política de segurança: verdade vs mito security policy: truth vs. myth política de segurança:...
TRANSCRIPT
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Security Policy: Truth vs. Myth
Política de Segurança: verdade ou mito?
Roberto de [email protected]
Emiliano [email protected]
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Agenda
• O mito da Política da segurança da Informação
• Repensando a Segurança
• Players e papéis
• O processo da Segurança e o papel da política
• Infraestrutura de Segurança
• Perguntas e Respostas
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Introdução: O mito da Política de Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Um mantra para exorcizar os males
• Todo mundo está falando
• Não existe uma definição aceita
• Todo mundo está querendo uma
• Isso é apenas uma onda?
Política de Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Problemas das Políticas
• Muito focada no high-level
• Sem manutenção
• Ou gerenciada
• Sem execução
• Ou controle
• Ou testada
• Separada da realidade
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Repensando a Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Onde nos perdemos
• Dia-a-dia operacional– Usuários, plataformas, SOs, aplicações,
redes
• A busca por uma solução mágica
• Na estratégia bottom-up ou top-down
• Definição de orçamento
• A briga da segurança vs. flexibilidade
Repensando a Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Um pequeno lembrete
• Não existe Segurança real.
• Segurança é apenas a percepção do risco
• Administrar a Segurança é administrar o risco.
• Para aumentar a Segurança, riscos precisam ser:– Modelados– Quantificados– Minimizados ao longo do tempo
• Trata-se de um processo contínuo!
Repensando a Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Pessoas, processos, dados e informação
• Informação é volátil, difícil para definí-la ou conte-la.
• Processos podem ser modelados, mediados e auditados
Data
10011010111010
Information
People Processes
Repensando a Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Modelando o fluxo da informação
• Modelar o fluxo da informação em uma organização, onde players comunicam, processam e armazenam informação.
• Identificar os processos, fontes de dados e recursos críticos para o funcionamento da organização
Repensando a Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Pontos de entrada
• Cada interação possui o seu próprio risco.
Modelandoo Risco
Ri
Ri
Ri
RiRi
Ri
Ri
Ri
Ri
Ri
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
A equação do risco
= = Ameaças x Vulnerabilidades x ImpactoContra medidas
Perfil do attacker,Recursos disponíveis
Falhas do software,Políticas superficiais,
Protocolos, Etc.
Prejuízos calculados
Práticas e tecnologias
Ri
Modelandoo Risco
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Ameaça
• Quantificada pelo perfil do atacante, conhecimento, recursos financeiros e humanos, interesses, etc:– Amador– Hacker– Grupo de Hackers– Funcionário instatisfeito– Concorrentes– Crime organizado– Agencia de Inteligencia– Organizações terrroristas
Modelandoo Risco
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Vulnerabilidades
• Falhas de Design– Sistemas críticos de informação– Redes– Arquitetura de Segurança
• Falhas de Implementação– Vulnerabilidades de sistemas operacionais– Vulnerabilidades de aplicações– Vulnerabilidades de hardware
• Mal uso ou configuração• Fraquezas da política• Responsabilidades não definidas claramente
Modelandoo Risco
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Impacto
• Consequencias do ataque, quantificadas por
perdas economicas, publicidade negativa, etc.
– Perda de informação proprietária
– Corrupção de informação crítica
– Fraude financeira
– Interrupção de processos críticos
– Sabotagem
– Fraude de Telecomunicações
Modelandoo Risco
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Contra-medidas
• Ferramentas de segurança, software e mecanismos– Dispositivos de rede– Crypto– Controle de Accesso– Etc.
• Procedimentos• Resposta a emergencia• Auditoria• Visibilidade• Treinamento
Modelandoo Risco
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Administrando o risco
• Requer monitoramento, previsão e análise da evolução das variáveis na equação do risco
• Implementar e ajustar as contra medidas
Risk = Ri
I.F.⌠⌡
T
<< mT
Repensando a Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
O que as pessoas podem fazer é o que importa
• Segurança da Informação pode ser vista como o processo de definição, administração e controle do fluxo de informação entre os participantes (players) de um sistema
• Definir uma política é definir exatamente o que os players podem e devem fazer.
Data
10011010111010
Information
People Processes
Repensando a Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Players
• Players internos– Players com funções operacionais no
sistema (organização)– Eles estão na folha de pagamento– Perfis e números sao conhecidos– Espera-se que eles sigam a política
• Players externos– Clientes, parceiros, fornecedores, atacantes– Eles podem não ter uma função operacional
no sistema– Perfis e números são desconhecidos
Repensando a Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Papéis
• Um player desempenha uma função ao participar em uma série de processos.
• Em cada processo, o player tem um papel específico e bem definido.
• Para desempenhá-lo, o player precisa acessar um conjunto bem definido de recursos na organização.
Repensando a Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
O gráfico da Política de Segurança
• O relacionamento entre players, funções, papéis e recursos podem ser representados como um gráfico direcionado.
Player
Function
Role
Resource
Role
Role
Role
Resource
Resource
Repensando a Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Granularidade
• O detalhe obtido na definição e controle dos recursos necessários para desempenhar um papel específico nos dá uma idéia sobre a granularidade da política.
• Granularidade permite-nos endereçar vulnerabilidades emergentes.
• Ajuda a fechar o gap entre segurança e flexibilidade.
Resource
Role
Resource
Resource
• Servers/serviços• Aplicações• Comunicações• Arquivos• Dispositivos• Transações• Registry/configuração• etc.
Repensando a Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Acuracidade
• Os recursos para desempenhar cada papel são distintos.• O mesmo player poderia ou não ter acesso a
determinado recurso dependendo do processo em questão.
• Falhas implicarão em uma política inacurada.
Resource
Role A
Resource
Resource
Role B
Resource
Resource
Repensando a Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
O processo de Segurança e o papel da Política
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
O processo de Segurança
Definição daPolítica
Modelagemdo Risco
ArquiteturaSegurança
Visibilidade eControle
O papel da Política
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
O papel central da Política de Segurança
PolíticaSegurança
ModelagemRisco
ArquiteturaSegurança
Visibilidade eControle
O papel da Política
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Modelagem do Risco
• Define escopo
• Identifica processos críticos
• Identifica recursos críticos
• Pontos de falhas
• Define objetivos
• Testa a política
PolíticaSegurança
ModelagemRisco
ArquiteturaSegurança
Visibilidade eControle
O papel da Política
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Arquitetura da Segurança
• Define políticas baseando-se em suas capacidades atuais
• Gerencia
• Aplica
PolíticaSegurança
ModelagemRisco
ArquiteturaSegurança
Visibilidade eControle
O papel da Política
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Visibilidade e Controle
• Define políticas que possam ser controladas
• Monitora sua política em ação
• Fornece feedback para retroalimentação
• Identifica próximos passos
PolíticaSegurança
ModelagemRisco
ArquiteturaSegurança
Visibilidade eControle
O papel da Política
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Infraestrutura de Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Taxonomia funcional das ferramentas
• Análise e formalização
– Ferramentas que ajudam no processo de modelagem do risco e definição de políticas.
• Enforcement
– Ferramentas usadas para aplicar as políticas
• Auditoria e Controle
– Ferramentas usadas para adquirir conhecimento do“security infospace” ajudando no processo de detecção e resposta as brechas de segurança.
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Análise e formalização
• Ferramentas
– Network discovery tools
– Scanners de Vulnerabilidade
– Ferramentas de ataque intrusivo
– Ferramentas de modelagem organizacional
– Ferramentas de modelagem de riscos
• Serviços
– Security Intelligence
– Testes de intrusão
– Definição de política
– Plano de contingencia
– Etc.
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Enforcement
• Ferramentas
– Identificação, Autenticação e Autorização
• PKI, Biometria, Tokens, Single Sign-On, Platforma dependente (SO específico)
– Segurança Software Básico
• Network services wrappers, Filesystem restrictions, Consistency checks, Security upgrades and patches, etc.
– Segurança da Aplicação
• Certificação/autorização de APIs, controle de versão, Aplicações dependentes.
– Segurança da rede
• Firewalls, VPNs, filtros de conteúdo
– Integridade / proteção dos dados
• Anti-vírus, Backups, checkers de consistencia.
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Auditoria e controle
• Ferramentas
– Network based Intrusion detection systems
– Host based intrusion detection systems
– Audit trails and log acquisition tools
– Log centralization tools
– Visualization tools
– Analysis tools
– Alarm and Reporting systems
– Forensics tools
– Security Operation Centers
• Serviços
– Managed Security Services
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Construindo uma infraestrutura de Segurança
• Criar um framework e selecionar ferramentas para avaliar, controlar, aplicar e gerenciar o que os players podem fazer (política de segurança)
• Abstrair o conceito de usuários e gerenciar players
• Integrar todos os componentes de segurança
• Endereçar escalabilidade
• Preocupar-se com a transparencia (para usuários, sistemas)
• Gerar visibilidade
• Manter uma perspectiva global
Infraestruturade Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Gerenciando uma infraestrutura de segurança
• Política de Segurança é aquilo que vc pode gerenciar
• Granularidade e acuracidade pode ser obtida apenas através de um esforço contínuo.
• Política de Segurança deve evoluir, assim como a infraestrutura.
• Mudanças culturais podem ser necessárias para gerenciar a segurança de maneira eficaz.
Infraestruturade Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Não se trata apenas de ferramentas
Firewalls
PKI
File system restrictions
App. Security
Risk Modeling
Network discovery
Pen testing
Infraestruturade Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Uma boa infraestrutura de Segurança
• Permite a definição e o enforcement de uma política por toda a organização
• Alavanca a implementação de uma estratégia de defesa em profundidade
• Maximiza o uso das capacidades existentes• Aumenta a granularidade da Segurança• Possibilita a descoberta em tempo real e
respostas aos gaps e ataques em ambientes complexos
• Traz as ferramentas necessárias para o gerenciamento do risco ao longo do tempo
Infraestruturade Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Uma boa infraestrutura de Segurança (cont.)
• Simplifica o esforço de gerenciar uma infraestrutura de multiplataformas com milhares de usuários e perfis.
• Facilita um inventário acurado de usuários, perfis, aplicações, políticas, recursos e processos com as propriedades de segurança.
• Reduz o treinamento necessário para gerenciar ambientes complexos
• Simplifica o dia-a-dia operacional do usuário final em ambiente multiplataforma.
• Oferece uma plataforma para homologar a implementação de novas tecnologias.
Infraestruturade Segurança
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Dicas para selecionar ferramentas
• Estatísticas do MIS CDS na Inglaterra
• NÃO EXISTE FÓRMULA MÁGICA
• Posso quantificar se o meu risco seria menor se comprasse uma nova tecnologia?
• Posso integrar a nova tecnologia com as outras existentes ?
• Posso gerenciar o meu novo brinquedo?
• Manter uma perspectiva global
Security infrastructure
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Sobre a Core Security Technologies
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Nossas soluções
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
• Banco Privado de Inversiones
• BankBoston
• Ernst & Young LLP
• FEMSA (Coca Cola)
• Foundstone Inc.
• Greenlight.com
• IEEE
• KPMG
• MBA - Merchants Bank de Argentina
Lista parcial de clientes
• Metrored• Microsoft Inc.• Network Associates Inc.• Organización Veraz• PriceWaterhouseCoopers• Proofspace Inc.• Real Networks Inc.• SecurityFocus.com • Secure Networks Inc. • Siemens • UOL International• Vyou.com
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
The Information Security Process
Perguntas?
Roberto de [email protected]
Emiliano [email protected]
Para receber uma cópia da apresentação, favor nos fornecer o seu e-mail