Upload
internet
View
110
Download
2
Embed Size (px)
Citation preview
Segurança e Auditoria de SistemasSegurança da Informação - Parte
III
1
Prof. Msc. Vitor Mesaque Alves de Lima
2
Programa
1. Segurança da Informaçãoa. Conceitos e Princípios de Segurança da Informaçãob. A Segurança e o Ciclo de Vida da Informaçãoc. Classificação e Controle dos Ativos de Informaçãod. Aspectos Humanos da Segurança da Informaçãoe. Segurança do Ambiente Físico e Lógicof. Controle de Acessog. A Organização da Segurançah. A Segurança no Contexto da Governança de TI2. Segurança no Desenvolvimento de Softwarea. Modelos de Especificação da Segurançab. Especificação da Segurança Desejadac. Segurança do Ambiente de Desenvolvimentod. Garantia da Segurança da Aplicação3. Auditoria em Sistemas de Informaçãoa. Fundamentos em Auditoria de Sistemas de Informaçãob. Metodologia de Auditoria de Sistemas de Informaçãoc. Ferramentas de Auditoria de Sistemas de Informaçãod. Técnicas de Auditoria de Sistemas de Informaçãoe. Auditoria na Aquisição, Desenvolvimento, Documentação e Manutenção de Sistemas de Informaçãof. Auditoria no Processo ou Metodologia de Desenvolvimento de Sistema de Informaçãog. Auditoria de Sistemas de Informação em Produção4. Política de Segurançaa. Os Planos de Segurança
3
Características de Segurança Importância da Segurança da Informação O que é um Sistema de Informação? Dados e Informação
Ativo Ciclo de vida da informação Classificação e Controle dos Ativos da Informação Monitoramento contínuo Incidente de Segurança Problemas de Segurança Definições de Segurança Métricas de Segurança Política de segurança Aspectos Humanos da Segurança da Informação
◦ O profissional de segurança
◦ A Engenharia Social
Aula passada...
4
Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005
A Norma foi influenciada pelo padrão inglês BS7799 (British Standard).
A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês.
A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos.
Final da aula passada...
5
Compilação de recomendações para melhores práticas de segurança, que podem ser aplicadas por empresas de qualquer porte ou setor.
O grande objetivo da norma é o de garantir a continuidade dos negócios por meio da implantação de controles, reduzindo muito as possibilidades de perda das informações.
ISO/IEC 17799
6
A ISO 17799 define como barreiras de segurança quaisquer medidas preventivas que impeçam os ataques aos ativos da informação
Dois tipos de medidas◦Físicas – muros, cercas e trancas◦Lógicas – senhas, firewalls, certificados
digitais, assinatura digital, criptografia, etc.
Segurança da InformaçãoSegurança do Ambiente
Barreiras de Segurança
7
Segurança da Informação
Segurança do Ambiente Físico
8
Para garantir a segurança física dos ativos da informação é preciso combinar medidas de:
◦ Prevenção;
◦ Detecção;
◦ e Reação aos possíveis incidentes de segurança.
Segurança da InformaçãoSegurança do Ambiente Físico
Tipos de Medidas
9
Importante definir o perímetro de segurança do ambiente físico:◦ Contorno ou linha imaginária que delimita uma área ou
região
O perímetro ajuda a estabelecer melhor os investimentos e definir os tipos de barreiras mais adequados
Exemplos de perímetro: salas, prédios, geradores, cofres, etc.
Segurança da InformaçãoSegurança do Ambiente Físico
Perímetro de Segurança
10
É importante elaborar um projeto de áreas de segurança dentro de um perímetro seguro de ameaças de:◦ poeira, fumaça, vibração, vazamento de água,
explosão ou desastres naturais
Áreas que contenham equipamentos exigem medidas contra acesso não autorizado, dano ou furto◦ Exemplo: treinamento específico para os prestadores
de serviços de limpeza e manutenção
Segurança da InformaçãoSegurança do Ambiente Físico
Segurança em escritórios, salas e instalações de processamento de dados
11
Os equipamentos precisam ser protegidos contra:◦ Falha de energia◦ Problemas na alimentação elétrica◦ Defeitos de Hardware
Medidas:◦ Alimentação com múltiplas fontes◦ Uso de nobreaks e geradores◦ Manutenção periódicas nos equipamentos
Segurança da InformaçãoSegurança do Ambiente Físico
Segurança de equipamentos
12
Implantar mecanismos para proteção dos documentos em papel:
◦ Tratamento das cópias (acidez do papel, técnicas de restauração de livros);
◦ Armazenamento ( umidade do ambiente);
◦ Transmissão;
◦ Descartes seguros;
Segurança da InformaçãoSegurança do Ambiente Físico
Segurança em documentos de papel e eletrônicos
13
Controles para proteção dos papéis:
◦ Uso de rótulos para identificar documentos;
◦ Política de armazenamento em local adequado;
◦ Procedimentos especiais para impressão, cópia e transmissão;
◦ Recepção e envio de correspondências sigilosas.
Segurança da InformaçãoSegurança do Ambiente Físico
Segurança em documentos de papel e eletrônicos
14
Controles para proteção dos documentos eletrônicos:
◦ Aparato tecnológico que os torne visíveis aos seus usuários;
◦ Integridade das informações
◦ Arquivamento dos documentos
Segurança da InformaçãoSegurança do Ambiente Físico
Segurança em documentos de papel e eletrônicos
15
Mídias devem ser guardados, quando não estiverem sendo utilizados, em gavetas adequadas, com fechaduras, especialmente fora do horário normal de trabalho
Grande preocupação com a Segurança de backups
Política específica para:◦ Armazenamento, controle de acesso, transporte, cópia e
descarte
Segurança da InformaçãoSegurança do Ambiente Físico
Segurança de Mídias de Computador
16
Recomendações para cabeamento elétrico e telecomunicações:
◦ Sempre que possível utilizar linhas subterrâneas
◦ Proteção do cabeamento de redes contra interceptação não autorizada
◦ Separação dos cabos elétricos dos cabos de comunicação
◦ Uso de conduítes
Segurança da InformaçãoSegurança do Ambiente Físico
Segurança no Cabeamento
17
Segurança da Informação
Segurança do Ambiente Lógico
18
A segurança das redes deve abranger problemas de autenticação de usuários e interfaces de segurança entre o ambiente interno e externo
Mecanismos de proteção ◦ Criptografia
◦ Antivírus
◦ Gateways
◦ Firewalls
◦ Assinatura e Certificado Digital
◦ ...
Estes mecanismos são usados para:◦ Manter confidencialidade, integridade
◦ controlar o tráfego que entra e sai das redes,
◦ estabelecer rotas obrigatórias e dividir grandes redes em domínios lógicos separados
Segurança da InformaçãoSegurança do Ambiente Lógico
19
Segurança da Informação
Implementando Defesas de Segurança
20
Existem muitas soluções de segurança, dentre elas:◦ Maior treinamento aos usuários, ◦ Uso de tecnologias, ◦ Escrita de software sem bugs.
Defesa em profundidade é a teoria de segurança mais comum – múltiplas camadas de segurança é melhor do que menos camadas.
Segurança da InformaçãoImplementando Defesas de Segurança
21
Política de segurança descreve o que está sendo protegido
◦ Ex: Os usuários não devem compartilhar suas senhas
Sem uma política, é impossível que os usuários e os administradores saibam:
◦ o que é permissível, o que é obrigatório e o que não é permitido
Deve ser um documento atualizado permanentemente e divulgada para as pessoas envolvidas
Segurança da InformaçãoImplementando Defesas de Segurança
Política de Segurança
22
Avaliação de vulnerabilidade procura saber se a política de segurança foi implementada corretamente
A principal atividade das avaliações de vulnerabilidades é um teste de penetração
As varreduras de vulnerabilidades normalmente são feitas em ocasiões em que o uso do computador é relativamente baixo
Quando apropriado, são feitas em sistemas de teste
Segurança da InformaçãoImplementando Defesas de Segurança
Avaliação de Vulnerabilidades
23
Senhas curtas ou fáceis de descobrir
Programas não-autorizados nos diretórios do sistema
Processos de longa duração não previstos
Proteções de diretórios impróprias nos diretórios do usuário e do sistema
Proteções impróprias nos arquivos de dados do sistema, como arquivo de senhas, drivers de dispositivos
Aspectos verificados na Varredura de um sistema
Segurança da InformaçãoImplementando Defesas de Segurança
Avaliação de Vulnerabilidades
24
Um sistema altamente secreto só pode ser acessado de dentro de um prédio também considerado altamente secreto
Porém, é impossível trancar uma máquina em uma sala secreta e desativar todo o acesso remoto
As varreduras de portas determinam os detalhes da aplicação escutando as portas e tentando determinar se possui alguma vulnerabilidade
Segurança da InformaçãoImplementando Defesas de Segurança
Avaliação de Vulnerabilidades
Aspectos verificados na Varredura de um sistema
25
As ferramentas de varredura de porta podem ser utilizadas por um cracker, em vez de alguém tentando melhorar a segurança
◦ As mesmas ferramentas podem ser usadas para o bem ou para o mal
Alguns defendem a segurança da obscuridade, onde nenhuma ferramenta deveria ser criada, pois as ferramentas são usadas para encontrar brechas na segurança.
Ferramentas de varredura de porta
Segurança da InformaçãoImplementando Defesas de Segurança
Avaliação de Vulnerabilidades
26
Proteger sistemas está ligada a detecção de intrusão
A detecção de intrusão se esforça para detectar intrusões tentadas ou realizadas
Segurança da InformaçãoImplementando Defesas de Segurança
Detecção de Intrusão
27
Pote de mel-Utilizado para desviar a atividade de um intruso
Um recurso falso, uma isca para o atacante
Para o invasor, o recuso parece ser real e permite ao sistema monitorar e receber informações sobre o ataque
Honeypot
28
Esforços de detecção de intrusão para detectar intrusões tentadas ou bem sucedidas
◦ Detecção baseada em assinatura busca padrões de comportamento problemáticos - Ataques conhecidos. Ex: busca de pacotes /etc/passwd/
◦ Detecção de anomalia busca diferenças do comportamento normal, visa detectar ataques previamente desconhecidos
Problema: Falsos positivos e falsos negativos- Saber se a atividade invasora não está incluída nas atividades normais
Segurança da InformaçãoImplementando Defesas de Segurança
Detecção de Intrusão
29
A proteção contra vírus é um aspecto importante para a segurança do sistema, pois os vírus podem danificá-lo
Os programas antivirus pesquisam todos os programas em um sistema em busca de um padrão específico de instruções conhecidas por compor o vírus
Quando encontram o padrão conhecido, removem as instruções, desinfectando o sistema
Segurança da InformaçãoImplementando Defesas de Segurança
Proteção contra vírus
30
Auditoria, contabilidade e logging de todas as atividades da rede ou específicas do sistema
A contabilidade pode ser usada para encontrar mudanças de desempenho que revelem problemas de segurança, onde são detectadas anomalias
Segurança da InformaçãoImplementando Defesas de Segurança
Auditoria, contabilidade e logging
31
Pode ser geral ou específico
Todas as execuções de chamadas de sistema podem ser registradas para análise de comportamento do programa
Normalmente os eventos suspeitos são registrados em log
As falhas de autenticação e autorização podem dizer muito sobre tentativas de invasão
Logging
Segurança da InformaçãoImplementando Defesas de Segurança
Auditoria, contabilidade e logging
32
Autenticação
Autenticação A autenticação é o processo de verificação
da identidade de um usuário, isto é, garantir que um usuário é de fato quem diz ser.
Autenticação SYK – Something You Know (“algo que
você sabe”): estas técnicas de autenticação são baseadas em informações conhecidas pelo usuário, como seu nome de login e sua senha.
Autenticação SYH – Something You Have (“algo que você
tem”): são técnicas que se baseiam na posse de alguma informação mais complexa, como um certificado digital ou uma chave criptográfica, ou algum dispositivo material, como um smartcard, um cartão magnético, um código de barras, etc.
Autenticação SYA – Something You Are (“algo que você
é”): se baseiam em características intrinsecamente associadas ao usuário, como seus dados biométricos: impressão digital, padrão da íris, timbre de voz, etc.
37
Firewall
Firewall
Conceito◦ Uma firewall (em português: parede de fogo) é um dispositivo de uma
rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede.
Pode ser usado para ajudar a impedir que sua rede ou seu computador seja acessado sem autorização.
É possível evitar que os usuários acessem serviços ou sistemas indevidos, permitindo auditoria.
Firewall Um firewall pode ser um computador, um
roteador, um servidor, um appliance ou a combinação destes que determine qual informação ou serviços podem ser acessados de fora e a quem é permitido usar a informação e os serviços de fora.
Firewall
Características do Firewall Todo tráfego entre a rede interna e a
externa (entrada e saída) deve passar pelo Firewall
Somente o tráfego autorizado passará pelo Firewall, todo o resto será bloqueado
O Firewall em si deve ser seguro e impenetrável
Controles do Firewall Controle de Serviço: determina quais serviços Internet
(tipos) estarão disponíveis para acesso
Controle de Sentido: determina o sentido de fluxo no qual serviços podem ser iniciados
Controle de Usuário: controla o acesso baseado em qual usuário está requerendo (tipicamente os internos, ou externo via VPN)
Controle de Comportamento: controla como cada serviço pode ser usado (ex: anti-spam)
Limitações de um Firewall O Firewall não protege contra ameaças
internas
O Firewall não protege contra transferência de arquivos infectados por vírus, pois seria impraticável analisar o conteúdo de tudo que trafega
Tipos de Firewall Filtragem de pacotes Firewalls de aplicação Firewalls baseados no estado
Filtragem de Pacotes
Regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem.
Filtragem de Pacotes IP de origem: É o endereço de IP que o pacote lista como seu emissor.
IP de destino: É o endereço de IP para onde o pacote está sendo mandado.
ID de protocolo IP: Um cabeçalho IP pode ser seguido por vários cabeçalhos de protocolos. Cada um desses protocolos tem seu próprio ID de protocolo IP. Os exemplos mais conhecidos são TCP (ID 6) e UDP (ID 17).
Numero de portas TCP ou UDP : O numero da porta indica que tipo de serviço o pacote é destinado.
Flag de fragmentação: Pacotes podem ser quebrados em pacotes menores.
Ajuste de opções do IP: Funções opcionais no TCP/IP que podem ser especificadas nesse campo. Essas opções são apenas usadas para diagnóstico, de forma que o firewall possa descartar pacotes com opções de IP determinadas.
Firewalls de Aplicação
Com a utilização deste tipo de firewall, podemos usufruir da filtragem na base em informação de nível de aplicação (por exemplo, com base em URLS dentro de um servidor, possibilita o estabelecimento de zonas com diferentes tipos de acesso);
Possibilita o modo de acordo com a informação e não simplesmente com base em regras de acesso estáticas;
Firewall baseado em estado Firewall de Pacotes + Firewall de Aplicação
Possibilita o funcionamento ao nível da aplicação de uma forma dinâmica
Inclui funcionalidades de encriptação e encapsulamento e balanceamento de carga
A manutenção e configuração requerem operações menos complexas
Alto custo
49
IDS – Intrusion Detection Systems
IDS – Intrusion Detection Systems Conceito Tipos:
◦ IDS localizados em hosts (H-IDS)◦ IDS localizados na rede (N-IDS)◦ IDS Híbridos
IDS – Intrusion Detection Systems
IDS baseados em Host Conceito
◦ refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação de um cracker ou até mesmo funcionários mal intencionados.
Mais empregados nos casos em que a segurança está focada em informações contidas em um servidor e os usuários não precisam ser monitorados;
Aplicado em redes onde a velocidade de transmissão é muito alta como em redes “Gigabit Ethernet”;
Usados também quando não se confia na segurança corporativa da rede em que o servidor está instalado.
Verificações dos IDS baseados em Host Acesso a arquivos Integridade de arquivos Varredura de portas Modificação e privilégios de usuários Processos do sistema Execução de programas Uso de CPU Conexões
Vantagens do IDS baseado em Host Ataques que ocorrem fisicamente num servidor podem
ser detectados.
Ataques que utilizam criptografia podem não ser notados pelos NIDS, mas descobertos pelos HIDS, pois o SO primeiro decifra os pacotes.
Independem da topologia da rede
Geram poucos “falsos positivos”, que são alarmes falsos de ataques.
Não necessita de hardware adicional.
Desvantagens do IDS baseado em Host São de difícil monitoramento, já que em cada estação deve ser
instalado e configurado um IDS;
Podem ser desativados por DoS;
Recursos computacionais são consumidos nas estações monitoradas, com diminuição do desempenho;
O IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informações residirem na estação monitorada;
Fica difícil de configurar e gerenciar em todos os hosts de uma rede.
Desvantagens do IDS baseado em Host
Necessita de espaço de armazenamento adicional para os registros do sistema.
É dependente do SO. HIDS para Linux é diferente de um HIDS Windows.
Não têm bom desempenho em sistemas operacionais que geram poucas informações de auditoria.
Apresenta diminuição do desempenho do host monitorado.
Componentes dos IDS baseados em Rede
Os sensores que cuidam dos segmentos de redes, fazem a captura, formatação de dados e análise de tráfego.
Gerenciador: fazem com que os sensores sejam administrados de modo integrado, com a definição dos tipos de resposta para cada tipo de comportamento suspeito detectado.
A comunicação entre sensores e gerenciador é criptografada.
Vantagens do IDS baseado em rede
Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande
Um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos, e não interferem no funcionamento da rede
Difíceis de serem percebidos por atacantes e com grande segurança contra ataques
Pode detectar tentativas de ataques (ataques que não tiveram resultados).
Fica mais difícil um invasor apagar seu rastro.
Desvantagens do IDS baseado em rede
Podem falhar em reconhecer um ataque em um momento de trafego intenso;
Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS não se aplicam;
Não conseguem analisar informações criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invasões;
Grande parte não pode informar se o ataque foi ou não bem sucedido, podendo apenas alertar quando o ataque foi iniciado.
Exemplos de IDS baseados em hosts
Tripwire
Swatch
Portsentry
OSSEC-HIDS
Exemplos de IDS baseados em rede
Snort
RealSecure
NFR
Exemplo de ambiente híbrido
OSSEC-HIDS + Snort
63
Backup
Backup Falhas técnicas: falha no disco rígido (HD),
falha de energia, sobrecarga na rede de computadores que pode gerar falhas de comunicação e de software;
Falhas ambientais: descargas elétricas provindas de raios, enchentes, incêndios;
Falhas humanas: detém 84% das perdas de dados e são devidas à exclusão ou modificação de dados acidental ou mal-intencionada, vírus, roubo de equipamentos e sabotagem.
Tipos de Backup Backup normal Backup diferencial Backup incremental
Backup Normal Um backup normal copia todos os arquivos
selecionados e os marca como arquivos que passaram por backup (ou seja, o atributo de arquivo é desmarcado). Com backups normais, você só precisa da cópia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal é executado quando você cria um conjunto de backup pela primeira vez.
Backup Normal VANTAGENS: Os arquivos são mais fáceis de
localizar porque estão na mídia de backup atual. Requer apenas uma mídia ou um conjunto de mídia para a recuperação dos arquivos.
DESVANTAGENS: É demorado. Se os arquivos forem alterados com pouca freqüência, os backups serão quase idênticos.
Backup Diferencial Um backup diferencial copia arquivos
criados ou alterados desde o último backup normal ou incremental. Não marca os arquivos como arquivos que passaram por backup (o atributo de arquivo não é desmarcado). Se você estiver executando uma combinação dos backups normal e diferencial, a restauração de arquivos e pastas exigirá o último backup normal e o último backup diferencial.
Backup Diferencial VANTAGENS: A recuperação exige a mídia
apenas dos últimos backups normal e diferencial. Fornece backups mais rápidos do que um backup normal.
DESVANTAGENS: A restauração completa do sistema pode levar mais tempo do que se for usado o backup normal. Se ocorrerem muitas alterações nos dados, os backups podem levar mais tempo do que backups do tipo incremental.
Backup Incremental Um backup incremental copia somente os
arquivos criados ou alterados desde o último backup normal ou incremental. e os marca como arquivos que passaram por backup (o atributo de arquivo é desmarcado). Se você utilizar uma combinação dos backups normal e incremental, precisará do último conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados.
Backup Incremental VANTAGENS: Requer a menor quantidade de
armazenamento de dados. Fornece os backups mais rápidos.
DESVANTAGENS: A restauração completa do sistema pode levar mais tempo do que se for usado o backup normal ou diferencial.
Periodicidade de Backup Frequência de Modificações X Importância
da Informação Backup Diário Backup Semanal Backup Mensal Backup Anual
73
Criptografia
Criptografia
Criptografia Conceito Histórico Tipos
◦ Criptografia Simétrica;◦ Criptografia Assimétrica
Conceituação kryptos (oculto, secreto), graphos (escrever).
Texto aberto: mensagem ou informação a ocultar
Texto cifrado: informação codificada;
Cifrador: mecanismo responsável por cifrar/decifrar as informações
Chaves: elementos necessários para poder cifrar ou decifrar as informações
Espaço de chaves: O número de chaves possíveis para um algoritmo de cifragem
Conceituação Algoritmo computacionalmente seguro
◦ Custo de quebrar excede o valor da informação
◦ O tempo para quebrar excede a vida útil da informação
Meios de criptoanálise◦ Força bruta
◦ Mensagem conhecida
◦ Mensagem escolhida (conhecida e apropriada)
◦ Análise matemática e estatística
◦ Engenharia social
Conceitos para bom algoritmo de criptografia◦ Confusão: transformações na cifra de forma irregular e complexa
◦ Difusão: pequena mudança na mensagem, grande na cifra
Histórico Cifrador de César mensagem aberta: Reunir todos os generais para o ataque mensagem cifrada com k = 1: Sfvojs upept pt hfofsbjt qbsb
p bubrvf mensagem cifrada com k = 2: Tgwpkt vqfqu qu igpgtcku
rctc q cvcswg mensagem cifrada com k = 3: Uhxqlu wrgrv rv jhqhudlv
sdud r dwdtxh
Curiosidade Criptografia AES (Advanced Encryption
Standard) Chaves de 128 bits, ou seja, espaço de
chaves com 2128 possibilidades 340.282.366.920.938.463.463.374.607.431.
768.211.456 chaves diferentes
Tipos de Cifras Cifras de Transposição Cifras de Substituição:
◦ Cifra de substituição simples ou monoalfabética ;◦ Cifra de substituição polialfabética;◦ Cifra de substituição de polígramos ;◦ Cifra de substituição por deslocamento.
Criptografia Simétrica Algoritmo
◦ É o próprio processo de substituição ou transposição.◦ Consiste nos passos a serem tomados para realizar a
encriptação. Chave
◦ Define o alfabeto cifrado exato que será utilizado numa codificação em particular.
O algoritmo utilizado em um processo de encriptação pode ser divulgado sem problemas. A chave, porém, deve ser uma informação confidencial do remetente e do destinatário.
Desvantagens do Uso de Chaves Simétricas
Se uma pessoa quer se comunicar com outra com segurança, ela deve passar primeiramente a chave utilizada para cifrar a mensagem.
Grandes grupos de usuários necessitam de um volume grande de chaves, cujo gerenciamento é complexo
Criptografia Assimétrica Postulada pela primeira vez em meados de
1975 por Withfield Diffie e Martin Hellman
Algoritmos de chave pública e privada
Baseada em princípios de manipulação matemática.
Os algoritmos são computacionalmente pesados e lentos.
Criptografia Assimétrica
Criptografia Assimétrica RSA Ron Rivest / Adi Shamir / Leonard
Adleman◦ Criado em 1977.◦ É o algoritmo de chave pública mais utilizado.◦ Utiliza números primos.◦ A premissa por trás do RSA é que é fácil
multiplicar dois números primos para obter um terceiro número, mas muito difícil recuperar os dois primos a partir daquele terceiro número.
Criptografia Assimétrica◦ Cerca de 95% dos sites de comércio eletrônico
utilizam chaves RSA de 512 bits.
◦ O desenvolvimento dos algoritmos de criptografia assimétrica possibilitou o aparecimento de aplicações que trafegam dados internet de forma segura, notadamente do e-commerce.
88
Certificado Digital e Assinatura Digital
Certificado Digital Assim como o RG ou o CPF identificam uma
pessoa, um certificado digital contém dados que funcionam como um certificado físico, contendo informações referentes a:◦ pessoa ou entidade a quem foi emitido o
certificado digital e respectivo endereço;◦ sua chave pública e respectiva validade;◦ número de série; e◦ nome da empresa que emitiu seu certificado
(chamada de Autoridade Certificadora, ou AC) com respectiva assinatura digital.
Certificado Digital Qualquer modificação realizada em um certificado digital
o torna inválido e por isso é impossível falsificá-lo.
O objetivo da assinatura digital no certificado é indicar que uma outra entidade (a Autoridade Certificadora – AC) garante a veracidade das informações nele contidas.
Fazendo uma analogia, a AC faz o papel dos órgãos públicos como a Secretaria de Segurança Pública quando emite um RG, ou seja, ela garante quem você é, dando-lhe legitimidade através de sua assinatura digital.
Assinatura Digital Um documento pode ser considerado
genuíno quando não sofreu alterações. No mundo real, a autenticidade de um documento pode ser garantida pelo uso de assinaturas, rubricas e marcas especiais.
No mundo virtual, este item pode ser assegurado através do uso de assinaturas digitais.
Assinatura Digital A assinatura digital visa garantir que um
determinado documento não seja alterado após assinado.
Etapas:◦ O autor, através de um software próprio, realiza
uma operação e faz um tipo de resumo dos dados do documento que quer enviar, também chamado de “função hash”.
◦ O Autor usa a chave privada de seu certificado digital para encriptar este resumo.
Assinatura Digital
Complexidade de Senhas A função primordial da senha?
◦ Autenticidade
Métodos de quebra de senha:◦ Dedução inteligente◦ Ataques de dicionário◦ Automatização ou Força Bruta
Sugestões para a criação de senhas seguras
Não utilize palavras existentes em dicionários nacionais ou estrangeiros;
Não escreva suas senhas em papéis, muito menos salve na máquina documentos digitais, como o Word ou o bloco de notas;
Não utilize informações pessoais fáceis de serem obtidas, tais como: nome ou sobrenome do usuário, nome da esposa, filhos ou animais de estimação, matrícula na empresa, números de telefone, data de nascimento, cidades de origem, etc.;
Não utilize senhas constituídas somente por números ou somente por letras;
Utilize senhas com, pelo menos, seis caracteres; Misture caracteres em caixa baixa e alta (minúsculas e maiúsculas);
Sugestões para a criação de senhas seguras Crie senhas que contenham letras, números e caracteres especiais
(*,#,$,%...); Inclua na senha, pelo menos, um caractere especial ou símbolo; Utilize um método próprio para lembrar das senhas que dispense
registrar a mesma em qualquer local; Não empregue senhas com números ou letras repetidos em
sequência; Não forneça sua senha para ninguém; Altere as senhas, pelo menos, a cada 3 meses; Utilize senhas que possam ser digitadas rapidamente, sem que seja
preciso olhar para o teclado; Para facilita a memorização da senha é possível criar uma frase
secreta e extrair delas as iniciais de cada letra. Por exemplo da frase “É melhor 1 pássaro na mão do que 2 voando” se extrai “Em1pnmdq2v”.
Medidas Consideradas Efetivas
Stat
eful
l fire
wal
ls
Acces
s co
ntro
ls
Encr
yptio
n
Applic
atio
n la
yer fi
rewal
ls
Networ
k-ba
sed
antiv
irus
Networ
k ID
S/IP
S
RBL-ba
sed
SPAM
filte
ring
Wire
less
enc
rypt
ion/
pro
tect
ion
Host-b
ased
ant
iviru
s
Chang
e co
ntro
l/con
figur
atio
n m
anag
emen
t sys
tem
s
Right
s m
anag
emen
t
Networ
k ac
cess
cont
rol (
NAC)
Host-b
ased
pol
icy-
enfo
rcem
ent
Host-b
ased
IDS/
IPS
Host-b
ased
SPA
M
Softw
are
deve
lopm
ent t
ools
(& p
roce
sses
)
Data
track
ing
Applic
atio
n m
onito
ring
& tren
ding
One-ti
me
pass
words
Data
loss
pre
vent
ion
(DLP
) too
ls
Autom
ated
inte
grity
cont
rols
Biom
etric
s0%
10%20%30%40%50%60%70%80%90%
100%
2010
Fonte: 2010 CyberSecurity Watch Survey – Resultados da Pesquisa
99
Segurança da Informação
A organização da Segurança
100
Para organizar a segurança é preciso criar um departamento (Comitê Corporativo de Segurança da Informação)
É preciso ter uma visão clara das etapas da organização;◦ E formalizar os processos
Segurança da InformaçãoA Organização da Segurança
-
101
Etapas da Organização da Segurança:
◦ Comitê Corporativo de Segurança;
◦ Mapeamento da Segurança
◦ Estratégia da Segurança
◦ Planejamento de Segurança
◦ Implementação de Segurança
◦ Administração de Segurança
◦ Segurança na cadeia produtiva
Segurança da InformaçãoA Organização da Segurança
-
102
Orienta as ações corporativas de segurança e mede os resultados;
Alinha o plano considerando valores, buscando o melhor retorno dos investimentos;
Coordena os agentes de segurança;
Garante o sucesso da Implantação de Segurança;
Promove a consolidação do Modelo de Gestão Corporativo de Segurança.
Segurança da InformaçãoA Organização da Segurança
Comitê Corporativo de Segurança
103
Identificar os diversos processos de negócio, perímetros e infra-estruturas;
Inventariar os ativos físicos, tecnológicos e humanos. Considerar as variáveis que interferem nos riscos da empresa.
Identificar o cenário atual: ameaças, vulnerabilidades e impactos
Mapear as necessidades em relação ao manuseio, armazenamento, transporte e descarte de informações
Organizar as demandas de segurança do negócio.
Segurança da InformaçãoA Organização da Segurança
Mapeamento da Segurança
104
Definir um plano de ação consistindo de particularidades do negócio junto aos executivos:
◦ Estratégica◦ Tática◦ Operacional
Definir também riscos:◦ Físicos, tecnológicos e humanos
Segurança da InformaçãoA Organização da Segurança
Estratégia de Segurança
105
Organizar os comitês e oficializar suas responsabilidades;
Iniciar ações preliminares de capacitação dos executivos e técnicos;
Elaborar uma Política de Segurança detalhando: processos de negócio, perímetro e infra-estrutura, diretrizes, normas e procedimentos;
Realizar ações corretivas emergenciais em função do risco iminente.
Segurança da InformaçãoA Organização da Segurança
Planejamento de Segurança
106
Divulgar a Política de Segurança
Capacitar, conscientizando os usuários no manuseio, armazenamento, transporte e descarte da informação
Implementar mecanismos de controles físicos, tecnológicos e humanos que irão permitir a eliminação das vulnerabilidades
Segurança da InformaçãoA Organização da Segurança
Implementação de Segurança
107
Monitorar os controles implementados, medindo sua eficiência
Projetar o Retorno sobre os investimentos
Garantir a adequação e a conformidade do negócio com as normas
Manter plano estratégicos para contingência e recuperação de desastres, objetivando garantir a disponibilidade
Segurança da InformaçãoA Organização da Segurança
Administração de Segurança
108
Equalizar as medidas de segurança junto aos parceiros:◦ Fornecedores◦ Clientes◦ Governo
Objetivo: Nivelar o fator de risco sem que uma das partes exponha informações compartilhadas e represente ameaça.
Segurança da InformaçãoA Organização da Segurança
Segurança na Cadeia Produtiva