Gerência de Segurança. Por que gerir? Só aplicação de mecanismos Só aplicação de mecanismos cultura e política ignoradas cultura e política ignoradas

Gerência de SegurançaGerência de Segurança

Por que gerir?Por que gerir?

Só aplicação de mecanismosSó aplicação de mecanismos cultura e política ignoradascultura e política ignoradas desequilíbrio do custo/benefíciodesequilíbrio do custo/benefício avaliação ineficiente da segurançaavaliação ineficiente da segurança

SegurançaSegurança não é quantitativa, mas sim qualitativanão é quantitativa, mas sim qualitativa redução da insegurança (riscos)redução da insegurança (riscos) documentada e acompanhadadocumentada e acompanhada

Por que gerir?Por que gerir?

Custo/benefícioCusto/benefício custo é um fator limitantecusto é um fator limitante qual o nível de segurança desejado?qual o nível de segurança desejado?

Aceitação de riscosAceitação de riscos

Além da técnica...Além da técnica... Políticas de segurançaPolíticas de segurança Educação para usuáriosEducação para usuários Revisão de riscos, políticas e mecanismosRevisão de riscos, políticas e mecanismos ......

Políticas

Segurança: basesSegurança: bases

Me

ca

ni

smo

s

Cultura

Segurança

Política de SegurançaPolítica de Segurança

RegulamentaRegulamenta gerênciagerência proteçãoproteção acessoacesso

DeterminaDetermina o que deve/pode ser feitoo que deve/pode ser feito quem deve/pode fazerquem deve/pode fazer como deve ser feitocomo deve ser feito

OG


TiposTipos OrganizacionalOrganizacional

preocupações da direçãopreocupações da direção linhas mestras para todo o processo de gerêncialinhas mestras para todo o processo de gerência

GerencialGerencial modelo para gerência de riscosmodelo para gerência de riscos estruturação da disseminação de culturaestruturação da disseminação de cultura processos para atualização de políticasprocessos para atualização de políticas

EspecíficaEspecífica intimamente relacionada à Técnicaintimamente relacionada à Técnica configuração de firewallsconfiguração de firewalls gerenciamento de senhasgerenciamento de senhas

E


Deve ser bem claraDeve ser bem clara No tocante ao seu conteúdoNo tocante ao seu conteúdo Quanto à sua aprovação e publicaçãoQuanto à sua aprovação e publicação

Incluir participação de todosIncluir participação de todos Aprovação da diretoriaAprovação da diretoria Usuários de diferentes setoresUsuários de diferentes setores

Observar questões legaisObservar questões legais Ex.: relativas à monitoração de atividadesEx.: relativas à monitoração de atividades


Deve ser compatívelDeve ser compatível Com a realidade da empresaCom a realidade da empresa Com a capacidade dos usuáriosCom a capacidade dos usuários

Documentar a ciência dos usuáriosDocumentar a ciência dos usuários

Deve estar sempre atualizadaDeve estar sempre atualizada

Gerência de SegurançaGerência de Segurança

ComponentesComponentes Política de segurançaPolítica de segurança

Rege todos os processosRege todos os processos

Gerência de riscosGerência de riscos Identificar bens, ameaças, vulnerabilidadesIdentificar bens, ameaças, vulnerabilidades

Disseminação de culturaDisseminação de cultura Capacitação dos usuáriosCapacitação dos usuários

Manutenção do processoManutenção do processo Garantir a eficiênciaGarantir a eficiência

Questões principaisQuestões principais

O que se está querendo proteger?O que se está querendo proteger? Qual a probabilidade de um ataque?Qual a probabilidade de um ataque? Quais os pontos mais vulneráveis?Quais os pontos mais vulneráveis? Qual o prejuízo se o ataque for bem sucedido?Qual o prejuízo se o ataque for bem sucedido? O que é preciso para proteger?O que é preciso para proteger? Implementar procedimentos de segurança Implementar procedimentos de segurança

será vantajoso do ponto de vista será vantajoso do ponto de vista custo/benefício?custo/benefício?

Gerência de riscosGerência de riscos

Tentar responder essas perguntasTentar responder essas perguntas Guiar as decisões de segurançaGuiar as decisões de segurança Monitorar as soluções implementadasMonitorar as soluções implementadas Propor novas alteraçõesPropor novas alterações Em resumo: gerência de riscos é um Em resumo: gerência de riscos é um

processo contínuoprocesso contínuo

Gerência de riscosGerência de riscos

Composta por 3 processos menores:Composta por 3 processos menores: Análise de riscosAnálise de riscos Minimização de riscosMinimização de riscos Monitoração e controle Monitoração e controle

Gerência de RiscosGerência de Riscos

EtapasEtapas Análise de riscosAnálise de riscos Minimização de riscosMinimização de riscos ManutençãoManutenção

IdentificarIdentificar

AnalisarAnalisar

MonitorarMonitorar

ControlarControlar

ImplementarImplementar

PlanejarPlanejar

Análise

Minimização

Manutenção


Análise de riscosAnálise de riscos IdentificarIdentificar

bensbens infra-estruturainfra-estrutura ameaçasameaças vulnerabilidadesvulnerabilidades

AnalisarAnalisar impacto das ameaçasimpacto das ameaças determinar riscosdeterminar riscos propor soluçõespropor soluções IdentificarIdentificar

AnalisarAnalisar

MonitorarMonitorar

ControlarControlar


PlanejarPlanejar


Minimização de riscosMinimização de riscos PlanejarPlanejar

avaliar custo/benefícioavaliar custo/benefício priorizar açõespriorizar ações

ImplementarImplementar minimização dos riscos especificadosminimização dos riscos especificados responsabilidadesresponsabilidades prazosprazos configuraçõesconfigurações


AnalisarAnalisar

MonitorarMonitorar

ControlarControlar


PlanejarPlanejar


ManutençãoManutenção MonitorarMonitorar

cumprimento das tarefas definidascumprimento das tarefas definidas eficiência das ações tomadaseficiência das ações tomadas

ControlarControlar mudanças do ambientemudanças do ambiente potencial surgimento de novos riscospotencial surgimento de novos riscos reiniciar o processoreiniciar o processo


AnalisarAnalisar

MonitorarMonitorar

ControlarControlar


PlanejarPlanejar

Disseminação de CulturaDisseminação de Cultura

Cultura existente pode ser uma barreiraCultura existente pode ser uma barreira

Vital para o cumprimento da política de Vital para o cumprimento da política de segurançasegurança

Não deve ser feita de forma coercivaNão deve ser feita de forma coerciva o objetivo é obter cooperaçãoo objetivo é obter cooperação cada usuário deve entender o seu papelcada usuário deve entender o seu papel

Disseminação de CulturaDisseminação de Cultura

InstrumentosInstrumentos ContratosContratos Fóruns de discussãoFóruns de discussão Cartilhas/folhetosCartilhas/folhetos Cursos de capacitação e conscientizaçãoCursos de capacitação e conscientização

interpretação da política de segurançainterpretação da política de segurança identificação de novas ameaçasidentificação de novas ameaças identificação de ações não autorizadasidentificação de ações não autorizadas

Manutenção do ProcessoManutenção do Processo

Acompanhamento de cada componenteAcompanhamento de cada componente InteraçõesInterações

conflitosconflitos violaçõesviolações atualizaçãoatualização

Cumprimento das metas definidasCumprimento das metas definidas Adequação aos objetivos da organizaçãoAdequação aos objetivos da organização

Garantir que o processo seja Garantir que o processo seja permanentepermanente

Análise de RiscosAnálise de Riscos

Caracterizaçãodo Sistema


Identificação deAmeaças


Identificação deVulnerabilidadesIdentificação deVulnerabilidades

Vulnerabilidade Agente Ameaça

Contas de antigos funcionáriosnão foram removidas do sistema

Antigos funcionários Usar os serviços de acesso discadoda empresa para obter dados internos

Firewall da empresa permite telnetexterno e existe uma conta guest noservidor XYZ

Usuários não autorizados (e.g.hackers, antigos funcionários,concorrentes)

Conectar, via telnet, no servidor XYZ enavegar no sitema de arquivos atravésda conta guest

Vendedor identificou problemas desegurança em seu sistema; entretanto,novas correções (patches) não foramaplicados ao sistema

Usuários não autorizados (e.g.hackers, antigos funcionários,concorrentes)

Obter acesso não autorizado aarquivos críticos do sistema, atravésdas vulnerabilidades conhecidas







Análise deProbabilidades


Análise deMecanismosAnálise de

Mecanismos

Probabilidade Definição

Alto O agente da ameaça é altamente motivado e suficientemente capaz e os mecanismos paraprevenir a exploração das vulnerabilidades existentes são ineficazes

Médio O agente da ameaça é motivado e capaz, mas os mecanismos existentes podem impedir aexploração das vulnerabilidades do sistema

Baixo O agente da ameaça não é motivado e suficientemente capaz, ou os mecanismos para prevenira exploração das vulnerabilidades são eficazes










MecanismosAnálise deImpacto

Análise deImpacto

Impacto Definição

Alto A exploração da vulnerabilidade pode: (1) resultar em altas perdas financeiras; (2) violarsignificantemente bens intangíveis; (3) resultar em perdas humanas ou em sérios danos;

Médio A exploração da vulnerabilidade pode: (1) resultar em perdas financeiras; (2) violar bensintangíveis; (3) resultar em sérios danos;

Baixo A exploração da vulnerabilidade pode: (1) resultar na perda de algum bem convencional; (2)afetar bens intangíveis;











Análise deImpacto

Determinaçãode Riscos


Impacto

Probabilidade de Ameaça Baixo

(10)

Médio

(50)

Alto

(100)

Alto (1,0) Baixo

10 x 1,0 = 10

Médio

50 x 1,0 = 50

Alto

100 x 1,0 = 100

Médio (0,5) Baixo

10 x 0,5 = 5

Médio

50 x 0,5 = 25

Médio

100 x 0,5 = 50

Baixo (0,1) Baixo

10 x 0,1 = 1

Baixo

50 x 0,1 = 5

Baixo

100 x 0,1 = 10











Análise deImpacto



Recomendaçãode MecanismosRecomendaçãode Mecanismos

Documentaçãode ResultadosDocumentaçãode Resultados

Estudo de CasoEstudo de Caso

...

...

Internet

ISP

ISP

DBServer

ServidorInterno deArquivos

Workstations

RAS Roteador

DNS, MAIL,HTTP, FTP

Workstations

DNS, MAIL

FuncionáriosRemotos

ISP


Identificação de ameaçasIdentificação de ameaças Acesso não autorizado ao DB ServerAcesso não autorizado ao DB Server Alteração de páginas webAlteração de páginas web Distribuição de material indevido via FTPDistribuição de material indevido via FTP Acesso irrestrito à Internet pelas máquinas Acesso irrestrito à Internet pelas máquinas

internasinternas Todas as máquinas vulneráveis via Internet Todas as máquinas vulneráveis via Internet

(intrusão, instalação de backdoors, etc)(intrusão, instalação de backdoors, etc) Sem controle quanto aos uso de sniffersSem controle quanto aos uso de sniffers


Identificação de vulnerabilidadesIdentificação de vulnerabilidades 1. Inexistência de controle de tráfego1. Inexistência de controle de tráfego 2. Inexistência de detecção de varreduras 2. Inexistência de detecção de varreduras 3. Ataque de negação de serviço3. Ataque de negação de serviço 4. Serviços concentrados 4. Serviços concentrados 5. Todas as máquinas visíveis da Internet5. Todas as máquinas visíveis da Internet 6. Uso de serviços inseguros por funcionários 6. Uso de serviços inseguros por funcionários

remotos (vendedores e pessoal de suporte)remotos (vendedores e pessoal de suporte) 7. Excesso de privilégios para usuários internos7. Excesso de privilégios para usuários internos 8. Comunicação insegura entre matriz e filial8. Comunicação insegura entre matriz e filial


Análise de mecanismosAnálise de mecanismos Uso de senhasUso de senhas Acesso ao DB diferenciado por usuárioAcesso ao DB diferenciado por usuário Acesso a recursos de rede requer Acesso a recursos de rede requer

identificação do usuárioidentificação do usuário Uso do serviço de RAS restrito a Uso do serviço de RAS restrito a

funcionários remotos e requer identificaçãofuncionários remotos e requer identificação Acesso ao DB livre de injeção de SQL Acesso ao DB livre de injeção de SQL


Análise de ProbabilidadesAnálise de Probabilidades Inexistência de controle de tráfego - altaInexistência de controle de tráfego - alta Inexistência de detecção de varreduras - alta/baixa Inexistência de detecção de varreduras - alta/baixa Ataque de negação de serviço - média/baixaAtaque de negação de serviço - média/baixa Serviços concentrados - alta/médiaServiços concentrados - alta/média Todas as máquinas visíveis da Internet - alta/médiaTodas as máquinas visíveis da Internet - alta/média Uso de serviços inseguros por funcionários remotos Uso de serviços inseguros por funcionários remotos

- alta/média- alta/média Excesso de privilégios para usuários internos - Excesso de privilégios para usuários internos -

média/altamédia/alta Comunicação insegura entre matriz e filial - médiaComunicação insegura entre matriz e filial - média


Análise de ImpactoAnálise de Impacto Inexistência de controle de tráfego - altoInexistência de controle de tráfego - alto Inexistência de detecção de varreduras - Inexistência de detecção de varreduras -

médio/baixo médio/baixo Ataque de negação de serviço - médio/baixoAtaque de negação de serviço - médio/baixo Serviços concentrados - alto/média/baixoServiços concentrados - alto/média/baixo Todas as máquinas visíveis da Internet - alto/médioTodas as máquinas visíveis da Internet - alto/médio Uso de serviços inseguros por funcionários remotos Uso de serviços inseguros por funcionários remotos

- alto/baixo- alto/baixo Excesso de privilégios para usuários internos - Excesso de privilégios para usuários internos -

médio/altomédio/alto Comunicação insegura entre matriz e filial - Comunicação insegura entre matriz e filial -

alto/médioalto/médio


Determinação de riscosDeterminação de riscos risco = probabilidade x impactorisco = probabilidade x impacto Risco alto:Risco alto:

Sem controle de tráfegoSem controle de tráfego Todas as máquinas visíveis da InternetTodas as máquinas visíveis da Internet

Risco médio:Risco médio: Serviços remotos insegurosServiços remotos inseguros Excesso de privilégios internosExcesso de privilégios internos Serviços concentradosServiços concentrados Comunicação insegura entre matriz e filialComunicação insegura entre matriz e filial

Risco baixo:Risco baixo: Inexistência de detecção de varredurasInexistência de detecção de varreduras Ataque de negação de serviçoAtaque de negação de serviço

Estudo de casoEstudo de caso

G1 G2 G3 G4

P I R P I R P I R P I R

1 .8 95 76 .8 95 76 .9 80 72 .8 70 56

2 .05 25 1,2 .9 10 9 1 5 5 .9 10 9

3 .2 80 16 .1 35 3,5 .1 10 1 .1 60 6

4 .7 85 59,5 .3 40 12 .35 60 21 .6 80 48

5 .85 85 72,2 .6 80 48 .95 70 66,5 .9 70 63

6 .6 75 45 .2 95 19 .4 90 36 .2 90 18

7 .4 60 24 .4 80 32 .8 70 56 .9 70 63

8 .65 80 52 .2 95 19 .45 90 40,5 .3 90 27


...

Internet

ISP

ISP

ISP

DBServer

HTTPFTP

Servidor Interno de Arquivos

Workstations

RAS

Roteador

DNSMAIL

Filtro Interno

Filtro e NAT

VPNGateway

FuncionáriosRemotos

Política de segurançaPolítica de segurança

Conjunto de leis regras e práticas que regulam Conjunto de leis regras e práticas que regulam (informações e recursos):(informações e recursos): como gerenciarcomo gerenciar como protegercomo proteger como distribuircomo distribuir

Sistema seguro = sistema que garante o Sistema seguro = sistema que garante o cumprimento da política de segurança traçadacumprimento da política de segurança traçada

Políticas: problemasPolíticas: problemas

Pessoas encararam políticas como:Pessoas encararam políticas como: um redutor de produtividadeum redutor de produtividade medidas para controlar o comportamentomedidas para controlar o comportamento

Diferentes pessoas têm diferentes visões Diferentes pessoas têm diferentes visões sobre as necessidades de segurançasobre as necessidades de segurança

Funcionários temem a dificuldade de Funcionários temem a dificuldade de implementação e de cumprimentoimplementação e de cumprimento

Políticas afetam todos na organizaçãoPolíticas afetam todos na organização

Políticas: característicasPolíticas: características

Deve:Deve: ser implementável e exeqüívelser implementável e exeqüível ter foco no futuroter foco no futuro clara e concisaclara e concisa equilibrar proteção e produtividadeequilibrar proteção e produtividade

Políticas: característicasPolíticas: características

Deveria:Deveria: esclarecer sua necessidadeesclarecer sua necessidade descrever o que é coberto pela políticadescrever o que é coberto pela política definir contatos e responsabilidadesdefinir contatos e responsabilidades discutir como tratar violaçõesdiscutir como tratar violações

Políticas: estruturaPolíticas: estrutura

Depende do tamanho e propósitos da Depende do tamanho e propósitos da organizaçãoorganização

Um único documento ou vários menoresUm único documento ou vários menores manutenção mais fácil para pequenos documentosmanutenção mais fácil para pequenos documentos

Política geral e políticas específicasPolítica geral e políticas específicas Exemplos:Exemplos:

uso admissíveluso admissível acesso remotoacesso remoto proteção da informaçãoproteção da informação segurança mínima de host/dispositivosegurança mínima de host/dispositivo

Segurança: estratégiasSegurança: estratégias

Atribuir privilégios mínimosAtribuir privilégios mínimos Criar redundância de mecanismosCriar redundância de mecanismos Criar ponto único de acessoCriar ponto único de acesso Determinar os pontos mais fracosDeterminar os pontos mais fracos Tornar o sistema livre de falhas (Tornar o sistema livre de falhas (fail-fail-safesafe))

Incentivar a participação universalIncentivar a participação universal Investir na diversidade de defesaInvestir na diversidade de defesa Prezar a simplicidadePrezar a simplicidade

MecanismosMecanismos

CriptografiaCriptografia AutenticaçãoAutenticação Redes privadas (VPNs)Redes privadas (VPNs) FirewallsFirewalls Ferramentas de verificação (auditoria)Ferramentas de verificação (auditoria) Sistemas de detecção de intrusão (IDSs)Sistemas de detecção de intrusão (IDSs)

Links: ferramentasLinks: ferramentas

Nessus: Nessus: www.nessus.orgwww.nessus.org

NMap: NMap: www.nmap.orgwww.nmap.org

Tripwire: Tripwire: www.tripwire.comwww.tripwire.com

Ethereal: Ethereal: www.ethereal.comwww.ethereal.com

SSH: SSH: www.ssh.comwww.ssh.com

PGP: PGP: www.pgp.comwww.pgp.com

Links: páginasLinks: páginas

www.securityfocus.comwww.securityfocus.com

www.infosyssec.netwww.infosyssec.net

www.cerias.purdue.eduwww.cerias.purdue.edu

cve.mitre.orgcve.mitre.org

www.commoncriteria.orgwww.commoncriteria.org

www.whitehats.comwww.whitehats.com

Links: organizaçõesLinks: organizações

www.cert.orgwww.cert.org

www.first.orgwww.first.org

csrc.ncsl.nist.govcsrc.ncsl.nist.gov

www.ietf.orgwww.ietf.org

www.sans.orgwww.sans.org

www.nic.brwww.nic.br

Documents

Gerência de Segurança. Por que gerir? Só aplicação de mecanismos Só aplicação de mecanismos cultura e política ignoradas cultura e política ignoradas