Professor Emiliano S.

Monteiro

Segurança e auditoria de sistemas

ISO sobre segurança • BS 7799 ISO 17799 ISO 27002

• ABNT NBR ISO/IEC 17799 = ISO/IEC 17799:2005

• ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2013

17799

0 Introdução 1 Objetivo

2 Termos e definições 3 Estrutura desta Norma

4 Análise/avaliação e tratamento de riscos 5 Política de segurança da informação

6 Organizando a segurança da informação 7 Gestão de ativos

8 Segurança em recursos humanos 9 Segurança física e do ambiente

10 Gerenciamento das operações e comunicações 11 Controle de acessos

12 Aquisição, desenvolvimento e manutenção de sistemas de informação 13 Gestão de incidentes de segurança da informação

14 Gestão da continuidade do negócio 15 Conformidade

Compliance

Conformidade !

1. Introdução 2. Escopo 3. referências normativas 4. Termos e definições 5. Estrutura deste padrão 6. Políticas de Segurança da Informação 7. Organização da Segurança da Informação 8. Segurança de Recursos Humanos 9. Gestão de ativos 10. Controle de acesso 11. Criptografia 12. Segurança física e ambiental 13. Operação Segurança - procedimentos e responsabilidades, Proteção contra malware, Backup, Log e monitoramento, Controle de software

operacional, Gerenciamento de vulnerabilidades técnicas e Coordenação de auditoria de sistemas de informação 14. Segurança de comunicação - Gerenciamento de segurança de rede e transferência de informações 15. Aquisição, desenvolvimento e manutenção de sistemas - Requisitos de segurança de sistemas de informação, Segurança em processos de

desenvolvimento e suporte e Dados de teste 16. Relacionamento com fornecedores - segurança da informação nas relações com fornecedores e gerenciamento da entrega de serviços do

fornecedor 17. Gerenciamento de incidentes de segurança da informação - Gerenciamento de incidentes de segurança da informação e melhorias 18. Aspectos de segurança da informação na gestão de continuidade de negócios - Continuidade da segurança da informação e redundâncias 19. Conformidade - Conformidade com requisitos legais e contratuais e Revisões de segurança da informação

27002

Família 27000 • Nome completo: Information Security Management Systems

• ISO / IEC 27000 - Sistemas de gerenciamento de segurança da informação - Visão geral e vocabulário

• ISO / IEC 27001 - Tecnologia da informação - Técnicas de segurança - Sistemas de gerenciamento de segurança da informação - Requisitos. A versão de 2013 da norma especifica um sistema de gerenciamento de segurança da informação da mesma maneira formalizada, estruturada e sucinta como outros padrões ISO especificam outros tipos de sistemas de gerenciamento.

• ISO / IEC 27002 - Código de práticas para controles de segurança da informação - essencialmente um catálogo detalhado de controles de segurança da informação que podem ser gerenciados através do SGSI.

• ISO / IEC 27003 - Orientação para implementação do sistema de gerenciamento de segurança da informação

• ISO / IEC 27004 - Gerenciamento de segurança da informação - Monitoramento, medição, análise e avaliação

• ISO / IEC 27005 - Gerenciamento de risco de segurança da informação

• ISO / IEC 27006 - Requisitos para organismos que fornecem auditoria e certificação de sistemas de gerenciamento de segurança da informação

• ISO / IEC 27007 - Diretrizes para auditoria de sistemas de gerenciamento de segurança da informação (com foco na auditoria do sistema de gerenciamento)

• ISO / IEC TR 27008 - Orientação para auditores nos controles do SGSI (com foco na auditoria dos controles de segurança da informação)

Família 27000 • ISO / IEC 27009 - Essencialmente um documento interno para o comitê de desenvolvimento de setores /

variantes específicas do setor ou diretrizes de implementação para os padrões ISO27K

• ISO / IEC 27010 - Gerenciamento de segurança da informação para comunicações Inter setoriais e Inter organizacionais

• ISO / IEC 27011 - Diretrizes de gerenciamento de segurança da informação para organizações de telecomunicações baseadas na ISO / IEC 27002

• ISO / IEC 27013 - Diretriz sobre a implementação integrada da ISO / IEC 27001 e ISO / IEC 20000-1 (derivada da ITIL)

• ISO / IEC 27014 - Governança de segurança da informação. Mahncke avaliou esse padrão no contexto da e-saúde australiana.

• ISO / IEC TR 27015 - Diretrizes de gerenciamento de segurança da informação para serviços financeiros.

• ISO / IEC TR 27016 - economia da segurança da informação

• ISO / IEC 27017 - Código de práticas para controles de segurança da informação com base na ISO / IEC 27002 para serviços em nuvem

• ISO / IEC 27018 - Código de prática para proteção de informações pessoalmente identificáveis (PII) em nuvens públicas que atuam como processadores de PIIde saúde usando a ISO / IEC 27002.

Família 27000 • ISO / IEC TR 27019 - Segurança da informação para controle de processo no setor de energia

• ISO / IEC 27031 - Diretrizes para disponibilidade de tecnologia de informação e comunicação para continuidade de negócios

• ISO / IEC 27032 - Diretriz para segurança cibernética

• ISO / IEC 27033-1 - Segurança de rede - Parte 1: Visão geral e conceitos

• ISO / IEC 27033-2 - Segurança de rede - Parte 2: Diretrizes para o projeto e implementação de segurança de rede

• ISO / IEC 27033-3 - Segurança de rede - Parte 3: Cenários de rede de referência - Ameaças, técnicas de design e questões de controle

• ISO / IEC 27033-4 - Segurança de rede - Parte 4: Protegendo as comunicações entre redes usando gateways de segurança

• ISO / IEC 27033-5 - Segurança de rede - Parte 5: Protegendo as comunicações entre redes usando redes virtuais privadas (VPNs)

• ISO / IEC 27033-6 - Segurança de rede - Parte 6: Protegendo o acesso à rede IP sem fio

• ISO / IEC 27034-1 - Segurança de aplicativos - Parte 1: Diretriz para segurança de aplicativos

• ISO / IEC 27034-2 - Segurança de aplicativos - Parte 2: Estrutura normativa da organização

• ISO / IEC 27034-6 - Segurança de aplicativos - Parte 6: Estudos de caso

Família 27000 • ISO / IEC 27035-1 - Gerenciamento de incidentes de segurança da informação - Parte 1: Princípios do gerenciamento de

incidentes

• ISO / IEC 27035-2 - Gerenciamento de incidentes de segurança da informação - Parte 2: Diretrizes para planejar e preparar a resposta a incidentes

• ISO / IEC 27036-1 - Segurança da informação para relacionamentos com fornecedores - Parte 1: Visão geral e conceitos

• ISO / IEC 27036-2 - Segurança da informação para relacionamentos com fornecedores - Parte 2: Requisitos

• ISO / IEC 27036-3 - Segurança da informação para relacionamentos com fornecedores - Parte 3: Diretrizes para segurança da cadeia de fornecimento de tecnologia da informação e comunicação

• ISO / IEC 27036-4 - Segurança da informação para relacionamentos com fornecedores - Parte 4: Diretrizes para segurança de serviços em nuvem

• ISO / IEC 27037 - Diretrizes para identificação, coleta, aquisição e preservação de evidências digitais

• ISO / IEC 27038 - Especificação para redação digital em documentos digitais

• ISO / IEC 27039 - Prevenção contra intrusões

• ISO / IEC 27040 - Segurança de armazenamento

• ISO / IEC 27041 - Garantia de investigação

• ISO / IEC 27042 - Analisando evidências digitais

• ISO / IEC 27043 - Investigação de incidentes

• ISO / IEC 27050-1 - Descoberta Eletrônica - Parte 1: Visão Geral e Conceitos

• ISO 27799 - Gerenciamento de segurança da informação em saúde usando a ISO / IEC 27002 - orienta as organizações do setor de saúde sobre como proteger informações pessoais de saúde usando a ISO / IEC 27002.

Computação forense

ISO/IEC 15408 (Common Criteria) Common Criteria for Information Technology Security Evaluation ou Common Criteria ou CC) Permite aos usuários especificar os requisitos funcionais de segurança e aos fornecedores o que deve ser implementado, posteriormente os produtos gerados poderão ser avaliados quando ao que foi especificado. Alguns conceitos do padrão... TOE (Target of evaluation): o produto ou sistema objeto da avaliação. Protection Profile: requisitos de segurança importantes ao usuário. Security target: propriedades de segurança do alvo de avaliação (TOE).

ISO/IEC 15408 (Common Criteria)

ISO/IEC 15408 (Common Criteria)

SOX O ato Sarbanes-Oxley de 2002, também é conhecido como "Public Company Accounting Reform and Investor Protection Act" (no senado) e "Corporate and Auditing Accountability, Responsibility, and Transparency Act" (para os deputados) e mais popularmente chamado de Sarbanex-Oxley, Sabox ou Sox é uma lei federal dos Estados Unidos que estabelece novos e adicionais requisitos para todas as empresas públicas, de gestão e contabilidade.

É originada do nome de Paul Sarbanes e Michael Oxley.

1. Seção Sarbanes-Oxley 302: Controles de Divulgação

2. Sarbanes – Oxley Seção 303: Influência indevida na condução de auditorias

3. Sarbanes-Oxley Seção 401: Divulgações em relatórios periódicos (itens extrapatrimoniais)

4. Sarbanes-Oxley Seção 404: Avaliação do controle interno

5. Sarbanes-Oxley 404 e empresas públicas menores

6. Sarbanes-Oxley Seção 802: Penalidades criminais por influenciar a investigação da Agência dos EUA / administração adequada

7. Sarbanes-Oxley Seção 806: Ação civil para proteger contra retaliação em casos de fraude

8. Seção Sarbanes-Oxley 906: Penalidades criminais para certificação de demonstrativo financeiro de CEO / CFO

9. Sarbanes-Oxley Seção 1107: Penalidades criminais por retaliação contra denunciantes.

Política da mesa limpa (CDP - Clean Desk Policy)

1. Os funcionários são obrigados a garantir que todas as informações confidenciais sejam removidas da mesa de trabalho ao final do dia.

2. As estações de trabalho do computador devem estar bloqueadas quando o espaço de trabalho estiver desocupado.

3. As estações de trabalho dos computadores devem estar completamente fechadas no final do dia de trabalho.

4. Qualquer informação restrita ou sensível deve ser removida da mesa e trancada em um gaveta quando a mesa está desocupada e no final do dia de trabalho.

5. Armários de arquivo contendo informações restritas ou sensíveis devem ser mantidos fechados e bloqueado quando não estiver em uso ou quando não estiver presente.

Política da mesa limpa (clean desk policy) 6. As chaves usadas para acesso a informações restritas ou sensíveis não devem ser

deixadas em mesa desacompanhada.

7. Os laptops devem ser trancados com um cabo de trava ou trancados em uma gaveta.

8. As senhas não podem ser deixadas em notas postadas sobre ou sob um computador, nem podem ser deixado escrito em um local acessível.

9. As impressões contendo informações restritas ou sensíveis devem ser imediatamente removido da impressora.

10. Eliminação de documentos restritos e / ou sensíveis devem ser triturados por trituradores ou colocados nas caixas de eliminação confidenciais.

11. Bloqueie dispositivos de computação portáteis, como laptops e tablets.

12. Bloqueie PC, também !

Fonte: https://www.sans.org/security-resources/policies/general/pdf/clean-desk-policy

Política da tela limpa

Evita acesso não autorizado. Evita o vazamento de informações. Compatível com 27002.

http://www.patscullion.co.uk/art/portfolio/cartoons

https://www.gq.com/story/how-to-clean-your-desk-

Dilbert

https://www.p4p.uk.com/best-security-reasons-for-a-paperless-office/

LAI - Brasil

PKI

http://flaviosaude.blogspot.com/2012/09/decidindo-qual-assinatura-digital.html

https://mmagnanidotcom.wordpress.com/2014/09/25/solicitando-e-instalando-um-certificado-icp-brasil-valido-no-apache-web-server/ https://easycert.com.br/hierarquia-da-icp-brasil/

Política de segurança da informação na administração federal

CERT Computer Emergency Response Team Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil

Princípios de Segurança • Confidencialidade: Isso significa que as informações só estão sendo vistas ou

usadas por pessoas autorizadas a acessá-las.

• Integridade: Isso significa que quaisquer alterações nas informações por um usuário não autorizado são impossíveis (ou pelo menos detectadas) e as alterações feitas por usuários autorizados são rastreadas.

• Disponibilidade: Isso significa que as informações estão acessíveis quando os usuários autorizados precisam delas.

Princípios de Segurança 1. Dividir os usuários e recursos

2. Atribuir Privilégios Mínimos

3. Usar Defesas Independentes

4. Um plano para as falhas

5. Gravar, gravar, gravar (geração de log)

6. Execute testes frequentes (auditorias)

Certificações profissionais em Segurança de Informação

• Certified Information Systems Security Professional - CISSP

• CompTIA Cyber Security Analyst

• CompTIA Pentest+

• Information Systems Audit and Control Association ISACA

OpenBSD

Este sistema operacional utiliza o mesmo conceito de permissão e autenticação que o Unix/Linux, ou seja, conceitos como proprietários, grupos e outros também são aplicados aqui. Conceitos relacionados com permissão como leitura, escrita e execução também são válidos. Assim um usuário de um sistema Unix/Linux não estaria tão desconfortável em um BSD (Berkeley Software Distribution – Distribuição de software de Berkeley). Os sistemas BSD são vários : FreeBSD, NetBSD, 386BSD e OpenBSD. Todos estes possuem algumas similaridades com os Unixes e os diversos tipos de Linux. Comparando o BSD com o Linux e Unix temos o seguinte: a) a equipe de desenvolvimento do BSD tem a segurança em primeiro lugar; b) eles não possuem restrições para uso e/ou exportação de tecnologia relacionada com a criptografia. Isto já é um pouco diferente de sistemas Unix e Linux.

OpenBSD

Nos sistemas Unix proprietários, os fabricantes devem seguir as regras do governo Americano quanto a exportação de tecnologia relacionada com criptografia, e podem ter em mente outras prioridades. Nos sistemas Linux, a maioria destes sistemas já possui um certo nível de criptografia adquirida de diversos países, porém muitas distribuições com o objetivo de deixar o Linux mais fácil de usar acabam deixando a segurança de lado. Nos sistemas BSD o usuário deve ir ativando cada serviço conforme surgir a necessidade de uso. Não possui restrição quanto a exportação de criptografia, pois sua equipe de desenvolvimento está localizada no Canadá e recebe contribuições de desenvolvedores de outros países também.

OpenBSD

1. Usa OpenSSH, uma versão para livre distribuição do SSH (Secure Shell). 2. Libssl, uma biblioteca que fornece segurança para comunicações de rede com criptografia,

geralmente usada nas autenticações e criptografia de dados; 3. Geradores de pseudo número randômicos, usados em diversas áreas do sistema como: identificação

de processos, identificação de datagramas ip, etc; 4. Funções Hash: MD5 (Message Digest 5, função resumo), SHA1-5 e RIPEMD-160; 5. DES (Data Encription Standart), 3DES, Blowfish; 6. Suporte a hardware criptográfico; 7. Criptografia do sistema da área de swap. 8. Entre outros como suporte a dispositivos de armazenamento seguros (criptografia no sistema de

arquivos); S/Key; Kerberos; IPSec, etc... AIX, SCO, Solaris, etc 9. Network File System 10. Secure Socket Layer - SSL

OpenBSD

Sistema Operacional desenvolvido pelo Prof. Dr. Andrew S. Tanenbaum, em início da década de 90. TANENBAUM (1999) descreve como as Capacidades são criadas no Amoeba, para criar um objeto, o cliente deve fazer uma chamada remota a procedimento com o servidor apropriado, especificando o que deseja. O servidor cria o objeto e retorna a capacidade ao cliente, nas próximas operações deste cliente com o objeto ele deverá apresentar a capacidade do objeto. A capacidade pode ser vista como um ticker formado por 4 campos, um de 48 bits com a Porta do Servidor, um com 24 bits com o objeto, um com 8 bits com os direitos de acesso e o último com 48 bits de verificação. Porta do Servidor: a identidade do servidor deverá estar na cache da máquina caso contrário é realizado um broadcast na rede para achar o servidor, a porta é um endereço lógico, a porta não está associada a uma máquina e sim a conjunto de serviços. Objeto: identificador do objeto (pode ser um arquivo). Direitos: são as informações que o possuidor da capacidade pode realizar sobre o objeto escolhido (leitura, escrita, execução, etc). Verificação: usado para validar as capacidades. “... as capacidades são manipuladas diretamente por processos de usuários. Não havendo uma forma de proteção, não há como se evitarem falsificações de capacidades.”, TANENBAUM (1999). “... As capacidades são usadas pelo Amoeba tanto para identificar um objeto como para protegê-lo... transparente a localização, ou seja, para realizar uma operação sobre um objeto, não há necessidade de saber onde se encontra tal objeto... em um ambiente mais ou menos inseguro, todavia, podemos adicionar um nível de criptografia, para evitar que as capacidades sejam descobertas...” TANENBAUM (1999).

a) Kali ou BlackArch (pentest análise de vuln)

b) Zentyal ou ClearOS (servidores tudo em um [inclusive: Firewall + Proxy + IPS + Anti vírus + certificado digital + controle de permissão do linux ])

c) Microsoft Windows Server Small Business Edition d) Microsoft Azure

Kerberos Certificado digital