toci08 - segurança em redes de computadores · u2. mac os x ... estrutura organizacional visando...

TOCI08–Segurança em Redes de Computadores Módulo 04: Análise de Riscos e Pré-Análise

Prof. M.Sc. Charles Christian Mierse-mail: [email protected]

mailto:[email protected]

Análise de Riscos

TOCI08 Segurança em Redes de Computadores 3

Considerações sobre Análise de Riscos

Depende dos controles e requisitos que deseja-se analisar

Possui dependência direta da norma de segurança principal (BS7799, COBIT, etc.) adotada pela organização

Deve-se levar em consideração as abordagens: Consultor x Auditor Auxiliar x Fiscalizar

4

Tipo de Análise: Qualitativa x Quantitativa

Qualitativa - Prós Os cálculos são simples, fáceis de compreender e executar Não é necessário determinar a freqüência quantitativa da ameaça e os

dados de impacto Não é necessário estimar o custo das medidas recomendadas à

mitigação do risco e calcular o custo x benefício Uma indicação geral das áreas significativas de risco que devem ser

verificadas é fornecida Qualitativa - Contras

A avaliação dos riscos e os resultados são essencialmente subjetivos tanto no processo como nas métricas. O uso do métricas é independentemente do objetivo, sendo abstido

Nenhum esforço é feito desenvolver uma base de informação monetária objetiva para o valor de recursos avaliados

Nenhuma base é fornecida para a análise de custo x beneficio das medidas para mitigação do risco. Somente uma indicação subjetiva de um problema

Não é possível seguir a performance da gerência do risco objetivamente quando todas as medidas são subjetivas

Traduzido de “Handbook of Information Security Management”, 1999, páginas: 441-442

5

Análise de Riscos

Mesmo que você não possa proteger a si próprio, sem conhecer do que está protegendo-se, uma análise de riscos deve ser executada

Uma análise de riscos deve responder: Identificar recursos - O que está tentando-se proteger? Identificar ameaças – Do que precisa-se proteger ? Calcular riscos - Quanto tempo, trabalho e dinheiro serão

necessário para possuir proteção adequada (nível de risco tolerável)?

Depois que os riscos são determinados, gera-se uma base de conhecimento que permite o desenvolvimento de políticas e procedimentos necessários para redução e controle dos riscos


Análise de Riscos (BS7799)

Objetivos: Identificar o nível do risco existente no contexto analisado Determinar se o nível do risco é aceitável ou não através de

referências e fundamentos Deve estar fundamentada em normas / padrões a fim de poder

ser validada (não ser empírica) Aspectos Abordados:

Técnicos: infra-estrutura de rede, software, configurações,etc. Não técnicos: recursos humanos, jurídico, organizacional


Análise de Riscos: Principais Etapas

Atividades Preparatórias: As atividades de preparação têm por objetivo confirmar escopo, cronograma e requerimentos do projeto, além de nivelar o conhecimento de todos os participantes sobre a metodologia e atividades. Consiste em:

Reunião de Preparação de Projeto: Realizada aproximadamente duas semanas antes do início

efetivo do projeto, com a participação dos coordenadores Reunião de Início de Projeto:

Realizada no primeiro dia de atividades, consta de apresentação das fases, objetivos, escopo e resultados do projeto, com a participação de todos os envolvidos no projeto


Análise de Riscos: Principais Etapas (Cont.)

Classificação e Identificação de Ativos: Trata-se da classificação dos ativos e identificação dos elementos críticos para a empresa. Os ativos não críticos não necessitam da mesma proteção que os críticos, e os investimentos em segurança devem ser baseados no valor de cada ativo. Os resultados desta fase serão base para as fases seguintes.

Classificação dos ativos por nível de gravidade: O Analista/consultor de segurança, em conjunto com o cliente,

atribuirá um nível de gravidade (alto, médio ou baixo) para cada ativo de TI incluso no escopo do projeto. Cada ativo será avaliado com base na BS7799 (Confidencialidade, Integridade, Disponibilidade).

Identificação dos responsáveis por cada ativo listado



Avaliação de Segurança. Esta fase compreende os componentes não técnicos do programa de avaliação de risco e sua conformidade com a BS7799. Este item pressupõe que os documentos já existam e estão disponíveis para revisão. Caso os documentos não existam o consultor/analista de segurança poderá fornecer recomendações sobre os documentos requeridos pela BS-7799 Revisão da Política de Segurança:

A política de segurança corporativa da empresa será levantada e analisada com base na BS7799

Revisão de Procedimentos Operacionais: Os procedimentos formais de segurança em informática serão

levantados e listados. Entrevistas com o pessoal gerencial e técnico chave a fim de

identificar e entender as práticas de segurança atuais Os procedimentos informais de segurança informática serão

identificados nesta etapa



Revisão da Organização Interna da Segurança: Estruturação Interna da Segurança; Processo de gerenciamento da segurança; Documentação.

Análise da existência e guarda da documentação (incluindo aplicativos, hardware, software e procedimentos).

Recursos Humanos: Cultura de segurança da equipe de informática (própria e

terceirizada); Cultura de segurança dos usuários; Segurança na definição das atividades a serem executadas e

no recrutamento de pessoal; Processo de treinamento de pessoal (em segurança e na

execução das funções).



Segurança Física: Acesso físico a servidores e equipamentos de tecnologia Acesso físico a documentos Controles gerais (política de mesas e telas limpas, remoção

de ativos) Controles de Segurança:

Gerenciamento de operações e comunicações: Segurança e manuseio de mídias Troca de informações e softwares entre organizações

Controle de acesso: Gerenciamento de acessos de usuários (funcionários) Segurança e gerenciamento no acesso de terceiros Controle de acesso de sistema operacional

Desenvolvimento e Manutenção de Sistemas: Controles de criptografia e assinaturas digitais


Avaliação Técnica. O analista/consultor de segurança efetuará a avaliação de vulnerabilidades e ameaças das redes, servidores, aplicativos e bancos de dados indicados no escopo

A possibilidade de invasão na segurança e a suscetibilidade a ataques tipo denial of service serão avaliados, caso solicitado

O Analista/consultor de segurança não utilizará os métodos de engenharia social para obter acesso, apenas vulnerabilidades técnicas serão testadas

A análise das vulnerabilidades determinará o risco dos ativos

Revisão da arquitetura de rede: Análise da arquitetura de rede sob á ótica da segurança



Levantamento de Vulnerabilidades: Rede:

Ferramentas e outras técnicas automáticas e manuais serão usadas para testar completamente as redes TCP/IP. Os alvos do teste serão os dispositivos TCP/IP especificados no escopo

Teste do sistema de Firewall e outros dispositivos de controle de acesso

Servidores e Estações de Trabalho: O analista/consultor de segurança usará técnicas manuais e

ferramentas, quando necessário, para testar o nível de segurança nos servidores e estações de trabalho indicados no escopo

Aplicativos: Os aplicativos críticos serão verificados quanto aos mecanismos

de segurança previstos e implementados Autenticação / Controle de Acesso Design e Arquitetura de segurança do aplicativo Logs e Trilha de Auditoria




Controles de Segurança (Recursos Técnicos) Levantamento dos controles de hardware e software

implementados para: Autenticação; Controle de Acesso; Alta disponibilidade; Cópias de Segurança Códigos maliciosos Detecção de vulnerabilidades Detecção de ameaças



Relatório e Apresentação: Análise e Relatório

Elaboração de relatório executivo Elaboração de relatório gerencial Elaboração de relatório operacional

Apresentação Executiva com apresentação dos resultados Podem ser feitas as apresentações gerencial e operacional

caso o executivo da empresa assim desejar


Conclusões: Análise de Riscos

Deve servir como ponto de saída para o início do processo de segurança que deve ser contínuo

Tempo de execução: Dependendo do escopo de atuação pode levar de dois

a 12 meses Problemas ocasionados pela demora na execução:

Ataques e riscos enquanto é executada Quando estiver pronta pode não condizer com a

realidade

Pré-Análise de Riscos


A maioria dos vermes (worms), e de outros ataques cibernéticos bem sucedidos, é feita possivelmente por vulnerabilidades em um número pequeno de serviços dos sistema operacionais mais comuns

Os atacantes são oportunistas, escolhendo o caminho mais fácil e o mais conveniente para explorar falhas de conhecimento público através de uma variedade de ferramentas para ataque disponíveis amplamente nos meios eletrônicos

Os ataques partem da premissa que as organizações não corrigem os problemas e varrem a Internet em busca de todos os sistemas vulneráveis, atacando-as com freqüência e indiscriminadamente

A propagação fácil e destrutiva de vermes (worms), tais como o Blaster, Slammer, e o Code Red, pode conduzir diretamente à exploração de outras vulnerabilidades não corrigidas


SANS – Vunerabilidades TOP 20

Vulnerabilidades TOP20 em sistemas MS Windows: W1. Windows Services W2. Internet Explorer W3. Windows Libraries W4. Microsoft Office and Outlook Express W5. Windows Configuration Weaknesses

Vulnerabilidades TOP20 em sistemas UNIX: U1. UNIX Configuration Weaknesses U2. Mac OS X

Vulnerabilidades TOP20 em produtos de rede: N1. Cisco IOS and non-IOS Products N2. Juniper, CheckPoint and Symantec Products N3. Cisco Devices Configuration Weaknesses


SANS – Vunerabilidades TOP 20 (Cont.)

Vulnerabilidades TOP20 em aplicações inter-plataformas: C1. Backup Software C2. Anti-virus Software C3. PHP-based Applications C4. Database Software C5. File Sharing Applications C6. DNS Software C7. Media Players C8. Instant Messaging Applications C9. Mozilla and Firefox Browsers C10. Other Cross-platform Applications


SANS – Vunerabilidades Críticas TOP

Microsoft: MSDTC and COM+ Service (MS05-051) Print Spooler Service (MS05-043) Plug and Play Service (MS05-047, MS05-039) Server Message Block Service (MS05-027, MS05-011) Exchange SMTP Service (MS05-021) Message Queuing Service (MS05-017) License Logging Service (MS05-010) WINS Service (MS04-045) NNTP Service (MS04-036) NetDDE Service (MS04-031) Task Scheduler (MS04-022


Pré-Análise

Uma análise de riscos pode ser muito demorada de modo que problemas triviais demorem muito para serem corrigidos. Mesmo sem saber o impacto das ações sobre o nível do

risco da instituição determinadas ações melhoram o nível de segurança, embora não sejam mensuráveis


Pré-Análise (Cont.)

Objetivo: Conhecer a arquitetura física da rede, firewall e política

contra códigos maliciosos Pode contemplar também uma análise sumária da

estrutura organizacional visando detectar falhas na hierarquia e distribuição de responsabilidades básicas


Pré-Análise: Hierarquia (Organograma)

Pontos a serem analisados: Existência de uma especificação formal ou não que

estabeleça a responsabilidade dos cargos e atribuições no que diz respeito ao escopo da pré-análise. Situações: Caso existente: averiguar a veracidade e exatidão do

material Caso não exista: fazer um esquema envolvendo as

principais pessoas e suas responsabilidades Levantar se as responsabilidades x pessoas estão

claramente definidas de modo a evitar omissões Identificar as pessoas responsáveis aos principais

ativos de segurança e responsáveis por desencadear/gerir o processo


Pré-Análise: Arquitetura física da rede

Pontos a serem analisados: Existência de documentação sobre como todos os

equipamentos, ou parte deles, encontra-se interconectada. Situações: Caso existente: averiguar a veracidade e exatidão do material Caso não exista: fazer um esquema envolvendo os principais

computadores, dispositivos de rede e cabeamento Condições físicas a que estão submetidos. Situações:

Ambiente fora das especificações de temperatura suportadas pelos componentes analisados

Submissão a campos eletromagnéticos, água, sujeira e pessoas Organização adequada (móveis próprios, presilhas, etc.)

Atestar que os principais componentes necessários ao funcionamento da instituição estão instalados fisicamente de modo apropriado e condizente com as normas e boas práticas de segurança


Pré-Análise: Firewall

Pontos a serem analisados: Existência na infra-estrutura de firewall ou similar, classificando-o Existência de documentação sobre a configuração e redes

interconectada. Situações: Caso existente: averiguar a veracidade e exatidão do material Caso não exista: fazer um esquema envolvendo as principais

redes Fazer uma análise macro da regras de controle de acesso e NAT Verificar o registro de logs. Situações:

Caso existente: Averiguar o tipo de informação coletada Freqüência com que os dados são analisados e

encaminhamento Caso não existente:

Questionar os motivos de não existir Identificar se o firewall desempenha o mínimo de atividades que se

espera, o correto uso da ferramenta como fonte de informações e emprego eficiente no controle de acesso


Pré-Análise: Códigos Maliciosos

Pontos a serem analisados: Existência de documentação sobre mecanismos

empregados e ações de contingência para situações de epidemia. Situações: Caso existente: averiguar a veracidade e exatidão do

material, identificando sua coerência Caso não exista: fazer um esquema, a nível macro,

envolvendo os principais elementos Abordagem de proteção em camadas. Situações:

Emprego de ações contra códigos maliciosos passivos, e conformidade legal

Tipo de defesa em cada camada (baixa, média, alta e de controle)

Ações pró-ativas, Exemplo: atualização de S.O. Verificar se está sendo adotada uma postura pró-ativa e se

todas as ações/medidas tangíveis estão sendo executadas


Conclusões: Pré-Análise Benefícios:

Corrigir erros comuns, que são amplamente conhecidos Melhora inicial no nível de segurança

A arquitetura física da rede, firewall e política contra códigos maliciosos devem estar configurados de forma adequada a fim de prover uma plataforma inicial para qualquer implementação de segurança posterior

Uma análise de riscos completa é um serviço posterior a pré-análise. Necessária para poder determinar o grau/nível de risco, do

escopo analisado, quanto a questões de segurança da informação digital


Leitura Recomendada:

Government of Canada. Threat and Risk Assessment Working Guide. Communications Security Establishment. 1999.

Swanson, Marianne. NIST Special Publication 800-18: Guide for Developing Security Plans for Information Technology Systems. NIST. 1998.

Norma NBR-ISO/IEC 17799 versão 1.0 Itens: 4,5,7,9 e 11

SANS http://www.sans.org/top20/

http://www.sans.org/top20/

toci08 - segurança em redes de computadores · u2. mac os x ... estrutura organizacional visando...

Documents