You are on page 1of 55

Análise dos Desafios, Ameaças e

Melhores Práticas de Segurança na Era
Moderna: Um Estudo de Caso na
Prefeitura de Juiz de Fora
Patrícia Lima Quintão
Supervisora de Segurança Pref. Juiz de Fora
MCSO, MCSE, Axur Certified Professional Computer Forensics
M. Sc. Eng. Sist. Computação, COPPE/UFRJ
Agenda
• Percepção de Segurança x Segurança Real
• Mitos mais Comuns de Segurança
• Por quê os Desafios de Segurança Estão Crescendo?
• Ameaças • Ameaças
• Estratégias de Proteção
• Estudo de Caso
Gestão da
Segurança
Segurança na Corporação
Zona da Falsa
Sensação de
Segurança
Situação
Desejada
3
Não Adequada Adequada
Segurança Real
Zona de Desconforto
Zona de Desconhecimento
Os Desafios de Segurança
estão Crescendo...
4
estão Crescendo...
• O ambiente de TI está cada vez mais
– Complexo; Amplo; Heterogêneo;
– Compacto, multimídia, consumindo menos energia, utilizando o
protocolo TCP-IP, integrado com a rede de celulares.
5
• Novas tecnologias trazem consigo novas
vulnerabilidades.
• Ex.: As redes sem fio (wireless) trazem grande benefícios
para as organizações e os usuários, porém trazem também
novas vulnerabilidades que podem colocar em risco o
negócio da organização.
• Ex.: Virtualização.
6
• A segurança da informação NÃO É SÓ EM
COMPUTADORES, deve considerar:
• Papel.
•Sistemas de Telecomunicações.
• Conversas – pessoais e ao telefone.
7
• Roubo de equipamentos.
• As ações de segurança
precisam estar integradas
com a legislação e
regulamentação.
– Responsabilidade civil dos
administradores e técnicos.
Normas / Normas /
Regulamentação Regulamentação
EU DATA PROTECTION ACT
SARBANES-OXLEY
N
B
R
1
1
5
1
5
I
S
O

1
7
7
9
9
C
O
B
I
T
ISO 17799
FTC OVERSIGHT
N
B
R
15247
T
I
E
R
8
– Gestão de segurança através de
normas e padrões.
– Atendimento a agências
reguladoras.
Cliente
HIPAA
GLBA
BASILÉIA II
SEC REGULATIONS PATRIOT ACT
SARBANES-OXLEY
CVM
ISO 17799
E
N

1
0
4
7
-
2
• Está aumentando o valor financeiro da rede
– Transações financeiras pela Internet.
– Transações financeiras em
sistemas internos.
9
sistemas internos.
– Armazenamento de informações de valor.
– Relacionamento pessoal.
Pen
Drives
USB
SmartPhone
BlackBerry
Palm/Treo
Unidades
vendidas
• Maior necessidade de acesso móvel aos dados
• Informações e dados saindo
do perímetro corporativo
• A capacidade de
Crescimento explosivo dos dispositivos
móveis
Palm/Treo
PocketPC
Laptops
Computadores
1995 2000 2005 2010
• A capacidade de
armazenamento aumenta à
medida que os dispositivos
ficam menores
• Os avanços na tecnologia de
dispositivos móveis
continuarão produzindo
dispositivos novos e de maior
capacidade
1995 2000 2005 2010
• A proteção dos dados exige ideias diferentes
Fáceis de perder Atraentes para roubar Fáceis de transferir
O valor do "mercado negro“
do crime virtual
$98
$490 $147
$147
®
Os dados devem ser protegidos, independentemente de:
Acesso Uso Dispositivo Local
Mitos Mais Comuns
• `Isso nunca acontecerá conosco`.
• `Não dá para gastar com segurança agora, deixa
assim mesmo`.
• `Vamos deixar funcionando e depois resolveremos
os problemas de segurança`.
• `Tenho antivírus sim. O que é atualização?` • `Tenho antivírus sim. O que é atualização?`
• `Os problemas de segurança são de
responsabilidade do departamento de TI`.
• `A tecnologia vai resolver o problema`.
Miopia do Iceberg
A tecnologia
vai resolver o
problema???
13
problema???
Principais Ameaças à Segurança
15
Fonte: 9ª Pesquisa Nacional Sobre Segurança da Informação - - Módulo Security Solutions S/A
Funcionarios Descontentes ou Mal ¡ntencionados
Dupla Identidade Dupla Identidade--
Competente Competente
programador da programador da
Microsoft foi preso Microsoft foi preso
pelo FBI por pelo FBI por
atividades hackers. atividades hackers.
Durante a noite, Durante a noite,
punha em prática punha em prática
todas as suas todas as suas
16
todas as suas todas as suas
habilidades à favor habilidades à favor
do crime digital. do crime digital.
Principais responsáveis
por problemas de
segurança eletrônica.
53%
funcionários
Fonte: 9ª Pesquisa Nacional Sobre Segurança da Informação -
Módulo Security Solutions S/A
Mais Ameaças à Segurança
Perda ou roubo físico
de laptops e
dispositivos móveis
1
Transferência não-
autorizada de dados
para dispositivos
externos
2
Distribuição
involuntária por
e-mail, web, etc.
3
Usuários com direitos
violam os dados
4
A informação escapa
por meio de
impressões, CD-ROM,
DVD, etc.
5
Aplicativos de
usuários são
invadidos
6
Cavalos de
Tróia/captura de
digitação/malware
7
Ataques
de
botnets
com uso
Ameaças à Segurança
18
Criminoso
do
Conficker
Alguns Riscos a Considerar...
Jatos
d’água
Vírus,
Worms,...
Fogo
Fumaça
Vapor
Retrabalho
Ataques
terroristas
Vandalismo
Sabotagem
Furto
Acesso
indevido
19
Vazamento
Alagamento
Falta de
energia
Falta de
Climatização
terroristas
Acesso
indevido
• Novas formas de ataques são criadas.
– Uso de diferentes técnicas, e de tecnologias para cobrir vestígios
– Uso de códigos polimórficos para criação de vírus, worms, backdoors,
exploits, para dificultar sua detecção
• As tecnologias de ataque estão se integrando.
– Vírus, Trojan, SPAM, Phishing Scam, Ransonware, Invasão...
20
• Aumento da conectividade resulta em novas
possibilidades de ataques.
– Facilidade de acesso traz aumento de curiosos e possibilidade de
disfarce que podem ser usados nos ataques.
Autenticação
Antivírus
Detecção de
Gerenciamento de
mudanças/patches
A Defasagem das Soluções de
Segurança de Hoje!!!!
Anti-spyware
Detecção de
ameaças
Clientes
Servidores
LAN
Firewall
Antivírus
Filtragem
da Web
VPN
Estratégias de Proteção
22
• senhas (fortes, caracteres).
Atenção às Senhas
– sistema operacional (checar horário da atualização
automática);
– aplicativos (navegador, proc. de textos, leitor de
e-mails);
Instalar a Última Versão e Aplicar as
Correções de Segurança (patches)
e-mails);
– visualizador de imagens, PDFs e vídeos, etc;
– hardware (firmware de switches, bases wireless, etc).
– Antivírus (atualizar as assinaturas diariamente)
– Anti-spyware
– Firewall
– Anti-spam
– IPS
Utilizar Programas de Segurança e
Deixá-los Ativados!
• Não forneça informações a estranhos.
• Cuidado com o uso de pendrives e outros
meios contaminados!
• Prática de mesa limpa (documentos). • Prática de mesa limpa (documentos).
Melhorar a Postura On-Line
• Cuidado com e-mails de procedência duvidosa
ou desconhecida.
• Não acessar sites ou seguir links
– recebidos por e-mail ou por serviços de mensagem – recebidos por e-mail ou por serviços de mensagem
instantânea;
– em páginas sobre as quais não se saiba a
procedência.
Melhorar a Postura On-Line
• Receber um link ou arquivo de pessoa ou
instituição conhecida não é garantia de
confiabilidade:
– códigos maliciosos se propagam a partir das contas de máquinas
infectadas;
– fraudadores se fazem passar por instituições confiáveis.
Melhorar a Postura On-Line
• Cuidado com a Engenharia Social e Phishing
scam.
• Intimações para Comparecimento em Audiências...
Temas mais Explorados no Phishing Scam
31
Temas mais Explorados no Phishing Scam
32
• Cartões virtuais, às vezes com remetente conhecido.
Temas mais Explorados no Phishing Scam
33
Analise o
”Clique aqui”.
34
Melhorar a Postura On-Line
• Não fornecer em páginas Web, blogs e sites
de redes de relacionamentos:
– seus dados pessoais ou de familiares e amigos (e-mail, – seus dados pessoais ou de familiares e amigos (e-mail,
telefone, endereço, data de aniversário, etc);
– dados sobre o computador ou sobre software que utiliza;
– informações sobre o seu cotidiano;
– informações sensíveis (senhas e números de cartão de
crédito).
Melhorar a Postura On-Line
• Cuidado com os acessos a sites.
• Não repasse mensagens do tipo corrente.
• Enviar mensagens com cópias ocultas.
• Jamais solicite o cancelamento de e-mail valendo-se
dos recursos oferecidos pelo próprio e-mail para esta dos recursos oferecidos pelo próprio e-mail para esta
finalidade.
Informe-se sobre o Tema!
Não é preciso ser Não é preciso ser
gênio para
perceber que a
segurança é fator segurança é fator
crítico de sucesso crítico de sucesso!
38
Calibre sua Segurança
Irresponsabilidade Paranóia
Qual o nível de segurança que devemos ter?
Nossa Segurança!!
Estudo de Caso na PJF Estudo de Caso na PJF
Tecnologias
integradas para uma
solução de proteção solução de proteção
total de dados.
Suíte Trauma Zer0 Tz0 Asset Inventory
Inventário on- line Hw e Sw, controle de licenças e itens
de configuração
Suíte Trauma Zer0 Tz0 Performance Monitor
Comparativos técnicos resultando na análise
de relatórios gerenciais para tomada de
decisões.
Suíte Trauma Zer0 Tz0 Delivery and Deploy
Criar pacotes adicionando arquivos de
qualquer extensão, enviando-os para destinos
diferentes com a possibilidade de serem
apagados ou executados após seu uso
Redução de TCO
Suíte Trauma Zer0 Tz0 Remote Control
Manutenção;
Suporte Técnico
Reposição de Peças
Outros Custos
Permite o controle de qualquer estação
via controle remoto com segurança
Suíte Trauma Zer0 Tz0 Network Security
Detecta alterações de hardware, software, registro e
pastas especiais no parque corporativo.
Considerações Finais
• 100% de segurança NÃO existe.
• Todo controle possui algum grau de
ineficiência.
• Segurança não se compra, depende de
atitude. atitude.
• Segurança é responsabilidade de cada um.
Ação sobre os Ativos
A resistência da corrente é medida pelo seu elo mais fraco.
Quem protege deve ter atenção a todos os pontos,
quem ataca precisa achar apenas um ponto falho
para obter sucesso.
Dúvidas? Dúvidas?
54
Obrigada!!
Patrícia Lima Quintão
pquintao@pjf.mg.gov.br

Agenda
• • • • • • Percepção de Segurança x Segurança Real Mitos mais Comuns de Segurança Por quê os Desafios de Segurança Estão Crescendo? Ameaças Estratégias de Proteção Estudo de Caso

Segurança na Corporação
Gestão da Segurança

Não Adequada

Adequada

Segurança Real
3

Os Desafios de Segurança estão Crescendo...

4

• O ambiente de TI está cada vez mais
– Complexo; Amplo; Heterogêneo; – Compacto, multimídia, consumindo menos energia, utilizando o protocolo TCP-IP, integrado com a rede de celulares.

5

• Ex.: Virtualização.• Novas tecnologias trazem consigo novas vulnerabilidades. • 6 . Ex.: As redes sem fio (wireless) trazem grande benefícios para as organizações e os usuários. porém trazem também novas vulnerabilidades que podem colocar em risco o negócio da organização.

deve considerar: • Papel. •Sistemas de Telecomunicações.• A segurança da informação NÃO É SÓ EM COMPUTADORES. 7 . • Roubo de equipamentos. • Conversas – pessoais e ao telefone.

Normas / Regulamentação NBR 115 15 17 79 9 5247 NBR 1 TIE R FTC OVERSIGHT TION ACT EU DATA PROTEC T BI CO SARBANES-OXLEY ISO 17799 GLBA HIPAA IS O EN CVM BASILÉIA II 7 104 PATRIOT ACT SEC REGULATIONS -2 Cliente 8 . – Atendimento a agências reguladoras.• As ações de segurança precisam estar integradas com a legislação e regulamentação. – Gestão de segurança através de normas e padrões. – Responsabilidade civil dos administradores e técnicos.

• Está aumentando o valor financeiro da rede – Transações financeiras pela Internet. – Armazenamento de informações de valor. – Transações financeiras em sistemas internos. 9 . – Relacionamento pessoal.

• Maior necessidade de acesso móvel aos dados Crescimento explosivo dos dispositivos Unidades móveis vendidas • Informações e dados saindo do perímetro corporativo • A capacidade de armazenamento aumenta à medida que os dispositivos ficam menores • Os avanços na tecnologia de dispositivos móveis continuarão produzindo dispositivos novos e de maior capacidade Pen Drives USB SmartPhone BlackBerry Palm/Treo PocketPC Laptops 1995 2000 2005 2010 Computadores 2005 2010 1995 2000 .

independentemente de: Uso Local Dispositivo Acesso .• A proteção dos dados exige ideias diferentes Fáceis de perder Fáceis de transferir Atraentes para roubar $490 $147 ® O valor do "mercado negro“ do crime virtual $147 $98 Os dados devem ser protegidos.

O que é atualização?` • `Os problemas de segurança são de responsabilidade do departamento de TI`. • `A tecnologia vai resolver o problema`. • `Vamos deixar funcionando e depois resolveremos os problemas de segurança`. deixa assim mesmo`. . • `Não dá para gastar com segurança agora.Mitos Mais Comuns • `Isso nunca acontecerá conosco`. • `Tenho antivírus sim.

Miopia do Iceberg A tecnologia vai resolver o problema??? 13 .

.

.Módulo Security Solutions S/A 15 .Principais Ameaças à Segurança Fonte: 9ª Pesquisa Nacional Sobre Segurança da Informação .

Durante a noite.Dupla IdentidadeIdentidadeCompetente programador da Microsoft foi preso pelo FBI por atividades hackers. 53% funcionários Fonte: 9ª Pesquisa Nacional Sobre Segurança da Informação Módulo Security Solutions S/A 16 . punha em prática todas as suas habilidades à favor do crime digital. Principais responsáveis por problemas de segurança eletrônica.

etc. web.Mais Ameaças à Segurança 1 Perda ou roubo físico de laptops e dispositivos móveis 2 Transferência nãoautorizada de dados para dispositivos externos 3 Distribuição involuntária por e-mail. 6 7 Aplicativos de usuários são invadidos Cavalos de Tróia/captura de digitação/malware . CD-ROM. 4 Usuários com direitos violam os dados 5 A informação escapa por meio de impressões. etc. DVD.

Ameaças à Segurança Ataques de botnets com uso do Conficker Criminoso 18 .

Alguns Riscos a Considerar. Jatos d’água Vandalismo Sabotagem Retrabalho Ataques terroristas Acesso indevido Vazamento Alagamento Falta de Climatização Falta de energia 19 .... Worms... Fogo Fumaça Vapor Furto Vírus.

SPAM.. e de tecnologias para cobrir vestígios – Uso de códigos polimórficos para criação de vírus. • Aumento da conectividade resulta em novas possibilidades de ataques.. – Vírus. Trojan. para dificultar sua detecção • As tecnologias de ataque estão se integrando. backdoors. Ransonware. – Uso de diferentes técnicas. Invasão. 20 . worms. exploits. Phishing Scam. – Facilidade de acesso traz aumento de curiosos e possibilidade de disfarce que podem ser usados nos ataques.• Novas formas de ataques são criadas.

A Defasagem das Soluções de Segurança de Hoje!!!! Antivírus Autenticação VPN Gerenciamento de mudanças/patches Detecção de ameaças Antivírus Clientes Anti-spyware LAN Filtragem da Web Servidores Firewall .

Estratégias de Proteção 22 .

caracteres). .Atenção às Senhas • senhas (fortes.

.

etc). leitor de e-mails). – aplicativos (navegador. . PDFs e vídeos. de textos. – hardware (firmware de switches. etc. bases wireless. – visualizador de imagens. proc.Instalar a Última Versão e Aplicar as Correções de Segurança (patches) – sistema operacional (checar horário da atualização automática).

Utilizar Programas de Segurança e Deixá-los Ativados! – – – – – Antivírus (atualizar as assinaturas diariamente) Anti-spyware Firewall Anti-spam IPS .

• Cuidado com o uso de pendrives e outros meios contaminados! • Prática de mesa limpa (documentos).• Não forneça informações a estranhos. .

. • Não acessar sites ou seguir links – recebidos por e-mail ou por serviços de mensagem instantânea. – em páginas sobre as quais não se saiba a procedência.Melhorar a Postura On-Line • Cuidado com e-mails de procedência duvidosa ou desconhecida.

. – fraudadores se fazem passar por instituições confiáveis.Melhorar a Postura On-Line • Receber um link ou arquivo de pessoa ou instituição conhecida não é garantia de confiabilidade: – códigos maliciosos se propagam a partir das contas de máquinas infectadas.

.Melhorar a Postura On-Line • Cuidado com a Engenharia Social e Phishing scam.

.Temas mais Explorados no Phishing Scam • Intimações para Comparecimento em Audiências. 31 ..

Temas mais Explorados no Phishing Scam 32 .

Temas mais Explorados no Phishing Scam • Cartões virtuais. 33 . às vezes com remetente conhecido.

Analise o ”Clique aqui”. 34 .

– dados sobre o computador ou sobre software que utiliza. telefone. blogs e sites de redes de relacionamentos: – seus dados pessoais ou de familiares e amigos (e-mail. – informações sensíveis (senhas e números de cartão de crédito).Melhorar a Postura On-Line • Não fornecer em páginas Web. . data de aniversário. etc). – informações sobre o seu cotidiano. endereço.

. Jamais solicite o cancelamento de e-mail valendo-se dos recursos oferecidos pelo próprio e-mail para esta finalidade. Enviar mensagens com cópias ocultas.Melhorar a Postura On-Line • • • • Cuidado com os acessos a sites. Não repasse mensagens do tipo corrente.

Informe-se sobre o Tema! .

Não é preciso ser gênio para perceber que a segurança é fator crítico de sucesso! sucesso 38 .

Calibre sua Segurança Qual o nível de segurança que devemos ter? Irresponsabilidade Paranóia Nossa Segurança!! .

Estudo de Caso na PJF .

.

.Tecnologias integradas para uma solução de proteção total de dados.

.

.

.

.

Suíte Trauma Zer0 Tz0 Asset Inventory Inventário on.line Hw e Sw. controle de licenças e itens de configuração .

.Suíte Trauma Zer0 Tz0 Performance Monitor Comparativos técnicos resultando na análise de relatórios gerenciais para tomada de decisões.

enviando-os para destinos diferentes com a possibilidade de serem apagados ou executados após seu uso .Suíte Trauma Zer0 Tz0 Delivery and Deploy Criar pacotes adicionando arquivos de qualquer extensão.

Suporte Técnico Reposição de Peças Outros Custos Permite o controle de qualquer estação via controle remoto com segurança .Suíte Trauma Zer0 Tz0 Remote Control Redução de TCO Manutenção.

software. registro e pastas especiais no parque corporativo. .Suíte Trauma Zer0 Tz0 Network Security Detecta alterações de hardware.

. • Todo controle possui algum grau de ineficiência.Considerações Finais • 100% de segurança NÃO existe. depende de atitude. • Segurança não se compra. • Segurança é responsabilidade de cada um.

Ação sobre os Ativos A resistência da corrente é medida pelo seu elo mais fraco. Quem protege deve ter atenção a todos os pontos. quem ataca precisa achar apenas um ponto falho para obter sucesso. .

54 .

mg.br .Obrigada!! Patrícia Lima Quintão pquintao@pjf.gov.