• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Palestra - Segurança de Operações
 

Palestra - Segurança de Operações

on

  • 3,442 views

Palestra técnica sobre segurança de operações.

Palestra técnica sobre segurança de operações.

Statistics

Views

Total Views
3,442
Views on SlideShare
3,414
Embed Views
28

Actions

Likes
1
Downloads
85
Comments
1

3 Embeds 28

http://joselitomendes.blogspot.com.br 19
http://joselitomendes.blogspot.com 8
http://www.slideshare.net 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

11 of 1 previous next

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • Otimo documento! Me serviu de base para trabalho da faculdade!
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Palestra - Segurança de Operações Palestra - Segurança de Operações Presentation Transcript

    • Segurança de operações Março de 2010 www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Termo de Isenção de Responsabilidade A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mau uso das informações aqui prestadas. Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Sobre a TI Safe Missão – Fornecer produtos e serviços de qualidade para a Segurança da Informação Visão – Ser referência de excelência em serviços de Segurança da Informação Equipe técnica altamente qualificada Apoio de grandes marcas do mercado www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Não precisa copiar... http://www.tisafe.com/recursos/palestras/ www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Agenda • Conceitos • Estabelecimento de controles • Assegurando operações • Gerenciamento de Incidentes • Implantação de CSIRTS • Práticas • Conclusão • Revisão de conhecimentos • Referências www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Conceitos Segurança de operações: É o processo de salvaguarda dos bens de informação enquanto o dado estiver residente no computador, mídia de armazenamento ou em trânsito através de links de comunicação, ou de alguma forma associado com o processamento de dados do ambiente. • Identifica os controles sobre Hardware, Mídia e os operadores e administradores com privilégios de acesso a estes recursos. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Conceitos O Administrador de segurança deve ser capaz de: • Identificar eventos históricos e em tempo real • Capturar ações subsequentes • Identificar os elementos chave envolvidos • Alertar as autoridades apropriadas • Tomar atitudes corretivas ou de recuperação apropriadas www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Requerimentos para proteção da informação Operações de processamento de dados tem tradicionalmente sido associados primariamente com a manutenção da disponibilidade de sistemas para grupos de usuários. Entretanto, segurança de operações envolve não apenas disponibilidade mas também integridade e confidencialidade. Processos e arquivos não são úteis sem que um nível aceitável de integridade seja mantido, e os operadores/administradores do sistema sejam éticos para garantir que a confidencialidade da informação sensível seja fornecida de acordo com os requerimentos estabelecidos pelo dono do sistema. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Requerimentos críticos para controle de operações Proteção de recursos – Tem como objetivo proteger os recursos computacionais da empresa contra perda ou comprometimento. Controle de entidades privilegiadas – Usuários em uma rede possuem níveis de acesso que os permitem executar seus trabalhos. Um acesso é privilegiado quando permite a um funcionário modificar controles de acesso, logs e detecção de incidentes. Controles de Hardware – Apesar de os objetivos de segurança quase sempre serem encarados como um problema de segurança física e lógica, o Hardware pode ser atacado diretamente. Por exemplo, uma conexão indevida a um elemento de rede pode expor dados a acesso não autorizado. Além disto , um sistema tem que incorporar mecanismos que o permitam permanecer em um estado seguro mesmo quando falhas aconteçam. “The Standard for Good Pratice for Information Security”: conjunto de procedimentos orientados a negócio para garantir níveis de segurança da informação em empresas. Disponível para download em www.securityforum.org www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Ambiente de proteção da informação TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • O Ambiente a ser protegido O Ambiente inclui todos os recursos computacionais da organização: Hardware Software Operações Dados e Mídia Equipamentos de telecomunicações Sistemas de suporte Pessoal www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Hardware Hardware = computadores e periféricos Ameaças mais comuns: – Acesso não autorizado a dados – Uso não autorizado de recursos do computador – Ataques de Denial Of Service (DOS) – Falhas no equipamento – Excesso de privilégios para operadores e administradores que permitem execução de funções maléficas ao sistema www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Software Software se refere aos componentes do sistema operacional e aplicações que dizem aos computadores o que fazer O Sistema operacional inclui os utilitários, bibliotecas, tabelas de endereçamento, logs de sistema, trilhas de auditoria e serviços de segurança Todos estes componentes estão sujeitos a abuso e tem que ser protegidos não apenas de ataques externos, mas também de mau uso interno Controles devem ser estabelecidos para prevenir acesso indevido, corrupção ou destruição destes componentes Procedimentos de gerenciamento de arquivos devem ser implementadas www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Software (cont.) Ameaças: – Buffer Overflow: existente em software mau testado enquanto estava sendo desenvolvido – Backdoors e trapdoors: mecanismos escondidos em software que permitem acesso ao sistema sem passar pela seção de controle de acesso dos programas. – “Maintenance hook”: instruções especiais no software (normalmente não documentadas) para permitir fácil manutenção. – Manipulação de software de segurança para alterar privilégios ou controles de sistema, realocar recursos, paralisar o sistema, etc. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Operações Este recurso se refere ao pessoal que gerencia os datacenters e salas de servidores e que tem potencial para afetar o processamento diário das informações Ameaças: – Modificação do endereço de dispositivos e redirecionamento de I/O – Seqüestro (hijacking) do endereço de rede de um servidor para capturar o tráfego de entrada ou saída deste servidor – Restart de um servidor a partir de fita, CD ou disquete, ignorando a segurança do sistema operacional e permitindo acesso não autorizado ao sistema e arquivos – Redirecionamento da impressão de dados sensíveis – Roubo de um arquivo de senhas de um servidor – Em casos de falha no sistema, controles tem que ser preparados para garantir que o sistema não esteja vulnerável durante seu processo de recuperação www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Dados e Mídia Dados: arquivos sensíveis, programas, Logs de sistema, trilhas de auditoria, relatórios confidenciais, arquivos de backup, etc. Mídia: onde os dados são armazenados ou dispostos. Incluem o papel, microfilme, dispositivos magnéticos (HDs), CDs, Fitas, Cartuchos, Pen Drives,etc. Mídias precisam ser protegidas de acesso não autorizado e possuir mecanismos que garantam sua integridade e disponibilidade Mídias velhas devem ser destruídas física e logicamente através de ferramentas e procedimentos adequados, para evitar dumpster diving (análise do lixo) Mídias a serem realocadas dentro da empresa devem antes ser formatadas com procedimentos especiais www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Equipamentos de Telecomunicações Placas de rede, roteadores, switches, firewalls, cabos, telefones, celulares, etc.. Estes equipamentos devem ser protegidos no mesmo nível que os outros equipamentos da empresa Normalmente esta proteção se dá instalando estes equipamentos em áreas restritas e com controle de acesso físico www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Sistemas de Suporte Neste item são incluídos itens de infra-estrutura como a construção do CPD, aquecimento/ventilação/ar- condicionado (HVAC), refrigeração para manter uma temperatura adequada ao funcionamento dos equipamentos, proteção contra fogo e umidade. Todos estes itens precisam de segurança física para garantir a continuidade das operações www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Pessoal As pessoas são o elo mais fraco da cadeia de segurança A segurança de pessoal: garantir que os funcionários são confiáveis para realizar com segurança das tarefas a eles atribuídas Funcionários não devem tirar vantagens de seus privilégios para obter acesso a informações que eles não precisem/devam conhecer Devem existir supervisores competentes para garantir a compatibilidade com políticas, padrões e procedimentos Dependendo do tipo de organização, os funcionários podem ser submetidos a agências de segurança do governo ou de empresas particulares de investigação www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Pessoal – Cont. Os privilégios abaixo, comuns a operadores e administradores de sistemas, criam problemas de segurança quando usados com abuso: – Alteração de privilégios em contas de usuários ou controles – Alteração de itens de proteção ou parâmetros que possam afetar outros funcionários – Realocação de recursos computacionais – Controle sobre a alocação e compartilhamento de recursos de sistema e dados (ex: memória, espaço em disco, ciclos de CPU, etc.) Exemplo de fraude: funcionários de um banco que possuem privilégio para consertar transações de pagamentos relacionadas pelo sistema como “erradas” podem alterar os dados de uma transação inválida em favor de uma conta de depósito válida de um amigo e mandar reprocessar a operação. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Pessoal – Cont. Outras ameaças: – Uso dos recursos e computadores da empresa para tarefas particulares – Engenharia social – Violações de privacidade de arquivos – Alteração de arquivos de LOG para esconder atividades não autorizadas – Violações da política de segurança da empresa com o uso de acesso irrestrito a determinados computadores – Excesso de privilégios para funcionários com tarefas secundárias Algumas empresas resolvem este problema através da separação de tarefas e privilégios entre os funcionários www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Estabelecimento de Controles TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Empresa sem política de segurança... www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Tipos de controles • Diretivos • Preventivos • Investigativos • Corretivos • Controles de Recuperação www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Controles de Hardware Proteção física do equipamento. Devem ser usados filtros de linha e UPSs para garantir a alimentação dos equipamentos. Para garantir a integridade, modificações no hardware e todo tipo de manutenção devem possuir LOGs para futura referência. Controle de conexões não autorizadas: O Cabeamento da rede deve ser protegido por calhas e não ser facilmente acessível por indivíduos não autorizados. Ferramentas anti-sniffer devem ser instaladas na rede. Recomenda-se criptografar todos os dados trafegados na rede. Instalar switches na rede para impedir a passagem de dados em broadcast para todos os nós da rede. Em caso de problemas de hardware, uma rotina deve ser estabelecida para classificação de acordo com sua severidade e urgência. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Controles de Software Os seguintes privilégios devem ser restringidos ou monitorados: – Alteração dos privilégios do computador ou de seus controles. – Alteração de diretivas de proteção ou parâmetros que possam afetar outros usuários. – Alocação de recursos. – Paralisação do sistema de computação. – Controle da alocação ou compartilhamento de sistemas e recursos (ex.: memória, espaço em disco, ciclos de CPU, etc..) Para controlar estouros de buffer (buffer overflow), os programadores devem testar e diretamente contornar limitações de memória que possam ser exploradas por intrusos. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Controles de Software (cont.) As empresas devem garantir políticas para coibir a utilização de software pirata. Todo software adquirido deve ser examinado para verificar a existência de códigos maliciosos (malicious code). Cheque software contra backdoors e trapdoors. Isto é fácil de falar mas difícil de fazer, principalmente quando os softwares fornecidos não vem com o código fonte. Todas as cópias de dicionários, programas, módulos e documentação, incluindo testes e resultados devem estar sob o controle de uma biblioteca. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Controles de Operações Para manter o controle de operações, tanto em um datacenter quanto em um ambiente de rede, é preciso estabelecer, documentar e reforçar procedimentos operacionais para todos os equipamentos e software. Procedimentos operacionais devem ser criados para o startup do sistema, condições de erro e como gerenciá-las, shutdown do sistema e como restaurar o sistema a partir de mídia de backup. “Falha segura” (fail secure): falha ocorre em um estado onde a segurança do sistema é preservada. Um elemento chave para a recuperação de sistemas é ter backups atualizados de todos os arquivos de sistema. Para garantir esta disponibilidade é necessário ter uma rotina de backups regulares implementada na empresa (horários/diários/semanais/mensais, dependendo das necessidades da empresa). www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Controles de dados e mídia Backups: – Full Volume é quando o sistema inteiro é copiado – Full Backup é quando todo o conteúdo do dispositivo de armazenamento é copiado. – Backups diferenciais copiam todos os dados que foram alterados desde uma data específica – Backup incremental copia todos os dados que foram alterados desde o último backup. – Backups de bancos de dados Fitas de backup tendem a se deteriorar com o tempo, então elas devem ser lidas periodicamente se elas são usadas para armazenamento de longo prazo e restauradas caso sejam críticas e apresentem sinais de deterioração. Mudanças tecnológicas podem inibir a leitura de fitas arquivadas devem ser restauradas caso a tecnologia mude. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Controles de dados e mídia (cont.) Guarda eletrônica - consiste em 3 tipos: Guarda em Fitas online; Journaling de transações remotas: Espelhamento de banco de dados: DASDs (Dispositivos de Armazenamento de Acesso Direto) Tolerância a falhas: continuidade das operações no evento de falha no equipamento. Espelhamento de dados na rede (RAID): conjunto de discos rígidos, conhecido como disk array, que opera como uma unidade de armazenamento. Equipamentos e conexões de rede redundantes: usados para evitar problemas de disponibilidade resultantes de um ponto único de falha. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Boas práticas para segurança de dados e mídia • Armazene todas as mídias de forma segura; • Criptografe os dados sensíveis; • Controle e etiquete todas as mídias; • Treine os usuários; • Estabeleça procedimentos e treinamentos para transporte de mídia; • Use uma biblioteca/bibliotecário de mídias; • Estabeleça controles para destruição de mídias; • Estabeleça controles para reutilização de mídias; • Controle o acesso às mídias; • Classifique os dados armazenados; • Estabeleça controles de entrada e saída de dados; www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Controles de Equipamentos de Telecomunicações As boas práticas de segurança para equipamentos de telecomunicações incluem: Equipamentos de comunicação devem ser monitorados com relação a erros, inconsistências, etc. Testes de penetração devem ser feitos para garantir que os controles de comunicações não possam ser facilmente comprometidos. Os dados confidenciais da empresa – senhas e outras informações sensíveis – que forem transmitidos eletronicamente, devem ser criptografados. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Controles de Equipamentos de Telecomunicações (cont.) Sistemas de manutenção remota de equipamentos devem ser monitorados e não devem ficar permanentemente disponíveis, sendo ativados somente nos momentos de uso. O uso de equipamentos para testes em comunicações, utilitários em software para monitoramento de transmissões (sniffers) e outros similares deve ser proibido pela política de segurança da empresa e só deve ser autorizado em casos extremos para o pessoal responsável. Todos os equipamentos de comunicações como roteadores, switches, HUBs e outros, devem estar localizados em ambientes seguros e com acesso restrito. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Controle de Sistemas de Suporte A Manutenção do ambiente de um datacenter é a chave para garantir a disponibilidade e a continuidade de um sistema de informação. Deve-se manter os níveis de temperatura e umidade do ambiente em níveis apropriados e manter a qualidade do ar e ventilação em níveis que impeçam a contaminação do ar. Procedimentos para a instalação, monitoramento e manutenção dos equipamentos, cabeamento e energia devem estar sempre de acordo com as recomendações de seus fabricantes www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Controles de Áreas Físicas Os equipamentos para processamento de dados devem estar localizados dentro de uma sala protegida contra incêndios, alagamentos, agentes corrosivos, fumaça e outros perigos potenciais vindos de áreas adjacentes como explosões e acesso de pessoas não autorizadas. O acesso a esta sala deve incluir o uso de um pedido de acesso (para garantir que somente pessoas especificamente autorizadas possam ter acesso permitido) e um log da visita de convidados (para garantir que haja um registro de quem autorizou a entrada da pessoa). Além disso, sempre deverá haver alguém da empresa acompanhando a visita para garantir que nenhum equipamento possa ter sido tocado de maneira não autorizada. Quando fitas ou discos são trazidos ou retirados da sala restrita, eles devem ser registrados para garantir a sua contabilização. Um sistema de inventário que mostre quais usuários devem ter acesso a quais equipamentos deve ser mantido ativo na empresa. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Controles de Pessoal O controle de pessoal deve começar no momento da contratação, quando é necessário realizar verificações para garantir ao máximo a confiabilidade da pessoa que está sendo contratada. Seguindo o procedimento de contratação, a supervisão do treinamento inicial para o trabalho e treinamentos específicos sobre a política de segurança da empresa devem ser realizados. Separação de responsabilidades Normalmente os administradores da rede possuem controle e privilégios sobre toda a rede, o que é um fator de extremo risco para uma empresa. O conceito de separação objetiva prevenir que um indivíduo tenha controle sobre todos os passos da operação e com isto possa manipulá-la em benefício próprio. Com uma efetiva separação de responsabilidades, o uso fraudulento de sistemas somente será possível caso haja a cumplicidade de várias pessoas na empresa. Eventualmente esta cumplicidade poderá ser rompida por uma rotação de responsabilidades, onde as atividades fraudulentas acabam sendo descobertas pelo novo ocupante da posição. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Mecanismos de controle e verificação TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Mecanismos de controle e verificação Existem diversos mecanismos para verificar se os controles de segurança estão sendo efetivos. São eles: Gerência de configuração (GC) Gerência de contigência Plano de continuidade de operações (COOP) Planejamento de backups Gerência de alterações de controles Sistemas de detecção de intrusos (IDS) Relatórios de auditoria e eventos de sistema Testes de penetração (Pen Tests) www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Gerência de configuração (GC) • Mudanças durante o desenvolvimento são inevitáveis; o entendimento dos usuários sobre suas necessidades muda, o ambiente no qual o sistema vai operar muda, a legislação muda, os requisitos mudam. • Gerência de Configuração (GC) é um conjunto de atividades de apoio ao desenvolvimento que permite que as mudanças inerentes ao desenvolvimento sejam absorvidas pelo projeto de maneira controlada, mantendo a estabilidade na evolução do software e na segurança da solução. • A GC responde às seguintes questões básicas, que depois são desmembradas em outras questões mais específicas: • Quais mudanças aconteceram no sistema? • Por que essas mudanças aconteceram? • O sistema continua íntegro e seguro mesmo depois das mudanças? www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Gerência de contingência A Gerência de contingência está relacionada ao estabelecimento de ações a serem tomadas antes, durante e depois de ocorrido um incidente de segurança. Isto inclui procedimentos documentados e testados que visam garantir a disponibilidade de serviços críticos e a manutenção da continuidade das operações. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Plano de continuidade de operações (COOP) O COOP é um documento que descreve os procedimentos e funções básicas para passar as operações básicas de uma empresa para um local alternativo em no máximo 30 dias. Os objetivos de um COOP são: Garantir a continuidade das funções essenciais da empresa durante uma emergência ou incidente de segurança Garantir a segurança dos funcionários da empresa Proteger equipamentos essenciais, LOGs e outros bens Reduzir a parada nas operações Minimizar perdas e danos Identificar locais para realocação e garantir que requerimentos operacionais e gerenciais foram atingidos após a mudança www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Planejamento de backups O Planejamento de Backups é o processo de documentar como a empresa conduzirá os backups. O Primeiro passo na criação de um plano de backups é determinar quais dados precisam ser salvos, onde estão localizados, e o quanto estes dados são alterados no dia a dia. O Próximo passo é determinar qual software, hardware e mídia para o backup serão necessários, considerando o planejamento de crescimento da empresa (aquisição de novos servidores, etc.). O Tipo de backup a ser usado (full, incremental, etc.) deve ser documentado, assim como sua freqüência. O Plano também deve incluir onde as mídias de backup serão armazenadas e por quanto tempo. Outro importante aspecto do plano é prover treinamento para os empregados que executarão o plano. O passo final é testar o plano – é possível recuperar documentos em um tempo aceitável e de maneira consistente? www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Gerência de alterações de controles Uma empresa está sempre em contínua mudança e os sistemas mudam de uma maneira regular. Enquanto algumas mudanças podem ter impacto em custo e tempo, outras podem não ter nenhum impacto. Por exemplo, suponha que uma empresa decida mudar um departamento de um prédio para outro. A mudança implica em um processo de aprovações será necessário e que as mudanças deverão ser detalhadas e entregues a quem irá implementá-las. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Gerência de alterações de controles (cont.) Pensando especificamente nas alterações em que ocorrem em sistema de informação, os objetivos de um plano de gerência de alterações devem ser: Garantir alterações de maneira ordenada; Informar a alteração à comunidade computacional; Analisar as mudanças; Reduzir o impacto das mudanças nos serviços; Planejar a introdução de uma alteração; Catalogar a alteração; Agendar a alteração; Implementar a alteração; Reportar as alterações feitas à gerência; www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Sistemas de detecção de intrusos (IDS) Um sistema de detecção de intrusão (IDS -- Intrusion Detection System) é um programa, ou um conjunto de programas, cuja função é detectar atividades maliciosas ou anômalas. IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede. O IDS opera em background no sistema e envia mensagens de alertas quando ele percebe algo suspeito. As técnicas de detecção de intrusos se baseiam na identificação e isolamento de computadores sob tentativas de invasão através da análise de LOGs e outras trilhas de auditoria. Um IDS é baseado na idéia que um invasor pode ser identificado através da análise de vários elementos como tráfego de rede, pacotes de dados, utilização de CPU, utilização de I/O e atividades em arquivos. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Relatórios de auditoria e eventos de sistema Os dados de auditoria são a base para as análises dos IDSs. Embora seja possível analisar manualmente cada registro de atividade, a vastidão dos dados de LOGs é tão grande que torna a análise manual impraticável. Para resolver este problema, IDSs podem fornecer esta análise já pronta. Eles analisam os registros de auditoria atuais relativos às atividades dos usuários e os comparam com perfis de atividade esperados a fim de detectar se alguma atividade intrusa está ocorrendo. Mecanismos de monitoramento e auditoria, ferramentas e utilitários permitem a identificação de eventos relacionados a segurança e as ações a serem tomadas para o tratamento dos problemas detectados. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Análise de trilhas de auditoria (LOG) Uma análise de trilhas de auditoria deve procurar detectar as seguintes ocorrências: Estão sendo cometidos erros repetitivos? Isto pode ser um sinal de implementações mau feitas ou usuários mau treinados? Os usuários estão acessando sistemas aos quais não tem necessidade? Isto pode ser uma indicação de uma implementação de controle de acesso mau feita? Poucas pessoas têm muitos direitos de atualizações? Isto pode ser um resultado de desenvolvimento inadequado de sistemas ou atribuição de privilégios? www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Testes de penetração (Pen Tests) Teste de penetração é o processo de simulação de um ataque a um sistema de informação a pedido de seu dono, ou pelo menos com a permissão dele. Um time de penetração é um grupo organizado de pessoas que tentam burlar a segurança e invadir um sistema de informação. O objetivo é testar a segurança do sistema e encontrar vulnerabilidades ou brechas de segurança nas medidas implementadas pela empresa. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Gerenciamento de Incidentes TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Identificação de riscos de segurança www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Lista de verificação de resposta a incidentes www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Contendo os efeitos de um ataque Quando um sistema é atacado, ele deve ser desligado e removido da rede. Os outros sistemas na rede devem estar protegidos. Os servidores afetados devem ser mantidos e analisados e as descobertas devem ser documentadas. Pode ser muito difícil atender aos padrões legais para preservação de evidência e ainda ser capaz de seguir em frente com os negócios diários. Um plano detalhado para preservação da evidência que atenda aos requisitos legais na sua jurisdição deve ser desenvolvido junto com os advogados da empresa de forma que um exista um plano quando a rede for atacada. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Cenários de Ataques Neste tópico abordaremos os cenários de ataque e as contramedidas mais adequadas. Especificamente, discutiremos estes cenários: Um worm que ataque a porta 135 do UDP Um worm de email Um ataque que infecta um computador antes que patches ou correções sejam aplicados www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Worm atacando porta 135 UDP Perímetro Firewall de rede deve bloquear esse processo desde o início Rede Examine ou detecte sistemas vulneráveis Desative os usos da rede para hosts vulneráveis Use a Quarentena do RRAS para garantir que os hosts de discagem receberam os patches adequados Host Use o IPSec para permitir o UDP 135 de entrada somente em hosts que necessitam de RPC O firewall do Windows para bloquear tráfego de entrada não desejado para hosts (Windows XP e superior) www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Worm de email Perímetro Examine todos os anexos no gateway SMTP Rede Use a Quarentena do RRAS para verificar o nível do patch e as assinaturas de vírus Aplicativo Office 2000: Verifique se pelo menos o Service Pack 2 está instalado Office XP e Office 2003: A configuração de zona de segurança padrão é Sites Restritos (em vez da Internet) e o script ativo em sites restritos também é desabilitado por padrão Usuários Ensine aos usuários que os anexos podem ser mal-intencionados. Se receber um anexo que não solicitou, escreva para o autor para confirmar que ele queria mesmo enviá-lo antes de abrir o anexo www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Invasão hacker Perímetro Habilite o firewall Rede Desconecte o cabo de rede Host Inicie o sistema e faça logon Credenciais administrativas locais podem ser necessárias se as credenciais em cache estiverem desabilitadas. Ative o firewall do Windows para bloquear todo o tráfego de entrada Reconecte o cabo de rede Baixe e instale o patch Reinicialize Desative o firewall do Windows de acordo com a diretiva www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Lista de Verificação de Segurança A segurança inicia com educação e instrução. Não dê chances ou permita que as pessoas tomem suas próprias decisões. Documente tudo e crie procedimentos e processos para todas as funções de negócios. Sempre que os usuários precisarem fazer algo, eles devem ter um documento disponível que contenha instruções detalhadas. Compreenda como pode ser atacado. Familiarize-se com ferramentas e vírus de hackers. Investigue onde os ataques acontecem e como. A pesquisa CSI/FBI Computer Crime and Security Survey pode ser um bom começo. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Implantação de CSIRTS TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • CSIRT CSIRT = Computer Security and Incident Response Team em português, Grupo de Resposta a Incidentes de Segurança da Informação Um grupo ou organização que provê serviços e suporte para um público bem definido, para prevenção, tratamento e resposta a incidentes de segurança Ponto central de contato Provê informações para o seu público Troca informações com outros CSIRTs www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Papel do CSIRT Coordenar ações Determinar o impacto Prover recuperação rápida Preservar evidências Prover recomendações e estratégias Ser o ponto de contato com outros grupos, polícia, mídia, etc www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Funções de um CSIRT Tratamento de Incidentes Detecção e rastreamento de Invasões Definição de Políticas Auditoria Análise de Riscos www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Preparação de CSIRTS Todas as companhias devem ter a capacidade de tratar eficazmente o que podem considerar um incidente Os objetivos de uma equipe bem preparada de resposta a incidentes são detectar rupturas potenciais da segurança da informação e fornecer meios eficazes e eficientes para tratar a situação em uma maneira que reduza o impacto potencial à empresa Um objetivo secundário mas muito importante seria fornecer a gerência com a informação suficiente para decidir-se em um curso de ação apropriado Um CSIRT deve ser formado por indivíduos conhecidos das áreas chaves da corporação que seriam treinados e preparados para responder aos ataques de Engenharia Social www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Implantação de um CSIRT • Plano de ação • Definir uma equipe/coordenador • Envolver todas as partes da instituição • Definir os serviços a serem prestados • Definir o nível de autoridade • Inserir o CSIRT na estrutura organizacional www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Implantação de um CSIRT Contratação de pessoal Pré-requisitos essenciais Retidão de caráter Não ter prévio envolvimento com atividades de hacking Conhecimentos em TCP/IP e no ambiente de TI da empresa www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Fatores de sucesso de um CSIRT • Credibilidade • Confiança • Localização dentro da instituição • Capacidade Técnica • Capacidade de cooperação com outros grupos www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • CSIRTS Existentes • Empresas • Países • Backbones • Órgãos Governamentais www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • CSIRTS em Empresas A Lista completa pode ser encontrada no site do FIRST (http://www.first.org/members/teams/). Alguns exemplos abaixo: VISA: VISA-CIRT Bank of America: BACIRT Cisco: CISCO PSIRT Citigroup: Citigroup CIRT Banco do Brasil: CSIRT Banco do Brasil Bradesco: CSIRT Bradesco www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • CSIRTS em Países Brasil: Cert.br (http://www.cert.br/) Austrália: AusCERT (http://www.auscert.org.au/) EUA: CERT/CC (http://www.cert.org/) Alemanha: DFN-CERT (http://www.cert.dfn.de/) www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • CSIRTs em Backbones British Telecom: BTCERTCC TeleDanmark: CSIRT.DK Embratel: Grupo de Segurança da Embratel Unicamp: Grupo de Segurança da UNICAMP RNP: CAIS www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • CSIRTS em Órgãos Governamentais US Department of Energy: CIAC NASA: NASIRC US Dept. of Navy: NAVCIRT French government offices and services: CERTA www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • CGI.br - Comitê Gestor da Internet Criado por portaria interministerial MCT/MC 147, de 31 de maio de 1995. Recomendar padrões e procedimentos técnicos e operacionais para a Internet no Brasil; Coordenar a atribuição de endereços Internet, o registro de nomes de domínios, e a interconexão de backbones; Coletar, organizar e disseminar informações sobre os serviços Internet. http://www.cgi.org.br/sobre-cg/historia.htm www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • CSIRTS no Brasil www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Treinamentos em CSIRTS AusCERT - http://www.auscert.org.au/render.html?cid=1934 CERT/CC - http://www.cert.org/csirts/ SANS Institute - http://www.sans.org Cert.br - http://www.cert.br/cursos/ www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Conclusão • É impossível zerar a possibilidade de falhas operacionais, sejam elas intencionais ou não • As empresas devem implementar controles que visem detectar, recuperar e catalogar as falhas ocorridas • Devem ser criados procedimentos para garantir a continuidade do negócio da empresa, mesmo após a ocorrência de desastres www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Referências • Livro “Official (ISC)2 Guide to the CISSP Exam” Autores: Susan Hansche, John Berti & Chris Hare Editora: Auerbach • Livro “Engenharia Social e Segurança da Informação” Autor: Mauro César Pintaudi Peixoto Editora: Brasport, 2006 www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Referências na Internet • Cartilha de Segurança – Site Cert.br http://cartilha.cert.br/fraudes/sec2.html#sec2 • HOEPERS, Cristine. Apresentação “Grupos de Resposta a Incidentes de Segurança em Computadores (CSIRTs): Atuação e Cenário Atual”. Disponível em http://www.cert.br/docs/palestras/nbso-cgsi2004.pdf . Acesso em 31 de Outubro de 2006 às 16:11h. www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Participe do nosso fórum de segurança Acesse www.tisafe.com/forum e cadastre-se www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
    • Contato www.tisafe.com TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.