UNIVERSIDADE FUMEC - Pós-Graduação
UNIVERSIDADE FUMEC - Pós-Graduação
MBA EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO
DEFENSE IN DEPTH
(DEFESA EM PROFUNDIDADE)
Adriano Pereira
Anderson Gonçalves
Carlos Victor Bolivar
Danilo Menezes
Leonardo Paiva
Osvaldo Junior
Rodrigo Araújo
Belo Horizonte, Maio de 2011
Adriano Pereira
Anderson Gonçalves
Carlos Victor Bolivar
Danilo Menezes
Leonardo Paiva
Osvaldo Junior
Rodrigo Araújo
DEFENSE IN DEPTH
(DEFESA EM PROFUNDIDADE)
Trabalho sobre Defesa em Profundidade, que se apresenta à Disciplina Gestão de Sistemas e Aplicações Distribuídas, do Curso de MBA – Gestão de Segurança da Informação, da Universidade Fumec.
Belo Horizonte, Maio de 2011
SUMÁRIO
INTRODUÇÃO À SEGURANÇA EM PROFUNDIDADE 4
Componentes da Segurança em Profundidade 5
1.1. Compliance Management (Gerenciamento de Conformidade) 5
1.2. Risk Management (Gerenciamento de Riscos) 19
1.3. Identity Management (Gerenciamento de Identidade) 24
1.4. Authorization Management (Gerenciamento da autorização) 32
1.5 Accountability Management (Gerenciamento de auditoria) 40
1.6. Availability Management (Gerenciamento de Disponibilidade) 54
1.7. Configuration Management (Gerenciamento de Configuração) 57
1.8. Incident Management (Gerenciamento de Incidentes) 60
Referências Bibliográficas 64
INTRODUÇÃO À SEGURANÇA EM PROFUNDIDADE
A Segurança por profundidade é baseada em camadas, onde essa tática é utilizada para controle de informações, com idéia de utilizar sistemas variados e métodos de defesa para um sistema de informação seja protegido em divisões de camadas e ou níveis de proteção.
A Defesa em profundidade é uma garantia de informação, onde a estratégia em que múltiplas camadas de defesa são colocadas em toda a tecnologia da informação dos sistemas. Ela corrige vulnerabilidades de segurança em pessoal, tecnologia e ou operações para a duração do ciclo de vida de um sistema. A idéia por trás da defesa de abordagem de profundidade é para defender um sistema contra qualquer ataque especial usando vários métodos diferentes. É uma tática de camadas, concebido pelo National Security Agency (NSA) como uma abordagem global da segurança da informação e eletrônica. É originalmente uma estratégia militar que visa retardar, em vez de impedir, o avanço de um atacante, cedendo espaço a fim de ganhar tempo. A colocação de mecanismos de proteção, procedimentos e políticas destina-se a aumentar a confiabilidade de um sistema de TI, onde múltiplas camadas de defesa possam impedir espionagem e ataques diretos contra os sistemas críticos.
Em termos de defesa de rede do computador, a defesa em profundidade as medidas não devem apenas evitar violações de segurança, mas compra um tempo de organização para detectar e responder a um ataque, assim, reduzir e mitigar as conseqüências de uma violação.
A defesa em Profundidade normalmente e conseguida através de técnicas de segurança abordadas a seguir:
• Segurança Física (Acesso físico aos sistemas de informação);
• Autenticação, Autorização e Auditoria (Tríade AAA);
• Hashing de Senhas, Sistemas Anti-vírus e de Firewall;
• Redes e perímetros isolados (DMZ) e segregados;
• IDS/IPS (Prevenção ou Detecção a Intrusão);
• Filtro de pacotes;
• VPN (Virtual Private Network);
• Biometria, controle de acesso baseado em momento;
• Equipamentos de segurança não disponíveis publicamente,ou desconhecidos (Obscuridade);
Componentes da Segurança em Profundidade
1.1. Compliance Management (Gerenciamento de Conformidade)
Visão Geral Sobre Gerenciamento de Conformidade
Gerenciamento de Conformidade é o esforço necessário para certificar que as atividades de segurança da informação realmente aconteçam em conformidade com todas as leis, regulamentos, normas e orientações que existam no âmbito organizacional, social e governamental.
Portanto, o Gerenciamento de Conformidade na Gestão da Segurança da Informação ocorre com o cumprimento dos regulamentos, normas e afins, aplicáveis a uma atividade. Gerenciar o cumprimento dessas leis é o fator mais importante da defesa em profundidade, pois, essa medida forma a base para todas as outras ações, fornecendo orientações que ajudam os usuários e administradores a aderirem às práticas que estabelecem as diretrizes de governança e segurança.
Uma organização que se esforça para o cumprimento dessas práticas, deve desenvolver uma política sistemática e efetiva, promovendo uma cultura organizacional positiva em relação aos funcionários. A política deve ser um instrumento eficaz para a realização coordenada das metas organizacionais.
Política Organizacional
Política Organizacional é o conjunto de regras pelas quais as empresas operam. Como tal, ela fornece sentido ao esclarecimento das leis necessárias para a proteção da informação.
Em diferentes ambientes organizacionais, estas regras adaptam-se a realidade do setor em questão, o tipo de negócio desenvolvido e o tipo de informação a ser protegida. Nesse sentido, ao invés de fazer distinções entre as normas, regulamentos e procedimentos, a política organizacional é usada como base para designar o conjunto de regras que influenciam a organização.
A Política Organizacional tem como objetivos principais:
Direção – A política traduz os objetivos globais da organização em detalhes práticos, ou seja, regras. Estas regras direcionam os membros da organização para o cumprimento da missão empresarial e os impede de trabalhar com objetivos opostos. Por exemplo: A adesão à política deve evitar situações em que metade dos membros de uma empresa esteja economizando recursos para maximizar os lucros e a outra metade desperdiçando-os. Portanto, a política estabelece o propósito da existência de uma organização e descreve as formas de agir para promover esse efeito.
Esclarecimento - A política pode ser usada para esclarecer objetivos. Por sua vez, objetivos podem ser definidos como mais tarefas ou procedimentos específicos, adaptados às operações de um determinado grupo.
Proteção - A política deve definir possíveis violações e facilitar aplicação da lei, sendo transparente e específica nessas definições. Considere, por exemplo, uma situação em que um empregado, intencionalmente posta conteúdo difamatório no site de sua empresa. Esse ato pode ferir a credibilidade e, por conseqüência a rentabilidade da organização. A empresa pode demiti-lo. No entanto, se não foram publicadas regras claras sobre quem poderia postar o que e as conseqüências das possíveis violações, o trabalhador poderia processar a empresa por demissão injusta. Por outro lado, se a política de proibir a sua ação foi claramente estabelecida, ele não teria nenhum argumento plausível contra a ação da organização.
Cultura
Todos em uma organização contribuem para o sucesso da sua segurança. Não só os gestores em diferentes níveis e graus devem ser responsáveis pela criação das normas organizacionais. Os demais membros da organização também devem se responsabilizar pelas políticas de segurança, devendo participar da confecção e execução dessas leis, uma vez que acabam sendo afetados diretamente por elas.
Quando a política de segurança não é imposta, mas sim desprezada como algo com pouco impacto na realidade da empresa, a cultura organizacional deve ser mudada. Essa disfunção pode ser resultado da falta de atenção dos responsáveis pela confecção das políticas, como quando uma determinada política aplicada, não atende a realidade social, os avanços tecnológicos ocorridos ao redor do mundo e não atende as técnicas de defesa da informação, tornando-se irrelevante. Tal desatenção indica um processo político falho, que afeta negativamente a cultura organizacional. Nesse caso, revisão periódica é a medida corretiva que deve ser aplicada, com especial atenção ao apoio à política de metas organizacionais e ao feedback dos funcionários.
Por outro lado, se a política em si é atual e relevante, a falta de adesão pode indicar problemas educacionais e comportamentais. Em tais casos, a formação da organização ou os programas de fiscalização devem ser reforçados para melhorar a cultura da política organizacional. Um grande esforço deve ser feito no sentido de que todos os membros devem aceitar e apoiar a política como benéfico; Caso contrário, pode ser necessário um esforço significativo em matéria de aplicação e execução das normas. O apoio da alta chefia é vital para predizer a evolução de qualquer iniciativa política.
Política de Desenvolvimento
Políticas de uma organização devem levar em conta as informações de várias fontes.
As normas podem moldar a política interna. Os padrões são definidos pelos organismos internacionais como a International Standards Organization (ISO) para garantir a interoperabilidade global. Normas do Instituto Nacional de Padrões e Tecnologia (NIST) garantem quais regulamentos são definidos para melhorar a compatibilidade do sistema, níveis de confiabilidade e desempenho, bem como definir bases necessárias de segurança.
No final, a missão da organização e os seus objetivos estratégicos estarão alinhados a uma boa política interna de desenvolvimento.
Camadas
O desenvolvimento de políticas está estruturado em torno do conceito de camadas. Origina-se de princípios gerais, onde os planos em um nível mais alto crescem continuamente de forma mais específica para cada sub-nível da organização. Esta estrutura permite uma especificidade que é flexível.
Pode ser útil considerar as camadas da política em três níveis diferentes: estratégico, operacional e tático. Estes níveis não são necessariamente fixos e, de fato, podem diferir entre as organizações, no entanto, englobam as divisões conceituais da política. Políticas estratégicas de nível é o conceito mais geral e descreve o "quê" da política, ou seja, "o que é que estamos tentando realizar? "Por exemplo," Quais são os nossos objetivos de segurança como uma organização?" Essas metas incluem a proteção de dados de clientes, salvaguardando intelectual propriedade e integridade do sistema de manutenção e confiabilidade.
De fato, a política em nível estratégico é onde se encontra indicado o alcance das metas de uma organização, o público alvo, a metodologia e os planos para alcançá-los. A responsabilidade pela estratégia e visão recai sobre os executivos da organização, que definem a direção que eles querem que a empresa siga.
Políticas operacionais de nível, em conjunto com os planos operacionais, adicionam um pouco de definição para as políticas estratégicas gerais e podem se concentrar em um nível bastante amplo sobre o "como" da execução. "Como vamos fazer isso?" Para responder a esta questão, gerentes operacionais podem avaliar diferentes abordagens para o mesmo objetivo e designar a melhor política. Detalhes específicos, como o passo-a-passo serão abordados com mais ênfase no nível tático das políticas.
De fato, a política de nível tático fornece a expressão mais granular do que é suposto acontecer. Ela codifica as práticas e procedimentos para garantir que as políticas operacionais sejam respeitadas. Um deles é a provável tentativa de descobrir o "quem, quando, o quê, onde e como" fazer algo, sendo esses, detalhes da política em uma camada. Independentemente do nível, todas as políticas devem ter:
• Definidas a autoridade e a aprovação da gestão;
• Definição dos termos: papéis e responsabilidades definidas;
• Entrada em vigor: número da versão e data da última revisão;
• Proprietário e / ou mantenedor;
• Lista de distribuição;
• Formação e educação relacionadas ao processo definido para lidar com violações;
• Pedido de armazenamento online e acesso (ou seja, URL’s e etc.).
Quando uma política está desconectada da realidade, geralmente as conseqüências são manifestadas na camada tática. Isso, porque certas tarefas podem ser feitas de várias maneiras, sendo que, os trabalhadores poderão ser capazes de cumprir uma política em nível operacional ignorando uma política de nível tático correspondente. Para manter uma cultura positiva da política, os gestores devem atender a estas discrepâncias. Orientando os trabalhadores sobre os riscos de desvio do procedimento padrão, pode-se convencê-los a operarem de acordo com a política tática. Além disso, os gestores devem considerar se uma determinada política é demasiadamente restritiva ou dificulta excessivamente os empregados em seu trabalho.
Exemplo de Abordagem em Camadas
A questão da privacidade dos dados do usuário, embora um pouco simplista, fornece um exemplo em pequena escala da forma como a abordagem em camadas atua no desenvolvimento de políticas.
Em primeiro lugar, na camada estratégica, os objetivos fundamentais da organização devem ser considerados e a missão da política e o alcance devem ser definidos. Na maioria das empresas, o objetivo seria aumentar o lucro. Em consonância com esse objetivo, uma empresa pode querer:
1) Consolidar a confiança do usuário e;
2) Reduzir os riscos de responsabilidade.
Ganhar a confiança do usuário reforça a lealdade do usuário e o apoio para os negócios, o que aumenta a lucratividade. A rentabilidade pode ser promovida, evitando processos caros sem perder o controle dos dados confidenciais do usuário, por exemplo. O lançamento indevido de dados de usuários pode comprometer o principal objetivo da empresa, a rentabilidade, sendo que, a empresa garante que os dados ficarão seguros, como questão de política.
A camada tem a flexibilidade operacional para refinar ainda mais esta política. Se os riscos são altos o suficiente, a gestão pode decidir se os dados do usuário serão liberados ou comprometidos. No entanto, no interesse de rentabilidade, pode haver uma razão para utilizar os dados. Se assim for, para a política operacional faz-se necessário garantir que os dados individuais serão anônimos ou agregados antes da publicação. Essa abordagem seria compatível com a estratégia geral e mais ainda, com o objetivo da companhia de obter maiores lucros. Normalmente, se a política estratégica é escrita de forma eficiente, há uma quantidade razoável de margem para tomada de decisão na camada operacional.
Na camada tática, os procedimentos reais usados para proteger os dados são definidos. Neste ponto, a política descreve supostamente como fazer o quê. Este nível de abordagem, muitas vezes fornece detalhes sobre "Quando" e "Como". A política desse exemplo poderia recomendar aos administradores de banco de dados negarem o acesso a determinados dados para todos os usuários, exceto aqueles que tenham sido expressamente autorizados. Também é provável que seja requisitada alguma forma de auditoria interna, de modo que a conformidade possa ser monitorada. Se rotinas de agregação foram usadas para remover as informações individuais específicas, as rotinas que exigem uma revisão periódica serão impostas para garantir que eles continuem a desempenhar a tarefa. Às vezes, a política tática não ditará como seguir certas regras e, portanto, haverá liberdade na forma como diferentes pessoas realizam a mesma tarefa. Quando há uma necessidade de normalização, no entanto, a política pode proporcionar um nível de detalhe que garante a todos executar a tarefa, seguindo o mesmo procedimento.
Fluxo
Como discutido anteriormente é importante ter a política em camadas em mente. Essa abordagem permite que política cresça claramente a partir de um conceito geral e tarefas específicas. Ela também garante que as políticas de apoio reforcem as metas de nível superior, ao invés de serem isoladas e discordantes.
Durante todo o processo de criação da política, a participação daqueles que irão complementá-la deve ser solicitada e seriamente considerada. Esta ação de validação tem o importante efeito de garantir o realismo na política escrita.
Risco
Um aspecto crítico do desenvolvimento da política é o estudo de risco. Não é suficiente definir apenas o que uma organização deseja realizar. Um passo a mais deve ser dado para identificar quaisquer obstáculos que possam impedir o progresso em direção a esses objetivos. Este processo é comumente conhecido como avaliação do risco: uma análise de circunstâncias potencialmente adversas e o impacto negativo que elas podem gerar para alcançar o sucesso.
Geralmente, os métodos de avaliação de risco envolvem categoricamente, o agrupamento dos possíveis eventos negativos, atribuindo-lhes algumas indicações de verossimilhança. Após as ameaças serem determinadas, os procedimentos e planos são criados para reduzir a probabilidade dessas ameaças e / ou reduzir os efeitos negativos que essas ameaças podem gerar. Os principais resultados deste processo são medidas de mitigação. Estes planos de mitigação de risco são destilados em políticas, em vários níveis, para que uma organização possa se preparar para ameaças durante operações normais.
Manutenção
Uma vez que as políticas são formalizadas, é imperativo que a empresa mantenha um programa de política de revisão. A maior parte das organizações é dinâmica e seus objetivos de negócios ou a ênfase entre esses objetivos pode mudar de tempos em tempos. Publicadas, as políticas devem continuar a corresponder aos objetivos. Quando as políticas de mudanças das camadas mais altas e as políticas subordinadas não estão ajustadas para refletir essas mudanças, formal ou informalmente, as políticas escritas perdem a credibilidade. Quando as pessoas começam a mudar as suas tarefas e procedimentos para alcançar novas metas, a política subjacente deve ser atualizada. É na política desatualizada que documentos passam a ser estáticos ou imutáveis, tornando-se os "livros empoeirados na prateleira." No campo da tecnologia da informação, esta dinâmica pode ser ainda mais pronunciada. Com mudanças de software ou hardware, novos procedimentos, muitas vezes se tornam necessários. As organizações devem adaptar através da adoção de mecanismos de política e procedimento de revisão. Eles podem promover a revisão de alteração da política ou a revisão periódica, pelo menos, na mudança estruturada. Uma revisão periódica implica analisar as políticas em uma base regular e adaptá-las com base nas alterações da camada superior, através das políticas ou dos comentários de funcionários. Enquanto isso, uma revisão de alteração implica que um conjunto de políticas é apenas uma revista em mudanças, em relação à política do mais alto nível. Qualquer processo de avaliação deve levar o "resultado de cima pra baixo e o resultado de baixo pra cima" em consideração, se esforçando para que a política de apoio de alto nível e gabarito considere as opiniões dos funcionários subordinados.
Educação Política
Os esforços políticos não param após a boa política ser desenvolvida ou revista. É preciso considerável esforço para disseminar a política de informação exata para aqueles a quem se aplica. Para as pessoas aderirem às políticas, obviamente, deve-se primeiro conhecê-la e entendê-la. O método tradicional de divulgação de políticas de recursos humanos consiste em um boletim de política empresarial. Sem dúvida, todos os funcionários têm visto as placas, indicando os seus direitos, enquanto trabalhadores de organizações.
O método boletim pode ser útil na divulgação dos detalhes da política de TI. Nesse sentido, os mesmos também podem ser publicados eletronicamente, através de um servidor de intranet ou documentos para download. É importante fornecer um resumo ponto a ponto, através deste meio e ao mesmo tempo proporcionar o texto mais detalhado da política em si. Essa abordagem permite aos funcionários compreender rapidamente o principal destaque da política e lhes dá sentido para uma investigação mais aprofundada, se necessário. Tais técnicas de educação passiva são de baixo custo, pois são formas de política editorial. No entanto, para oferecer proteção jurídica aos indivíduos da sociedade, deve ser verificável que as políticas foram não só conhecidas, mas compreendidas. Assim, os gestores podem realizar o treinamento mais ativo através de classes ou de aconselhamento em grupo pequeno, de aprendizagem on-line e orientação dos empregados em formação. As aulas podem ser ministradas por gerentes ou por educadores conhecedores da política da empresa e pode fornecer alguma verificação da compreensão do empregado, especialmente quando complementadas por um questionário ou teste que analisa as políticas embasadas. Cursos de atualização anual podem fornecer a garantia de que os funcionários permaneçam em dia com as políticas organizacionais. Em última instância, pode ser desejável registrar as assinaturas dos funcionários e agradecer a compreensão das políticas que regem as suas posições. No caso de uma ação legal contra um funcionário, essa prática torna-se necessária para a gestão, que em seguida, terá justificação substancial com a qual procederá com a acusação. O trabalhador gastará muito mais tempo alegando ignorância ou não conhecimento dos termos, caso ele ou ela tenha assinado uma declaração de compreensão.
Normas -1
ISO 17799
A International Standards Organization é uma entidade fundamental para a coordenação operacional de esforços entre os diferentes países. Especificamente, a ISO freqüentemente publica normas que ajudam a explorar as diferentes culturas dentro do mesmo conjunto de regras. Isso pode ser útil para todos os governos e empresas.
A ISO publicou a Standard 1779933 para fornecer uma boa abordagem à gestão de segurança da informação. A ISO 17799 promove ativamente a boa política de segurança da informação como um de seus princípios primários. Ela orienta que: "A gestão deve estabelecer uma direção política clara que demonstre apoio e compromisso de segurança da informação através da emissão e manutenção de uma política de segurança da informação em toda a organização."
A ISO 17799 é composta por 11 seções principais:
1.Política de Segurança;
anização da Segurança da Informação;
3.Ativos da Gestão de Recursos de Segurança;
4.Humanização;
5.Segurança Física e Meio Ambiente;
unicações e Gestão de Operações;
7. Controle de Acesso aos Sistemas;
rmação: Aquisição, Desenvolvimento e Manutenção;
rmação: Gerenciamento de Incidentes de Segurança Gestão de Continuidade;
10.Negócios;
11.Conformidade.
Novamente nesta norma, vemos o padrão familiar de um processo político sistemático: risco de avaliação, desenvolvimento e revisão de políticas, os esforços de conformidade, as garantias de pessoal, medidas tecnológicas de segurança e planos de continuidade de negócios.
A norma 17799, em combinação com um segundo padrão chamado BS7799 Parte II, está sendo reclassificado como parte de um amplo padrão chamado ISO 27001. A BS7799 Parte II é o padrão de avaliação de conformidade ISO 17799.
Normas -2
Instituto Nacional de Padrões e Tecnologia
O Instituto Nacional de Padrões e Tecnologia (NIST) tem quase um século e produziu normas necessárias para facilitar a saúde econômica dos Estados Unidos. O instituto esteve envolvido com as normas de segurança da informação desde que os computadores foram criados e produziu valiosas orientações e práticas para a era do computador. O foco principal das atividades do NIST em tecnologia da informação está no desenvolvimento de testes, medições, provas de conceito, dados de referência, e outros instrumentos técnicos de apoio ao desenvolvimento da tecnologia.
Por uma questão de política, o NIST incentiva o desenvolvimento e a utilização de padrões da indústria voluntária. Em um esforço cuidadoso para evitar a duplicação desnecessária, o NIST só escreve normas e orientações quando existem exigências imperiosas Federais e não deixa de contar com as normas existentes no voluntariado industrial, para realizá-las. Portanto, o trabalho envolve a coordenação do NIST e o auxílio da indústria e das organizações internacionais para desenvolver padrões necessários.
O NIST fornece três publicações: Laboratório de Tecnologia da Informação (ITL), Boletins, Federal Information Processing Standards (FIPS) Publicações e publicações especiais. Boletins ITL são escritos por Computador de Tecnologia da Informação Laboratório de Divisão de Segurança e apresenta tratamentos aprofundados de temas importantes relacionados a TI. FIPS Publicações constituem o corpo de normas aplicáveis às agências do governo. Nem todas as publicações FIPS estão relacionadas à segurança da informação, nem todas elas são do governo em extensão, porém, elas tratam de normas em um formato abrangente e modular. Publicações Especiais, em especial as da série 800-informação do ramo de tecnologia de segurança são um caminho para a ITL fazer vários relatórios sobre suas operações em curso. Através dessas publicações, o NIST define as diretrizes, os relatórios sobre a investigação, e descreve os esforços de colaboração com outras organizações.
O NIST é freqüentemente convidado a desenvolver normas para a intenção da legislação promulgada pelo Congresso. Tal é o caso do FISMA, o Federal Information Security Management Act. A lei exige três documentos do NIST, uma norma que define as categorias de informação em termos de risco, orientações para a atribuição de informações de cada categoria, e uma exigência para a segurança mínima de diminuição dos riscos e controles necessários ao cumprimento entre as agências governamentais.
A primeira destas normas foi publicada como FIPS 199: Normas de Segurança
Categorização das informações Federal e Sistemas de Informação. Tal como exigido pelo FISMA às agências federais devem desenvolver e apresentar relatórios sobre as avaliações de risco de informação do sistema. Para efetivar a cooperação, a auditoria e a aplicação prática, todas as agências devem ter um vocabulário comum e terminologia. Esta norma foi publicada para esse efeito. Ele dá todas as agências um ponto de partida comum para discutir e avaliar os seus riscos.
Além disso, as Publicações Especiais fornecem orientações gerais que possam igualmente beneficiar órgãos afetados pelo FISMA. Esses documentos são úteis não só para os que satisfazem o FISMA e FIPS 199, mas também para qualquer organização envolvida com o risco e gerenciamento de conformidade. Eles podem servir como um excelente ponto de partida para o desenvolvimento de políticas e procedimentos.
SP 800-14 Geralmente Aceitos Princípios e Práticas para proteger as informações
Sistemas de Tecnologia, Setembro de 1996.
SP 800-16 Tecnologia da Informação Requisitos de Segurança Treinamento: Um papel e Baseadas no Desempenho Modelo (NIST substitui Spec. Pub. 500-172), Abril de 1998.
SP 800-26 Guia de Segurança para Auto-Avaliação de sistemas de TI.
SP 800-30 Guia de Gestão de Risco para Sistemas de Informação.
SP 800-33 subjacente Modelos Técnico de Segurança de Tecnologia da Informação, Dezembro de 2001.
SP 800-50 Construção de TI Segurança da consciência e do Programa de Treinamento.
SP 800-55 Guia de Segurança para Metrics Sistemas de Informação.
SP 800-66 Guia de Recursos introdutória para a aplicação da regra de segurança da HIPAA.
Esforços de conformidade
Execução
Temos notado que o gerenciamento de conformidade envolve a elaboração de políticas a parte da realidade. A primeira ação para o cumprimento da conformidade é ter políticas que fazem sentido em cada camada. É contraproducente gastar energia no cumprimento das regras que não suportam a missão da organização. Portanto, o desenvolvimento de políticas deve primeiro, permear o fluxo de cima para baixo, e depois de baixo para cima, como já citado em linhas anteriores.
Expectativas de Recursos Humanos
O consentimento informado ocorre quando um funcionário assina uma declaração indicando que ele ou ela compreende que regem as políticas da organização. Sua finalidade é atestar o compromisso do empregado a essas políticas. A prática de exigir o consentimento informado é predominante no setor de saúde, onde se serve a um propósito diferente. Para limitar a responsabilidade inerente à maioria dos procedimentos médicos, profissionais de saúde costumam fornecer orientação detalhada sobre todas as possibilidades de risco a respeito de um determinado procedimento. Armado com todos os fatos, o paciente, em seguida, assume a responsabilidade de aceitar ou rejeitar o processo. O paciente não pode, depois do fato, alegar negligência demandada por parte do médico se o resultado é indesejado, pois isso foi anteriormente publicado como um resultado possível e foi também reconhecido pela assinatura do paciente.
De forma similar, os gerentes de TI exigem o consentimento informado dos que utilizam a infra-estrutura de TI da organização. Os usuários precisam saber todos os fatos sobre o que se espera deles, e tão importante, eles devem estar cientes das conseqüências de violar esses requisitos. Eles reconhecem essa consciência através de assinatura. Quando a atividade de um usuário viola as políticas publicadas, ele ou ela não pode alegar ignorância da política ou das conseqüências que se seguem. Quase todas as organizações esclarecem nas suas políticas a distinção entre os recursos de negócios e propriedade individual. Na maioria das vezes, eles especificam claramente que os recursos de negócios são negócios usados apenas. Isso representa um problema quando os usuários adicionam informações pessoais para o computador ou usam-no para tarefas pessoais.
Privacidade
A expectativa de privacidade no local de trabalho é um tema controverso. A tecnologia da informação abre muitas possibilidades para o monitoramento, registro e fiscalização do uso dos recursos dos sistemas de informação. O que um usuário faz com o computador na sua mesa pode ser facilmente conhecido pelo pessoal de TI e gestores. Por uma questão de política, as organizações devem explicar que a informação é recolhida e para quem ela é relatada. Pode ser que um gestor tenha acesso a todas as solicitações da Web feitas por aqueles que ele supervisiona. Para evitar que uma obra suspeita ocorra, a política deve indicar o objetivo de reunir essas informações e proporcionar uma definição clara de abuso.
Auditorias
Um processo abrangente de segurança de informação inclui a validação da conformidade. Como observado anteriormente, o ciclo de vida política inclui revisão periódica para garantir que as políticas façam sentido no ambiente atual. Da mesma forma, o cumprimento deve ser verificado regularmente para garantir que as políticas estão sendo implementadas com eficácia.
Verificação de Conformidade
Em algumas organizações, pode haver pouco incentivo para realizar uma auditoria de conformidade formal. No entanto, os gestores devem observar continuamente e verificar o cumprimento, porque a política direciona os esforços empregados pelo caminho mais favorável para a empresa. Assim, o sucesso de uma empresa pode ser em grande parte medida pelo respeito dos seus membros. Quando os requisitos da política são enumerados claramente na documentação escrita, o documento em si pode ser usado como uma lista de verificação de conformidade.
Auditorias Externas
Muitas organizações, à luz da legislação discutida acima, devem comprovar a conformidade de uma autoridade superior. Em tais casos, a organização da informação e o cumprimento da política de segurança podem ser controladas por uma entidade externa, objetiva. Como em uma auditoria financeira, os auditores externos relatam às autoridades competentes sobre a forma como a organização adere a suas próprias políticas e quão bem as suas políticas refletem as normas pertinentes. Ter um programa de política é essencial para ganhar um relatório de auditoria favorável.
Ferramentas
Como a política organizacional de segurança da informação se torna mais onipresente e abrangente, o volume de trabalho resultante de políticas relacionadas aumenta também. Os processos de desenvolvimento de políticas, mapeamento de padrões de política e de rastreamento e relatórios de conformidade de cada um, exigem o seu próprio sistema de informação dedicado. Essas tarefas também são apoiadas por um número crescente de recursos, como discutido nas subseções a seguir.
Guias Política
Muitos recursos podem auxiliar no desenvolvimento de políticas. Raramente as organizações tem tempo para iniciar o processo de política de segurança a partir do zero. Essa abordagem envolve uma primeira leitura e compreensão de normas autoritárias, que muitas vezes envolvem linguagem jurídica e legislativa complexa. Em vez disso é útil começar com a política de modelos pré-gravados. Se estes são demasiadamente restritivos ou enlatados, muitas empresas prestam serviços para ajudar as organizações a se conduzirem através de uma avaliação de risco e desenvolvimento de políticas para mitigar riscos avaliados.
Software Reporting
Software comercial construído para rastreamento padrões de conformidade e relatórios específicos tem tornam-se cada vez mais comum. Isso pode servir como mais um auxílio efetivo para as organizações nos seus esforços de conformidade.
1.2. Risk Management (Gerenciamento de Riscos)
Descrição dos Riscos
O risco é a possibilidade de sofrer danos ou perda. Com relação à Tecnologia de Informação, o risco é o potencial que uma determinada ameaça vai explorar uma determinada vulnerabilidade para comprometer a confidencialidade, integridade ou disponibilidade de um certo ativo.
Antes de gerenciar os riscos, eles devem ser identificados. Uma maneira de identificar o risco potencial é listar os componentes de risco em um cenário bem orientado e avaliar o risco de plausibilidade.
Ameaças e Vulnerabilidades
Provavelmente os componentes mais facilmente identificáveis de risco, para o sistema e da rede administradores, são ameaça e vulnerabilidade. A combinação de ameaça e vulnerabilidade gera um potencial de resultados indesejáveis, como quando as ameaças exploram vulnerabilidades em um ativo para comprometer a confidencialidade do ativo, integridade e / ou disponibilidade. Esses indesejáveis resultados são referidos como os impactos.
O impacto do risco
Compreender as formas de risco de impacto a base para avaliar os resultados de risco: a perda, destruição, modificação e interrupção. O impacto é a realização do risco. Para avaliar o resultado de um risco é necessário o desenvolvimento de critérios de avaliação de cenários de risco.
Depois de considerar estes impactos negativos que o risco pode gerar, o usuário deve ser capaz de definir potenciais situações de falha, como destruição, causando um dispêndio de esforço para restaurar ou recuperar as informações. Finalmente, o usuário deve decidir se ele realmente se preocupa com os impactos potenciais de seus bens. Se sim, então as estratégias de mitigação deve ser fornecidas, se não, então os impactos potenciais de riscos são aceitos, além das conseqüências da perda ou dano que poderia sofrer com a exposição ao risco.
Componentes de Risco
Para o risco de existir, devem estar presentes:
• Ativos de valor para uma organização ou indivíduo que deve ser protegido (ativos críticos)(.
• As ameaças a esses ativos críticos (possibilidade de divulgação, modificação, destruição ou(interrupção)
• Vulnerabilidades desses ativos críticos que podem proporcionar uma oportunidade para as ameaças para agir( sobre os ativos de uma forma que divulgue, modifique, destrua ou interrompa os ativos
Identificar Ativos
Um ativo é qualquer coisa de valor para uma organização. Normalmente, os ativos são classificados como ativos de informação (pessoas, hardware, software, sistemas), outros ativos de apoio (instalações, utilidades, serviços), ou ativos críticos. Ativos críticos podem incluir informações ou outros ativos de apoio. É importante notar que a organização pode optar por classificar os ativos em diferentes categorias, de acordo com a sensibilidade ou a função.
Identificar os ativos críticos
Ativos críticos são ativos que têm uma relação integral com a missão da organização. Isto significa que a perda ou danos a um ativo crítico poderia causar perturbações ao missão operacionais ou funcionais da organização a um ponto onde a missão falha. Este conceito reconhece que cada organização irá definir um conjunto diferente e única de ativos críticos que se alinham com o sucesso ou fracasso da missão.
Identificar os requisitos de segurança
Cada ativo crítico tem exigências diferentes para a confidencialidade, integridade e disponibilidade que devem ser documentados, descrevendo os requisitos, a informação do responsável proprietário dos ativos(s),( assim como sob que condições e em que grau os requisitos devem ser aplicadas comunicado a toda a organização.
Vulnerabilidades
A vulnerabilidade é a ausência ou fraqueza de uma salvaguarda. Também pode ser descrito como um fraqueza em um ativo ou dos métodos de garantir que o ativo é de sobrevivência. Por exemplo, vulnerabilidade de softwares, configurações padrões vulneráveis, tais como conta default, senhas, controle de acesso, softwares desnecessários, bugs, buffer overflows, fraco tratamento de erros, arquitetura fraca, deficiência de pessoal, falta de sensibilização e treinamento pessoal dentre outros.
Ameaças
Uma ameaça é qualquer evento que cause um impacto indesejável ou perda para uma organização se ocorre. Exemplos de ameaças incluem o seguinte: intrusões e interrupções dos sistemas de informação (vírus, worms, trojans, denials of service, sniffing), perda de ativos pontos únicos de falha (ativo crítico sem backup, ativo hardware único da empresa tal qual roteador, switch, etc), chaves utilizadas para criptografia de ativos críticos.
Cálculo de Exposição ao Risco
A análise de risco é o processo de identificação de riscos à segurança, determinando a sua magnitude, e identificar áreas que precisam de garantias. Isso exige uma compreensão do potencial que as fontes de ameaça (humanos, problemas do sistema, vírus, etc) têm em explorar e abusar vulnerabilidades que resultam em risco.
Análise qualitativa de riscos
[pic]
Fonte: Defense in depth: Foundations for secure and resilient IT Enterprises
Esta tabela mostra uma simples exposição que suporta uma análise qualitativa do risco. Cenários de ameaça são descritos para ativos (normalmente crítico), e os dados da tabela da exposição é usada para tomar decisões relativas à gestão de risco. A tabela também fornece um ponto de partida para determinar quais os riscos são de maior preocupação quando se trata de missão sobrevivência. Se a decisão for tomada para mitigar o risco, tipicamente uma análise custo / benefício é conduzidas para selecionar salvaguardas.
Avaliação Simples Matriz de Risco
[pic]
Fonte: Defense in depth: Foundations for secure and resilient IT Enterprises
Ainda mais simples que a mesa de exposição é a matriz de avaliação de risco. Ela simplesmente categoriza ameaças em nível de grau baseada em probabilidade versus gravidade. Se uma ameaça está na caixa de alto Alto / no (alta probabilidade e severidade alta) da matriz, uma organização é susceptível de gerir o risco associado com a primeira ameaça.
Matriz de avaliação detalhada dos riscos
[pic]
Fonte: Defense in depth: Foundations for secure and resilient IT Enterprises
A tabela acima mostra uma avaliação mais detalhada da matriz de risco (mais uma vez com base nos fatores de probabilidade e gravidade) que pode ser usado na tomada de decisões de gestão de riscos. Aqui, ameaças de probabilidade diferentes são classificados de acordo com quatro níveis de gravidade: catastrófica, crítica, moderada e insignificante.( Quanto menor o número de classificação de nível de risco, mais crítico é o risco do ativo.
Análise Quantitativa de Riscos
Gerentes de TI são frequentemente confrontados com o dilema de justificar seus gastos em sobrevivência e segurança. Idealmente, os recursos alocados para a sobrevivência deve ser visto como um investimento na missão da organização. Mas porque o velho paradigma (segurança visto como um gasto gerais) ainda é uma realidade operacional, os gerentes de TI costumam justificar gastos com as formas de análise quantitativa de risco.
Existem termos que sua utilização ajuda a fornecer mais confiável análise custo-benefício, que são:
Fator de Exposição (EF) - O fator de exposição descreve os efeitos que uma ameaça teria em um determinado bem como uma porcentagem de perda do valor total do ativo.
Expectativa de Perda única (LES) - Figura o valor atribuído à perda de um ativo em uma única ameaça.
Taxa anual de ocorrência (ARO) - Representa a freqüência estimada com que uma ameaça está prevista para ocorrer.
Expectativa de Perda anual (ALE) - É a perda financeira anual que uma organização espera de uma ameaça(s).
Gestão de Risco
A gestão de riscos deve ser um processo bem definido e estabelecido, eficaz para com os riscos, que pode economizar recursos, reduzir acidentes e até mesmo salvar vidas.
Estratégias de Gerenciamento de Risco
As organizações têm quatro opções para decidir como administrar riscos:
1. Aceitar - Se uma organização opta por aceitar o risco, fá-lo com pleno conhecimento do potencial ameaças e vulnerabilidades ao ativo. Pode ser que a exposição do ativo é aceitável ou dentro de algum nível de tolerância.
2. Mitigar - Mitigação de riscos é o processo de aplicação de salvaguardas ativamente para reduzir o nível de exposição de um ativo.
3. Transferência - Transferência do risco ocorre quando uma organização decide contratar um terceiro para mitigar o risco.
4. Evitar - Evitar o risco significa que a organização elimina a exposição do ativo, ou mesmo o ativo em si.
1.3. Identity Management (Gerenciamento de Identidade)
Visão Geral
Ele lida principalmente com autenticação – determinar se um usuário de um sistema de computação é de fato o usuário que ele ou ela afirma ser.
Uma identidade compreende as características de uma pessoa que permitem distinguir aquela pessoa de qualquer outra.
Nos primórdios da computação, simplesmente digitando um nome de usuário foi considerada prova suficiente da identidade, e ao usuário a alegação de identidade era geralmente aceita sem questionar. Ele rapidamente tornou-se evidente, no entanto, as pessoas podiam tirar vantagem dessa situação para ganhar acesso e controle dos recursos que não lhe pertenciam. Tornou-se necessário autenticar usuários, e uma gestão dos mais complexos processos de identidade nasceu.
Identificação de Gestão
A palavra entidade muitas vezes é a melhor descrição para o portador de uma identidade digital, pois os usuários não são os únicos envolvidos no processo de autenticação. Muitas vezes, serviços de computação, tais como servidores Web precisam ser identificados, pois os usuários estão muito interessados na autenticação do e-commerce e com servidores Web com os quais eles se comunicam e realizam transações financeiras.
Senhas
A forma mais comum de identificação hoje é um nome de usuário e senha. A senha é uma sequência de caracteres preferencialmente conhecida apenas por seu dono. É valiosa no processo de autenticação porque o sistema de computador sabe de cada passo do usuário.
No entanto, as senhas também apresentam alguns problemas. Qualquer senha que é simplesmente uma palavra do dicionário ou uma breve modificação de um deles é segurança muito baixa contra um invasor que tenta comprometê-la. Ao invés disso, é necessário construir senhas que são longas sequências de letras, números e símbolos. Mas verdadeiramente senhas robustas são muitas vezes difíceis de lembrar. Elas realmente podem ter um impacto negativo sobre a segurança porque os usuários poderão escreve-la em um papel ou armazená-la em outro lugar que não é segura.
Estudos do setor indicam que pelo menos 25 % dos problemas de help-desk de apoio técnico envolve problemas com senha.
Na maioria dos sistemas modernos, uma senha não é armazenada ou transmitida em texto simples, ela é transformada em um valor diferente por uma função hash. A função hash é um processo que transforma uma sequência de comprimento arbitrário de caracteres em um único comprimento fixo de valor.
Tokens
Os tokens são objetos físicos dado aos usuários para fins de identificação. O token mais popular hoje são os smartcards. Esses cartões contém um chip eletrônico que armazena as informações de identidade digital.
Grande parte da vantagem de cartões inteligentes é a oportunidade que eles fornecem de convergir segurança física com a segurança da informação.
Existem também outros tipos de tokens para fornecer gerenciamento de identidades digitais. Estes tokens normalmente são dispositivos de hardware. Podem fornecer senhas geredas em tempo real para os utilizadores e, em seguida desativadas após a utilização bem sucedida. As chamadas senhas One-time são implementadas de modo que o sistema de autenticação sabe aguardar determinadas senhas em uma determinada sequência de determinados usuários do dispositivo. Geralmente essas senhas são aleatórias o suficiente para garantir a baixa probabilidade que em um ataque seja possível adivinhar a próxima senha da sequência.
Biometria
A identidade pode ser mais eficaz provada por comparação de determinadas características físicas do usuário. Biometria é o campo de medição de características físicas distintas, tais como impressões digitais, características faciais, e os padrões da íris, e armazena representações digitais dessas características para identificar os usuários. Ao contrário das senhas, as características biométricas não são perdidos ou esquecidos. A confirmação de identidade biométricos suportados pela evidência, portanto, pode ser mais substancial do que uma confirmação sustentada por um token ou senha.
Leitores de impressão digital, especialmente, estão se tornando mais comum, como meio de verificação de identidade. Existem dispositivos de baixo custo disponível para fornecer este nível de segurança reforçada. Alguns estão embutidos em notebooks ou pode ser adicionado como os dispositivos periféricos, permitindo aos usuários fazer logon no computador com um simples toque de dedo único.
Estes mecanismos de login pode substituir o nome de usuário e senha tradicionais e podem ser ligadas em um servidor central de autenticação em ambiente de rede.
Criptografia
A criptografia fornece um meio para entidades digitais provar a sua identidade única. Ele usa uma chave – uma sequência de bits – em conjunto com algoritmos publicados para criptografar e descriptografar os dados.
Essa chave torna-se como uma senha. Uma entidade pode afirmar sua identidade como o possuidor da chave e, em seguida, sustentar essa afirmação com o uso da chave.
Existem dois principais tipos de chaves: simétricas e assimétricas. As chaves simétricas são as chaves que tanto criptografam e descriptografam os dados. A mesma chave é utilizada em ambas as extremidades de uma troca de dados pelo emissor e o receptor. Uma grande variedade de algoritmos usam chaves simétricas: Digital Encryption Standard (DES), Triple DES, Padrão de Criptografia Avançada (AES), Blowfish, Twofish são alguns exemplos.
O algoritmo de chave simétrica têm a propriedade de ser computacionalmente muito eficiente, por serem rápidos. Esta velocidade torna adequados para criptografar grandes quantidades de dados.
Uma desvantagem de chaves simétricas é a necessidade de compartilhar a chave secreta. O usuário precisa ter uma chave compartilhada com cada uma das entidades com as quais ele ou ela precisa ter uma comunicação segura. Isso torno o gerenciamento de chave uma tarefa pesada.
Criptografia assimétrica aborda este obstáculo, fazendo uso de pares de chaves. Um par de chaves é um conjunto de duas chaves, uma pública e uma particular. Estas duas chaves são criadas usando um procedimento matemático de tal forma que as duas chaves de complementam. Neste método, o remetente usa a chave pública de destino para criptografar os dados. Uma vez que os dados são criptografados, só pode ser decifrada por quem detém a chave privada correspondente. Mesma a pessoa que criptografou os dados não pode decifrá-lo porque essa pessoa só tem a chave pública, não a chave privada. Quando a entidade de destino recebe o texto cifrado (dados criptografados), essa pessoa pode usar a sua própria chave privada para decifrar a mensagem. As chaves podem ser produzidos de modo que é computacionalmente inviável determinar a chave privada com base na chave pública. Os algoritmos de criptografia assimétrica são baseados em operações matemáticas complexas, como o número primo, fatoração, no caso do algoritmo RSA ou logaritmos discretos no caso do algoritmo El Gamal.
A existência de uma chave pública que pode ser distribuída abertamente reduz os desafios de gestão inerentes a implementações de chave. No entanto, esta simplificação tem um custo. É computacionalmente mais complexo de usar algoritmos assimétricos, portanto, são executadas de forma relativamente lenta. Portanto não é prático para criptografar grandes quantidades de dados usando esse método.
Assinaturas Digitais
Assinatura digital é projetada para confirmar a identidade do remetente de uma mensagem, são usadas no sentido inverso da criptografia. O assinante usa a sua própria chave privada para criptografar uma mensagem, e qualquer um pode usar a chave pública do destinatário para decifrá-lo. Se o valor descriptografado é correto, em seguida a mensagem realmente veio do titular da chave privada. Como é ineficiente utilizar algoritmos assimétricos em grandes conjuntos de dados, as assinatura digitais utilizam um valor de hash dos dados, gerados por uma rápido e eficiente algoritmo de hash. Para verificar uma assinatura digital, calcula um hash dos dados, utilizando o mesmo algoritmo que o signatário utilizado, e depois compara com o valor de hash descoberto por descriptografar os dados assinado com a chave pública do signatário da mensagem. Se os dois valores de hash combinarem o verificados pode ter a alta confiança que os dados eram provenientes do titular da chave privada.
Autoridade Certificadora
Um problema com as assinaturas digitais é que qualquer pessoa pode obter um par de chaves privada e pública com pretensão de ser uma certa pessoa com um certo nome. Isto é, um problema de confiança. A confiança é essencial dentro da esfera da identidade digital, devido à natureza dinâmica do relacionamento digital. Uma solução para este problema de confiança é o uso de certificados de identidade.
O papel de uma autoridade de certificação é atestar que o titular de uma chave pública é, de fato, a entidade que afirma ser. A emissão de um certificado, que é assinado digitalmente em conjunto com dados que associa informações de identidade com uma chave pública. Com este certificado, não há necessidade de ter uma declaração de identidade, pode-se confirmar a identidade com uma terceira parte, o certificado de autoridade. Isso reduz a complexidade de relações de confiança.
Usando o SLL/TSS, o usuário recebe um certificados do servidor web, para que o usuário pode ter certeza que ele ou ela está se comunicando com o servidor Web correto.
A autenticação depende da identidade e confiança. Dependendo do nível de segurança necessário, rotinas de autenticação diferentes podem ser usadas.
Sistemas de identidade federada
Sistemas de identidade federada tem o objetivo de superar os obstáculos de autenticação entre diferentes redes. As demandas do comércio eletrônico tem crescido tanto que os parceiros de negócios muitas vezes fazem os recursos de rede disponíveis para outros. Especialmente no campo de serviços Web a autenticação através de fronteiras organizacionais rapidamente se torna tênue. Se um fornecedor publica um serviço de encomendas, deve configurar o serviço para ser acessível apenas aos usuários autenticados. Isso geralmente envolve uma carga administrativa considerável para a base de dados de usuários. Distribuir o trabalho de autenticação para usuários de uma rede doméstica introduz o problema de diferentes infraestruturas e protocolos
Sistemas de identidade federada cria um meio eficaz de conseguir uma aceitação comum de autenticação descentralizado. Todos os métodos correntes consistem em desenvolver uma linguagem e protocolo comum através do qual as diferentes entidades podem transferir dados de autenticação. Este item comum entre diferentes sistemas de parceiros faz o sistema possível e torna-se fácil adicionar ou remover novos parceiros.
Federações são criadas por um grupo de organizações que têm alguma relação que se unem para um propósito. Um exemplo comum é o de uma agência de viagens que trabalha rotineiramente com hotéis, empresas de aluguel de automóveis e companhias aéreas. Qualquer organização que lida com viagens e vê um benefício para a autenticação compartilhada entre os parceiros da indústria podem aderir à federação. A federação pode ser foram ou informal. No contexto de gerenciamento de identidade, é essencial referir uma organização que irá fornecer informações de autenticação de acordo com um padrão comum.
Há pelo menos dois grandes itens de identidade federada em desenvolvimento pela Microsoft, o Liberty Alliance e Shibboleth. Microsoft está construindo um sistema chamado MS Infocard.
MS Infocard é construído sobre uma base de protocolos de serviço web chamados de Web Services Trust Language (WS-Trust)
Esses serviços da web transformam alegação de identidade e tokens de autenticação recebida de um ID “Provedor” em um formato compreensível por uma “Parte Confiante”.
Liberty Alliance
Liberty Alliance também está a desenvolver especificações para gerenciamento de identidade federada. Esta aliança é composta por aproximadamente 150 empresas em todo o mundo que entendem que a identidade e autenticação forte está nos melhores interesses dos consumidores e da indústria.
Shibboleth
O usuário interage com um provedor de identidade e um prestador de serviço. Um dos objetivos desse sistema é proteger a identidade do usuário através da divulgação do prestador de serviços que divulga algumas características do usuário apenas quando ele tenha sido previamente aprovado na autenticação. Quando as características são muito limitadas o fornecedor de serviços só poderá receber a garantia de que o usuário é autenticado pelo provedor de identidade. Em outros cenários, o usuário pode concordar em fornecer um nome ou algumas informações demográficas que poderia ajudar o fornecedor de serviço atual recursos adicionais que sejam aplicáveis.
O fluxo de mensagens do protocolo Shibboleth circula por todas as três entidades principais: a do usuário, o provedor de identidade e o prestador de serviço. O prestador de serviços redireciona o usuário para o seu provedor de identidade escolhido, onde o usuário é autenticado com credenciais locais. O Provedor de Identidade gera um identificador exclusivo para a sessão do usuário autenticado e envia de volta para o usuário, que apresenta o identificador para o prestador de serviços. O prestador do serviço, em seguida contata o provedor de identidade diretamente ou solicita qualquer atributo necessário relativo a autenticação. O provedor retorna os atributos da identidade para o prestador de serviços com base na política de divulgação controlada pelo utilizador.
Todas as mensagens envolvidas neste intercâmbio são formatados utilizando o Security Assertion Markup Language (SAML) normas elaboradas pela Organizão para o Avanço de Padrões de Informação Estruturada (OASIS). SAML é uma sintaxe XML que descreve informações de segurança incluindo a identidade com pedidos de autenticação e revogações.
Proteção de identidade e privacidade
Proteger a identidade do usuário é uma crescente preocupação. O progresso técnico simplifica a gestão da identidade digital que tem sido acompanhada por um progresso na política de lidar com o tratamento adequado da identidade. Os esforços tem como objetivo sensibilizar as pessoas para roubo de identidade e de medidas que podem proteger contra ela.
O roubo de identidade não é exclusivo do meio digital. No entanto, o uso disseminado da Internet agravou o problema de longa data.
Uma pessoa mal intencionada pode executar programas para capturar números de cartão de crédito através do tráfego de Internet com pouco esforço. A Internet torna possível para que alcancem altos retornos sobre seus investimentos ilegais. As informações podem ser interceptadas na entrada dos dados, no tráfego ou no armazenamento. Se a interceptação representa uma dificuldade, os ladrões podem simplesmente tentar enganar o usuário a pensar que eles são uma entidade legítima.
A maioria dos ladrões conduzem suas atividades com fins lucrativos, por isso não é surpresa que a maioria dos roubos de identidade envolvem dinheiro.
Gerenciar identidades digitais com cuidado pode reduzir a exposição ao roubo on-line. Mas uma das razões deste problema ser tão difícil, em primeiro lugar é a proliferação de informações de identificação necessários a realização de negócios on-line.
Entretanto, uma precaução básica é a de incentivar os usuários a evitar usar a mesma senha para site bancário, que é usado para um web site casual. Identidades devem ser mantidas separadas e sem relacionamento entre elas.
Roubo de identidade ocorrem muito simplesmente através de truques e enganação. A conscientização de métodos de ataque em comum, como spam, phishing e pharming pode ajudar a evitar que os usuários forneçam suas credenciais aos impostores. Quando o usuário se autentica, suas credenciais de logon são expostos. Deve-se notar que a maioria dos serviços on-line nunca solicita informações via e-mail, assim todos os pedidos por e-mail para entrar em algum lugar deve ser tradado como suspeito.
Uma maneira comum de evitar a exposição é conectar-se a sites da Web usando Secure Sockets Layer (SSL). O protocolo SSL aciona referências visuais de segurança no navegador, como o ícone do cadeado e o https:// na barra de endereço. Se houver alguma diferença entre o nome do site, no nome do certificado ou o certificado da autoridade de assinatura, o usuário será alertado.
Usuários tem o hábito de clicar em “Continuar” em reposta a mensagens de alerta, sem checar os alertas tornam-se potenciais vítimas.
Um detalhado plano de gestão da segurança da informação deve ser projetado, de modo que a capacidade de insiders façam utilização abusiva de dados que não estão autorizados. Não há nenhuma lista de verificação simples que, uma vez concluído, resulta em resistência. Defesa em profundidade é um conceito holístico, que exige a integração de vários componentes diferentes para criar uma cultura global de segurança, apoiadas por uma tecnologia que serve a missão empresarial.
1.4. Authorization Management (Gerenciamento da autorização)
Em Authorization Management veremos as melhores práticas e métodos de implementação para a gestão, autorização e proteção da integridade e confidencialidade das informações.
Definindo Gerenciamento de autorização
Gestão de autorização é a tarefa de atribuir e, em seguida, manter o controle de quem tem acesso ao que em um ambiente de rede. É uma tarefa dependente de autenticação de identidade que foi mostrada anteriormente.
O primeiro passo deste processo é definir os ativos importantes, que são dados ou recursos organizacionais que necessitam de proteção. Estes devem ser identificados através de um processo formal da organização.
O processo de identificação é tão importante que para agências do governo ele é definido em publicação FIPS 199, normal para categorização de informações de segurança federal e sistemas de informação.
O principal objetivo do gerenciamento de autorização é alcançar a confidencialidade que é a certeza de que as informações podem ser lidas somente por pessoas autorizadas, e a integridade que é a garantia de que as informações estejam intactas, corretas e sejam autênticas.
Componentes de Gerenciamento de autorização
O gerenciamento de autorização é composto por quatro componentes:
- Usuário: Pessoa física ou host que requer acesso ao recurso protegido;
- Assunto: Arquivo ou objeto á ser acessado;
- Recursos: Qualquer um de uma ampla variedade de recursos de rede que um usuário pode acessar;
- Permissão: Direito concedido ao usuário para acessar um recurso ou assunto;
Tipos de controle de acesso
O controle de acesso envolve restringir o acesso a um bem particular para que apenas usuários autorizados ou grupos podem ler, usar, alterar ou excluir o ativo.
Em um ambiente de rede existem três níveis de interação:
- Controle de acesso de arquivos de sistema: estão integrados no SO;
- Controle de acesso no nível de rede: envolve a utilização de dispositivos de rede para regular o trafego de uma rede;
- Controle de acesso de nível de aplicação: são permissões definidas e aplicadas no nível do aplicativo para controlar e aplicar regras de acesso aos aplicativos e dados da aplicação;
Controle de acesso de arquivo de sistema
Cada sistema operacional usa um tipo de sistema de arquivos. O sistema de arquivo, por sua vez, pode usar um tipo especifico de controle de acesso. Veremos dois modelos de controle de acesso de arquivos.
- Access Control List: Este modelo é o mais utilizado nos sistemas de arquivos. É uma matriz que relaciona cada usuário, juntamente com seus privilégios para acessar cada objeto específico sobre o sistema.
Ex:
|USUÁRIO |ARQUIVO 1 |
|Ronaldo |rw |
|Adriano |r |
|Liédson |r |
- Capacidade: Armazena uma lista de permissões para cada usuário, ao invés de para cada arquivo. Esta lista é apresentada pelo usuário para provar a autorização quando for acessar um objeto protegido.
Ex:
|USUÁRIO |ARQUIVO 1 |ARQUIVO 2 |ARQUIVO 3 |ARQUIVO 4 |
|Ronaldo |rw |rwx |r |rw |
Diferença: A principal diferença entre os dois modelos é que no modelo de capacidade, controles de acesso para um único usuário são mantidos em uma única tabela, enquanto que no modelo de ACL, cada arquivo tem suas próprias lista de usuários autorizados.
Implementação do arquivo de sistema
Seguem abaixo as melhores praticas para tornar a gestão mais fácil e menos susceptível á falhas/erros.
- Regra baseada em controle de acesso: Através da atribuição de classes de usuários a grupos, você pode reduzir a quantidade de administração necessária para cada usuário individual.
Além de grupos de função geral tais como recursos humanos e marketing, também é possível criar grupos com base em mais específica
funções organizacionais. Por exemplo, grupos podem ser criados para os administradores, os gerentes da conta ou membros da equipe.
Qualquer função de trabalho que requerem níveis específicos de autorização que diferem dos de outros papéis seria um bom candidato para regras baseadas em controle de acesso
- Política: Toda organização deve desenvolver e seguir uma política de segurança da informação que estabelece os procedimentos e protocolos para a gestão de autorização. Toda política de segurança de nível tático deve definir os controles de acesso específicos que serão usados para proteger as informações e recursos essenciais.
Segue abaixo alguns exemplos de praticas aplicadas.
- Remova grupos de usuários genéricos ou padrão, como o grupo "Todos";
- Aplique permissões a pastas em vez de arquivos individuais;
- Restrinja o acesso aos arquivos de sistema ou configuração;
- Tenha cuidado com a herança de permissões;
- Crie uma separação de funções. Por exemplo, o indivíduo
responsável pela manutenção de direitos de acesso não deve ser capaz de editar ou apagar logs de acesso;
- Implementações: Cada sistema operacional tem geralmente um tipo de sistema de arquivo específico. Existe uma grande variedade de tipos possíveis, mas apenas alguns são amplamente utilizados. Veja alguns deles.
|FAT |File Allocation Table |
|NTFS |NT File System |
|EFS |Encrypting File System |
|EXTx |Extended file system |
- FAT: O sistema de arquivos FAT é relativamente básico e é
suportada na maioria dos sistemas operacionais, tornando-se uma escolha popular para discos que deve ser lido por ambos os hosts Windows e Linux / Unix;
- NTFS: O NTFS é compativel apenas com com plataforma Windows, a partir do Windos XP. Seu principal benefício é o suporte para Sistema de Criptografia de Arquivo (EFS);
- EFS: Este é um companheiro para o sistema de arquivos NTFS usada no Microsoft Windows. Ele permite que arquivos armazenados em uma partição NTFS para ser criptografada usando um combinação simétrica e criptografia de chave pública. Isso acrescenta outra camada de segurança para auxiliar na manutenção da confidencialidade, se um invasor tenha acesso físico ao disco rígido;
- EXTx: Este foi o sistema de arquivo original do Linux. Há três versões diferentes: Ext, Ext2 e Ext3. Ext3 é hoje o sistema de arquivos padrão no Debian, Fedora, RedHat e distribuições Linux;
Controles de acessos de camada de aplicação
Gerenciamento de Autorização significa mais do que apenas controlar o acesso dos indivíduos. Significa também controlar a autorização de tráfego. Em nível de aplicação, podemos acompanhar e impor regras para o fluxo de tráfego e integridade. Isso significa que podemos garantir que os pacotes enviados na
rede seguem as especificações técnicas corretas para o protocolo de comunicação a ser
utilizado.
TCP Wrappers
TCP Wrappers é um filtro de pacote para sitemas Linux/Unix que irá monitorar requisições de entrada para um serviço específico, tal como FTP, telnet, rlogin etc. Uma vez implementado e configurado para proteger um serviço, TCP Wrappers analisará cada requisição de entrada para determinar se o host tenta estabelecer uma conexão com privilégios de acesso. Se isto não acontecer, o pedido de conexão é negada.
Vantagens do TCP Wrappers
• Não há necessidade de modificar o software existente ou arquivos de configuração.
• A configuração padrão é de tal forma que o software pode ser instalado “fora da caixa” na maioria das implementações UNIX.
• Não há impacto nos usuários jurídicos
• O programa Wrapper não troca qualquer dado com clientes da rede ou processo do servidor, assim o risco de falhas é extremamente pequeno
• É adequado tanto para TCP quanto para UDP
• A facilidade opcional do controle de acesso pode ser usada para desativar a “proteção” do sistema
Desvantagens do TCP Wrappers
Alta interação para o controle de IP de origem - O controle de acesso através do endereço IP de origem fornece um nível mínimo de segurança pois o endereço IP pode ser facilmente falsificado.
Análise mínima de pacotes - TCP Wrappers realiza uma inspeção limitada de pacotes, principalmente examinando informações de cabeçalho, rejeitando ou transmitindo o pacote para o destino.
Implementações do Gerenciamento de Autorização
Aplicação Gateway/Proxy Server
Um Proxy é um dispositivo ou serviço que fica entre a internet e a rede interna LAN. Quando uma requisição de entrada chega à rede, ela será enviada para o Proxy. O Proxy analisará a requisição para determinar se esta é válida. Se a requisição atende às condições monitoradas, o Proxy passará para o host de destino.
Servidores Proxy podem analisar uma requisição para determinar várias condições:
• A requisição é válida para o host/serviço na LAN?
• A requisição é originada de um host autorizado?
• O pacote atende às especificações para porta/protocolo para os quais está tentando estabelecer a conexão
• Qual é a carga do pacote?
• Este é um comando autorizado?
Exemplo de Aplicações Proxy
• Microsoft ISA Server
• Squid
Vantagens de uma aplicação Proxy
Alvo Específico: controle de acesso granular – uma regra pode ser usada para vários hosts.
Redução da carga no firewall: em cenários onde exista um firewall e um Proxy.
Pode reduzir o efeito de configuração errada em um host individual.
Inspeção profunda de pacotes: Um aplicativo gateway tem a capacidade de examinar todas as sete camadas do pacote, incluindo a de carga.
Suporte de autenticação reforçada: Alguns proxies são capazes de aumentar o nível de autenticação. Isto garante maior segurança do que um simples controle de pesquisa IP, como implementado por exemplo TCP Wrappers.
Desvantagens de uma Aplicação Proxy
Proxy de aplicação específica: Um Proxy especial é necessário para cada aplicação ou serviço.
Aplicativos incompatíveis: é possível que um serviço ou aplicativo não seja compatível com o Proxy.
Auto Overhead computacional/performance reduzida: isto pode ser resultado da análise em profundidade e filtros envolvidos.
Controle de Acesso a Rede
O objetivo do controle de acesso à rede é efetivamente o mesmo que do controle de acesso ao sistema de arquivos: limitar quem e o que pode ser acessado para certos recursos. Controles de Rede estão preocupados com a limitação ou controle do fluxo de tráfego na rede. Tais controles podem envolver conexões com um servidor web e uma transação ou servidor de banco de dados.
Segmentação
A segmentação em nível de rede pode ser utilizada para dividir sua rede em segmentos com base nas necessidades de recurso ou na importância das informações que estão armazenadas em hosts.
Proteção de Borda
Pontos Positivos:
Facilidade no monitoramento de acessos
Oculta endereços internos – NAT (Network Address Translation).
Pontos Negativos:
Falsa sensação de proteção do exterior: além do firewall outros mecanismos de segurança devem ser implementados.
Defesa em profundidade permitirá a organização atingir maiores níveis de segurança
Cria um ponto único de falha: todos os clientes dependem exclusivamente do firewall.
Mecanismos de Controle de Acesso a Rede
Roteadores
Roteadores e firewalls são dois mecanismos de Controle de Acesso a Rede. Um Roteador é um dispositivo “gateway” localizado entre duas redes; ele faz o roteamento de uma rede para outra até o pacote encontrar o destinatário.
Roteadores também são capazes de realizar uma quantidade limitada de filtragens de pacotes. Na camada 3 da pilha TCP/IP, um roteador irá examinar a origem e o destino do endereço IP dos pacotes e tomar decisões de roteamento baseado em regras definidas pelo administrador da rede.
Firewalls
O Firewall é um dispositivo para monitorar o tráfego de entrada ou saída e bloquear pacotes baseados em regras definidas pelo administrador. Firewalls podem ser usados para fornecer diferentes tipos de segurança. As duas funções principais dos firewalls são: 1) Seguimentação interna e 2) Proteção e controle de conexões externas na rede interna. Seguimentação interna serve para separar partes da rede interna do restante da rede.
Resumo
Fica evidente que o Gerenciamento de Autorização é um componente essencial para a segurança da informação e claro, deve ser implementado em conjunto com outras medidas de segurança adicionais. O Gerenciamento de Autorização é tão forte quanto as medidas de autenticação da Organização. Autenticação Forte, combinada com implementações de medidas de autorização, aumenta a segurança das organizações em outra magnitude.
1.5 Accountability Management (Gerenciamento de auditoria)
Auditoria: capacidade de entender quem está fazendo algo na rede.
Implementação inclui:
Sistemas de log e auditoria.
Sistema de Monitoramento de Tráfego de Rede
Sistemas de Detecção de Intrusão
Formas comuns de implementação:
• Configurando sistemas para gerar log de atividades relevantes, tal como logon do usuário.
• Inspecionando a utilização da rede para detectar tipos de tráfegos na rede e seus volumes.
• Automatizando o monitoramento de paradas de sistemas.
• Implementando sistemas de detecção de intrusão para alertar os administradores de atividades suspeitas nos computadores, sistemas e redes.
Gerenciamento de Auditoria
Definição:
Processo de monitoração de um grupo de redes, dispositivos e aplicações para garantir normalidade, aderência à política organizacional e conformidade com regulamentos.
Duas bases: Monitoramento em Tempo Real e Registro de Logs.
O escopo de Gerenciamento de Auditoria é conhecidamente grande e inclui as cinco áreas de discussão abaixo:
1. Gerenciamento de Log
2. Monitoramento de Disponibilidade
3. Monitoramento de Tráfego
4. Monitoramento de Integridade de host
5. Detecção de intrusão
A importância do Gerenciamento de Auditoria:
1. Maior visibilidade: ponto chave – garantir visibilidade dos componentes de TI
2. Contabilizar - cria uma malha de auditoria:
Determinar através de logs, quais componentes da infraestrutura de TI foram afetados;
Estabelecer quando um incidente ocorreu;
Determinar onde o incidente poderia ter sido originado;
Entender porque um incidente ocorreu;
Identificar a parte responsável: pode ser uma pessoa, dispositivo ou um software;
3. Conformidade Regulatória:
1. A Lei Sarbanes-Oxley
Sessão 404: Avaliação da Gestão de Controles Internos
Gestores devem contar com o Gerenciamento de Auditoria para garantir que os dados financeiros estão no lugar certo e quantificar sua eficiência.
Sessão 409: Expositor em tempo-real
Empresa deve ser capaz de agregar informações relevantes a partir de seus sistemas de TI, monitorá-los e criar um alerta quando um determinado limite seja cumprido.
Sessão 802: Sansões penais para alterações de documentos
Empresas são obrigadas a manter sua auditoria por cinco anos.
2. A Lei Gramm-Leach-Biley
Concentra-se especificamente sobre empresas de serviços financeiros. Instituições financeiras devem utilizar procedimentos de auditoria e fiscalização para garantir a informação do cliente protegida contra acesso não autorizado. Processos tais como análise de arquivo de log, monitoramento da rede e detecção de intrusão podem ser utilizados para cumprir o GLBA. Conselho Federal de Exame de Instituições Financeiras (FFIEC) pode aplicar sansões civis de até US$ 100.000 por infração.
4. Aspectos Legais
A auditoria tornou-se de grande importância devido à sua relevância jurídica: arquivos de log podem ser utilizados como provas em tribunal.
5. Plenitude
Uma organização deve garantir que os arquivos de log são completos, conformes e verificáveis. Plenitude permite a investigação objetiva de um incidente de segurança de computadores capturando atividades sem falhas em um determinado tempo. Por exemplo, a varredura de rede apenas pode indicar a presença de um intruso malicioso; no entanto, correlacionando este evento com outros logs pode-se revelar que o computador está infectado por um vírus propagado por email.
6. Exatidão
Logs são úteis em questões legais apenas se suas entradas não tenham sido alteradas a partir do momento de sua criação. Isto inclui hora, data e as informações da mensagem.
7. Verificabilidade
É vital assegurar que um invasor não alterou os arquivos de log para cobrir seus rastros. Métodos como a criação de hashes de arquivos de log (exatidão), eventos correlacionados de fontes independentes (exatidão) e ter bem documentados os processos de gerenciamento de log, podem ajudar a organização garantir a verificabilidade.
8. Linhas de base para a atividade normal
Gerenciamento de Auditoria permite as organizações criar linhas bases para atividades normais. Esta é uma valiosa função porque permite quantificar atividades abstratas. Por exemplo, uma organização pode utilizar a monitoração de tráfego e largura de banda para determinar o valor médio de tráfego em determinados momentos do dia. Usando esta base, a organização pode detectar desvios no tráfego da rede e tentar determinar se tais desvios representam uma atividade adversa.
9. Políticas de Métricas
A organização pode criar uma política de rede para determinar aplicativos que podem ou não ser utilizados na rede.
10. Principais garantias da segurança da informação
Um aspecto essencial da Segurança da Informação é preservar a Confidencialidade, Integridade e Disponibilidade da informação a ser protegida.
Confidencialidade: com a auditoria, podemos reconhecer tentativas de acesso não autorizado a informações sensíveis. Exemplo: detecção de intrusão.
Integridade: pode ser assegurada detectando alterações em arquivos, configurações e definições. Manter a integridade das informações é crucial, pois caso ocorra um incidente, a organização precisará contar com os arquivos íntegros para determinar a causa raiz do incidente.
Disponibilidade: Monitoramento da rede, hosts e aplicações. Este tipo de acompanhamento permite a organização reconhecer rapidamente o problema e agir antes que este se torne um desastre.
2. Implementações
O objetivo desta sessão não é ensinar como instalar, configurar e analisar dados das implementações do Gerenciamento de Auditoria e sim capacitar os gestores a escolherem a melhor opção de implementação.
1. O que monitorar?
Antes de uma organização implementar o Gerenciamento de Auditoria, é importante primeiramente determinar quais ativos e processos devem ser monitorados. Para tal o gestor deve entender a missão da organização e estar familiarizado com suas políticas de segurança. Em síntese três pontos devem ser observados:
1. Compreender a missão da organização e políticas de segurança.
2. Identificar os principais processos de negócios.
3. Enumerar os recursos de TI relacionados a processos-chave, incluindo as pessoas-chave e seus conhecimentos.
2. Tempo real x Pós-evento
Uma vez que os componentes críticos foram identificados, é importante considerar qual método de monitoração será utilizado: monitoramento em tempo real ou pós-evento. Monitoramento em tempo real é utilizado para monitorar processos que precisam ser constantemente vigiados, como uptime de um servidor. Já o método pós-evento é utilizado para tarefas que precisam de log, mas não precisam de um acompanhamento em tempo real.
3. Desafios da implementação
1. Identificação de Recursos críticos e ativos:
Como explicado na sessão “O que monitorar”, recursos críticos devem ser identificados e bem documentados para assegurar que eles serão monitorados em nível adequado.
2. Logs de vários formatos
Um dos desafios na gestão dos logs é falta de padronização dos mesmos. Por exemplo, sistemas Microsoft utilizam o formato Eventlog, enquanto sistemas Linux utilizam syslog. Se uma empresa implanta servidores Windows e Linux, haverá o problema de agregação dos arquivos em um formato simples e lógico. Neste caso, pacotes como o Agent for Windows são capazes de transformar mensagens de log no formato syslog. No entanto, a maioria das organizações têm de lidar com mais do que apenas dois tipos de formato de log.
3. Segurança de Arquivos de Log
Outro desafio é que o invasor mal-intencionado muitas vezes pode substituir ou alterar os arquivos de log para remover todos os vestígios de sua presença. Os arquivos de log existem em primeiro lugar para fornecer uma trilha de auditoria de eventos do sistema, para rastreamento. Se a confiabilidade dos arquivos de log está em quetão, a sua utilidade cai drasticamente. Portanto, proteger os arquivos de log é um passo importante no processo de Gestão da Auditoria.
4. Volume dos logs
A enorme quantidade de dados gerados pelos logs parece ser esmagadora. Encontrar formas eficazes e eficientes para classificar os dados de registro, automatizar a análise desses dados, ou visualizá-los pode ser um desafio significativo.
5. Disponibilidade de Recursos
Outro desafio que as organizações enfrentam é a capacidade de obter recursos suficientes. As limitações financeiras podem ser supridas com o poder humano somado a um conhecimento profundo do Gerenciamento de Auditoria. O objetivo principal deste módulo é transmitir essa compreensão.
4. Monitoramento de disponibilidade
O objetivo do Monitoramento de Disponibilidade é controlar os ativos de TI em tempo real. Um ativo não precisa ser um dispositivo de hardware, pode ser um software ou um recurso do sistema, como carga do processador ou da memória. Por exemplo, monitoramento de web services. Ferramentas de Monitoramento de disponibilidade também fornece mecanismos de alerta. Estes podem ser enviados por email, correio de voz ou telefone celular, dependendo da urgência.
5. Ferramentas de Monitoramento de Disponibilidade
1. Nagios
Nagios, chamado Netsaint, é uma das ferramentas mais de Monitoramento de Disponibilidade mais conhecidas. Uma vantagem é que o Nagios é uma ferramenta Open-source lançado sob os termos da GNU – General Public License, que é ideal para organizações com recursos limitados. O Nagios é concebido para ser executado sob o sistema operacional Linux e utiliza uma variedade de mecanismos de alerta tais como e-mail, Short Message Service (SMS) e mensagens instantâneas.
2. Netmon
Netmon é uma Ferramento de Monitoramento de rede que fornece funcionalidade similar ao Nagios. Ao contrário do Nagios, porém, Netmon é um produto comercial.
• Monitora banda de internet
• Envia email de alerta em caso de evento crítico
• Mantém o uso de disco
• Audita segurança de hosts da rede com sua própria ferramenta de scanner de porta
• Localiza spyware, adware, worms e outros tipos de softwares maliciosos
3. Software IBM Tivoli
O framework de Gerenciamento de Infraestrutura IBM Tivioli é um conjunto de pacotes de software que fornecem uma variedade de gerenciamento de serviços. Neste framework está incluso monitoramento de disponibilidade. Tal como o Netmon, IBM Tivoli é uma solução comercial. Ele fornece muito dos mesmos serviços do Nagios e Netmon, incluindo monitoramento de recursos. Tivoli também oferece um número de produtos de Monitoramento de Disponibilidade Especializados tal como monitoramento para .NET e aplicações servidor WebSphere.
6. Monitoramento de tráfego
Monitorar o tráfego significa analisar e observar os pacotes que são transmitidos na rede da organização.
Utilização da Largura de Banda
A capacidade de monitorar a carga do tráfego da rede (utilização de banda) é importante por duas razões. Primeiro, uma organização será capaz de determinar quanto de largura de banda está sendo utilizado. Por exemplo, uma rede que apresenta uma carga de tráfego elevada, poderia representar a presença de um aplicativo não autorizado, como programas de compartilhamento peer-to-peer. Em segundo lugar, o monitoramento do tráfego permite a organização definir padrões de comportamento normal para o tráfego. Por exemplo, o monitoramento do tráfego pode mostrar picos entre 10:00 – 15:00.
O Multiple Router Traffic Grapher (MTRG) é um exemplo de ferramenta de monitoramento de largura de banda.
1. Protocolos e aplicações distribuídas
Monitoramento de Tráfego também pode envolver uma inspeção mais granular dos pacotes da rede. Isto é importante porque através do monitoramento de carga da rede serão indicados picos no tráfego, mas não em nível detalhado. Portanto, a inspeção de protocolos e aplicativos torna-se necessário para favorecer a quebra da distribuição do tráfego. Esta abordagem permite a organização determinar os diferentes tipos de tráfego ajudando a garantir que as políticas de rede estão sendo seguidas. Por exemplo, se um grande número de aplicações não autorizadas está rodando na rede, isso pode indicar que as políticas de rede atuais não são suficientemente claras e precisam ser reformuladas.
2. Ntop
Ntop é um distribuído sob a GNU (General Public License) e roda em UNIX (incluindo Linux) e plataformas Windows.
• Ordena o tráfego da rede de acordo com os protocolos
• Classifica o tráfego da rede por vários critérios
• Exibe estatísticas de tráfego
• Armazena em disco estatísticas persistentes no formato RRD
• Identifica a identidade do usuário do computador
• Analisa o tráfego IP e o classifica de acordo com a origem/destino
• Relatório de uso do protocolo IP classificadas por tipo de protocolo
• Age como um NetFlow/sFlow coletor de fluxos gerados por roteadores (por exemplo, a Cisco e Juniper) ou switches (por exemplo, Foudry Networks)
• Produz estatísticas de tráfego RMON.
3. Ethereal/Wireshark
Ethereal, um analizador de protocolos de rede, fornece informações de forma mais granular que o ntop, mas não as sumariza tão bem. Diferentemente do ntop, Ethereal (agora chamado Wireshark) captura todo o pacote quando monitora o tráfego. Isto significa que a organização pode capturar o tráfego em tempo real da sua rede.
Gestores de cada organização devem determinar quais ferramentas devem ser utilizadas e para quais propósitos.
7. Detecção de Intrusão
Um Sistema de Detecção de Intrusão (IDS) é um componente do Gerenciamento de Auditoria que monitora um sistema ou rede de atividades maliciosas. Sistema de Detecção de Intrusão (IDS) pode ser dividido em dois grupos: baseado em rede e baseado em host. Um IDS baseado em rede procura por tráfegos suspeitos na rede. IDS baseado em host monitora o host no qual está instalado e analisa o tráfego de entrada e saída, a integridade de arquivos e/ou processos suspeitos.
Detecção de Intrusão é um componente importante do Gerenciamento de Auditoria, pois serve como mecanismo de auditoria para ataques à infraestrutura de TI.
Um IDS é composto por três componentes principais: um Sensor, um Analisador e um Mecanismo de Alerta.
O Sensor coleta dados da rede ou host, dependendo do tipo de IDS. Dados coletados pelo sensor são posteriormente analisados pelo Analisador. Analisadores podem ser categorizados como baseados em assinaturas ou baseados em anomalias. Um Analisador baseado em assinaturas possui um conjunto padrão de ataques que serão comparados com os dados recolhidos pelo sensor. Se os dados do Sensor correspondem a um dos padrões de ataque, o analisador considera que se tratar de uma intrusão. Por outro lado, um Analisador baseado em Anomalias define um padrão de comportamento normal que é comparado com os dados do Sensor de entrada. Finalmente o mecanismo de alerta é utilizado para saída dos resultados do Analisador, normalmente apenas no caso de uma intrusão ser detectada.
Sistemas de Detecção baseado em Assinaturas e Anomalias possuem vantagens e desvantagens. Sistemas de detecção de intrusão baseados em assinaturas são geralmente mais fáceis, rápidos e de fácil implementação. No entanto, assinaturas (padrões de ataques) devem ser constantemente atualizadas. Por outro lado, um IDS baseado em Anomalias pode detectar ataques e outras façanhas, porém são tipicamente mais complexos.
1. Ferramentas de Detecção de Intrusão de Rede
Snort:
• Sistema IDS amplamente popular
• Open Source
• Baseado em Assinaturas
Sguil:
• Análise em tempo-real para eventos do Snort
• Baseado em Assinaturas
2. Sistemas de Detecção de Intrusão baseados em Host
Detecção de Intrusão baseados em Hosts acrescenta uma maior visibilidade no nível do host, pois pode revelar o efeito do ataque da rede. Por exemplo, um IDS de rede pode detectar uma tentativa de intrusão em um servidor web. No entanto, ele não pode determinar se o ataque teve sucesso ou não ou a extensão da intrusão. Apenas um IDS baseado em host pode fazer isso.
3. Monitorando a integridade baseada em host
A finalidade de um Monitor de Integridade baseado em host é garantir que alterações não autorizadas sejam feitas no sistema. Para isto, o Monitor de Integridade normalmente gera geral uma linha base pelas quais alterações serão comparadas. Hashing pode ser utilizada para este propósito. Entretanto, alguns Monitores de Integridade usam estatísticas e algoritmos de anomalias. Monitoramento da Integridade baseado em host é geralmente mais adequado para servidores do que para desktops, uma vez que servidores contêm coleção de arquivos críticos, definições e processos que são alterados freqüentemente.
4. Tripwire
Tripwire é um Monitor de Integridade de código aberto que foi liberado sob a licença GNU (General Public License). Ele é projetado para rodar em plataformas Linux.
5. GFI LANguard S.I.M
O Sistema de Monitoramento de Integridade GFI LANguard (S.I.M) é um utilitário que fornece detecção de intrusão verificando se os arquivos foram alterados, acrescentados ou excluídos em sistemas Windows XP\2000. Se isso acontecer, alerta o administrador por email. É uma solução Freeware.
6. Osiris
Osiris é um Sistema de Monitoramento de Integridade baseado em host que pode ser usado para monitorar alterações em hosts da rede ao longo do tempo e informar estas alterações para os administradores. Atualmente isto inclui monitoramento de qualquer alteração no sistema de arquivos. Osiris irá detectar e reportar alterações no sistema de arquivos e deixar o administrador determinar quais (se houver) ações precisam ser tomadas.
8. Gerenciamento de Log
Esta sessão irá analisar os diferentes métodos que podem ser usados para armazenamento de log.
1. Servidores Syslog
Uma das implementações mais populares de gerenciamento de log é o Servidor Syslog. A finalidade de um Servidor Syslog é coletar e agregar mensagens syslog de dispositivos separados, sistemas e aplicativos em um único local central. Como vantagem temos a padronização no formato dos arquivos de log e gerenciamento centralizado. Como desvantagem: mensagens são enviadas para o servidor via UDP (User Datagram Protocol), que é um protocolo de transmissão sem conexão – não há garantia que a mensagem foi recebida.
2. Outras ferramentas
Snare Agent for Windows: pode transformar os logs do Windows no formato syslog e enviá-los para um servidor Syslog. É uma ferramenta gratuita que foi lançada sob os termos da GNU (General Public License).
Kiwi Syslog Daemon: Syslog freeware para Windows. Recebe, registra, mostra e encaminha mensagens syslog de roteadores, switches, sistemas Unix e outros dispositivos Syslog.
3. Identificação das Melhores Práticas
A utilização de melhores práticas irá economizar tempo e dinheiro da organização, pois será evitado as tentativas de “reinventar a roda”. Afinal não é necessário criar procedimentos do zero, pois um conjunto de práticas já existe. Melhores Práticas são apenas um componente de criação de um programa de Gestão de Auditoria bem sucedida.
1. Agregando Arquivos de Log
Arquivos de Log são um componente essencial do Gerenciamento de Auditoria; no entanto, são provavelmente o componente menos estruturado. Conforme observado, não existe um padrão para formatos de arquivos de log, apesar de alguns formatos como o Syslog ser amplamente utilizado.
1. Log Centralizado
Um único servidor coleta os logs de todos os dispositivos de uma rede. Uma das maiores vantagens é a redução do overhead necessário para a análise do arquivo de log. Equipe de TI pode se concentrar em proteger uma máquina ao invés de várias, reduzindo assim a exposição a ameaças de segurança. A desvantagem é que o servidor se torna um ponto único de falha (SPOF).
[pic]
Fonte: Defense in depth: Foundations for secure and resilient IT Enterprises
2. Log Distribuído
É importante entender que a distribuição dos logs ainda envolve a agregação dos arquivos de log, mas esta agregação é executada por um conjunto de servidores de Log. No exemplo abaixo, processos de coleta de log de arquivos são divididos entre os três servidores de log. Um servidor é inteiramente dedicado às máquinas UNIX. Um segundo servidor é para máquinas Windows e a terceira é usada para nós intermediários na rede, como switches e firewalls. Como vantagem temos a redundância no gerenciamento de log. Como desvantagem temos a manutenção de um número considerável de recursos.
[pic]
Fonte: Defense in depth: Foundations for secure and resilient IT Enterprises
2. Rotação de Arquivo de Log e Retenção
1. Rotação de Arquivo de Log
Rotação de arquivos de log consiste em dividir um arquivo de log em arquivos menores, separados. Esta é uma boa prática, pois ele mantém registros logicamente organizados e fácil de manter, ao mesmo tempo minimizando risco para os arquivos de log. Se as mensagens de log forem mantidas em um único arquivo, o arquivo eventualmente torna-se muito difícil de manter devido ao seu tamanho. Em grandes organizações o tempo de rotação pode ser a cada hora, mas em pequenas organizações isto pode ser feito semanalmente.
2. Retenção de Arquivo de Log
Os arquivos de log devem estar intactos e protegidos: usuários mal-intencionados muitas vezes tentam alterar os arquivos de log na tentativa de esconder seus rastros – medidas devem ser colocadas em prática para evitar que arquivos sejam alterados.
3. Integridade dos Arquivos de Log
1. Log de Segurança
Como foi explicado na seção anterior, manter a integridade do arquivo de log é importante porque assegura sua exatidão.
• Gravar os logs no formato read-only (somente leitura). Mídias CD-R são recomendadas.
• Utilizar uma máquina não acessível a partir da rede.
• Enviar logs para uma impressora em tempo real
2. Backups
Manter backup dos arquivos de log é um importante aspecto de integridade dos logs porque estes backups podem ser utilizados para verificar a integridade dos logs originais. Recomenda-se que vários backups sejam criados e que estes estejam em locais físicos diferentes, aumentando assim a proteção contra ameaças físicas.
3. Hashing
A criação de hashes criptográficos dos arquivos de log armazenados é uma excelente maneira para assegurar a integridade de um arquivo. Algoritmos Hashing tal como SHA-1 e MD5 pegam um tamanho arbitrário de entrada e resume o tamanho da saída. SHA-1 produz mensagens de 160bits enquanto um MD5 128bits. Pontos importantes para a integridade de arquivos: sumários só podem ser gerados para arquivos de log inativos; tamanho do arquivo – mesmo contendo gigabytes de log, o tamanho de sua compilação permanece sempre o mesmo; ao decidir que hash utilizar, entenda que o SHA-1 é o sucessor do MD5.
4. Servidores de Log dedicados
Utilizando servidores dedicados de Log e isolando-os o quanto possível da rede, será possível reduzir o número de interações desses servidores com outros processos.
4. Confidencialidade de Arquivo de Log
É importante preservar a confidencialidade dos arquivos de Log, pois estes podem conter informações estratégicas e sigilosas da organização. Um dos métodos mais populares e eficazes para assegurar confidencialidade é criptografar os dados durante a transmissão e no armazenamento. Uma maneira de criptografar o tráfego no momento da transmissão é a utilização de SSH (Secure Shell), que cria um túnel criptografado entre duas partes em comunicação. Outra prática que pode ajudar a reforçar a confidencialidade é empregar medidas de controle de acesso: apenas funcionários autorizados devem ser capazes de ‘logar’ em servidores de log. Importante observar também a segurança física: áreas confinadas e de acesso restrito.
1. Mecanismos de Alerta
A organização deve definir que tipo de evento deve ser monitorado ao ponto de disparar um alerta para o administrador, seja por email, celular ou Pager.
5. Sincronização de Tempo
É de extrema importância que o temo, hora do sistema, esteja devidamente sincronizada em todos os dispositivos da rede. Caso contrário, divergências no log aconteceriam, comprometendo a confiabilidade e análise do mesmo. A sincronização pode ser feita utilizando o Netword Time Protocol (NTP). O NTP transmite informações sobre o timestamp via UDP porta 123.
1. O que registrar
Deve-se registrar o máximo de informações possível tendo em vista a capacidade de armazenamento da organização. Estes registros podem ser valiosos na identificação do responsável por uma invasão ou procedimento ilícito.
Resumo:
Fica evidente que o Gerenciamento de Auditoria é parte fundamental de qualquer estratégia Defense-in-Depth.
Gerenciamento de Auditoria oferece os seguintes benefícios:
• Prover visibilidade para os recursos de TI da organização
• Ajuda a preservar as trilhas de auditoria
• Auxilia em questões legais e de conformidade regulatórias
• Permite que as políticas organizacionais sejam quantificáveis
Um planejamento cuidadoso e meticuloso é necessário para desenvolver um programa de Gestão de Auditoria: os ativos críticos devem ser identificados e uma ampla variedade de implementações devem ser consideradas, tal como a utilização de melhores práticas.
1.6. Availability Management (Gerenciamento de Disponibilidade)
Quando o termo Gerenciamento de Disponibilidade é abordado nas organizações, trata se do foco na disponibilidade dos ativos de informação da empresa. O tempo de inatividade dos ativos e/ou sistemas não deve ser ignorados ou tratados como simples inconveniência, pois é associado com a perda de receitas, a reputação, a quota de mercado, e até mesmo na sua permanencia no mercado que hoje em todos os segmentos são muito competivos sempre há concorrentes. Os gestores de TI elaborarm requisitos de disponibilidade dos ativos de informação e são confrontados com o dilema de qual a melhor forma para garantir o funcionamento com recursos limitados.Para se ter um Gerenciamento de Disponibilidade com eficiência, sendo que cada organização tem seu limite de recursos, deve se atentar para seguintes definições:
Confiabilidade; a capacidade de um sistema ou componente para executar suas funções exigidas nas condições estabelecidas por um determinado período de tempo.
Redundância; com um ou mais "backup" dos sistemas disponíveis no caso de o sistema principal falhar.
Failover; um modo de reserva operacional, no qual as funções de um componente do sistema, tais como (processador, servidor, rede ou banco de dados) são assumidos pelo sistema secundário componentes quando o componente primário ficar indisponível por falha ou períodos de inactividade agendados.
Tolerância a falhas; a capacidade de um sistema ou componente continuar a operação normal, apesar da presença de falhas de hardware ou software. O MTBF (tempo médio entre falhas) calcula o tempo médio que se gasta para a montagem de conponentes se caso houver falha. O MTBF pode ser calculado como o inverso da taxa de falha da taxa de falha constante nos sistemas. Por exemplo, se um componente tem uma taxa de falha de 2 falhas por milhão de horas, o MTBF seria o inverso do que a taxa de falha= (1,000,000 horas) / (2 falhas) = 500,000 horas.22, O MTTR é importante para definir o tempo médio necessário para realizar a manutenção corretiva em todos os itens removíveis em um produto ou sistema. Este tipo de previsão de manutenção análises de reparação por quanto tempo e tarefas de manutenção vai tomar no caso de uma falha do sistema, pode ser usado em uma previsão de confiabilidade para calcular a disponibilidade de um produto ou do sistema.
Os dados críticos armazenados em sistemas de acolhimento pode ser identificado como um ponto único de falha. Como exemplos seriam as informações contidas em bancos de dados e páginas HTML armazenados em servidores web.
É aconselhável o uso de do ferramenta RAID em sistemas que contêm dados críticos o RAID 5 pode fornecer tolerância a falhas de dados, de tal forma que os usuários finais não percebam a falhar, sendo que as falhas podem afetar os níveis de desempenho.
O conceito de RAID leva a um conjunto de unidades que, coletivamente, age como um único armazenamento no sistema, que pode tolerar a falha de um disco sem perder dados, e que pode operar de forma independente um do outro.
Criptografia de dados e gerenciamento de chaves é muito importantes. Se os dados são criptografados e que a chave não está em caução (apoiadas e protegidas), tem que ter um gerenciamento cauteloso na hora de criptografar,pois os dados podem estar tão seguros que eles não estarão disponíveis até mesmo para proprietário. Portanto, a melhor prática é as chaves criptográficas judiciais, pois requerem um serviço de confiança dentro da organização ou com um terceiro confiável.
Estratégia de backup e restauração, se houver uma falha ou incidente que processa os dados disponíveis, provavelmente será necessário confiar na eficácia da capacidade de restauração. Cópias de backup de dados ou se todas as fitas de backup são armazenados no mesmo local. É uma boa pratica ter o armazenamento do backup em outro lugar fisico, tendo a conduta de restaurar regularmente.
Separação de funções podem ser boas e ruim do ponto de vista de segurança, que apresenta menos riscos, porque a equipe de TI nem todos têm acesso total e controle de todos os sistemas em rede, de uma perspectiva de disponibilidade, no entanto, podem surgir problemas, especialmente em menores organizações com a equipe de Ti reduzida. É igualmente importante ter procedimentos documentados para administração, solução de problemas e manutenção de sistemas em rede. Se os gerentes de TI siguirem estas práticas, elas provavelmente serão mais bem preparada, por exemplo; se um de seus funcionários-chave tirar férias ou ficar indisponível durante uma falha de sistema ou incidente. Já falamos anteriormente sobre a banda e links dedicados às redes de destino. É muito importante considerar a relação de uma organização tem com seu serviço de Internet Provider (ISP) ou fornecedor de commodities de largura de banda (CBP).
O Planejamento de Continuidade de Negócios é concebido para evitar ou minimizar as interrupções das operações normais. Uma interrupção é definida como uma falha que poderia resultar na perda de capital devido à incapacidade da organização para operar como normalmente faz. As interrupções podem variar de catástrofes naturais e/ou computador danificado. Independentemente do tipo de interrupção, os planos de continuidade do negócio deve ter como objectivo minimizar o efeito perturbador e permitir o retorno imediato às perações normais de negócios. Ao determinar que tipos de interrupções que possam enfrentar, uma organização deve considerar as seguintes áreas de processamento de informações críticas:
• ( redes locais e de longa
• telecomunicações e links de comunicação de dados
• ( estações e áreas de trabalho
• aplicações, software e dados
• mídia e armazenamento de registros
Escopo e Plano de Iniciação Planejamento de continuidade de negócios começa com o escopo do plano. Os participantes nesta fase inclui o pessoal de vários departamentos dentro da organização, especialmente aqueles que exercem funções críticas. Eles devem definir o escopo do plano, detalhe da organização operações e identificar os recursos necessários para executar o plano, deve abordar como se recuperar de um evento perturbador e identificar estratégias de mitigação específicas. Após a definição e criação do plano, os participantes deverão, então, implementar e fazer um piloto do plano.
Resumo: os gerentes de TI, portanto, devem ser preparados para analizar a gestão tecnológica e soluções para gerenciar e garantir a disponibilidade dos ativos da organização.
1.7. Configuration Management (Gerenciamento de Configuração)
A gestão de configuração utiliza montantes técnicas proativas no dia-a-dia para garantir que a missão da TI esteja funcionando perfeitamente e que seu estado atual é bem compreendido pelos membros da equipe. Especificamente, gerenciamento de configuração consiste no processo de atualização de software, controle de estoque, gestão da mudança e a avaliação interna contínua.
Com a utilização de software de gerenciamento de atualizações é uma dessas atividades de manutenção do dia-a-dia que na superfície parece relativamente fácil, porém pode ser muito complicado, mesmo em departamentos de TI de tamanho moderado. O ideal e que, as atualizações devem estar sempre quando possível disponíveis localmente (para a implantação rápida) e que, em seguida, serem testadas e implementadas em sistemas aplicáveis no mesmo dia em que um patch é lançado.
[pic]
(Fonte:)
Isso é difícil de conseguir, mesmo em pequenas redes, porém, fabricantes como Microsoft e Apple, e os sistemas de código aberto como o Linux estão dedicando mais recursos para este problema e tornando as atualizações e paths de segurança, sejam aplicadas mais facilmente de maneira que as novas tecnologias se tornem mais maduras. Por exemplo, a Microsoft lançou seu livre Windows Server Update Services software (WSUS) que permite que os administradores do sistema possam gerenciar a implantação de patches de maneira granular em redes Windows X.
[pic]
Por outro lado, dispositivos de rede de infra-estrutura, como roteadores e switches são mais difíceis de atualização, normalmente, uma imagem de sistema totalmente novo e atualizado de um sistema operacional deve ser carregado para substituir o outro que esta vulnerável, e nem sempre tem facilidade em fazer, pois demanda tempo e muito conhecimento do analista para obter êxito.
Uma gestão eficaz do sistema de inventário de TI é em si um grande sucesso. Muitas organizações utilizam códigos de barras e scanners infravermelhos para aliviar este fardo. O Gerenciamento de inventário do ciclo de vida também deve ser documentado como parte da política organizacional. Todas as alterações de configuração para os servidores centrais e os sistemas devem ser cuidadosamente documentadas e registradas, o que pode ajudar na solução de futuro e de manutenção em caso de perdas ou falhas.
Procedimentos internos de avaliação do estado de segurança da rede é uma boa prática importante e muitas vezes ignorados pelos administradores. Ferramentas como o Microsoft Baseline Security Analyzer,e as ferramentas de código aberto, como o Nessus, pode ajudar os administradores para estas atividades. Abaixo iremos falar um pouco sobre essas ferramentas:
O MBSA (Microsoft Baseline Security Analyzer) é uma ferramenta de fácil de uso, criada para profissionais de TI, para ajudar as empresas a determinar o estado de sua segurança de acordo com as recomendações de segurança que a Microsoft recomenda e oferece diretrizes de atualizações específicas, aprimora o processo de gerenciamento da segurança usando o MBSA para detectar erros comuns de configuração relacionados à segurança e atualizações de segurança que estão faltando nos seus sistemas de computador.
O scanner de vulnerabilidades Nessus é a líder mundial em scanners de ativos com mais de cinco milhões de downloads até hoje. Nessus descobre características de alta velocidade, a auditoria de configuração, perfil ativo, a descoberta de dados sensíveis e análise de vulnerabilidade de sua postura de segurança. O Scanners Nessus pode ser distribuído por toda a empresa, dentro de uma DMZs e ou em redes separadas fisicamente.
O Nessus é uma ferramenta de auditoria muito usada para detectar e corrigir vulnerabilidades nos PCs da rede local. Ele realiza uma varredura de portas, detectando servidores ativos e simulando invasões para detectar vulnerabilidades. Uma característica importante é que o Nessus procura por servidores ativos não apenas nas portas padrão, mas em todas as portas TCP. Ele é capaz de detectar uma vulnerabilidade em um servidor Apache escondido na porta 46580, por exemplo.
O Nessus utiliza o Nmap como portscan, por isso é necessário que ele também esteja instalado. O Nmap faz a primeira rodada de testes, detectando as portas abertas e o Nessus usa as informações fornecidas por ele como ponto de partida para executar uma rodada adicional de testes, que permitem devolver um relatório bastante detalhado das vulnerabilidades encontradas.
[pic]
Tela do Nessus.
(Fonte: )
1.8. Incident Management (Gerenciamento de Incidentes)
Eventos relacionados com a segurança vão acontecer e ponto final. Mesmo a melhor infra-estrutura de segurança da informação não pode garantir que as intrusões ou outras ações maliciosas não vão acontecer. Quando os incidentes de segurança da informação ocorrem, é fundamental que a organização tenha um meio eficaz de responder. A velocidade com que uma organização pode reconhecer, analisar e responder a um incidente pode limitar os danos causados e reduzir o custo da recuperação.
As organizações exigem uma abordagem multifacetada para garantir e proteger os seus ativos críticos e infra-estruturas. Esta estratégia multifacetada exige que não apenas questões técnicas, mas também abordagens organizacionais e processuais devem estar no local para gerenciar incidentes de segurança da informação. O objetivo é que as empresas fiquem resistentes em face dos riscos, ataques e outras ameaças à continuidade do negócio.
O gerenciamento de incidentes é uma parte vital, e ele começa com o planejamento, os planos devem documentar o conjunto de medidas a serem tomadas em face de várias ameaças e ataques e devem ser estabelecidos para eventos como vírus de computador, de negação de serviço, divulgação de informação não autorizada ou roubo de dados, falhas em equipamentos e serviços dependentes (ar condicionado, fornecimento de água, energia, etc) interrupções. Os planos devem ser bem conhecidos de todos os funcionários da organização e dos utilizadores finais e deve ser testado periodicamente para garantir que eles são eficazes.
Além disso, as capacidades de resposta a incidentes deve ser desenvolvida através da identificação e formação de pessoal específico para tratar de ações de resposta diferentes. As empresas podem abordar esta etapa formal ou informalmente. Em uma estrutura mais formal, um pé da equipe de segurança da informação e de ter as respostas a incidentes (CSIRT) , cuja principal função é detectar e reagir a ameaças e riscos. Uma estrutura informal, por outro lado, pode consistir de uma equipe cujos membros têm deveres e outros trabalhos, mas são convocados quando ocorre um incidente. Em ambos os casos, a equipe vai trabalhar para coordenar a análise e resolução de incidentes de segurança da informação.
Por exemplo, se a rede de uma empresa é invadida e comprometida por um "hacker", uma equipe de resposta deve:
• investigar o incidente, utilizando coleta forense eficaz e métodos de análise, se os membros da equipe foram treinados em medicina forense
• determinar o alcance e o impacto da atividade maliciosa, incluindo o que foi feito e quais os ativos e os dados foram danificadas ou comprometidas
• identificar estratégias de resposta ou de mitigação e coordenar a sua execução para conter ou erradicar as invasões e recuperar os sistemas afetados
• implementar planos de comunicação para lidar com a aplicação de direito público, e os meios de comunicação implementar métodos baseados na percepção do usuário pré-planejada para ajudar a evitar comprometer ainda mais e danos
• documentar as lições aprendidas e implementar novos planos para a reparação de deficiências.
O gerenciamento de incidentes é mais que apenas uma função de TI. É da responsabilidade de uma organização de forma holística para preparar os eventos de segurança. Ao se fazer isso irá aumentar as defesas da organização.
A mensagem aqui é que “pegar um caminho”, o gerenciamento de incidente não é apenas a aplicação da tecnologia para resolver os eventos de segurança do computador. É o desenvolvimento de um plano de ação e um conjunto de processos que são consistentes, repetíveis e de alta qualidade, mensuráveis e são compreendidos dentro do círculo elegido. Para ser bem sucedido, este plano deve:
• integrar os processos e estruturas organizacionais, de modo que ele permite que, em vez de enfraquecer, funções críticas de negócio
• fortalecer e melhorar a capacidade do eleitorado para gerir eficazmente os eventos de segurança, mantendo assim intacta a disponibilidade, integridade e confidencialidade dos sistemas de uma organização e ativos críticos
• apoiar, complemento e ligação a qualquer continuidade de negócios ou planos de recuperação de desastres, onde e quando for o caso
• apoiar, complementar, e dar entrada no negócio existentes e as políticas de TI que afetam a segurança da infra-estrutura de uma organização
• implementar uma estrutura de comando e controle, definindo claramente as responsabilidades e responsabilização das decisões e ações
• fazer parte de uma estratégia global para proteger e garantir as funções críticas de negócios e ativos
• incluir o estabelecimento de processos para notificação e análise da comunicação e da resposta
• colaboração e coordenação
• manutenção e monitoramento de registros
Eventos relacionados à segurança de TI vão acontecer e ponto final. Sistemas irão falhar e equipamentos falharão.
Gerenciamento de Incidentes assume este princípio e sua resposta a isso é a preparação. Planos de resposta devem ser estabelecidos para os eventos comuns, como vírus de computador, falhas em equipamentos e serviços dependentes (ar condicionado, abastecimento de água, energia, etc.) interrupções. Novamente, a prática dessas respostas planejada é importante para seu sucesso sob o fogo.
Estabelecimento de equipes de resposta dentro de uma organização é muitas vezes benéfica. Estes são grupos de indivíduos identificados a partir de toda a organização que treinam na área de gerenciamento de incidentes.
Segundo a CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança), vejam abaixo os incidentes de segurança que são reportados ao órgão entre os anos de 1999 a 2011.
[pic]
(Fonte: )
De acordo com a CERT vemos abaixo este gráfico interessante de estatísticas de ataques realizados entre o período de JAN a DEZ de 2010.
[pic]
(Fonte: )
A CERT ainda disponibiliza dados, como Top 10 da origem dos ataques aqui no país, em 2010 o Brasil 46.40%, China 14.30%, EUA 11.62%, Russia 1.88% e outros.
Referências Bibliográficas
(computing)
(Wikipedia, acessado em 17/05/2011.)
(Site comunidade Microsoft, acessado em 18/05/2011.)
(Site do desenvolvedor da ferramenta Scanner Nessus, acessado em 18/05/2011.)
(Site referência da ferramenta nessus Brasil, acessado em 18/05/2011.)
(Site da CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança), acessado em 19/05/2011.)
.
.
May, Christopher. Defense in depth: Foundation for secure and resilient IT Enterprises, CERT Program, September 2006
................
................
In order to avoid copyright disputes, this page is only a partial summary.
To fulfill the demand for quickly locating and searching documents.
It is intelligent file search solution for home and business.