4/6/2009

Introdução e Conceitos
Fundamentais da Análise de Riscos

Prof. Edésio Hernane Paulicena

Roteiro
„ Visão Geral
„ Requisitos da Segurança da Informação
„ Ativos
„ Classificação das Vulnerabilidades
„ Análise de Riscos

1
 4/6/2009

Visão Geral
„ Risco - s. m. Possibilidade de perigo,
incertos mas previsível,
previsível que ameaça de dano
a pessoa ou a coisa. (Dic. Michaelis)
‰ Investir na Bolsa
‰ Comprar uma casa financiada
‰ Implementar um novo software
‰ Abrir uma empresa
p
‰ Viajar de Avião
‰ Etc.

Visão Geral
„ Hoje em dia há mais de 400 tipos possíveis
de um usuário malicioso obter acesso
indevido a um sistema computacional. E
impedir todos esses tipos de ataques é uma
tarefa praticamente impossível;
„ Ataques híbridos;
„ Fontes de ataque externa e interna;
„ Cracker, funcionários, prestadores de
serviços, clientes e até por membros de
crime organizado.
4

2
 4/6/2009

Visão Geral
„ Composição de uma análise de Risco
‰ Processos de Negócio: Identificar junto aos gestores e
colaboradores
l b d os P
Processos d de N
Negócio
ó i existentes
i t t na
Empresa.
‰ Ativos: Identificar os ativos que serão considerados na
Análise de Risco: Pessoas, Infra-estrutura, Aplicações,
Tecnologia e informações.
‰ Vulnerabilidades: Identificar as vulnerabilidades existentes
nos ativos que possam causar indisponibilidade dos serviços
ou serem utilizadas para roubo das suas informações.
‰ Ameaças: Identificar os agentes que podem vir a ameaçar a
Empresa.
‰ Impacto: Tendo identificado as vulnerabilidades e ameaças,
identificamos o impacto que estes podem causar na Empresa.
Como roubo de informação, paralisação de serviços, perdas
financeiras entre outros.

Requisitos da Segurança da Informação

„ Confidencialidade
„ Integridade
„ Disponibilidade

3
 4/6/2009

Requisitos da Segurança da Informação –

Confidencialidade
„ Confidencialidade
‰ Garantia
G ti de
d que a informação
i f ã é acessível
í l
somente por pessoas autorizadas a terem
acesso;
‰ Normalmente obtida através de criptografia.

Requisitos da Segurança da Informação -

Integridade
„ Integridade
‰ Salvaguarda da exatidão e completeza da
informação e dos métodos de processamento;

‰ Original
„ MD5("The quick brown fox jumps over the lazy dog")
= 9e107d9d372bb6826bd81d3542a419d6
‰ Alterado
„ MD5("The quick brown fox jumps over the lazy cog")
= 1055d3e698d289f2af8663725127bd4b

4
 4/6/2009

Requisitos da Segurança da Informação -

Disponibilidade
„ Disponibilidade
‰ Garantia
G ti de
d que os usuários
á i autorizados
t i d
obtenham acesso à informação e aos ativos
correspondentes sempre que necessário
Disponibilidade (%) Downtime/ano Downtime/mês
95% 18 dias 6:00:00 1 dias 12:00:00
96% 14 dias 14:24:00 1 dias 4:48:00
97% 10 dias 22:48:00 0 dias 21:36:00
98% 7 dias 7:12:00 0 dias 14:24:00
99% 3 dias 15:36:00 0 dias 7:12:00
99,9% 0 dias 8:45:35.99 0 dias 0:43:11.99
99,99% 0 dias 0:52:33.60 0 dias 0:04:19.20
99,999% 0 dias 0:05:15.36 0 dias 0:00:25.92

Ativos
„ Informações armazenadas, processadas,
recebidas ou transmitidas pelo sistema que
requerem proteção quanto à integridade,
confidencialidade ou disponibilidade.

10

5
 4/6/2009

O que é vulnerabilidade de rede?
Classificação das Vulnerabilidades
„ Vulnerabilidade é uma condição de fraqueza.
„ Tipos de vulnerabilidades:
‰ Físicas;
‰ Naturais;
‰ Hardware;
‰ Software;
‰ Comunicação
‰ Humana.

11

Vulnerabilidades físicas
Vulnerabilidades - Física
„ A vulnerabilidade física trata de problemas que comprometam o
espaço físico dos dispositivos de rede.

„ Estes problemas podem ser:

‰ Falta de extintores e sistemas automatizados de detecção de fumaça e
incêndio;
‰ Salas de CPD mal projetadas;
‰ Instalações elétricas antigas e não separadas de outros sistemas
elétricos;como iluminação, tomadas ou ar condicionado;
‰ Dutos de ar condicionado mal projetados;
‰ Acesso não restrito ao CPD e a equipamentos de rede;
‰ Etc.

12

6
 4/6/2009

Vulnerabilidades naturais
Vulnerabilidades - Naturais
„ Vulnerabilidades naturais envolvem o
tratamento do ambiente onde estarão os
equipamentos de rede.
„ Exemplos:
‰ Possibilidade de desastres naturais (incêndio,
enchentes, tempestades, etc.);
‰ A ú l d
Acúmulo de poeira;
i
‰ Umidade descontrolada e/ou mudanças bruscas de
temperatura ou temperaturas elevadas.

13

Vulnerabilidades de Hardware
Vulnerabilidades - Hardware
„ Falhas nos recursos tecnológicos;
„ São associadas aos problemas de instalação
de hardwares, desgaste de peças ou
equipamentos, obsolescência de dispositivos
ou ainda sua má utilização.

14

7
 4/6/2009

Vulnerabilidades de software
Vulnerabilidades - Software
„ Vulnerabilidades de software são
normalmente associadas a falhas no código
fonte de softwares e sistemas operacionais
que permitem ou facilitam invasões.
„ Erros na instalação ou configuração que
podem acarretar acessos indevidos.
„ Existem vulnerabilidades de software que
permite danificar a rede.

15

Vulnerabilidades de comunicação
Vulnerabilidades - Comunicação
„ O encaminhamento de dados por segmentos
de rede seguros garante a confidencialidade
dos dados, bem como sua integridade.
„ Outro fator que colabora na integridade e
confidencialidade é a utilização de
criptografia e certificados eletrônicos.
„ Falhas constantes nos enlaces;
„ Redes abertas - (uso de redes sem fio sem
qualquer tipo de controle).
16

8
 4/6/2009

Vulnerabilidades humanas
Vulnerabilidades - Humana
„ A vulnerabilidade humana é uma das mais
complicadas para se evitar
evitar. Por mais que haja
treinamento e compartilhamento de informações
confidenciais,
„ Falta de treinamento e informação no que diz
respeito a a conscientização e manutenção do
espírito de equipe e do comprometimento com
as políticas de segurança.
„ Divulgação ou uso incorreto de informações
confidenciais, como por exemplos, senhas
17

Problemas reais
Problemas Reais
„ Sistema Operacional Windows
„ Sistema Operacional Linux
„ Roteador Cisco
„ O Top 20 das vulnerabilidades
http://www.sans.org/top20

18

9
 4/6/2009

Risco
„ Risco é um contexto que inclui as ameaças,
vulnerabilidades e o valor a proteger num
ambiente em que se lida com segurança de
informações.

19

Avaliação de riscos
Avaliação de Riscos
„ A análise de riscos também conhecida como
avaliação de riscos de segurança
segurança, é o processo de
avaliar em que medida um certo contexto é, ou não,
aceitável para uma organização
„ O nível de segurança em qualquer sistema deve ser
compatível com os riscos a que o mesmo está
submetido.

20

10
 4/6/2009

Análise de Riscos
„ Consiste no uso sistemático de informações para identificar
fontes de ameaças, vulnerabilidades, probabilidades e impactos
a fim de estimar o risco.
„ Deve-se antes ser elaborada uma estratégia para detecção dos
pontos fracos, e isso é obtido através da Análise de
Vulnerabilidades.
„ Como produto final da análise de risco são definidas as
probabilidades da ocorrência de exploração de eventual
vulnerabilidade. Além disso estima
estima-se
se também o impacto
causado pela exploração da referida vulnerabilidade.
„ A partir deste ponto pode se aplicar um controle específico que
deverá controlar o risco.

21

Metodologias de análise
Metodologia de Análise
„ Uma das principais funções da análise de riscos
é determinar quais controles de segurança são
mais apropriados e com um custo acessível.
acessível
„ Há uma variedade de abordagens para análise
de riscos. Entretanto, elas essencialmente se
dividem em duas categorias:
‰ Análise quantitativa;
‰ Análise qualitativa.

22

11
 4/6/2009

Análise de riscos quantitativa
Análise de Risco Quantitativa
„ Baseia-se em 2 elementos principais: a
probabilidade de um evento ocorrer e a provável
perda (prejuízo) que isso acarretará
acarretará.
„ Isto compõe um cenário que é chamado de
expectativa de perda anual (EPA) ou de custo
anual estimado (CAE).
„ Estes fatores são calculados simplesmente
multiplicando-se
multiplicando se a perda potencial pela
probabilidade.

23

Análise de riscos quantitativa
Análise de Risco Quantitativa
„ Os maior problema com este tipo de análise está
usualmente associado com a falta de confiabilidade e
imprecisão
p dos dados.
„ Probabilidade pode, raramente, ser precisa e, em alguns
casos, isso pode implicar numa permissividade
indesejada.
„ Técnicas de controle e contra-medidas adotadas podem
freqüentemente omitir uma variedade de eventos
potenciais ou os mesmos podem estar inter-relacionados.

24

12
 4/6/2009

Análise de riscos qualitativa
Análise de Risco Qualitativa
„ Ao invés de se basear em dados estatísticos
(probabilidades), como é feito na análise de riscos
quantitativa, esta abordagem usa apenas a perda
potencial estimada.
„ Faz uso de um certo número de elementos inter-
relacionados:
‰ Ameaças
‰ Vulnerabilidades
‰ Controles

25

Análise de riscos qualitativa
Análise de Risco Qualitativa
„ Ameaças :
‰ Resumem-se em coisas
R i que podem
d d
dar errado
d ou
que possam “atacar” o sistema.
‰ Como exemplos podemos citar incêndios,
fraudes, invasões, roubo de informação, etc.
‰ Ameaças estão sempre presentes para qualquer
sistema
sistema.

26

13
 4/6/2009

Análise de risco qualitativa
Análise de Risco Qualitativa
• Vulnerabilidades
• Estas tornam um sistema mais propenso a um ataque 
d
das ameaças ou fazem com o ataque tenha um efeito 
f t t h f it
mais devastador. 
• Por exemplo: para o fogo uma vulnerabilidade seria a 
presença de materiais inflamáveis por perto, como 
papel.
• Podem ser físicas, lógicas ou humanas.

27

Análise de riscos qualitativa
Análise de Risco Qualitativa
„ Controles :
‰ São as contra-medidas
Sã t did para as vulnerabilidades
l bilid d
‰ Há 4 tipos :
„ Controles dissuasórios
„ Controles preventivos
„ Controles corretivos
„ C t l d
Controles de monitoração
it ã

28

14