INF712 Gerência de Segurança da Informaçãordahab/cursos/mp202/Welcome_files/aul… · Disponibilidade (de dados e do sistema) Integridade (de dados e do sistema) Conﬁdencialidade

INF712Gerência de Segurança da

InformaçãoMissão, requisitos e serviços de segurança

Prof. Ricardo Dahab

Instituto de Computacao-UNICAMP

14 de dezembro de 2002

INF712Gerencia de Seguranca da Informacao – p.1/32

Fonte principal

Relatório Especial do NIST 800-33 de dezembro de 2001


http://www.ic.unicamp.br/~rdahab/cursos/inf712/material_didatico/docs/sp800-33.pdf

A missão da T.S.I.

Missão primordial da Tecnologia de Segurança daInformação:

Auxiliar uma organização a alcançar os seus objetivos emetas, implementando sistemas que levem em conta osriscos da utilização da Tecnologia da Informação para aorganização, seus parceiros e clientes.


Sobre a missão

A missão não leva em conta riscos de segunda ordemcomo impactos no nível de emprego, produtividade, etc.

A preocupação é com o mau uso do sistema, acidentalou não, que coloque em risco requisitos de segurança.Essa área é conhecida por system security.

Há uma área correlata, system safety, que enfoca ofuncionamento confiável de sistemas na eventualidadede mal funcionamento por falhas involuntárias.

Essas duas áreas vêm se aproximando, compartilhandotecnologias e conferências, sob o nome de systemdependability.

Neste curso estamos mais interessados em systemsecurity.


Sobre a missão







Sobre a missão







Sobre a missão







Sobre a missão







Requisitos da S.I.

Requisitos básicos da Segurança da Informação:

Disponibilidade (de dados e do sistema)

Integridade (de dados e do sistema)

Confidencialidade (de dados e informações do sistema)

Responsabilização (de indivíduos)

Além desses, há um meta-requisito, a asseguração de que os

demais requisitos tenham sido satisfeitos.


Requisitos da S.I.









Requisitos da S.I.









Requisitos da S.I.









Requisitos da S.I.









Confidencialidade

Confidencialidade equivale a sigilo das informações.

Alguns (mas não necessariamente todos) dados devemser mantidos em segredo. Mais formalmente, dadosprivados e confidenciais não devem ser divulgados parapessoas não autorizadas.

Exemplo: dados estratégicos, dados protegidoslegalmente (dados de identificação do registro de umpaciente), dados de controle de sistemas de proteção(passwords, chaves criptográficas, etc).


Confidencialidade





Confidencialidade





Integridade de dados

Confiança de que dados não tenham sido alterados deforma não autorizada e imperceptível.

Alteração pode ocorrer em dados armazenados, emtransporte ou processamento.

(Provavelmente) todos os dados devem ser íntegros












Integridade do sistema

Confiança de que o sistema se porte conforme oesperado e livre de manipulações não autorizadas.

Consequentemente, o sistema deve estar livre demanipulações não autorizadas, como inserção de virus,sabotagem, etc.

Todos os sistemas devem ser íntegros.












Disponibilidade

O serviço prestado pelo sistema deve estar disponível,em tempo apropriado, para usuários autorizados.

Disponibilidade protege contra tentativas acidentais ouintencionais de apagar dados, ou de impedir o usocorreto do sistema pela sobrecarga intencional maliciosa(denial of service)).

Todos os dados e sistemas devem estar disponíveis.


Disponibilidade





Disponibilidade





Responsabilização

Garantia adequada de imputabilidade.

Supõe a existência de meios para identificação daautoria de ações no sistema, danosas ou não,autorizadas e/ou não-autorizadas.

Meios traduzem-se em políticas e técnicas pararastreamento, auditoria, recuperação de acidentes,desencorajamento, detecção e prevenção de intrusões econtenção de danos.

Nem sempre é parte dos requisitos de segurança de umsistema.


Responsabilização






Responsabilização






Responsabilização






Asseguração

Confiança no funcionamento correto do sistema desegurança e proteção adequada contra erros e ataques.

Obtida com aderência a normas, monitoramento e testescontínuos.

É essencial à manutenção dos demais requisitos


Asseguração





Asseguração





Ordenação dos requisitos

Normalmente a ordem de importância é:

Disponibilidade

Integridade

Confidencialidade

Responsabilização


Dependências entre requisitos

Integridade→ Confidencialidade

Confidencialidade→ Integridade

{Confidencialidade, Integridade}→ Disponibilidade

{Confidencialidade, Integridade}→ Responsabilização

A Asseguração e os outros requisitos sãointerdependentes.






























Serviços de segurança

Serviços de segurança são as sub-tarefas de um sistemaresponsáveis pelo provimento total ou parcial de um ou maisrequisitos de segurança.

Dividem-se em serviços de

prevenção,

detecção,

recuperação e

suporte





prevenção,

detecção,

recuperação e

suporte





prevenção,

detecção,

recuperação e

suporte





prevenção,

detecção,

recuperação e

suporte


Serviços de prevenção

São os que devem prevenir ataques, ou quebras desegurança.

Proteção das comunicações: em sistemas distribuídosdeve-se garantir a integridade e confidencialidade dedados em trânsito. Neste caso, este serviço previne quedados confidenciais sejam observados enquanto emtrânsito (provê confidencialidade) e previne que os dadossejam capturados, alterados e depois enviados para odestino original (provê integridade e disponibilidade).



Autenticação: garantia de que uma identidade estejacorreta. Usuários e processos devem se identificarperante o sistema para poderem utilizar seus serviços.Esta identificação é complexa pois de alguma forma osusuários ou processos devem provar ao sistema que sãorealmente quem dizem que são. Um modo usual éatravés de senhas. Há outros métodos, a seremdiscutidos mais adiante no curso.



Autorização e controle de acesso: definição dosatividades permitidas para uma pessoa/processo.Mesmo quando propriamente autenticada, deve-selimitar o conjunto de ações, atividades, acesso, enfim,serviços, que diferentes pessoas/processos podemutilizar. Ana pode ter sido corretamente autenticada pelosistema, mas mesmo assim ela não deve ter acesso aosarquivos privados de Bela.

Não-repudiação: a correta responsabilização de um ato,depende da impossibilidade de sua repudiação



Autorização e controle de acesso: definição dosatividades permitidas para uma pessoa/processo.Mesmo quando propriamente autenticada, deve-selimitar o conjunto de ações, atividades, acesso, enfim,serviços, que diferentes pessoas/processos podemutilizar. Ana pode ter sido corretamente autenticada pelosistema, mas mesmo assim ela não deve ter acesso aosarquivos privados de Bela.

Não-repudiação: a correta responsabilização de um ato,depende da impossibilidade de sua repudiação


Serviços de detecção

Nenhuma medida ou conjunto de medidas de prevenção podeser (ou é) 100% garantida. Portanto deve ser possívelverificar quando o sistema está comprometido.

Registro de eventos (log): um registro íntegro de eventosrelevantes do sistema, que permite depois do fato(auditoria), a verificação de uma quebra de segurança oua responsabilização por atividades executadas.



Detecção de intrusão: detecção (no momento do fato) deuma quebra de segurança. São mecanismos quepermitem criar uma suspeita de quebra de segurança,que normalmente vai ser verificada usando os registrosde eventos, prova de integridade, etc.

Prova de integridade: deve ser possível verificar se aintegridade do sistema foi ou não comprometida. Provade integridade inclui verificar se o resumo digital(assunto a ser coberto numa próxima aula) dosprogramas e dos dados estão corretos.



Detecção de intrusão: detecção (no momento do fato) deuma quebra de segurança. São mecanismos quepermitem criar uma suspeita de quebra de segurança,que normalmente vai ser verificada usando os registrosde eventos, prova de integridade, etc.

Prova de integridade: deve ser possível verificar se aintegridade do sistema foi ou não comprometida. Provade integridade inclui verificar se o resumo digital(assunto a ser coberto numa próxima aula) dosprogramas e dos dados estão corretos.


Serviços de recuperação

Uma vez que foi detectada uma quebra de segurança,medidas para corrigir o problema devem ser postas emprática.

Recuperação de um estado seguro: se foi detectadauma quebra de segurança e o sistema foi comprometido,deve ser possível restaurá-lo para um estado anteriornão comprometido.

Limitação de acesso (a intrusos): se um intruso foidetectado, deve ser possível limitar o acesso ao sistema(para o intruso mas provavelmente para todos - ate quese saiba quem é o intruso!)


Serviços de recuperação

Uma vez que foi detectada uma quebra de segurança,medidas para corrigir o problema devem ser postas emprática.

Recuperação de um estado seguro: se foi detectadauma quebra de segurança e o sistema foi comprometido,deve ser possível restaurá-lo para um estado anteriornão comprometido.

Limitação de acesso (a intrusos): se um intruso foidetectado, deve ser possível limitar o acesso ao sistema(para o intruso mas provavelmente para todos - ate quese saiba quem é o intruso!)


Serviços de suporte

Serviços genéricos que normalmente dão suporte às outrasatividades do sistema de segurança:

Identificação e nomeação: deve ser possível identificarusuários, processos, recursos.

Gerenciamento de chaves criptográficas: se chavescriptográficas são usadas, seu gerenciamento deve serseguro. Por exemplo, senhas devem ser guardadas deuma forma segura pois ganhar acesso a uma senhasignifica ser autenticado para usar o sistema.


Serviços de suporte

Serviços genéricos que normalmente dão suporte às outrasatividades do sistema de segurança:

Identificação e nomeação: deve ser possível identificarusuários, processos, recursos.

Gerenciamento de chaves criptográficas: se chavescriptográficas são usadas, seu gerenciamento deve serseguro. Por exemplo, senhas devem ser guardadas deuma forma segura pois ganhar acesso a uma senhasignifica ser autenticado para usar o sistema.


Serviços de integridade

Prevenção: impedir que pessoas não autorizadasmodifiquem dados.

1. autenticação do usuário (usa serviços de identificação egerenciamento de chaves criptográficas);

2. autorização e controle de acesso;

3. proteção de comunicações (entre usuário e sistemas eentre componentes do sistema);

4. acesso ao dado.


Serviços de integridade

Recuperação:

1. detecção de intrusão;

2. verificação de integridade;

3. limitação de acesso;

4. recuperação a um estado seguro.


Serviços de disponibilidade

Disponibilidade (de dados) é a forma máxima deintegridade.

Os mesmos serviços estão em ação.


Serviços de confidencialidade

Prevenção:

1. autenticação do usuário (identificação e gerenciamentode chaves);

2. autorização e controle de acesso;

3. proteção das comunicações.

Recuperação: não existe recuperação para quebra deconfidencialidade!!


Serviços de responsabilização

Prevenção: não-repudiação e controle de acesso.

Recuperação: auditoria (log de eventos).


Risco

Alguns termos/definições importantes:

Vulnerabilidade: uma fraqueza nos procedimentos, ouprojeto, ou protocolos, ou controles do sistema desegurança que podem ser explorados (intencionalmente)ou disparados (acidentalmente).

Ameaça: ou a intenção de explorar uma vulnerabilidadeou as situações onde uma vulnerabilidade pode seracidentalmente disparada.

Risco: o impacto nos negócios/missão na eventualidadede que uma ameaça explore ou crie uma vulnerabilidade.


Risco






Risco






Ameaças

Ameaças não são só pessoas maliciosas mas tambémsituações acidentais.Mesmo quando são pessoas, a ameaça pode não sermaliciosa, mas apenas intencional: um funcionário queexplora uma vulnerabilidade para “fazer o serviço”.

acidentes

pessoas bem intencionadas (de dentro da organização)

pessoas mal intencionadasexternas (hackers, terroristas, espiões, etc)internas (empregados!)


Ameaças


acidentes




Ameaças


acidentes


pessoas mal intencionadas

externas (hackers, terroristas, espiões, etc)internas (empregados!)


Ameaças


acidentes


pessoas mal intencionadasexternas (hackers, terroristas, espiões, etc)

internas (empregados!)


Ameaças


acidentes




Ameaças à confidencialidade

Ameaças a confidencialidade são normalmente intencionais.Ameaças comuns:

hackers;

um usuário se passando por outro (personificação);

controle de acesso errado, mal implementado;

canais de comunicação não protegidos (LANs);

praticas de conveniência (download de arquivos secretospara trabalhar no laptop);

cavalos de tróia - programas que além de fazerem algoútil, fazem algo escondido.




hackers;









hackers;









hackers;









hackers;









hackers;







Ameaças à integr. e disponib.

As mais comuns são:

acidentes de software/hardware/infraestrutura (incêndio,falta de luz, etc);

hackers;

controle de acesso errado ou mal implementado (+funcionário mal intencionado);

cavalos de tróia;

vírus.





hackers;


cavalos de tróia;

vírus.





hackers;


cavalos de tróia;

vírus.





hackers;


cavalos de tróia;

vírus.





hackers;


cavalos de tróia;

vírus.


Aspectos externos

Segurança não é apenas garantida por sistemas técnicos,intrínsecos ao hardware ou software, mas também porsistemas não técnicos, sistemas físicos, procedimentos,estrutura organizacional, legislação, etc.Exemplos:

a forma mais fácil de quebrar a disponibilidade de umsistema é desligar a maquina onde ele opera. Se quasequalquer pessoa pode chegar perto do computador, nãohá mecanismo técnico que proteja a disponibilidade dosistema. Segurança física é necessária.

não adianta criar um registro de eventos (log) seninguém os analisa. É preciso criar procedimentos, efunções para o gerenciamento de segurança.


Aspectos externos

Segurança não é apenas garantida por sistemas técnicos,intrínsecos ao hardware ou software, mas também porsistemas não técnicos, sistemas físicos, procedimentos,estrutura organizacional, legislação, etc.Exemplos:

a forma mais fácil de quebrar a disponibilidade de umsistema é desligar a maquina onde ele opera. Se quasequalquer pessoa pode chegar perto do computador, nãohá mecanismo técnico que proteja a disponibilidade dosistema. Segurança física é necessária.

não adianta criar um registro de eventos (log) seninguém os analisa. É preciso criar procedimentos, efunções para o gerenciamento de segurança.


Aspectos externos

não adianta detectar que o sistema foi comprometido senão se tem autorização para recuperar um estado nãocomprometido (pois significa perda de trabalho - tudoque foi feito desde o estado seguro!). É preciso umaestrutura organizacional que dê poder apropriado aosetor de segurança.

não adianta poder provar que uma pessoa X causouuma quebra de segurança se X não puder ser punido dealguma forma! É preciso criar legislação, normas, etcque punam uma tentativa de quebra do sistema.

Sistemas não intrínsecos de segurança serão discutidosnuma aula posterior.


Aspectos externos





Aspectos externos





Documents

INF712 Gerência de Segurança da Informaçãordahab/cursos/mp202/Welcome_files/aul… · Disponibilidade (de dados e do sistema) Integridade (de dados e do sistema) Conﬁdencialidade