segurança da informação fatec – americana tecnologia em análise de sistemas e tecnologias da...

Segurança da informaçãoSegurança da informação

FATEC – AmericanaFATEC – Americana

Tecnologia em Análise de Sistemas e Tecnologias Tecnologia em Análise de Sistemas e Tecnologias da Informaçãoda Informação

Diagnóstico e solução de problemas de TIDiagnóstico e solução de problemas de TI

Prof. Humberto Celeste InnarelliProf. Humberto Celeste Innarelli

março/2009março/2009 Segurança da informaçãoSegurança da informação 22

ConteúdoConteúdo

IntroduçãoIntrodução Segurança da InformaçãoSegurança da Informação Barreiras de segurançaBarreiras de segurança ExemplosExemplos ConclusãoConclusão BibliografiaBibliografia


IntroduçãoIntrodução

Segurança da Informação - Proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de investimentos e oportunidades.

ISO/IEC 17799


IntroduçãoIntrodução

As vulnerabilidades da segurança As vulnerabilidades da segurança da rede são a porta de entrada da rede são a porta de entrada para o ataque e consequente para o ataque e consequente invasão da rede.invasão da rede.

A invasão da rede pode gerar A invasão da rede pode gerar perda, vazamento, modificações perda, vazamento, modificações e outros danos aos dados e e outros danos aos dados e recursos compartilhados.recursos compartilhados.


Segurança da Segurança da InformaçãoInformação NBR/ISO/IEC 17799 – Norma que

responsável pela normalização da segurança da informação no Brasil em vários países do mundo.


Segurança da Segurança da InformaçãoInformação Motivação para investir em

segurança da informação

– PatrimônioPatrimônio– ConhecimentoConhecimento– ExperiênciaExperiência– DocumentaçãoDocumentação– OutrosOutros


Segurança da Segurança da InformaçãoInformação A segurança da informação é

caracterizada pela preservação dos seguintes atributos básicos: – Confidencialidade: segurança de que a

informação pode ser acessada apenas por quem tem autorização.

– Integridade: certeza da precisão e do completismo da informação.

– Disponibilidade: garantia de que os usuários autorizados tenham acesso a informação e aos recursos associados, quando necessário.


Segurança da Segurança da InformaçãoInformação Aspectos da Segurança da Aspectos da Segurança da

InformaçãoInformação– AutenticaçãoAutenticação – identificação e – identificação e

reconhecimento formalreconhecimento formal– LegalidadeLegalidade – informações que – informações que

possuem valor legalpossuem valor legal


Segurança da Segurança da InformaçãoInformação AmeaçasAmeaças

– NaturaisNaturais – fenômenos da natureza – fenômenos da natureza– InvoluntáriasInvoluntárias – ameaças – ameaças

inconciêntesinconciêntes– VoluntáriasVoluntárias – propositais causadas – propositais causadas

pelo agente humanopelo agente humano


Segurança da Segurança da InformaçãoInformação VulnerabilidadesVulnerabilidades

– Físicas Físicas – instalações fora do padrão– instalações fora do padrão– Naturais Naturais – incêndios, tempestades, – incêndios, tempestades,

etc.etc.– Hardware Hardware – obsolescência, mau – obsolescência, mau

uso, etc.uso, etc.– SoftwareSoftware – obsolescência, – obsolescência,

configuração, instalação, etc.configuração, instalação, etc.


Segurança da Segurança da InformaçãoInformação VulnerabilidadesVulnerabilidades

– Mídias Mídias – discos, fitas, hd’s – discos, fitas, hd’s danificados, mal condicionados, etc.danificados, mal condicionados, etc.

– Comunicação Comunicação – acessos não – acessos não autorizados ou perda de autorizados ou perda de comunicaçãocomunicação

– Humanas Humanas – treinamento, – treinamento, sabotagens, erros, etc.sabotagens, erros, etc.


Segurança da Segurança da InformaçãoInformação Medidas de segurançaMedidas de segurança

– PreventivasPreventivas – evitar o incidente – evitar o incidente– Detectáveis Detectáveis – identificar condições – identificar condições

e indivíduos causadores de ameaçase indivíduos causadores de ameaças– Corretivas Corretivas – correção de problemas – correção de problemas

que já aconteceramque já aconteceram


Segurança da Segurança da InformaçãoInformação Aspectos que devem ser Aspectos que devem ser

consideradosconsiderados– RiscosRiscos – probabilidade de ameaças – probabilidade de ameaças

explorarem as vulnerabilidadesexplorarem as vulnerabilidades– Impacto Impacto – abrangência do dano– abrangência do dano– Incidente Incidente – evento decorrente da – evento decorrente da

ação de uma ameçaação de uma ameça


Barreiras de segurançaBarreiras de segurança

Desencorajar

Dificultar

Discriminar

Detectar

Deter

Diagnosticar

Negócio

Ativos

Ameaças



DesencorajarDesencorajar – ação que visa – ação que visa desmotivar ou desestimulardesmotivar ou desestimular– Câmera de vídeoCâmera de vídeo– AlarmesAlarmes– CampainhasCampainhas– TreinamentoTreinamento– UniformesUniformes



DificultarDificultar – barreiras que dificultam o – barreiras que dificultam o aceso indevidoaceso indevido– RoletasRoletas– Detectores de metalDetectores de metal– Leitores de cartão magnéticoLeitores de cartão magnético– SenhasSenhas– Certificados digitaisCertificados digitais– CriptografiaCriptografia– FirewallFirewall



DiscriminarDiscriminar – cercar de recursos – cercar de recursos que permitam a identificação e o que permitam a identificação e o acessoacesso– Perfil de usuárioPerfil de usuário– PermissõesPermissões– LimitesLimites– Perímetros físicosPerímetros físicos– Cotas de recursos (impressão, disco, Cotas de recursos (impressão, disco,

etc.)etc.)



DetectarDetectar – monitoramento, – monitoramento, auditoria e alerta de detecções de auditoria e alerta de detecções de ameaçasameaças– Tentativa de invasãoTentativa de invasão– Descumprimento de normas de Descumprimento de normas de

segurançasegurança– Cópia ou envio de informações Cópia ou envio de informações

sigilosassigilosas– IntrusosIntrusos



DeterDeter – impedir que a ameaça – impedir que a ameaça atinja seu objetivoatinja seu objetivo– Acionamento de barreiraAcionamento de barreira– Acionamento de controleAcionamento de controle– PuniçõesPunições– Bloqueios de acesso físico e lógicoBloqueios de acesso físico e lógico



DiagnosticarDiagnosticar – diagnosticar a – diagnosticar a falha para posposição de falha para posposição de melhoriasmelhorias– Analisar a ocorrênciaAnalisar a ocorrência– Identificar as causasIdentificar as causas– Propor melhoriasPropor melhorias



Desencorajar

Dificultar

Discriminar

Detectar

Deter

Diagnosticar

Negócio

Ativos

Ameaças

ExemplosExemplos


Exemplo – segurançaExemplo – segurança

Monitoria na Invasão no Microsoft Monitoria na Invasão no Microsoft Internet Information ServicesInternet Information Services– Invasão por falha de atualização do IISInvasão por falha de atualização do IIS– Utilização de uma dll chamada Utilização de uma dll chamada

author.dllauthor.dll– Permissão de escrita na pastaPermissão de escrita na pasta– Troca do index.htmlTroca do index.html– Identificação e providênciasIdentificação e providências

Log do IIS


Funcionamento da Funcionamento da técnica de enumeração - técnica de enumeração - exemploexemplo

Usuário da técnicade enumetação

Firewall

PC01 PC02 PC03Outros

Servidor debanco de dados

Servidor PrincipalHTTP, FTP,

autenticação,DHCP, arquivos, etc.

Servidorde aplicações

Rede Ethernet




Firewall






Rede Ethernet

Software deenumeração

Firewall comporta 8080

abertaServidor IIS




Firewall






Rede Ethernet



aberta

Servidor IIS/conexão ativapelo invasor




Firewall






Rede Ethernet



aberta


Identificaçãodos recursos de

rede


Impacto das técnicas de Impacto das técnicas de enumeração na enumeração na segurançasegurança As informações coletadas As informações coletadas

norteiam a estratégia de norteiam a estratégia de defesadefesa ou ou ataqueataque.. DefesaDefesa– Fechamento de portasFechamento de portas– Atualização de sistemas Atualização de sistemas

e softwarese softwares– Rotinas de verificação Rotinas de verificação

de sistemasde sistemas– Correção de bugsCorreção de bugs– ReconfiguraçãoReconfiguração– OutrosOutros

AtaqueAtaque– Conhecimento das Conhecimento das

vulnerabilidadesvulnerabilidades– Utilização indevida de Utilização indevida de

contas de usuárioscontas de usuários– Corrupção de dadosCorrupção de dados– Utilização de pUtilização de password assword

sniffing e password sniffing e password crackerscrackers

– OutrosOutros


ConclusãoConclusão

Segurança de redeSegurança de rede VulnerabilidadeVulnerabilidade Utilização para defensivaUtilização para defensiva Utilização ofensivaUtilização ofensiva Tecnologia sempre em evoluçãoTecnologia sempre em evolução

Não há espaço digital seguro, muito menos redes Não há espaço digital seguro, muito menos redes 100% protegidas, o que realmente deve existir, 100% protegidas, o que realmente deve existir,

são bons profissionais e muita ética.são bons profissionais e muita ética.


ExercícioExercício

Identificar e propor em linhas Identificar e propor em linhas gerais as barreiras de segurança gerais as barreiras de segurança da informação para a FATEC-AM, da informação para a FATEC-AM, levando em consideração um levando em consideração um sistema ideal.sistema ideal.


BibliografiaBibliografia

EVELYN R. K., GELSON P. Segurança EVELYN R. K., GELSON P. Segurança de redes sistema de detecção de de redes sistema de detecção de intrusão. Curitiba, PR : Faculdade intrusão. Curitiba, PR : Faculdade Internacional de Curitiba, 2004.Internacional de Curitiba, 2004.

FEITOSA, E. L. Segurança em FEITOSA, E. L. Segurança em Sistemas de Informação. Recife, PE : Sistemas de Informação. Recife, PE : UFPE, 2005. UFPE, 2005.

SEMOLA, M. SEMOLA, M. Gestão da Segurança da Gestão da Segurança da informaçãoinformação. Campus, 2003.. Campus, 2003.

segurança da informação fatec – americana tecnologia em análise de sistemas e tecnologias da...

Documents