Segurança da Informação Marcelo Piuma Agosto de 2005

Agenda Principais tipos de ataques e os pontos fracos das organizações Técnicos Humanos Organizacionais Modelo de segurança Firewall IDS Política de Segurança Comparação quantitativa e qualitativa de soluções Perguntas e Respostas

Principais tipos de ataques e os pontos fracos das organizações

Técnicos

Humanos

Organizacionais

Modelo de segurança

Firewall

IDS

Política de Segurança

Comparação quantitativa e qualitativa de soluções

Perguntas e Respostas

Principais tipos de Ataques Marcelo Piuma Agosto de 2005

Principais tipos de Ataques Ataque interno  é o mais fácil de ser praticado, não existe necessidade de grandes conhecimentos Cavalo de Tróia  I Love You, The Quota Trojan Sniffers  Captura de pacotes (modo promíscuo) Spoofing de IP  Autenticação por falsificação de IP DDoS (Denial of Service)  Visa travar ou parar serviços

Ataque interno  é o mais fácil de ser praticado, não existe necessidade de grandes conhecimentos

Cavalo de Tróia  I Love You, The Quota Trojan

Sniffers  Captura de pacotes (modo promíscuo)

Spoofing de IP  Autenticação por falsificação de IP

DDoS (Denial of Service)  Visa travar ou parar serviços

Principais tipos de Invasores Brincalhão Em busca do sucesso Espião Vândalos Acidental (P.O.  problema do operador)

Brincalhão

Em busca do sucesso

Espião

Vândalos

Acidental (P.O.  problema do operador)

Qual o objetivo de uma invasão ? Prejudicar! Obtenção de informações privilegiadas (principalmente se não for detectado) Destruição de dados Paralisação de serviços ou funcionalidades da empresa Prejuízo financeiro Vingança

Prejudicar!

Obtenção de informações privilegiadas (principalmente se não for detectado)

Destruição de dados

Paralisação de serviços ou funcionalidades da empresa

Prejuízo financeiro

Vingança

Alguns números Para 78% dos entrevistados, as ameaças, os riscos e os ataques deverão aumentar em 2004. 42% das empresas tiveram problemas com a Segurança da Informação nos seis meses anteriores à pesquisa. 35% das empresas reconhecem que tiveram perdas financeiras. Já o percentual de empresas que não conseguiram quantificar essas perdas diminuiu de 72%, em 2002, para 65%, em 2003. Vírus (66%), funcionários insatisfeitos (53%), divulgação de senhas (51%), acessos indevidos (49%) e vazamento de informações (47%) foram apontados como as cinco principais ameaças à segurança das informações nas empresas. O percentual de empresas que afirmam ter sofrido ataques e invasões subiu de 43%, em 2002, para 77%, em 2003. 32% dos entrevistados apontam os hackers como os principais responsáveis por ataques e invasões de sistemas corporativos. 26% das empresas não conseguem sequer identificar os responsáveis pelos ataques. Fonte: site da Módulo www.modulo.com.br

Para 78% dos entrevistados, as ameaças, os riscos e os ataques deverão aumentar em 2004.

42% das empresas tiveram problemas com a Segurança da Informação nos seis meses anteriores à pesquisa.

35% das empresas reconhecem que tiveram perdas financeiras. Já o percentual de empresas que não conseguiram quantificar essas perdas diminuiu de 72%, em 2002, para 65%, em 2003.

Vírus (66%), funcionários insatisfeitos (53%), divulgação de senhas (51%), acessos indevidos (49%) e vazamento de informações (47%) foram apontados como as cinco principais ameaças à segurança das informações nas empresas.

O percentual de empresas que afirmam ter sofrido ataques e invasões subiu de 43%, em 2002, para 77%, em 2003.

32% dos entrevistados apontam os hackers como os principais responsáveis por ataques e invasões de sistemas corporativos.

26% das empresas não conseguem sequer identificar os responsáveis pelos ataques.

Alguns números 48% não possuem nenhum plano de ação formalizado em caso de invasões e ataques. 60% indicam a internet como principal ponto de invasão em seus sistemas. 58% dos entrevistados sentem-se inseguros para comprar em sites de comércio eletrônico por causa da sensação de falta de segurança. A falta de consciência dos executivos é apontada por 23% dos entrevistados como o principal obstáculo para implementação da segurança. 63,5% dos entrevistados adotam a ISO 17799 como a principal norma que norteia suas empresas. Política de Segurança formalizada já é realidade em 68% das organizações. Apenas 21% das empresas afirmaram possuir um Plano de Continuidade de Negócios (PCN) atualizado e testado. Fonte: site da Módulo www.modulo.com.br

48% não possuem nenhum plano de ação formalizado em caso de invasões e ataques.

60% indicam a internet como principal ponto de invasão em seus sistemas.

58% dos entrevistados sentem-se inseguros para comprar em sites de comércio eletrônico por causa da sensação de falta de segurança.

A falta de consciência dos executivos é apontada por 23% dos entrevistados como o principal obstáculo para implementação da segurança.

63,5% dos entrevistados adotam a ISO 17799 como a principal norma que norteia suas empresas.

Política de Segurança formalizada já é realidade em 68% das organizações.

Apenas 21% das empresas afirmaram possuir um Plano de Continuidade de Negócios (PCN) atualizado e testado.

Alguns números 60% das empresas fazem Planejamento de Segurança, sendo que 27% possuem Planejamento para até 1 ano. A área de Tecnologia (49,5%) continua sendo a principal responsável pelo gerenciamento da Segurança da Informação nas empresas, seguida pela área específica, Security Office, com 25,5%. Pelo terceiro ano consecutivo, antivírus (90%), sistemas de backup (76,5%) e firewall (75,5%) foram apontados como as três medidas de segurança mais implementadas nas empresas. 60% afirmam que os investimentos de suas empresas em Segurança para 2004 vão aumentar. Fonte: site da Módulo www.modulo.com.br

60% das empresas fazem Planejamento de Segurança, sendo que 27% possuem Planejamento para até 1 ano.

A área de Tecnologia (49,5%) continua sendo a principal responsável pelo gerenciamento da Segurança da Informação nas empresas, seguida pela área específica, Security Office, com 25,5%.

Pelo terceiro ano consecutivo, antivírus (90%), sistemas de backup (76,5%) e firewall (75,5%) foram apontados como as três medidas de segurança mais implementadas nas empresas.

60% afirmam que os investimentos de suas empresas em Segurança para 2004 vão aumentar.

Análise da Pesquisa Podemos facilmente identificar os pontos fracos Técnicos Organizacionais Humanos Vamos tratar aqui os dois maiores Técnicos  Ambiente Seguro (Fw, IDS, etc.) Organizacionais  Analise de Risco e Política de Segurança

Podemos facilmente identificar os pontos fracos

Técnicos

Organizacionais

Humanos

Vamos tratar aqui os dois maiores

Técnicos  Ambiente Seguro (Fw, IDS, etc.)

Organizacionais  Analise de Risco e Política de Segurança

Minimizando os Riscos Marcelo Piuma Agosto de 2005

Analisando os Riscos Primeira pergunta  Corremos riscos ? Resposta é sempre SIM Existe: SIM e sim Muitos fatores influenciam na análise do risco e na modelagem de uma solução de segurança Presença na WEB com servidor próprio Riscos de informações confidenciais (ramo de atividade) Escritórios regionais (necessidade de VPN ou Link Privado) Solução de EXTRANET Política de RH (problema do bom senso) Históricos da empresa e do setor

Primeira pergunta  Corremos riscos ?

Resposta é sempre SIM

Existe: SIM e sim

Muitos fatores influenciam na análise do risco e na modelagem de uma solução de segurança

Presença na WEB com servidor próprio

Riscos de informações confidenciais (ramo de atividade)

Escritórios regionais (necessidade de VPN ou Link Privado)

Solução de EXTRANET

Política de RH (problema do bom senso)

Históricos da empresa e do setor

Uma Solução! nada é 100% seguro Firewall nível de rede Filtro de Pacotes Facilidade de uso / gerenciamento  Menor TCO Menor exigência de hardware Firewall de Gateway de Aplicativo IDS (intruder detection system) Scanner / TripWire / Nagios Inventário de Hardware e Software Política de Segurança ( PDSI )

Firewall nível de rede

Filtro de Pacotes

Facilidade de uso / gerenciamento  Menor TCO

Menor exigência de hardware

Firewall de Gateway de Aplicativo

IDS (intruder detection system)

Scanner / TripWire / Nagios

Inventário de Hardware e Software

Política de Segurança ( PDSI )

Montando um projeto de Segurança Pontos de convergência são fundamentais Maior facilidade para implantação de IDS Diminui o TCO Recovery mais rápido Fornecer segurança física para os servidores Servidores devem ser, preferencialmente, BASTIONS Saber exatamente o que está sendo executado Amadorismo em segurança é o mesmo que não ter segurança, nem gaste dinheiro!

Pontos de convergência são fundamentais

Maior facilidade para implantação de IDS

Diminui o TCO

Recovery mais rápido

Fornecer segurança física para os servidores

Servidores devem ser, preferencialmente, BASTIONS

Saber exatamente o que está sendo executado

Amadorismo em segurança é o mesmo que não ter segurança, nem gaste dinheiro!

Montando um projeto de Segurança Lei do previlégio mínimo Defesa em profundidade Ponto de Aferição Elo mais fraco O que fazer em caso de falha Segurança pela obscuridade PARTICIPAÇÃO UNIVERSAL

Lei do previlégio mínimo

Defesa em profundidade

Ponto de Aferição

Elo mais fraco

O que fazer em caso de falha

Segurança pela obscuridade

PARTICIPAÇÃO UNIVERSAL

Firewall Nivel de Rede Devem trabalhar em conjunto com os roteadores Roteadores previnem contra IP implementados no RFC Roteadores trabalham com access-lists ICMP Os firewalls devem restringir a passagem das portas/protocolos mais perigosas Monitoramento por IDS até das portas fechadas Bom senso: certas portas podem ser necessárias para serviços vitais para a empresa

Devem trabalhar em conjunto com os roteadores

Roteadores previnem contra IP implementados no RFC

Roteadores trabalham com access-lists

ICMP

Os firewalls devem restringir a passagem das portas/protocolos mais perigosas

Monitoramento por IDS até das portas fechadas

Bom senso: certas portas podem ser necessárias para serviços vitais para a empresa

As Portas mais comuns Executar o bloqueio de endereços forjados ("spoofed" addresses) Pacotes originários do mundo exterior com origem de redes privadas (endereços internos previstos na RFC 1918 e rede 127) devem ser bloqueados. Serviços de Login telnet (23/tcp), SSH (22/tcp), FTP (21/tcp), NetBIOS (139/tcp), rlogin (512/tcp até 514/tcp)

Executar o bloqueio de endereços forjados ("spoofed" addresses)

Pacotes originários do mundo exterior com origem de redes privadas (endereços internos previstos na RFC 1918 e rede 127) devem ser bloqueados.

Serviços de Login

telnet (23/tcp), SSH (22/tcp), FTP (21/tcp), NetBIOS (139/tcp), rlogin (512/tcp até 514/tcp)

As Portas mais comuns X Windows Range de portas de 6000/tcp até 6255/tcp Serviços de DNS Bloqueio de DNS (53/udp) para todas as máquinas que não são servidores de DNS, transferência de zona (53/tcp) exceto de servidores de DNS secundários. Bloqueio do serviço de armazenamento de diretórios LDAP (389/tcp e 389/udp) Mail SMTP (25/tcp) para todas as máquinas que não são relays externos, POP (109/tcp e 110/tcp) e IMAP (143/tcp)

X Windows

Range de portas de 6000/tcp até 6255/tcp

Serviços de DNS

Bloqueio de DNS (53/udp) para todas as máquinas que não são servidores de DNS, transferência de zona (53/tcp) exceto de servidores de DNS secundários. Bloqueio do serviço de armazenamento de diretórios LDAP (389/tcp e 389/udp)

Mail

SMTP (25/tcp) para todas as máquinas que não são relays externos, POP (109/tcp e 110/tcp) e IMAP (143/tcp)

As Portas mais comuns Web Bloqueio de HTTP (80/tcp) e SSL (443/tcp) exceto para servidores que provem serviços web para acesso externo. Outro bloqueio considera as portas altas utilizado por serviços HTTP como Proxy (8000/tcp, 8080/tcp,8888/tcp etc.) "Small Services“ Portas abaixo da 20/tcp e 20/udp e serviço time (portas 37/tcp e 37/udp) Miscellaneous TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/tcp), LPD (515/tcp), syslog (514/udp), SNMP (161/tcp e 161/udp, 162/tcp e 162/udp), BGP (179/tcp) e SOCKS (1080/tcp)

Web

Bloqueio de HTTP (80/tcp) e SSL (443/tcp) exceto para servidores que provem serviços web para acesso externo. Outro bloqueio considera as portas altas utilizado por serviços HTTP como Proxy (8000/tcp, 8080/tcp,8888/tcp etc.)

"Small Services“

Portas abaixo da 20/tcp e 20/udp e serviço time (portas 37/tcp e 37/udp)

Miscellaneous

TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/tcp), LPD (515/tcp), syslog (514/udp), SNMP (161/tcp e 161/udp, 162/tcp e 162/udp), BGP (179/tcp) e SOCKS (1080/tcp)

As Portas mais comuns ICMP Bloqueio de requisições de echo request (ping e Windows traceroute), bloqueio de saída de echo replies, time exceeded, e mensagens do tipo unreachable. RPC e NFS Portmap/rpcbind (111/tcp e 111/udp), NFS (2049/tcp e 2049/udp), lockd (4045/tcp e 4045/udp) NetBIOS no Windows NT Portas 135 (tcp e udp), 137 (udp), 138 (udp), 139 (tcp). No Windows 2000 adicionar porta 445(tcp e udp)

ICMP

Bloqueio de requisições de echo request (ping e Windows traceroute), bloqueio de saída de echo replies, time exceeded, e mensagens do tipo unreachable.

RPC e NFS

Portmap/rpcbind (111/tcp e 111/udp), NFS (2049/tcp e 2049/udp), lockd (4045/tcp e 4045/udp)

NetBIOS no Windows NT

Portas 135 (tcp e udp), 137 (udp), 138 (udp), 139 (tcp). No Windows 2000 adicionar porta 445(tcp e udp)

O “Problema” P2P É uma mudança de paradigmas Acaba a visão de cliente / servidor É sem dúvida uma tendência  realidade Messenger, Kazaa e etc. É um tormento para qualquer CSO (chief security officer) Esses sistemas usam portas específicas, porém buscam portas comuns como 80 (HTTP) Uma boa saída é através da PDSI (Plano Diretor de Segurança da Informação) Inventário de Hardware e Software

É uma mudança de paradigmas

Acaba a visão de cliente / servidor

É sem dúvida uma tendência  realidade

Messenger, Kazaa e etc.

É um tormento para qualquer CSO (chief security officer)

Esses sistemas usam portas específicas, porém buscam portas comuns como 80 (HTTP)

Uma boa saída é através da PDSI (Plano Diretor de Segurança da Informação)

Inventário de Hardware e Software

IDS Tem a função de detectar tentativas de invasão Funcionam por monitoramento das portas dos servidores vulneráveis Existem excelentes soluções implantadas com open source (LINUX), como por exemplo o SNORT com auxílio do ACID SNORT SNARF  Gerenciador de Log Usar sempre um banco de dados para armazenamento do monitoramento, estatística

Tem a função de detectar tentativas de invasão

Funcionam por monitoramento das portas dos servidores vulneráveis

Existem excelentes soluções implantadas com open source (LINUX), como por exemplo o SNORT com auxílio do ACID

SNORT SNARF  Gerenciador de Log

Usar sempre um banco de dados para armazenamento do monitoramento, estatística

IDS Existem problemas Falsos Alarmes Falso Negativo Falso Positivo Erros de interpretação Muitos logs para serem analisados O dia-a-dia Manter as regras atualizadas

Falsos Alarmes

Falso Negativo

Falso Positivo

Erros de interpretação

Muitos logs para serem analisados

O dia-a-dia

Manter as regras atualizadas

Implantando IDS

Scanner/Tripwire/Nagios É fundamental saber as nossas vulnerabilidades Scanner (nessus) Tripwire (software que detecta alterações nos arquivos do sistema) Soma de verificação criptográfica Nagios Monitoramento de Serviços Monitoramento de espaço em disco, processador, etc. Paralização de serviços Etc…

É fundamental saber as nossas vulnerabilidades

Scanner (nessus)

Tripwire (software que detecta alterações nos arquivos do sistema)

Soma de verificação criptográfica

Nagios

Monitoramento de Serviços

Monitoramento de espaço em disco, processador, etc.

Paralização de serviços

Etc…

Tripwire Manager

Nagios

Nessus

Inventário O princípio básico da segurança é conhecer as necessidades e vulnerabilidades É muito importante ter um inventário de hw e sw Software não só para licenciamento, mas também para buscar programas “suspeitos” inclusive P2P Existem soluções para todos os mundos

O princípio básico da segurança é conhecer as necessidades e vulnerabilidades

É muito importante ter um inventário de hw e sw

Software não só para licenciamento, mas também para buscar programas “suspeitos” inclusive P2P

Existem soluções para todos os mundos

PDSI Plano Diretor de Segurança da Informação Tem sido a grande vedete e também a grande vilã Existem problemas legais que precisam ser resolvidos e não dependem apenas da comunidade tecnológica Um empresa que “pensa” segurança precisa ter ao menos um “rascunho” Regras: “ melhor ter algumas, por pior que sejam, do que não ter nenhuma ” Simples e objetivo  factível A regra para elaboração de um PDSI é bom senso Auxílio de quem já fez é sempre positivo

Tem sido a grande vedete e também a grande vilã

Existem problemas legais que precisam ser resolvidos e não dependem apenas da comunidade tecnológica

Um empresa que “pensa” segurança precisa ter ao menos um “rascunho”

Regras: “ melhor ter algumas, por pior que sejam, do que não ter nenhuma ”

Simples e objetivo  factível

A regra para elaboração de um PDSI é bom senso

Auxílio de quem já fez é sempre positivo

Contato Marcelo Piuma Diretor de Tecnologia [email_address] www.duettech.com.br Av. do Batel, 1230 / 501 – BTC Curitiba - Paraná (41) 3077-1919 Ramal 18

Marcelo Piuma

Diretor de Tecnologia

[email_address]