View
3.632
Download
1
Embed Size (px)
DESCRIPTION
Palestra técnica sobre segurança de operações.
Citation preview
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
SeguranSegurançça de a de operaoperaççõesões
Março de 2010
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Termo de IsenTermo de Isençção de Responsabilidadeão de Responsabilidade
A TI Safe, seus colaboradores e executivos, não se
responsabilizam pelo mau uso das informações aqui prestadas.
Aproveite esta apresentação para ampliar seus conhecimentos em
Segurança da Informação.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Sobre a TI SafeSobre a TI Safe
Missão– Fornecer produtos e
serviços de qualidade para a Segurança da Informação
Visão– Ser referência de
excelência em serviços de Segurança da Informação
Equipe técnica altamente qualificada
Apoio de grandes marcas do mercado
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Não precisa copiar...Não precisa copiar...
http://www.tisafe.com/recursos/palestras/
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AgendaAgenda
• Conceitos• Estabelecimento de controles• Assegurando operações• Gerenciamento de Incidentes• Implantação de CSIRTS• Práticas• Conclusão• Revisão de conhecimentos• Referências
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ConceitosConceitos
Segurança de operações: É o processo de salvaguarda dos bens de informação enquanto o dado estiver residente no computador, mídia de armazenamento ou em trânsito através de links de comunicação, ou de alguma forma associado com o processamento de dados do ambiente.
• Identifica os controles sobre Hardware, Mídia e os operadores e administradorescom privilégios de acesso a estesrecursos.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ConceitosConceitos
O Administrador de segurança deve ser capaz de:
• Identificar eventos históricos e em tempo real
• Capturar ações subsequentes
• Identificar os elementos chave envolvidos
• Alertar as autoridades apropriadas
• Tomar atitudes corretivas ou de recuperação apropriadas
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Requerimentos para proteRequerimentos para proteçção da informaão da informaççãoão
Operações de processamento de dados tem tradicionalmente sido associados primariamente com a manutenção da disponibilidade de sistemas para grupos de usuários.
Entretanto, segurança de operações envolve não apenas disponibilidade mas também integridade e confidencialidade.
Processos e arquivos não são úteis sem que um nível aceitável de integridade seja mantido, e os operadores/administradores do sistema sejam éticos para garantir que a confidencialidade da informação sensível seja fornecida de acordo com os requerimentos estabelecidos pelo dono do sistema.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Requerimentos crRequerimentos crííticos para controle de operaticos para controle de operaççõesões
Proteção de recursos – Tem como objetivo proteger os recursos computacionais da empresa contra perda ou comprometimento.
Controle de entidades privilegiadas – Usuários em uma rede possuem níveis de acesso que os permitem executar seus trabalhos. Um acesso é privilegiado quando permite a um funcionário modificar controles de acesso, logs e detecção de incidentes.
Controles de Hardware – Apesar de os objetivos de segurança quase sempre serem encarados como um problema de segurança física e lógica, o Hardware pode ser atacado diretamente. Por exemplo, uma conexão indevida a um elemento de rede pode expor dados a acesso não autorizado. Além disto , um sistema tem que incorporar mecanismos que o permitam permanecer em um estado seguro mesmo quando falhas aconteçam.
“The Standard for Good Pratice for Information Security”: conjunto de procedimentos orientados a negócio para garantir níveis de segurança da informação em empresas. Disponível para download em www.securityforum.org
TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ambiente de proteAmbiente de proteçção da informaão da informaççãoão
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
O Ambiente a ser protegidoO Ambiente a ser protegido
O Ambiente inclui todos os recursos computacionais da organização:
Hardware
Software
Operações
Dados e Mídia
Equipamentos de telecomunicações
Sistemas de suporte
Pessoal
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
HardwareHardware
Hardware = computadores e periféricos
Ameaças mais comuns:– Acesso não autorizado a dados
– Uso não autorizado de recursos do computador
– Ataques de Denial Of Service (DOS)
– Falhas no equipamento
– Excesso de privilégios para operadores e administradores que
permitem execução de funções maléficas ao sistema
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
SoftwareSoftware
Software se refere aos componentes do sistema operacional e aplicações que
dizem aos computadores o que fazer
O Sistema operacional inclui os utilitários, bibliotecas, tabelas de
endereçamento, logs de sistema, trilhas de auditoria e serviços de
segurança
Todos estes componentes estão sujeitos a abuso e tem que ser protegidos
não apenas de ataques externos, mas também de mau uso interno
Controles devem ser estabelecidos para prevenir acesso indevido, corrupção
ou destruição destes componentes
Procedimentos de gerenciamento de arquivos devem ser implementadas
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Software (cont.)Software (cont.)
Ameaças:– Buffer Overflow: existente em software mau testado enquanto estava
sendo desenvolvido
– Backdoors e trapdoors: mecanismos escondidos em software que
permitem acesso ao sistema sem passar pela seção de controle de
acesso dos programas.
– “Maintenance hook”: instruções especiais no software (normalmente não
documentadas) para permitir fácil manutenção.
– Manipulação de software de segurança para alterar privilégios ou
controles de sistema, realocar recursos, paralisar o sistema, etc.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
OperaOperaççõesões
Este recurso se refere ao pessoal que gerencia os datacenters e salas de servidores e que tem potencial para afetar o processamento diário das informações
Ameaças:– Modificação do endereço de dispositivos e redirecionamento de I/O– Seqüestro (hijacking) do endereço de rede de um servidor para capturar o
tráfego de entrada ou saída deste servidor– Restart de um servidor a partir de fita, CD ou disquete, ignorando a segurança
do sistema operacional e permitindo acesso não autorizado ao sistema e arquivos
– Redirecionamento da impressão de dados sensíveis– Roubo de um arquivo de senhas de um servidor – Em casos de falha no sistema, controles tem que ser preparados para garantir
que o sistema não esteja vulnerável durante seu processo de recuperação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Dados e MDados e Míídiadia
Dados: arquivos sensíveis, programas, Logs de sistema, trilhas de auditoria, relatórios confidenciais, arquivos de backup, etc.
Mídia: onde os dados são armazenados ou dispostos. Incluem o papel, microfilme, dispositivos magnéticos (HDs), CDs, Fitas, Cartuchos, Pen Drives,etc.
Mídias precisam ser protegidas de acesso não autorizado e possuir mecanismos que garantam sua integridade e disponibilidade
Mídias velhas devem ser destruídas física e logicamente através de ferramentas e procedimentos adequados, para evitar dumpster diving (análise do lixo)
Mídias a serem realocadas dentro da empresa devem antes ser formatadas com procedimentos especiais
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Equipamentos de TelecomunicaEquipamentos de Telecomunicaççõesões
Placas de rede, roteadores, switches, firewalls, cabos, telefones, celulares, etc..
Estes equipamentos devem ser protegidos no mesmo nível que os outros equipamentos da empresa
Normalmente esta proteção se dá instalando estes equipamentos em áreas restritas e com controle de acesso físico
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Sistemas de SuporteSistemas de Suporte
Neste item são incluídos itens de infra-estrutura como a construção do CPD, aquecimento/ventilação/ar-condicionado (HVAC), refrigeração para manter uma temperatura adequada ao funcionamento dos equipamentos, proteção contra fogo e umidade.
Todos estes itens precisam de segurança física para garantir a continuidade das operações
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
PessoalPessoal
As pessoas são o elo mais fraco da cadeia de segurança
A segurança de pessoal: garantir que os funcionários são confiáveis para realizar com segurança das tarefas a eles atribuídas
Funcionários não devem tirar vantagens de seus privilégios para obter acesso a informações que eles não precisem/devam conhecer
Devem existir supervisores competentes para garantir a compatibilidade com políticas, padrões e procedimentos
Dependendo do tipo de organização, os funcionários podem ser submetidos a agências de segurança do governo ou de empresas particulares de investigação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Pessoal Pessoal –– Cont.Cont.
Os privilégios abaixo, comuns a operadores e administradores de sistemas, criam problemas de segurança quando usados com abuso:
– Alteração de privilégios em contas de usuários ou controles– Alteração de itens de proteção ou parâmetros que possam afetar outros funcionários– Realocação de recursos computacionais– Controle sobre a alocação e compartilhamento de recursos de sistema e dados (ex:
memória, espaço em disco, ciclos de CPU, etc.)
Exemplo de fraude: funcionários de um banco que possuem privilégio para consertar transações de pagamentos relacionadas pelo sistema como “erradas” podem alterar os dados de uma transação inválida em favor de uma conta de depósito válida de um amigo e mandar reprocessar a operação.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Pessoal Pessoal –– Cont.Cont.
Outras ameaças:– Uso dos recursos e computadores da empresa para tarefas particulares
– Engenharia social
– Violações de privacidade de arquivos
– Alteração de arquivos de LOG para esconder atividades não autorizadas
– Violações da política de segurança da empresa com o uso de acesso irrestrito a determinados computadores
– Excesso de privilégios para funcionários com tarefas secundárias
Algumas empresas resolvem este problema através da separação de tarefas e privilégios entre os funcionários
TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Estabelecimento de Controles
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Empresa sem polEmpresa sem políítica de segurantica de segurançça...a...
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Tipos de controlesTipos de controles
• Diretivos
• Preventivos
• Investigativos
• Corretivos
• Controles de Recuperação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controles de HardwareControles de Hardware
Proteção física do equipamento.
Devem ser usados filtros de linha e UPSs para garantir a alimentação dos equipamentos.
Para garantir a integridade, modificações no hardware e todo tipo de manutenção devem possuir LOGs para futura referência.
Controle de conexões não autorizadas:O Cabeamento da rede deve ser protegido por calhas e não ser facilmente acessível por indivíduos não autorizados.
Ferramentas anti-sniffer devem ser instaladas na rede.
Recomenda-se criptografar todos os dados trafegados na rede.
Instalar switches na rede para impedir a passagem de dados em broadcast para todos os nós da rede.
Em caso de problemas de hardware, uma rotina deve ser estabelecida para classificação de acordo com sua severidade e urgência.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controles de SoftwareControles de Software
Os seguintes privilégios devem ser restringidos ou monitorados:
– Alteração dos privilégios do computador ou de seus controles.
– Alteração de diretivas de proteção ou parâmetros que possam afetar outros usuários.
– Alocação de recursos.
– Paralisação do sistema de computação.
– Controle da alocação ou compartilhamento de sistemas e recursos (ex.: memória, espaço em disco, ciclos de CPU, etc..)
Para controlar estouros de buffer (buffer overflow), os programadores devem testar e diretamente contornar limitações de memória que possam ser exploradas por intrusos.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controles de Software (cont.)Controles de Software (cont.)
As empresas devem garantir políticas para coibir a utilização de software pirata. Todo software adquirido deve ser examinado para verificar a existência de códigos maliciosos (malicious code).
Cheque software contra backdoors e trapdoors. Isto é fácil de falar mas difícil de fazer, principalmente quando os softwares fornecidos não vem com o código fonte.
Todas as cópias de dicionários, programas, módulos e documentação, incluindo testes e resultados devem estar sob o controle de uma biblioteca.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controles de OperaControles de Operaççõesões
Para manter o controle de operações, tanto em um datacenter quanto em um ambiente de rede, é preciso estabelecer, documentar e reforçar procedimentos operacionais para todos os equipamentos e software.
Procedimentos operacionais devem ser criados para o startup do sistema, condições de erro e como gerenciá-las, shutdown do sistema e como restaurar o sistema a partir de mídia de backup.
“Falha segura” (fail secure): falha ocorre em um estado onde a segurança do sistema é preservada.
Um elemento chave para a recuperação de sistemas é ter backupsatualizados de todos os arquivos de sistema. Para garantir esta disponibilidade é necessário ter uma rotina de backups regulares implementada na empresa (horários/diários/semanais/mensais, dependendo das necessidades da empresa).
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controles de dados e mControles de dados e míídiadia
Backups:– Full Volume é quando o sistema inteiro é copiado– Full Backup é quando todo o conteúdo do dispositivo de armazenamento é copiado. – Backups diferenciais copiam todos os dados que foram alterados desde uma data
específica– Backup incremental copia todos os dados que foram alterados desde o último
backup. – Backups de bancos de dados
Fitas de backup tendem a se deteriorar com o tempo, então elas devem ser lidas periodicamente se elas são usadas para armazenamento de longo prazo e restauradas caso sejam críticas e apresentem sinais de deterioração.
Mudanças tecnológicas podem inibir a leitura de fitas arquivadas devem ser restauradas caso a tecnologia mude.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controles de dados e mControles de dados e míídia (cont.)dia (cont.)
Guarda eletrônica - consiste em 3 tipos:
Guarda em Fitas online;
Journaling de transações remotas:
Espelhamento de banco de dados:
DASDs (Dispositivos de Armazenamento de Acesso Direto)
Tolerância a falhas: continuidade das operações no evento de falha no equipamento.
Espelhamento de dados na rede (RAID): conjunto de discos rígidos, conhecido como disk array, que opera como uma unidade de armazenamento.
Equipamentos e conexões de rede redundantes: usados para evitar problemas de disponibilidade resultantes de um ponto único de falha.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Boas prBoas prááticas para seguranticas para segurançça de dados e ma de dados e míídiadia
• Armazene todas as mídias de forma segura;• Criptografe os dados sensíveis;• Controle e etiquete todas as mídias;• Treine os usuários;• Estabeleça procedimentos e treinamentos para transporte de mídia;• Use uma biblioteca/bibliotecário de mídias;• Estabeleça controles para destruição de mídias;• Estabeleça controles para reutilização de mídias;• Controle o acesso às mídias;• Classifique os dados armazenados;• Estabeleça controles de entrada e saída de dados;
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controles de Equipamentos de TelecomunicaControles de Equipamentos de Telecomunicaççõesões
As boas práticas de segurança para equipamentos de telecomunicações incluem:
Equipamentos de comunicação devem ser monitorados com relação a erros, inconsistências, etc.
Testes de penetração devem ser feitos para garantir que os controles de comunicações não possam ser facilmente comprometidos.
Os dados confidenciais da empresa – senhas e outras informações sensíveis – que forem transmitidos eletronicamente, devem ser criptografados.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controles de Equipamentos de TelecomunicaControles de Equipamentos de Telecomunicaçções (cont.)ões (cont.)
Sistemas de manutenção remota de equipamentos devem ser monitorados e não devem ficar permanentemente disponíveis, sendo ativados somente nos momentos de uso.
O uso de equipamentos para testes em comunicações, utilitários em software para monitoramento de transmissões (sniffers) e outros similares deve ser proibido pela política de segurança da empresa e sódeve ser autorizado em casos extremos para o pessoal responsável.
Todos os equipamentos de comunicações como roteadores, switches, HUBs e outros, devem estar localizados em ambientes seguros e com acesso restrito.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controle de Sistemas de SuporteControle de Sistemas de Suporte
A Manutenção do ambiente de um datacenter é a chave para garantir a disponibilidade e a continuidade de um sistema de informação.
Deve-se manter os níveis de temperatura e umidade do ambiente em níveis apropriados e manter a qualidade do ar e ventilação em níveis que impeçam a contaminação do ar.
Procedimentos para a instalação, monitoramento e manutenção dos equipamentos, cabeamento e energia devem estar sempre de acordo com as recomendações de seus fabricantes
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controles de Controles de ÁÁreas Freas Fíísicassicas
Os equipamentos para processamento de dados devem estar localizados dentro de uma sala protegida contra incêndios, alagamentos, agentes corrosivos, fumaça e outros perigos potenciais vindos de áreas adjacentes como explosões e acesso de pessoas não autorizadas.
O acesso a esta sala deve incluir o uso de um pedido de acesso (para garantir que somente pessoas especificamente autorizadas possam ter acesso permitido) e um log da visita de convidados (para garantir que haja um registro de quem autorizou a entrada da pessoa).
Além disso, sempre deverá haver alguém da empresa acompanhando a visita para garantir que nenhum equipamento possa ter sido tocado de maneira não autorizada.
Quando fitas ou discos são trazidos ou retirados da sala restrita, eles devem ser registrados para garantir a sua contabilização. Um sistema de inventário que mostre quais usuários devem ter acesso a quais equipamentos deve ser mantido ativo na empresa.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Controles de PessoalControles de Pessoal
O controle de pessoal deve começar no momento da contratação, quando énecessário realizar verificações para garantir ao máximo a confiabilidade da pessoa que está sendo contratada.
Seguindo o procedimento de contratação, a supervisão do treinamento inicial para o trabalho e treinamentos específicos sobre a política de segurança da empresa devem ser realizados.
Separação de responsabilidadesNormalmente os administradores da rede possuem controle e privilégios sobre
toda a rede, o que é um fator de extremo risco para uma empresa.O conceito de separação objetiva prevenir que um indivíduo tenha controle sobre
todos os passos da operação e com isto possa manipulá-la em benefício próprio.
Com uma efetiva separação de responsabilidades, o uso fraudulento de sistemas somente será possível caso haja a cumplicidade de várias pessoas na empresa.
Eventualmente esta cumplicidade poderá ser rompida por uma rotação de responsabilidades, onde as atividades fraudulentas acabam sendo descobertas pelo novo ocupante da posição.
TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Mecanismos de controle e verificação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Mecanismos de controle e verificaMecanismos de controle e verificaççãoão
Existem diversos mecanismos para verificar se os controles de segurança estão sendo efetivos. São eles:
Gerência de configuração (GC)Gerência de contigênciaPlano de continuidade de operações (COOP)Planejamento de backupsGerência de alterações de controlesSistemas de detecção de intrusos (IDS)Relatórios de auditoria e eventos de sistemaTestes de penetração (Pen Tests)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Gerência de configuraGerência de configuraçção (GC)ão (GC)
• Mudanças durante o desenvolvimento são inevitáveis; o entendimento dos usuários sobre suas necessidades muda, o ambiente no qual o sistema vai operar muda, a legislação muda, os requisitos mudam.
• Gerência de Configuração (GC) é um conjunto de atividades de apoio ao desenvolvimento que permite que as mudanças inerentes ao desenvolvimento sejam absorvidas pelo projeto de maneira controlada, mantendo a estabilidade na evolução do software e na segurança da solução.
• A GC responde às seguintes questões básicas, que depois são desmembradas em outras questões mais específicas:
• Quais mudanças aconteceram no sistema?
• Por que essas mudanças aconteceram?
• O sistema continua íntegro e seguro mesmo depois das mudanças?
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Gerência de contingênciaGerência de contingência
A Gerência de contingência está relacionada ao estabelecimento de ações a serem tomadas antes, durante e depois de ocorrido um incidente de segurança.
Isto inclui procedimentos documentados e testados que visam garantir a disponibilidade de serviços críticos e a manutenção da continuidade das operações.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Plano de continuidade de operaPlano de continuidade de operaçções (COOP)ões (COOP)
O COOP é um documento que descreve os procedimentos e funções básicas para passar as operações básicas de uma empresa para um local alternativo em no máximo 30 dias.
Os objetivos de um COOP são:Garantir a continuidade das funções essenciais da empresa durante uma emergência ou incidente de segurança
Garantir a segurança dos funcionários da empresa
Proteger equipamentos essenciais, LOGs e outros bens
Reduzir a parada nas operações
Minimizar perdas e danos
Identificar locais para realocação e garantir que requerimentos operacionais e gerenciais foram atingidos após a mudança
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Planejamento de Planejamento de backupsbackups
O Planejamento de Backups é o processo de documentar como a empresa conduzirá os backups.
O Primeiro passo na criação de um plano de backups é determinar quais dados precisam ser salvos, onde estão localizados, e o quanto estes dados são alterados no dia a dia.
O Próximo passo é determinar qual software, hardware e mídia para o backup serão necessários, considerando o planejamento de crescimento da empresa (aquisição de novos servidores, etc.). O Tipo de backup a ser usado (full, incremental, etc.) deve ser documentado, assim como sua freqüência.
O Plano também deve incluir onde as mídias de backup serão armazenadas e por quanto tempo.
Outro importante aspecto do plano é prover treinamento para os empregados que executarão o plano.
O passo final é testar o plano – é possível recuperar documentos em um tempo aceitável e de maneira consistente?
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Gerência de alteraGerência de alteraçções de controlesões de controles
Uma empresa está sempre em contínua mudança e os sistemas mudam de uma maneira regular.
Enquanto algumas mudanças podem ter impacto em custo e tempo, outras podem não ter nenhum impacto.
Por exemplo, suponha que uma empresa decida mudar um departamento de um prédio para outro. A mudança implica em um processo de aprovações seránecessário e que as mudanças deverão ser detalhadas e entregues a quem irá implementá-las.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Gerência de alteraGerência de alteraçções de controles (cont.)ões de controles (cont.)
Pensando especificamente nas alterações em que ocorrem em sistema de informação, os objetivos de um plano de gerência de alterações devem ser:
Garantir alterações de maneira ordenada;
Informar a alteração à comunidade computacional;
Analisar as mudanças;
Reduzir o impacto das mudanças nos serviços;
Planejar a introdução de uma alteração;
Catalogar a alteração;
Agendar a alteração;
Implementar a alteração;Reportar as alterações feitas à gerência;
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Sistemas de detecSistemas de detecçção de intrusos (IDS)ão de intrusos (IDS)
Um sistema de detecção de intrusão (IDS -- Intrusion DetectionSystem) é um programa, ou um conjunto de programas, cuja função é detectar atividades maliciosas ou anômalas.
IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede.
O IDS opera em background no sistema e envia mensagens de alertas quando ele percebe algo suspeito.
As técnicas de detecção de intrusos se baseiam na identificação e isolamento de computadores sob tentativas de invasão através da análise de LOGs e outras trilhas de auditoria.
Um IDS é baseado na idéia que um invasor pode ser identificado através da análise de vários elementos como tráfego de rede, pacotes de dados, utilização de CPU, utilização de I/O e atividades em arquivos.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
RelatRelatóórios de auditoria e eventos de sistemarios de auditoria e eventos de sistema
Os dados de auditoria são a base para as análises dos IDSs.Embora seja possível analisar manualmente cada registro de atividade,
a vastidão dos dados de LOGs é tão grande que torna a análise manual impraticável.
Para resolver este problema, IDSs podem fornecer esta análise jápronta. Eles analisam os registros de auditoria atuais relativos às atividades dos usuários e os comparam com perfis de atividade esperados a fim de detectar se alguma atividade intrusa estáocorrendo.
Mecanismos de monitoramento e auditoria, ferramentas e utilitários permitem a identificação de eventos relacionados a segurança e as ações a serem tomadas para o tratamento dos problemas detectados.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AnAnáálise de trilhas de auditoria (LOG)lise de trilhas de auditoria (LOG)
Uma análise de trilhas de auditoria deve procurar detectar as seguintes ocorrências:
Estão sendo cometidos erros repetitivos? Isto pode ser um sinal de implementações mau feitas ou usuários mau treinados?
Os usuários estão acessando sistemas aos quais não tem necessidade? Isto pode ser uma indicação de uma implementação de controle de acesso mau feita?
Poucas pessoas têm muitos direitos de atualizações? Isto pode ser um resultado de desenvolvimento inadequado de sistemas ou atribuição de privilégios?
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Testes de penetraTestes de penetraçção (ão (PenPen TestsTests))
Teste de penetração é o processo de simulação de um ataque a um sistema de informação a pedido de seu dono, ou pelo menos com a permissão dele.
Um time de penetração é um grupo organizado de pessoas que tentam burlar a segurança e invadir um sistema de informação.
O objetivo é testar a segurança do sistema e encontrar vulnerabilidades ou brechas de segurança nas medidas implementadas pela empresa.
TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Gerenciamento de Incidentes
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
IdentificaIdentificaçção de riscos de seguranão de riscos de seguranççaa
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Lista de verificaLista de verificaçção de resposta a incidentesão de resposta a incidentes
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Contendo os efeitos de um ataqueContendo os efeitos de um ataque
Quando um sistema é atacado, ele deve ser desligado e removido da rede. Os outros sistemas na rede devem estar protegidos.
Os servidores afetados devem ser mantidos e analisados e as descobertas devem ser documentadas.
Pode ser muito difícil atender aos padrões legais para preservação de evidência e ainda ser capaz de seguir em frente com os negócios diários. Um plano detalhado para preservação da evidência que atenda aos requisitos legais na sua jurisdição deve ser desenvolvido junto com os advogados da empresa de forma que um exista um plano quando a rede for atacada.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
CenCenáários de Ataquesrios de Ataques
Neste tópico abordaremos os cenários de ataque e as contramedidas mais adequadas.
Especificamente, discutiremos estes cenários:
Um worm que ataque a porta 135 do UDP
Um worm de email
Um ataque que infecta um computador antes que patches ou correções sejam aplicados
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
WormWorm atacando porta 135 UDPatacando porta 135 UDP
Perímetro
Firewall de rede deve bloquear esse processo desde o início
Rede
Examine ou detecte sistemas vulneráveis
Desative os usos da rede para hosts vulneráveis
Use a Quarentena do RRAS para garantir que os hosts de discagem receberam os patches adequados
Host
Use o IPSec para permitir o UDP 135 de entrada somente em hostsque necessitam de RPC
O firewall do Windows para bloquear tráfego de entrada não desejado para hosts (Windows XP e superior)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
WormWorm de de emailemail
PerímetroExamine todos os anexos no gateway SMTPRedeUse a Quarentena do RRAS para verificar o nível do patch e as
assinaturas de vírusAplicativoOffice 2000: Verifique se pelo menos o Service Pack 2 está instaladoOffice XP e Office 2003: A configuração de zona de segurança padrão
é Sites Restritos (em vez da Internet) e o script ativo em sites restritos também é desabilitado por padrão
UsuáriosEnsine aos usuários que os anexos podem ser mal-intencionados.Se receber um anexo que não solicitou, escreva para o autor para
confirmar que ele queria mesmo enviá-lo antes de abrir o anexo
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Invasão hackerInvasão hacker
PerímetroHabilite o firewallRedeDesconecte o cabo de redeHostInicie o sistema e faça logonCredenciais administrativas locais podem ser necessárias se as
credenciais em cache estiverem desabilitadas.Ative o firewall do Windows para bloquear todo o tráfego de entradaReconecte o cabo de redeBaixe e instale o patchReinicializeDesative o firewall do Windows de acordo com a diretiva
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Lista de VerificaLista de Verificaçção de Seguranão de Seguranççaa
A segurança inicia com educação e instrução. Não dê chances ou permita que as pessoas tomem suas
próprias decisões. Documente tudo e crie procedimentos e processos para
todas as funções de negócios. Sempre que os usuários precisarem fazer algo, eles devem ter um documento disponível que contenha instruções detalhadas.
Compreenda como pode ser atacado. Familiarize-se com ferramentas e vírus de hackers. Investigue onde os ataques acontecem e como.
A pesquisa CSI/FBI Computer Crime and Security Surveypode ser um bom começo.
TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Implantação de CSIRTS
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
CSIRTCSIRT
CSIRT = Computer Security and Incident Response Team
em português, Grupo de Resposta a Incidentes de Segurança da Informação
Um grupo ou organização que provê serviços e suporte para um público bem definido, para prevenção, tratamento e resposta a incidentes de segurança
Ponto central de contato
Provê informações para o seu público
Troca informações com outros CSIRTs
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Papel do CSIRTPapel do CSIRT
Coordenar açõesDeterminar o impactoProver recuperação rápidaPreservar evidênciasProver recomendações e estratégiasSer o ponto de contato com outros grupos, polícia, mídia,
etc
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
FunFunçções de um CSIRTões de um CSIRT
Tratamento de Incidentes
Detecção e rastreamento de Invasões
Definição de Políticas
Auditoria
Análise de Riscos
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
PreparaPreparaçção de CSIRTSão de CSIRTS
Todas as companhias devem ter a capacidade de tratar eficazmente o que podem considerar um incidente
Os objetivos de uma equipe bem preparada de resposta a incidentessão detectar rupturas potenciais da segurança da informação e fornecer meios eficazes e eficientes para tratar a situação em umamaneira que reduza o impacto potencial à empresa
Um objetivo secundário mas muito importante seria fornecer a gerênciacom a informação suficiente para decidir-se em um curso de açãoapropriado
Um CSIRT deve ser formado por indivíduos conhecidos das áreaschaves da corporação que seriam treinados e preparados pararesponder aos ataques de Engenharia Social
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ImplantaImplantaçção de um CSIRTão de um CSIRT
• Plano de ação
• Definir uma equipe/coordenador
• Envolver todas as partes da instituição
• Definir os serviços a serem prestados
• Definir o nível de autoridade
• Inserir o CSIRT na estrutura organizacional
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ImplantaImplantaçção de um CSIRTão de um CSIRT
Contratação de pessoal
Pré-requisitos essenciaisRetidão de caráter
Não ter prévio envolvimento com atividades de hacking
Conhecimentos em TCP/IP e no ambiente de TI da empresa
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Fatores de sucesso de um CSIRTFatores de sucesso de um CSIRT
• Credibilidade
• Confiança
• Localização dentro da instituição
• Capacidade Técnica
• Capacidade de cooperação com outros grupos
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
CSIRTS ExistentesCSIRTS Existentes
• Empresas• Países• Backbones• Órgãos Governamentais
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
CSIRTS em EmpresasCSIRTS em Empresas
A Lista completa pode ser encontrada no site do FIRST (http://www.first.org/members/teams/). Alguns exemplos abaixo:
VISA: VISA-CIRT
Bank of America: BACIRT
Cisco: CISCO PSIRT
Citigroup: Citigroup CIRT
Banco do Brasil: CSIRT Banco do Brasil
Bradesco: CSIRT Bradesco
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
CSIRTS em PaCSIRTS em Paíísesses
Brasil: Cert.br (http://www.cert.br/)
Austrália: AusCERT (http://www.auscert.org.au/)
EUA: CERT/CC (http://www.cert.org/)
Alemanha: DFN-CERT (http://www.cert.dfn.de/)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
CSIRTsCSIRTs em em BackbonesBackbones
British Telecom: BTCERTCCTeleDanmark: CSIRT.DKEmbratel: Grupo de Segurança da EmbratelUnicamp: Grupo de Segurança da UNICAMPRNP: CAIS
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
CSIRTS em CSIRTS em ÓÓrgãos Governamentaisrgãos Governamentais
US Department of Energy: CIACNASA: NASIRCUS Dept. of Navy: NAVCIRTFrench government offices and services: CERTA
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
CGI.CGI.brbr -- Comitê Gestor da InternetComitê Gestor da Internet
Criado por portaria interministerial MCT/MC 147, de 31 de maio de 1995.
Recomendar padrões e procedimentos técnicos eoperacionais para a Internet no Brasil;Coordenar a atribuição de endereços Internet, o registro de
nomes de domínios, e a interconexão de backbones;Coletar, organizar e disseminar informações sobre os
serviços Internet.
http://www.cgi.org.br/sobre-cg/historia.htm
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
CSIRTS no BrasilCSIRTS no Brasil
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Treinamentos em CSIRTSTreinamentos em CSIRTS
AusCERT - http://www.auscert.org.au/render.html?cid=1934
CERT/CC - http://www.cert.org/csirts/
SANS Institute - http://www.sans.org
Cert.br - http://www.cert.br/cursos/
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ConclusãoConclusão
• É impossível zerar a possibilidade de falhas operacionais, sejam elas intencionais ou não
• As empresas devem implementar controles que visem detectar, recuperar e catalogar as falhas ocorridas
• Devem ser criados procedimentos para garantir a continuidade do negócio da empresa, mesmo após a ocorrência de desastres
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ReferênciasReferências
• Livro “Official (ISC)2 Guide to the CISSP Exam”Autores: Susan Hansche, John Berti & Chris HareEditora: Auerbach
• Livro “Engenharia Social e Segurança da Informação”Autor: Mauro César Pintaudi PeixotoEditora: Brasport, 2006
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Referências na InternetReferências na Internet
• Cartilha de Segurança – Site Cert.brhttp://cartilha.cert.br/fraudes/sec2.html#sec2
• HOEPERS, Cristine. Apresentação “Grupos de Resposta a Incidentes de Segurança em Computadores (CSIRTs): Atuação e Cenário Atual”. Disponível em http://www.cert.br/docs/palestras/nbso-cgsi2004.pdf . Acesso em 31 de Outubro de 2006 às 16:11h.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Participe do nosso fParticipe do nosso fóórum de seguranrum de seguranççaa
Acesse www.tisafe.com/forum e cadastre-se
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ContatoContato