Exemplo Auditoria Sistemas Informaticos (1)

TECAD – Soluções CAD e Projecto Colaborativo Rua Sidónio Muralha, 5 - Loja A Vale Mourão 2635-477 Rio de Mouro Tel: 21 919 92 30 Fax: 21 919 92 39 Email: [email protected] Web site: http://www.tecad.pt

EXEMPLO AUDITORIA DE SEGURANÇA

TECAD SISTEMAS INFORMATICOS

©COPYRIGHT, TECAD-Sistemas Informáticos, Lda Interdita a reprodução de textos e imagens por quaisquer meios

TECAD SI – Auditoria de Segurança 2

www.tecad.pt [email protected]

COPYRIGHT 2007, TECAD-Sistemas Informáticos, Lda Interdita a reprodução de textos e imagens por quaisquer meios

1. Controlo do documento

1.1 Aprovação e controlo de alterações ..........................................................

1.2 Alterações a versões anteriores ...............................................................

1.3 Condições de revisão .............................................................................

1.4 Documentos relacionados .......................................................................

1.5 Reprodução e garantias ..........................................................................

1.6 Confidencialidade ..................................................................................

2. Objectivos .....................................................................................................

3. Responsáveis da segurança ..........................................................................

4. Documentos de implementação da segurança ...............................................

5. Sistemas de detecção e apoio a variáveis ambientais ....................................

6. Actividades de reforço à segurança ...............................................................

7. Controlo de acessos

7.1 Acesso físico ………………………………………………………………………………………………………

7.2 Acesso lógico

7.2.1 Equipamentos servidores ……………………………………………………………….

7.2.2 Equipamentos de comunicação ………………………………………………………

7.2.3 Estações de trabalho ……………………………………………………………………….

8. Identificação de SPF (Single Point of Failure)

8.1 Geral ………………………………………………………………………………………………………………….

8.2 Equipamentos servidores ……………………………………………………………………………………

8.3 Equipamentos de comunicações ………………………………………………………………………..

8.4 Estações de trabalho ………………………………………………………………………………………….

9. Cópias de Segurança - Backups .....................................................................

10. Sistema Antivírus ..........................................................................................

11. Actualizações ................................................................................................

12. Outras observações .......................................................................................

13. Conclusão ......................................................................................................

Anexo A – Scan de vulnerabilidades ....................................................................

3

3

3

3

3

3

4

6

6

6

6

7

7

7

7

8

8

8

8

8

9

9

9

10

11

INDICE




1. Controlo do documento

1.1 Aprovação e controlo de alterações

Autor Revisto por Data de Aprovação

Pedro Azevedo Pedro Azevedo

1.2 Alterações a versões anteriores

Autor Versão Data Comentários

Pedro Azevedo 1.0 Primeira versão do documento

1.3 Condições de revisão

Não existem condições de revisão do documento.

1.4 Documentos relacionados

Documento Título Versão Data

- - - -

1.5 Reprodução e garantias

Este documento não deverá ser copiado no seu todo ou em parte, ou distribuído a terceiras

partes sem prévia autorização por escrito da TECAD SI.

1.6 Confidencialidade

Este documento contém informações detalhadas acerca da rede e sistemas informáticos da

Exemplo. Por esta razão, este documento assume um estatuto de confidencialidade não

devendo ser distribuído nem apresentado a pessoas externas à empresa.

Utilizadores internos com acesso autorizado a este documento:

Nome Nome de utilizador Data de autorização




2. Objectivos

A percepção da realidade no mundo da informática mudou. Actualmente as empresas

conseguem perceber as inegáveis vantagens estratégicas dos sistemas informáticos,

tornando o seu sucesso dependente das suas infra-estruturas tecnológicas. Torna-se então

fundamental perceber o valor destes sistemas. Há que quantificar o custo de ter um mau

funcionamento num sistema tão fulcral como este. Quanto custa o tempo de inactividade de

um servidor? E quanto custa estar um dia sem acesso à internet, sem poder usar o email ou

qualquer outra ferramenta online?

A segurança informática ganha notoriedade na actualidade. Enquanto no passado havia o

luxo da reactividade hoje exige-se cada vez mais a proactividade. Novas ameaças surgem e

não só factores internos e controláveis, como o ciclo de vida natural da máquina, são tidos

em conta. Actualmente deparamo-nos com ameaças externas e internas perpetuadas por

indivíduos na busca de acesso a informação sensível, quer pela sua rentabilidade quer pelo

simples prazer de a conseguir alcançar.

Chegando a uma conclusão inequívoca do valor dos sistemas informáticos, torna-se

necessário implementar políticas e processos, que permitam manter um sistema com

disponibilidade efectiva e segurança o mais perto possível dos 100%.

Pretende-se com o presente relatório, documentar e clarificar o estado actual de segurança

dos sistemas informáticos da empresa Exemplo.

A análise irá ser efectuada em duas fases distintas, a recolha da informação e a conclusão. O

primeiro destes dois itens, a recolha de informação, será feito do modo mais objectivo

possível através dos seguintes pontos previamente definidos:

• Responsáveis da segurança

• Documentos de implementação da segurança

• Sistemas de detecção e apoio a variáveis ambientais

• Actividades de reforço à segurança

• Controlo de acessos

• Identificação de SPF (Single Point of Failure)

• Cópias de Segurança - Backup

• Sistema Antivírus

• Actualizações




Estes itens serão documentados e classificados através dum sistema de três cores (verde,

laranja e vermelho), representativas do nível de risco associado ao estado do item em

questão:

Nível de Segurança Elevado

Recomendação: Manutenção do sistema existente

Nível de Segurança Médio

Recomendação: Alterações ao sistema existente

Nível de Segurança Reduzido

Recomendação: Implementação de sistema

A segunda etapa da recolha de dados passa pela realização de scan de vulnerabilidades a

toda a rede (anexos).

Em conclusão, será efectuada a análise de toda a informação recolhida, sendo atribuído um

nível de segurança geral a toda a rede.

Esta auditoria foi concebida especificamente para o mercado das micro e pequenas

empresas, e aborda os itens que com mais frequência representam falhas de segurança

neste segmento de mercado. Deve ficar claro que empresas de maior dimensão, ou que

pretendam um nível de segurança máximo, deverão requisitar uma auditoria mais elaborada

à TECAD SI.




3. Responsáveis da segurança

Responsável Primário Apolinário Silva

Responsável Secundário Não

Nível médio de segurança Médio

4. Documentos de implementação da segurança

Plano Global de Segurança Não

Política de Segurança Não

Plano de Recuperação de Desastres Não

Manual de Rede Sim mas desactualizado

Nível médio de segurança Reduzido

5. Sistemas de detecção e apoio a variáveis ambientais

Detecção de fumos Não

Sistemas de extinção de incêndios Não

Existência de protecção a picos de corrente Sim

Sistema de redundância energética Sim

Controlo de temperatura Apenas no datacenter

Controlo de humidade Não


6. Actividades de reforço à segurança

Auditorias de segurança periódicas Não

Formação inicial de utilizadores Sim

Formação contínua de utilizadores Não

Formação contínua dos responsáveis

pela segurança

Sim





7. Controlo de acessos

7.1 Acesso físico

Monitorização de entradas e saídas por

circuito interno de TV

Não

Equipamentos de comunicação em

zonas de acesso reservado

Datacenter com porta aberta

Equipamentos de comunicação em

bastidor fechado

Em bastidor aberto

Equipamentos servidores em zonas de

acesso reservado

Datacenter com porta aberta

Equipamentos servidores em bastidor

fechado

Em bastidor aberto

Controlo de acessos a áreas por

métodos seguros

Não

Alarme de perímetro Não

Suportes com informação sensível

guardados em cofres ignífugos

Não


7.2 Acesso lógico

7.2.1 Equipamentos servidores

Alteração do nome da conta de

administração

Sim

Desactivação da conta de convidado Sim

Intervalo para alteração de passwords Não definido

Complexidade da password Números e caracteres especiais (10 caract.)


7.2.2 Equipamentos de comunicação

Alteração de valores predefinidos Sim

Intervalo para alteração de passwords Não definido

Complexidade da password Alfanumérica (8 caract.)





7.2.3 Estações de trabalho

Intervalo para alteração de passwords Estações de trabalho sem password

Complexidade da password Estações de trabalho sem password

Nível médio de segurança Baixo

8. Identificação de SPF (Single Point of Failure)

8.1 Geral

Redundância energética Sim

Nível médio de segurança Elevado

8.2 Equipamentos servidores

Redundância de fontes de alimentação Apenas no KDADOS

Redundância de discos rígidos Apenas no KDADOS

Mínimo de dois DC por domínio Sim

Realização de backups em duplicado Não


8.3 Equipamentos de comunicações

Existência de equipamento de reserva Não

Linha de backup Não


8.4 Estações de trabalho

Existência de pelo menos uma estação

de trabalho de reserva

Sim


9. Cópias de Segurança - Backups

Periodicidade do backup Semanal

Backups efectuados em duplicado Não

Deslocalização do backup Não

Suporte guardado em cofre ingnífugo Não





10. Sistema Antivírus

Sistema antivírus implementado Sim

Sistema de gestão central Sim

Cobertura total da rede Sim

Política de scans periódicos a estações

de trabalho

Sim (21/28)

Política de scans periódicos a

equipamentos servidores

Diário

Realtime protection Sim


11. Actualizações

Servidor interno de actualizações das

sistemas operativos

Não

Política de actualização do sistema

operativo dos servidores

Não definido - manual

Política de actualização do sistema

operativo das estações de trabalho

Não definido - manual

Sistema operativo dos servidores

actualizado

Sim

Sistema operativo das estações de

trabalho actualizado

Apenas algumas


12. Outras observações

Telnet do router acessível a partir do exterior

Nível médio de segurança Baixo




13. Conclusão

Após a análise de todos os dados recolhidos, podemos organizar a informação por uma

classificação ordenada por risco:

Sistema Antivírus

Responsáveis da segurança

Sistemas de detecção e apoio a variáveis ambientais

Actividades de reforço à segurança

Controlo de acessos

Identificação de SPF (Single Point of Failure)

Actualizações

Documentos de implementação da segurança

Backups

Outras observações

Cruzando estes dados com a análise dos resultados dos scans de vulnerabilidades, conclui-se

o nível global de segurança da empresa Exemplo:

Nível global de segurança Médio

Após análise detalhada, conclui-se que existem algumas falhas de segurança, que devem ser

corrigidas a curto prazo como medida proactiva de prevenção de dano. Recomenda-se

atenção prioritária para as três classes onde se obtêm resultados negativos: “Documentos de

implementação da segurança”, “Backups” e “Outras observações”. Algum trabalho nestas

áreas poderia melhorar significativamente o nível segurança global. Posteriormente dever-

se-ia melhorar também os itens que obtêm uma classificação média: “Responsáveis da

segurança”, “Sistemas de detecção e apoio a variáveis ambientais”, “Actividades de reforço à

segurança”, “Controlo de acessos”, “Identificação de SPF (Single Point of Failure) ” e

“Actualizações”.




ANEXO 1

Retina - Network Security Scanner Network Vulnerability Assessment & Remediation Management

28-12-2005

CONFIDENTIAL INFORMATION The following report contains company confidential information. Do not distribute, email, fax, or transfer via any electronic mechanism unless it has been approved by the recipient company's security policy. All copies and backups of this document should be saved on protected storage at all times. Do not share any of the information contained within this report with anyone unless they are authorized to view the information. Violating any of the previous instructions is grounds for termination.


28-12-2005

Report Created By TECAD SI

Report Created For CLIENTE


28-12-2005

NETWORK ANALYSIS RESULTS Report Summary

Scanner Name Retina Machines Scanned 1

Scanner Version 5.4.5.1355 Vulnerabilities Total 1

Scan Start Date 28-12-2005 High Risk Vulnerabilities 1

Scan Start Time 12:01:00 Medium Risk

Vulnerabilities 0

Scan Duration 0h 1m 0s Low Risk Vulnerabilities 0

Scan Name KADMIN Information only Audits 1

Scan Status Completed Credential Used - Null Session -

Top 5 Most Vulnerable Hosts

Num. of Vulnerabilities By Risk

% of Vulnerabilities By Risk

Avg. of Vulnerabilities By Risk


28-12-2005

TOTAL VULNERABILITIES BY CATEGORY The following is an overview of the total vulnerabilities by audit category.

Accounts

AIX Local Security Audits

Anti-Virus

Backdoors

Caldera Local Security Audits

CGI Scripts

Cisco Local Security Audits Cisco Local Security Audits

Conectiva Local Security Audits

Database

Debian Local Security Audits

DNS Services

DoS

EnGarde Local Security Audits

Fedora Local Security Audits

FreeBSD Local Security Audits FTP Servers

Gentoo Local Security Audits

HPUX Local Security Audits

Immunix Local Security Audits

IP Services

IRIX Local Security Audits

Local UNIX Security Audits

MacOS X Local Security Audits

Mail Servers

Mandrake Local Security Audits

Miscellaneous

NetBIOS

NetBSD Local Security Audits

OpenBSD Local Security Audits

Peer-To-Peer P2P File Sharing Applications

RedHat Local Security Audits

Registry

Remote Access

RPC Services

SCO Local Security Audits Service Control

Slackware Local Security Audits

SNMP Servers

Solaris Local Security Audits

Spyware

SSH Servers

SuSE Local Security Audits

Trustix Local Security Audits

TurboLinux Local Security Audits

Web Servers

Windows

Wireless


28-12-2005

TOP 20 VULNERABILITIES The following is an overview of the top 20 vulnerabilities on your network.

Top 20 Vulnerabilities

Rank Vulnerability Name Count 1. Null Session 1 2. No Remote Registry Access Available 1


28-12-2005

TOP 20 OPEN PORTS The following is an overview of the top 20 open ports on your network.

Top 20 Open Ports

Rank Port Number Description Count1. TCP:25 SMTP - Simple Mail Transfer Protocol 1 2. TCP:53 DOMAIN - Domain Name Server 1 3. TCP:80 WWW-HTTP - World Wide Web HTTP (Hyper Text Transfer Protocol) 1 4. TCP:88 KERBEROS - Kerberos 1 5. TCP:135 RPC-LOCATOR - RPC (Remote Procedure Call) Location Service 1 6. TCP:139 NETBIOS-SSN - NETBIOS Session Service 1 7. TCP:389 LDAP - Lightweight Directory Access Protocol 1 8. TCP:445 MICROSOFT-DS - Microsoft-DS 1 9. TCP:464 KPASSWD - kpasswd 1 10. TCP:593 HTTP-RPC-EPMAP - HTTP RPC Ep Map 1 11. TCP:636 LDAPSSL - LDAP Over SSL 1 12. TCP:2232 IVS-VIDEO - IVS Video default 1 13. UDP:53 DOMAIN - Domain Name Server 1 14. UDP:88 KERBEROS - Kerberos 1 15. UDP:123 NTP - Network Time Protocol 1 16. UDP:135 RPC-LOCATOR - RPC (Remote Procedure Call) Location Service 1 17. UDP:137 NETBIOS-NS - NETBIOS Name Service 1 18. UDP:138 NETBIOS-DGM - NETBIOS Datagram Service 1 19. UDP:389 LDAP - Lightweight Directory Access Protocol 1 20. UDP:445 MICROSOFT-DS - Microsoft-DS 1


28-12-2005

TOP 20 RUNNING SERVICES The following is an overview of the top 20 running services on your network.

Top 20 Running Services

Rank Name Description Count 1. _Browser 1 2. _LanmanServer 1 3. _LanmanWorkstation 1 4. _Netlogon 1 5. _RpcSs 1


28-12-2005

TOP 20 OPERATING SYSTEMS The following is an overview of the top 20 operating systems on your network.

Top 20 Operating Systems

Rank Operating System Name Count 1. Windows Server 2003 1


28-12-2005

TOP 20 USER ACCOUNTS The following is an overview of the top 20 user accounts on your network.

Top 20 User Accounts

No Users Discovered

Rank Account Name Count No Users Discovered


28-12-2005

TOP 20 NETWORK SHARES The following is an overview of the top 20 network shares on your network.

Top 20 Network Shares

Rank Share Name Count 1. ADMIN$ 1 2. C$ 1 3. D$ 1 4. F$ 1 5. IPC$ 1 6. NETLOGON 1 7. SYSVOL 1 8. VPHOME 1 9. VPLOGON 1

Documents

Exemplo Auditoria Sistemas Informaticos (1)