Aula 1

  • May 2020
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Aula 1 as PDF for free.

More details

  • Words: 1,496
  • Pages: 14
4/6/2009

Introdução e Conceitos Fundamentais da Análise de Riscos

Prof. Edésio Hernane Paulicena

1

Roteiro „ „ „ „ „

Visão Geral Requisitos da Segurança da Informação Ativos Classificação das Vulnerabilidades Análise de Riscos

2

1

4/6/2009

Visão Geral „

Risco - s. m. Possibilidade de perigo, incertos mas previsível, previsível que ameaça de dano a pessoa ou a coisa. (Dic. Michaelis) ‰ ‰ ‰ ‰ ‰ ‰

Investir na Bolsa Comprar uma casa financiada Implementar um novo software Abrir uma empresa p Viajar de Avião Etc.

3

Visão Geral „

„ „ „

Hoje em dia há mais de 400 tipos possíveis de um usuário malicioso obter acesso indevido a um sistema computacional. E impedir todos esses tipos de ataques é uma tarefa praticamente impossível; Ataques híbridos; Fontes de ataque externa e interna; Cracker, funcionários, prestadores de serviços, clientes e até por membros de crime organizado. 4

2

4/6/2009

Visão Geral „

Composição de uma análise de Risco ‰ Processos de Negócio: Identificar junto aos gestores e colaboradores l b d os P Processos d de N Negócio ó i existentes i t t na Empresa. ‰ Ativos: Identificar os ativos que serão considerados na Análise de Risco: Pessoas, Infra-estrutura, Aplicações, Tecnologia e informações. ‰ Vulnerabilidades: Identificar as vulnerabilidades existentes nos ativos que possam causar indisponibilidade dos serviços ou serem utilizadas para roubo das suas informações. ‰ Ameaças: Identificar os agentes que podem vir a ameaçar a Empresa. ‰ Impacto: Tendo identificado as vulnerabilidades e ameaças, identificamos o impacto que estes podem causar na Empresa. Como roubo de informação, paralisação de serviços, perdas financeiras entre outros. 5

Requisitos da Segurança da Informação

„ „ „

Confidencialidade Integridade Disponibilidade

6

3

4/6/2009

Requisitos da Segurança da Informação – Confidencialidade „

Confidencialidade ‰

‰

Garantia G ti de d que a informação i f ã é acessível í l somente por pessoas autorizadas a terem acesso; Normalmente obtida através de criptografia.

7

Requisitos da Segurança da Informação Integridade „

Integridade ‰

Salvaguarda da exatidão e completeza da informação e dos métodos de processamento;

‰

Original „

‰

MD5("The quick brown fox jumps over the lazy dog") = 9e107d9d372bb6826bd81d3542a419d6

Alterado „

MD5("The quick brown fox jumps over the lazy cog") = 1055d3e698d289f2af8663725127bd4b 8

4

4/6/2009

Requisitos da Segurança da Informação Disponibilidade „

Disponibilidade ‰

Garantia G ti de d que os usuários á i autorizados t i d obtenham acesso à informação e aos ativos correspondentes sempre que necessário Disponibilidade (%) 95% 96% 97% 98% 99% 99,9% 99,99% 99,999%

Downtime/ano 18 dias 6:00:00 14 dias 14:24:00 10 dias 22:48:00 7 dias 7:12:00 3 dias 15:36:00 0 dias 8:45:35.99 0 dias 0:52:33.60 0 dias 0:05:15.36

Downtime/mês 1 dias 12:00:00 1 dias 4:48:00 0 dias 21:36:00 0 dias 14:24:00 0 dias 7:12:00 0 dias 0:43:11.99 0 dias 0:04:19.20 0 dias 0:00:25.92

9

Ativos „

Informações armazenadas, processadas, recebidas ou transmitidas pelo sistema que requerem proteção quanto à integridade, confidencialidade ou disponibilidade.

10

5

4/6/2009

O que é vulnerabilidade de rede?

Classificação das Vulnerabilidades „ „

Vulnerabilidade é uma condição de fraqueza. Tipos de vulnerabilidades: ‰ ‰ ‰ ‰ ‰ ‰

Físicas; Naturais; Hardware; Software; Comunicação Humana.

11

Vulnerabilidades físicas

Vulnerabilidades - Física „

A vulnerabilidade física trata de problemas que comprometam o espaço físico dos dispositivos de rede.

„

Estes problemas podem ser: ‰

‰ ‰

‰ ‰ ‰

Falta de extintores e sistemas automatizados de detecção de fumaça e incêndio; Salas de CPD mal projetadas; Instalações elétricas antigas e não separadas de outros sistemas elétricos;como iluminação, tomadas ou ar condicionado; Dutos de ar condicionado mal projetados; Acesso não restrito ao CPD e a equipamentos de rede; Etc.

12

6

4/6/2009

Vulnerabilidades naturais

Vulnerabilidades - Naturais „

„

Vulnerabilidades naturais envolvem o tratamento do ambiente onde estarão os equipamentos de rede. Exemplos: ‰

‰ ‰

Possibilidade de desastres naturais (incêndio, enchentes, tempestades, etc.); A ú l d Acúmulo de poeira; i Umidade descontrolada e/ou mudanças bruscas de temperatura ou temperaturas elevadas.

13

Vulnerabilidades de Hardware

Vulnerabilidades - Hardware „ „

Falhas nos recursos tecnológicos; São associadas aos problemas de instalação de hardwares, desgaste de peças ou equipamentos, obsolescência de dispositivos ou ainda sua má utilização.

14

7

4/6/2009

Vulnerabilidades de software

Vulnerabilidades - Software „

„

„

Vulnerabilidades de software são normalmente associadas a falhas no código fonte de softwares e sistemas operacionais que permitem ou facilitam invasões. Erros na instalação ou configuração que podem acarretar acessos indevidos. Existem vulnerabilidades de software que permite danificar a rede.

15

Vulnerabilidades de comunicação

Vulnerabilidades - Comunicação „

„

„ „

O encaminhamento de dados por segmentos de rede seguros garante a confidencialidade dos dados, bem como sua integridade. Outro fator que colabora na integridade e confidencialidade é a utilização de criptografia e certificados eletrônicos. Falhas constantes nos enlaces; Redes abertas - (uso de redes sem fio sem qualquer tipo de controle). 16

8

4/6/2009

Vulnerabilidades humanas

Vulnerabilidades - Humana „

„

„

A vulnerabilidade humana é uma das mais complicadas para se evitar evitar. Por mais que haja treinamento e compartilhamento de informações confidenciais, Falta de treinamento e informação no que diz respeito a a conscientização e manutenção do espírito de equipe e do comprometimento com as políticas de segurança. Divulgação ou uso incorreto de informações confidenciais, como por exemplos, senhas 17

Problemas reais

Problemas Reais „ „ „ „

Sistema Operacional Windows Sistema Operacional Linux Roteador Cisco O Top 20 das vulnerabilidades http://www.sans.org/top20

18

9

4/6/2009

Risco „

Risco é um contexto que inclui as ameaças, vulnerabilidades e o valor a proteger num ambiente em que se lida com segurança de informações.

19

Avaliação de riscos

Avaliação de Riscos „

„

A análise de riscos também conhecida como avaliação de riscos de segurança segurança, é o processo de avaliar em que medida um certo contexto é, ou não, aceitável para uma organização O nível de segurança em qualquer sistema deve ser compatível com os riscos a que o mesmo está submetido.

20

10

4/6/2009

Análise de Riscos Consiste no uso sistemático de informações para identificar fontes de ameaças, vulnerabilidades, probabilidades e impactos a fim de estimar o risco. Deve-se antes ser elaborada uma estratégia para detecção dos pontos fracos, e isso é obtido através da Análise de Vulnerabilidades. Como produto final da análise de risco são definidas as probabilidades da ocorrência de exploração de eventual vulnerabilidade. Além disso estima estima-se se também o impacto causado pela exploração da referida vulnerabilidade. A partir deste ponto pode se aplicar um controle específico que deverá controlar o risco.

„

„

„

„

21

Metodologias de análise

Metodologia de Análise „

„

Uma das principais funções da análise de riscos é determinar quais controles de segurança são mais apropriados e com um custo acessível. acessível Há uma variedade de abordagens para análise de riscos. Entretanto, elas essencialmente se dividem em duas categorias: ‰ ‰

Análise quantitativa; Análise qualitativa.

22

11

4/6/2009

Análise de riscos quantitativa

Análise de Risco Quantitativa „

„

„

Baseia-se em 2 elementos principais: a probabilidade de um evento ocorrer e a provável perda (prejuízo) que isso acarretará acarretará. Isto compõe um cenário que é chamado de expectativa de perda anual (EPA) ou de custo anual estimado (CAE). Estes fatores são calculados simplesmente multiplicando-se multiplicando se a perda potencial pela probabilidade.

23

Análise de riscos quantitativa

Análise de Risco Quantitativa

„

„

„

Os maior problema com este tipo de análise está usualmente associado com a falta de confiabilidade e imprecisão p dos dados. Probabilidade pode, raramente, ser precisa e, em alguns casos, isso pode implicar numa permissividade indesejada. Técnicas de controle e contra-medidas adotadas podem freqüentemente omitir uma variedade de eventos potenciais ou os mesmos podem estar inter-relacionados.

24

12

4/6/2009

Análise de riscos qualitativa

Análise de Risco Qualitativa „

„

Ao invés de se basear em dados estatísticos (probabilidades), como é feito na análise de riscos quantitativa, esta abordagem usa apenas a perda potencial estimada. Faz uso de um certo número de elementos interrelacionados: ‰ ‰ ‰

Ameaças Vulnerabilidades Controles

25

Análise de riscos qualitativa

Análise de Risco Qualitativa „

Ameaças : ‰

‰

‰

Resumem-se em coisas R i que podem d d dar errado d ou que possam “atacar” o sistema. Como exemplos podemos citar incêndios, fraudes, invasões, roubo de informação, etc. Ameaças estão sempre presentes para qualquer sistema sistema.

26

13

4/6/2009

Análise de risco qualitativa

Análise de Risco Qualitativa • Vulnerabilidades • Estas tornam um sistema mais propenso a um ataque  d das ameaças ou fazem com o ataque tenha um efeito  f t t h f it mais devastador.  • Por exemplo: para o fogo uma vulnerabilidade seria a  presença de materiais inflamáveis por perto, como  papel. • Podem ser físicas, lógicas ou humanas.

27

Análise de riscos qualitativa

Análise de Risco Qualitativa „

Controles : ‰ ‰

São as contra-medidas Sã t did para as vulnerabilidades l bilid d Há 4 tipos : „ „ „ „

Controles dissuasórios Controles preventivos Controles corretivos C t l d Controles de monitoração it ã

28

14

Related Documents

Aula 1
May 2020 12
Aula 1
August 2019 30
Aula 1
May 2020 13
Aula 1
November 2019 21
Aula 1
November 2019 22
Aula 1
October 2019 32