You are on page 1of 36

KÉRLLON ANDRADE

Mestre em Informática Aplicada
UESPI - PIRIPIRI
SEGURANÇA DA INFORMAÇÃO

TEXTO SEGURANÇA DA INFORMAÇÃO 2
O QUE É INFORMAÇÃO?
▸ É a resultante do processamento,
manipulação e organização de
dados, de tal forma que represente
uma modificação (quantitativa ou
qualitativa) no conhecimento do
sistema (humano, animal ou
máquina) que a recebe.
INFORMAÇÃO = PATRIMÔNIO
A informação é tão importante que pode
inclusive determinar a sobrevivência ou a
descontinuidade das atividades de um
negócio

TEXTO SEGURANÇA DA INFORMAÇÃO 3
O QUE É TECNOLOGIA DA INFORMAÇÃO?
▸ Tecnologia da informação (conhecida também pela sigla TI), é uma
área que utiliza a computação como um meio para produzir, transmitir,
armazenar, aceder e usar diversas informações.
▸ A Tecnologia da Informação pode ser dividida de acordo com as
seguintes áreas:
▸ Hardware e seus componentes;
▸ Software e seus meios;
▸ Sistemas de telecomunicações;
▸ Gestão de informações e de dados.

. .. UM DESAFIO MULTIDISCIPLINAR Segurança física. infraestrutura tecnológica. aplicações e conscientização organizacional etc.TEXTO SEGURANÇA DA INFORMAÇÃO 4 O QUE É SEGURANÇA DA INFORMAÇÃO? ▸ Está diretamente relacionada com proteção de um conjunto de informações. . no sentido de preservar o valor que possuem para um indivíduo ou uma organização.

▸ Hardware: envolve toda infraestrutura tecnológica de uma organização. acesso e leitura. . clientes. INTEGRIDADE OU DISPONIBILIDADE AFETADAS. QUANTIFICAÇÃO DE QUALQUER ATIVO relatórios. arquivos de configuração e planilhas de QUANDO ESTE TEM PERDA DE funcionários. operadores. ▸ Usuários: são todos aqueles funcionários. técnicos. CONFIDENCIALIDADE.TEXTO SEGURANÇA DA INFORMAÇÃO 5 ATIVOS DA INFORMAÇÃO Qualquer elemento que tenha valor para uma organização VALOR DO ATIVO ▸ Informação: a informação pode ser armazenada em meio eletrônico ou meio físico como: documentos. administradores ou da alta direção que estão inseridos nos processos da organização. processamento. ▸ Software: são programas de computadores que utilizados executam armazenamento.

PROBABILIDADE RISCO POTENCIAL ASSOCIADO À EXPLORAÇÃO DE UMA OU MAIS VULNERABILIDADES DE UM RECURSO . VULNERABILIDADE PONTO FRACO OU FALHA EXISTENTE NUM DETERMINADO SISTEMA OU RECURSO.TEXTO SEGURANÇA DA INFORMAÇÃO 6 RISCO. IMPACTO RESULTADO DECORRENTE DA VERIFICAÇÃO DE UM RISCO = VULNERABILIDADE + DETERMINADO EVENTO DE SEGURANÇA SOBRE UM OU AMEÇA + IMPACTO + MAIS RECURSOS.. QUE PODERÁ SER EXPLORADA.. AMEAÇA CIRCUNSTÂNCIA OU EVENTO CUJA VERIFICAÇÃO OU CONCRETIZAÇÃO SE TRADUZ NUM CONJUNTO DE IMPACTOS NEGATIVOS SOBRE UM SISTEMA OU RECURSO QUE APRESENTA UMA OU MAIS VULNERABILIDADES.

* ▸ Disponibilidade ▸ propriedade que garante que a informação esteja sempre disponível para o uso legítimo. por aqueles usuários autorizados pelo proprietário da informação ▸ Confidencialidade ▸ propriedade que limita o acesso a informação tão somente às entidades legítimas. ou seja.TEXTO SEGURANÇA DA INFORMAÇÃO 7 PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO Existem 3 princípios básicos. ▸ Integridade ▸ propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação .. ou seja.. àquelas autorizadas pelo proprietário da informação.

.TEXTO SEGURANÇA DA INFORMAÇÃO 8 DISPONIBILIDADE Objetivo: garantir que a informação possa ser obtida sempre que for necessário. ▸ Exemplo de ataque que pode gerar a quebra da disponibilidade ▸ DOS (negação de serviço) ▸ Consequência da quebra de disponibilidade ▸ Sistema fora do ar. que esteja sempre disponível para quem precisar dela no exercício de suas funções. isto é. ▸ Perda da comunicação.

TEXTO SEGURANÇA DA INFORMAÇÃO 9 CONFIDENCIALIDADE Objetivo: garantir que somente usuários explicitamente autorizados tenham acesso a informação. ▸ Invasão. ▸ Espionagem industrial. . ▸ Engenharia Social. ▸ Exemplo de ataque que pode gerar a quebra da confidencialidade.

. sem alterações ou distorções. ▸ Alteração indevida em registros do banco de dados.TEXTO SEGURANÇA DA INFORMAÇÃO 10 INTEGRIDADE Objetivo: garantir que a informação é completa.. ▸ Quebra de integridade ▸ Falsificação de documentos.

. Integridade e Disponibilidade.TEXTO SEGURANÇA DA INFORMAÇÃO 11 INCIDENTES Quando um dos 3 princípios sofre algum dano temos um incidente de segurança ▸ Um incidente de segurança pode ser definido como qualquer evento adverso. confirmado ou s o b s u s p e i t a . re l a c i o n a d o à segurança de sistemas de informação levando a perda de um ou mais princípios básicos de Segurança da Informação: Confidencialidade.

TEXTO SEGURANÇA DA INFORMAÇÃO 12 INCIDENTES Álgebra do "Isso não está acontecendo." VULNERABILIDADE + AMEAÇA = INCIDENTE ....

. Air Force Software Protection Initiative. "The Three Tenents of Cyber Security".TEXTO SEGURANÇA DA INFORMAÇÃO 13 INCIDENTE ▸ É a interseção de três elementos: uma suscetibilidade ou falha do sistema.S. acesso do atacante à falha e a capacidade do atacante de explorar a falha. U.

▸ Exemplos de vulnerabilidades: falhas no p ro j e t o . . quando explorada por um atacante. n a i m p l e m e n t a ç ã o o u n a configuração de programas. serviços ou equipamentos de rede.TEXTO SEGURANÇA DA INFORMAÇÃO 14 VULNERABILIDADE Vulnerabilidade também é conhecida como superfície de ataque ▸ É definida como uma condição que. pode resultar em uma violação de segurança.

TEXTO SEGURANÇA DA INFORMAÇÃO 15 CLASSIFICAÇÃO DAS VULNERABILIDADES Livro: "Seguranca de redes" de WADLOW. ▸ Naturais ▸ São aquelas que envolvem condições naturais. que podem trazer riscos para os equipamentos e as informações. ambientes sem a devida proteção contra incêndio. THOMAS A. furacões ou maremotos . Podemos citar: locais propensos a inundações. terremotos.

. ▸ Físicas ▸ São ambientes com pontos fracos de ordem física. Estas situações podem comprometer a disponibilidade da informação.TEXTO SEGURANÇA DA INFORMAÇÃO 16 CLASSIFICAÇÃO DAS VULNERABILIDADES Livro: "Seguranca de redes" de WADLOW. onde são armazenadas ou gerenciadas as informações. THOMAS A.

THOMAS A. .TEXTO SEGURANÇA DA INFORMAÇÃO 17 CLASSIFICAÇÃO DAS VULNERABILIDADES Livro: "Seguranca de redes" de WADLOW. podendo permitir o ataque de vírus ou violações. ▸ Hardwares ▸ Estão relacionadas aos equipamentos que apresentam defeitos de fabricação ou configuração. ▸ Nestas situações encontram-se a falta de atualizações dos programas e equipamentos não dimensionados corretamente.

TEXTO SEGURANÇA DA INFORMAÇÃO 18 CLASSIFICAÇÃO DAS VULNERABILIDADES Livro: "Seguranca de redes" de WADLOW. Cartão de memória.. Pen drive. ▸ Hardware . THOMAS A...Armazenamento ▸ As informações são armazenadas em suportes físicos (disco rígido) ou magnéticos (CD. ▸ Suas utilizações inadequadas podem ocasionar uma vulnerabilidade. . fitas magnéticas. DVD. afetando a integridade.).. a disponibilidade e a confidencialidade das informações.

são os mais preferidos dos elementos que buscam as ameaças. . ▸ Exemplo: Aplicativos com configurações ou instalações inadequadas. ▸ Softwares ▸ São os pontos fracos existentes nos aplicativos permitindo o acesso de indivíduos não-autorizados. THOMAS A. programas de e-mail que permitem a execução de códigos maliciosos e falta de atualizações. Por esta razão que os softwares.TEXTO SEGURANÇA DA INFORMAÇÃO 19 CLASSIFICAÇÃO DAS VULNERABILIDADES Livro: "Seguranca de redes" de WADLOW.

Estes tráfegos podem ser realizados através de fibra óptica. O sistema de comunicação escolhido deve ser seguro de modo que as informações transmitidas alcancem o destino. THOMAS A. ondas de rádio. satélite ou cabos.TEXTO SEGURANÇA DA INFORMAÇÃO 20 CLASSIFICAÇÃO DAS VULNERABILIDADES Livro: "Seguranca de redes" de WADLOW. ▸ Comunicação ▸ Está relacionado com o tráfego de informações. .

os pontos fracos são: uso de senha fraca. a não consciência ou desconhecimento de segurança da informação e funcionários descontentes. falta de treinamentos para o usuário. compartilhamento de credencial de acesso. THOMAS A. .TEXTO SEGURANÇA DA INFORMAÇÃO 21 CLASSIFICAÇÃO DAS VULNERABILIDADES Livro: "Seguranca de redes" de WADLOW. ▸ Humanas: Podem ser de atitudes intencionais ou não.

▸ Problemas na política de segurança ▸ Humanas .TEXTO SEGURANÇA DA INFORMAÇÃO 22 AGRUPANDO A CLASSIFICAÇÃO DAS VULNERABILIDADES ▸ Problemas na tecnologia. Hardware e Comunicação (*). ▸ Armazenamento. ▸ Softwares e Comunicação (*). ▸ Problemas na implementação ou configuração.

TEXTO SEGURANÇA DA INFORMAÇÃO 23 PRINCIPAIS VULNERABILIDADES Vulnerabilidade também é conhecida como superfície de ataque ▸ Vulnerabilidade do protocolo TCP-IP (*) ▸ O TCP-IP apresenta algumas vulnerabilidade. ▸ Pacotes podem ser lidos na rede pública ou no ISP. tais como: ▸ IPv4 não oferece confidencialidade. TRABALHO: ESTUDO SOBRE A VULNERABILIDADE E MEDIDAS DE PREVENÇÃO NO PROTOCOLO TCP-IP .

TEXTO SEGURANÇA DA INFORMAÇÃO 24 PRINCIPAIS VULNERABILIDADES Vulnerabilidade também é conhecida como superfície de ataque ▸ Problemas na qualidade do código ▸ A falta de cuidado ou desconhecimento de segurança por parte do programador deixam brechas que podem ser aproveitadas por uma ameaça para gerar um incidente de segurança. Você analisa o código copiado antes de um crt + v? .

. devem fornecer informações intactas apenas a utilizadores autenticados e autorizados. modificadas. observadas por terceiros não autorizados. ou seja. Segurança Informática .O ▸ Os Sistemas Operativos* devem ser seguros. As informações não podem ser recebidas.TEXTO SEGURANÇA DA INFORMAÇÃO 25 PRINCIPAIS VULNERABILIDADES Vulnerabilidade também é conhecida como superfície de ataque ▸ Vulnerabilidade do S. Dissertação de Mestrado da Universidade Católica Portuguesa. somente quando as informações são pedidas através de requisições validas e identificadas.Tiago Miguel.

Dissertação de Mestrado da Universidade Católica Portuguesa. ▸ Esta técnica compreende em obter informações. ou consistindo o ataque de um programa com comportamento Segurança Informática .TEXTO SEGURANÇA DA INFORMAÇÃO 26 PRINCIPAIS VULNERABILIDADES Vulnerabilidade também é conhecida como superfície de ataque ▸ Vulnerabilidade Humana e a engenharia social ▸ O termo “engenharia social” representa a arte de influenciar pessoas a fim de controlar mecanismos de segurança. por telefone. fazendo-se o atacante frequentemente passar por uma pessoaque não é.Tiago Miguel. . ou por contacto direto. A engenharia social tem como base a utilização da força de persuasão e na exploração da inocência dos utilizadores. por parte dos utilizadores por correio electrónico.

CISSP. ▸ Aplicar o princípio do duplo controle. . pelo menos. Mas. da equipe WatchGuard ® ® LiveSecurity ▸ Ameaça # 10: Ataques Internos ▸ A Verizon's Intrusion Response Team investigou 500 intrusões em 4 anos e pode atribuir 18% das brechas/violações aos corruptos internos. credenciais de login para os servidores devem ser conhecidas ou estar à disposição de outra pessoa. ▸ Aplicar duplo controle significa que. Por exemplo. você pode optar por ter um técnico principal responsável pela configuração da sua Web e servidores SMTP. documento escrito por Scott Pinzon.TEXTO SEGURANÇA DA INFORMAÇÃO 27 AS DEZ MAIORES AMEAÇAS DE SEGURANÇA NAS EMPRESAS DE PEQUENO E MÉDIO PORTE "Top 10 Threats to SME Data Security ". para cada chave de recurso. Destes 18%. cerca de metade surgiu da própria equipe de TI. você tem um backup de segurança.

documento escrito por Scott Pinzon. Política de Resposta a Invasões e Backup Atualizado dos Sistemas (que possa ser realmente restaurar do armazenado em outro site). abandonando a padronização. da equipe WatchGuard ® ® LiveSecurity ▸ Ameaça # 9: Falta de contingência ▸ As empresas que se orgulham de ser "ágeis" e "responsáveis" muitas vezes atingem essa velocidade.TEXTO SEGURANÇA DA INFORMAÇÃO 28 AS DEZ MAIORES AMEAÇAS DE SEGURANÇA NAS EMPRESAS DE PEQUENO E MÉDIO PORTE "Top 10 Threats to SME Data Security ". CISSP. Plano de Recuperação de Desastre. ▸ Muitas PME têm verificado que uma simples falha em função de bases de dados ruins ou falta de compromisso com segurança da informação se tornam desastrosos quando não existe: ▸ Plano de Continuidade de Negócios. processos maduros de planejamento e contingência. .

documento escrito por Scott Pinzon. uma rede amadora só tem utilidade para o envio e recebimento de dados. Neste cenário. CISSP. . da equipe WatchGuard ® ® LiveSecurity ▸ Ameaça # 8: Configuração Inadequada ▸ Empresas inexperientes às vezes instalam roteadores.TEXTO SEGURANÇA DA INFORMAÇÃO 29 AS DEZ MAIORES AMEAÇAS DE SEGURANÇA NAS EMPRESAS DE PEQUENO E MÉDIO PORTE "Top 10 Threats to SME Data Security ". não garantindo qualquer proteção à informação. switches. redes e outros appliances de rede sem envolver qualquer técnico que compreenda e garanta a melhor aplicabilidade de cada equipamento.

▸ Quiosques públicos são 'ótimos ambientes' para um hacker deixar um keylogger. CISSP. e se conecta a partir de zonas confiáveis de segurança. . spywares e malwares. o que bastaria para que ele possa ver e monitorar o que se passa no âmbito daquela rede. documento escrito por Scott Pinzon. da equipe WatchGuard ® ® LiveSecurity ▸ Ameaça # 7: Despreocupação com as redes de hotéis e quiosques ▸ Redes de Hotéis são usualmente vulneráveis com relação a vírus. Defesas tradicionais podem se tornar inúteis quando o usuário literalmente carrega o laptop em torno do gateway firewall. e muitas vezes são administradas com precárias práticas de segurança. ▸ Notebooks que não têm softwares de firewall.TEXTO SEGURANÇA DA INFORMAÇÃO 30 AS DEZ MAIORES AMEAÇAS DE SEGURANÇA NAS EMPRESAS DE PEQUENO E MÉDIO PORTE "Top 10 Threats to SME Data Security ". antivírus e anti-spyware atualizados podem ficar comprometidos. worms.

CISSP. documento escrito por Scott Pinzon.TEXTO SEGURANÇA DA INFORMAÇÃO 31 AS DEZ MAIORES AMEAÇAS DE SEGURANÇA NAS EMPRESAS DE PEQUENO E MÉDIO PORTE "Top 10 Threats to SME Data Security ". ▸ Isto feito. inclusive logins. aguardam por uma conexão de usuários de laptops wireless. Este ataque é particularmente nefasto. . não deixando absolutamente nenhum vestígio de invasão no laptop hackeado. Hackers invasores normalmente disponibilizam pontos de acesso wireless que são disponibilizado e acessados como se fossem um "Free Public WiFi". da equipe WatchGuard ® ® LiveSecurity ▸ Ameaça # 6: Utilização imprudente de Wi-Fi nos Hot Spots ▸ Wireless Hot Spots contém os mesmos riscos que as redes de hotéis . o invasor passa a ter a habilidade de ver tudo do outro computador.e mais alguns. porque o atacante rouba os dados. Com um pacote sniffer ativado.

. . da equipe WatchGuard ® ® LiveSecurity ▸ Ameaça # 5: Dados perdidos armazenados em dispositivos portáteis ▸ Todos os anos.. documento escrito por Scott Pinzon. ou seu laptop em um evento qualquer. seu pen drives em um quarto de hotel. Quando dados são armazenados em dispositivos portáteis e móveis é mais prudente e eficiente se os administradores pensarem antecipadamente sobre. CISSP.. muito dados sensitivos e importantes são comprometidos quando usuários acidentalmente deixam seus smartphones em um táxis.TEXTO SEGURANÇA DA INFORMAÇÃO 32 AS DEZ MAIORES AMEAÇAS DE SEGURANÇA NAS EMPRESAS DE PEQUENO E MÉDIO PORTE "Top 10 Threats to SME Data Security ". “o que vão fazer quando o equipamento for perdido” ao invés de "o que vão fazer se o equipamento for perdido".

TEXTO SEGURANÇA DA INFORMAÇÃO 33 AS DEZ MAIORES AMEAÇAS DE SEGURANÇA NAS EMPRESAS DE PEQUENO E MÉDIO PORTE "Top 10 Threats to SME Data Security ". documento escrito por Scott Pinzon. . Sites confiáveis são criados e em seguida servem de abrigo para o malware. CISSP. involuntariamente espalhando o bot pela rede. Invasores têm comprometido centenas de milhares de servidores em um único ataque injetado de SQL automatizado. da equipe WatchGuard ® ® LiveSecurity ▸ Ameaça # 4: Comprometendo servidores* Web ▸ O mais comum hoje em dia é identificar botnets atacando sites da Web. assim. e a maioria dos sites é desenvolvida em linguagens não efetivas e ineficientes em relação às falhas fatais.

da equipe WatchGuard ® ® LiveSecurity ▸ Ameaça # 3: Uso indevido da Internet pelos funcionários ▸ Um estudo da Universidade de Washington em 2006 descobriu que os sites que espalham o maior número de spy wares foram (em ordem) em sites de fã(como os que fornecem notícias atualizadas de Paris Hilton e Britney Spears).TEXTO SEGURANÇA DA INFORMAÇÃO 34 AS DEZ MAIORES AMEAÇAS DE SEGURANÇA NAS EMPRESAS DE PEQUENO E MÉDIO PORTE "Top 10 Threats to SME Data Security ". documento escrito por Scott Pinzon. Sites de jogos on-line (onde você pode jogar contra um estranho) Sites Pornôs (surpreendentemente em terceiro lugar) . CISSP.

da equipe WatchGuard ® ® LiveSecurity ▸ Ameaça # 2: E-mails maliciosos HTML ▸ O ataque mais comum a e-mail agora chega como um e- mail HTML.TEXTO SEGURANÇA DA INFORMAÇÃO 35 AS DEZ MAIORES AMEAÇAS DE SEGURANÇA NAS EMPRESAS DE PEQUENO E MÉDIO PORTE "Top 10 Threats to SME Data Security ". CISSP. documento escrito por Scott Pinzon. que liga o usuário a um site com armadilhas maliciosas. mas o atacante utiliza um e-mail atrativo para receber a vítima em seu site malicioso. Um clique errado pode desencadear download de um arquivo executável. Os perigos são os mesmos da Ameaça # 3. .

da equipe WatchGuard ® ® LiveSecurity ▸ Ameaça # 1: Exploração automatizada de uma vulnerabilidade conhecida ▸ Verizon's Data Breach Investigations Report tem compilada evidências de mais 500 violações de dados ocorridas ao longo de 4 anos. Sua rotina de atualizações precisa se estender sistematicamente a todas as aplicações e Sistemas Operacionais componentes da sua rede. ▸ Empresas se tornam vitimas se não instalam as atualizações do Windows durante o mês de sua publicação.TEXTO SEGURANÇA DA INFORMAÇÃO 36 AS DEZ MAIORES AMEAÇAS DE SEGURANÇA NAS EMPRESAS DE PEQUENO E MÉDIO PORTE "Top 10 Threats to SME Data Security ". . O Verizon's RISK Team concluiu que 73% das violações ocorreram a partir de fontes externas. CISSP. documento escrito por Scott Pinzon. Porém. sua rede contém muito mais do que produtos da Microsoft.