa Fíísicasica

Fisica

• Cercas/ portões• Portas/ portarias

CatracasDetectores de metaisCrachás

• Paredes/ janelasSensores de invasão

• Seguranças• CFTV• Sistema de climatização• Documentação de elementos de

engenharia civil/ elétrica/ hidráulica• Sistema de detecção/ combate a incêndio• Compartimentalização de ambientes


11oo) Terreno: muro, controle de acesso: guarita, seguran) Terreno: muro, controle de acesso: guarita, seguranççasas

PRODESP

SeguranSegurançça em camadas a em camadas –– Prodesp Prodesp

22oo) Pr) Préédio: paredes, controle de acesso: recepdio: paredes, controle de acesso: recepçção, seguranão, segurançças, catracasas, catracas

33oo) Callcenter: 2 portas de vidro, controle de acesso: crach) Callcenter: 2 portas de vidro, controle de acesso: cracháá, seguran, seguranççaa

44oo) Datacenter: 2 portas de a) Datacenter: 2 portas de açço, controle de acesso: cracho, controle de acesso: cracháá + biometria+ biometria

55oo) Racks com chave, câmeras) Racks com chave, câmeras66oo) Sala cofre) Sala cofre


SeguranSegurançça Fa Fíísicasica


SeguranSegurançça de Operaa de Operaççõesões

Fisica Operações

• ControlesHardware e equipamentosSoftwarePessoal (Gestão de RH)

• Manejo de mídiaArmazenamentoDescarte

• Mesas e quadros limpos• CSIRT• Mecanismos de controle e verificação

Recuperação de DesastresAnálises de vulnerabilidades/ testes de invasãoControle de logs


SeguranSegurançça de Operaa de Operaççõesões


Controle de AcessoControle de Acesso

Fisica Operações Acesso

• AmbientesBiometriaCrachás

• SistemasACLsBiometria, tokens, smartcards, etcSSOServiços de autenticação AAA (ex. RADIUS)

• Os mecanismos de autenticação de usuários dividem-se em três categorias:

baseados no conhecimento (o que se sabe)baseados em propriedade (o que se possui) baseados em características (o que se é)


O AAAA da seguranO AAAA da seguranççaa

Audit

Who are you?

User Name:Password:

x

What has actually happened ?

What can you do?

X

How do we manage all of this…?


Fraquezas das senhasFraquezas das senhas

• Pessoas podem escolher senhas fracas, fáceis de adivinhar

• Quando escolhem (ou são obrigadas a usar) senhas fortes, escrevem em um papel de fácil acesso

• As senhas podem ser compartilhadas de forma indevida

• Podem ser interceptadas, quando enviadas de forma desprotegida

• Uma senha pode ser descoberta sem que o proprietário saiba

• Até 14 caracteres, podem ser facilmente encontradas com Rainbow tables


Controle de AcessoControle de Acesso


SeguranSegurançça de redesa de redes

Fisica Operações Acesso Redes

• ArquiteturaSegmentação de redeDMZHoney NetsSegregação de serviços e máquinas

• ControlesFirewallIDS / IPSControle de bandaGerência de conteúdoVPN criptografada802.1X

• ExtrasRedundância de linkBalanceamento de carga


SeguranSegurançça de Redesa de Redes

• A segurança de redes é necessária pelo fato de sistemascomputacionais interagirem

Mensagens confidenciais enviadas entre os sistemasInstruções enviadas de um sistema para outroServiços fornecidos de um sistema para outros pela Internet


Objetivos da SeguranObjetivos da Segurançça de Redesa de Redes

• Estabelecer protocolos seguros que garantamConfidencialidade (usando criptografia)Integridade (através de verificações matemáticas)Disponibilidade (introduzindo medidas que inibam ataques de DoS)

• O ponto crucial para alcançar a confidencialidade e a integridade é a autenticação

Acesso a sistemas devem ser permitidos somente a usuários autorizados


ElementosElementos de Segurande Segurançça de a de PerPeríímetrometro

Firewall

VPN

IDS/IPS

Rede

Segurança de Redes

Rede corporativa

•Spyware, Malware•Navegação indevida•Perda de dados sigilosos•Aplicações nãoautorizadas (IM, P2P, tunneling, etc.)

• SPAM

• Phishing

• Vírus

• Malware

Web

Sur

fing

Emai

l

Conteúdo

Segurança deConteúdo

Internet


Topologia seguraTopologia segura

FW 1FW 1 FW 2FW 2 FW 3FW 3

Honey NetHoney Net

DMZ 1DMZ 1

FW IFW I

DMZ 2DMZ 2

IDSIDS


SeguranSegurançça de Redesa de Redes


Arquitetura de SeguranArquitetura de Seguranççaa

Fisica Operações Acesso Redes Básica

• Segurança nativa dos sistemas

• RFCs de segurança• Classificação da Informação• Homologação de produtos• “Pior que não ter um sistema

de segurança, é ter e não usar”


Arquitetura de SeguranArquitetura de Seguranççaa


SeguranSegurançça de Aplicaa de Aplicaççõesões

Fisica Operações Acesso Redes Básica Aplicações

• Uso de metodologias de produção (SDLC)

• Implantação de segurança em desenvolvimento

• Mecanismos de Backup e Auditoria• Políticas anti-malware• Controle de licenciamento


SeguranSegurançça de Aplicaa de Aplicaççõesões


CriptografiaCriptografia


• Última linha de defesa• Proteção de dados

Em repousoEm trânsito

• Segurança de comunicaçõesIPSecSSLCamadas 1 e 2


CriptografiaCriptografia


Camadas de proteCamadas de proteçção: controlesão: controles



Ambiente RevisadoAmbiente Revisado


AgendaAgenda



O elo mais fraco da correnteO elo mais fraco da corrente

Toda a tecnologia empregada pode ser comprometida pelo elo mais fraco da cadeia de segurança: o fator humano

Cerca de 80% dos incidentes são de origem interna às empresas“Clicadores felizes”Relutantes a mudanças de hábitoNão endendem as tecnologias (nem tem tempo!)Ignorados na implantação das políticasPouco treinadosAlvos da engenharia social


Engenharia SocialEngenharia Social

• “A arte de fazer com que pessoas façam coisas que normalmente não fariam para um estranho – e sendo pago para fazer isto”Kevin D. Mitnick

• Objetivos:Encontrar um modo de enganar um usuário que revele informações ou...Enganar alguém importante para que ele forneça o acesso desejado


Engenharia Social: como funciona?Engenharia Social: como funciona?

• AbordandoBoa tarde, estou fazendo uma pesquisa sobre...Oi, eu sou repórter da Folha de São Paulo...Você está muito bonita...O seu chefe me pediu para...

• Obtendo informaçõesEstou tentando entrar em contato, poderia confirmar o número?Faça seu cadastro para concorrer...Não terei como fazer a entrega se você não me informar o endereço do estoqueSistemas de consulta (lista telefônica, sites de relacionamentos)Análise do lixo

• RoubandoMeu pai esteve por aqui, comprou feijão, milho e arroz e esqueceu de pegar a sacola...Estamos com um problema sério por aqui, precisamos da senha de acesso agora.


Engenharia Social: DEngenharia Social: Dáá certo?certo?

• PessoasGostam de ajudarSão vulneráveis a elogiosQuerem fazer a coisa certaTêm medo de superioresSe sensibilizam com urgênciasSão exibcionistas


EducaEducaçção do usuão do usuááriorio

• Explicar os controles de acesso físico

• Revisão da política de segurança

• Classificação dos tipos de informação e as formas de utilizar

• Manejo das informações de procedência desconhecida/ duvidosa

• Técnicas de engenharia social• Ética • Procedimentos em incidentes

de segurança


AtividadesAtividades

• Cursos formais

• Uso de material de divulgação

• “Fiscais” internos de segurança

• “Dia de segurança”

• Eventos com participação externa

• Sessões de vídeo Prenda-me se for capaz

O Santo

Caçada Virtual (Takedown)


AgendaAgenda



Gestão de SeguranGestão de Seguranççaa

• Avaliar riscos

• Definir políticas

• Colocar as políticas em prática

• Dar suporte à empresa baseando-se em:

ObjetivosMissãoValoresVisão

• Tomar decisões baseadas na tolerância a riscos

• Considerar que os sistemas sempre podem ser mais seguros do que de fato são

Leis e regulamentações

Política geral da empresa

Políticas funcionais

Padrões Procedimentos Linhas Base Linhas Guia


Equipe de seguranEquipe de seguranççaa

• Abrangência Corporativa, não somente em TI• Prioriza as tarefas e medidas• As adequa cada unidade da empresa• Consideram a realidade da empresa• Equaliza as ações e decisões baseado no custo• Organiza o CSIRT• Estabelece uma política de segurança• Promove treinamentos• Classifica informações


Boas prBoas prááticas na redaticas na redaçção de polão de polííticasticas

• Planejar a produção e implantação da política

• Evitar detalhes e linguajar técnico

• Escrever o mínimo possível

• Fornecer navegabilidade entre documentos

• Revisar exaustivamente antes do lançamento

• Prever incidentes

• Estabelecer medidas contra o não-cumprimento


AgendaAgenda

• Introdução• Mecanismos de Controle• O Ponto Mais Fraco• Gestão de Segurança• Gestão de Riscos• Considerações Finais


ConceitosConceitos

• DicionáriosRisco: “possibilidade de perda”Gerenciamento de Risco: “técnica ou atribuição de classificar, minimizar, e prevenir risco acidental a um ativo, seja pelo emprego de seguros ou outras medidas de segurança”

• (ISC)²Gerenciamento de Risco: “a aprendizagem de conviver com a possibilidade de que eventos futuros podem ser prejudiciais”, e o “gerenciamento de risco reduz riscos pelo reconhecimento e controle de ameaças e vulnerabilidades”


AnAnáálise de riscoslise de riscos

• Análise qualitativaAssocia uma pontuação para cada risco e contramedida É baseado no feeling e em opiniões de funcionários considerados especialistasUsa o cenário de camadas de acesso às informações

• Análise quantitativaAssocia valores numéricos aos riscos e perdas potenciaisOs resultados são revertidos em cifrasFacilita o mapeamento de perdas

• MetodologiasISO 17799 (27002) e ISO 27005NIST SP 800-30 e 800-66AS/NZS 4360:2004OCTAVEFRAPCRAMMSpanning Tree AnalysisFailure Modes and Effect Analysis


Gestão do RiscoGestão do Risco

• Uso consciente de recursos

• EtapasIdentificar

• Ativos• Ameaças• Vulnerabilidades

Determinar• Probabilidades• Impacto• Risco

Definir contramedidas

Reavaliar


ClassificaClassificaçção da informaão da informaççãoão

• Identificar os níveis de proteçãoConfidencialPrivadoSensívelPúblico

• Estabelecer classes e formas de identificá-las

• Determinar controles de proteção necessários para cada uma

• ExemplosBase de dados de clientes e fornecedoresSegredos industriaisBalanços financeirosInformações pessoais


DeterminaDeterminaçção dos riscosão dos riscos

ConseqConseqüüênciasênciasInsignificante Pouco Moderado Muito Catastrófico

Probabilidade 1 2 3 4 5

A (constante) A A E E E

B (provável) M A A E E

C (possível) B M A E E

D (improvável) B B M A E

E (raro) B B M A A

LegendaLegendaE Extremamente altoA AltoM MédioB Baixo


Tratamento dos riscosTratamento dos riscos

• Prevenção do risco

• Transferência do risco

• Redução do risco

• Aceitação do risco

• Propriedade do Risco


Estabelecimento de contramedidasEstabelecimento de contramedidas

• FundamentalCusto-benefício aceitávelSegurança efetiva, não por obscuridadeTestável, para certificar sua eficiênciaConfortável para o usuário

• AdicionaisDeve fornecer o mesmo nível de proteção para todos os ativosDeve ser isolável de outras contramedidas e ter baixa dependência


AgendaAgenda



SeguranSegurançça custa caro?a custa caro?

• Seu carro tem seguro?• Você paga por um plano de saúde?


IntegraIntegraçção de controlesão de controles


Medidas de RespostaMedidas de Resposta

• PlanosContinuidade de Negócios (BCP)Recuperação de Desastres (DRP)

• Resposta a IncidentesMedidas internasPolícia para registro de ocorrênciaProcuradorias e disque-denúnciaDemais órgãos competentes

• Forense computacionalTécnicas científicas para encontrar evidências sobre um incidentePode ser usada em juízo, quando realizada de forma coerente


SeguranSegurançça a éé um processo contum processo contíínuonuo

EducarEducar

PolPolííticasticas

Gerenciar

Gerenciar Proteger

ProtegerMonitorar

MonitorarAudita

r

Audita

r


ConclusãoConclusão

• As ameaças são crescentes, e atualmente miram o fator humano

• A segurança pode ser estabelecida em diferentes níveis, com diversos controles

• A aplicação de medidas de proteção deve ser feita de forma responsável, alinhada com o negócio, mediante avaliação de riscos

• A documentação é fundamental, e deve ser retransmitida ao usuário para que ele saiba que a segurança também depende dele

• Parafraseando Bruce Schneier: “A segurança não é um produto, é um processo”


Participe do nosso fParticipe do nosso fóórum de seguranrum de seguranççaa

• Acesse www.tisafe.com/forum e cadastre-se


ContatoContato

palestra - introdução à segurança da informação

Technology