1. A segurança da informação envolve proteger dados de acessos não autorizados através de medidas como firewalls. 2. Hackers e crackers acessam sistemas de forma ilegal para roubar dados ou causar danos, enquanto ataques de negação de serviço podem tornar sistemas indisponíveis. 3. Modelos de referência de segurança definem políticas e controles para garantir a integridade, confidencialidade, autenticação, não-repúdio e disponibilidade de dados e sistemas.

1. 1
INSTITUTOFEDERALDEEDUCAÇÃO,CIÊNCIAETECNOLOGIADAPARAÍBA
CampusSousa
Disciplina:SegurançadaInformação
Professor:FranciscoCassimiro
Curso:TécnicoemInformática
Fátima Ferreira de Sousa

2. Segurança Em Redes
Segurança da Informação
2

3. Asegurançadainformação
Definição
Podeserdefinidacomoumaprocessodeprotegerainformaçãodomauusotantoacidentalcomointencional.
Vulnerabilidadeoufalhadesegurançapodeserumbugemumaaplicação,comoumservidorwebouumvírus.
Nãoexisteredeoumesmoinformação100%segura.
3

4. Ataquescontraasegurançadainformaçãotrazemprejuízosincalculáveisparaempresasecorporações.
Firewalls–dispositivosquecontrolamotráfegoentreredes, permitindoounegandodeterminadotipodetráfego.
4

5. Ainternet:UmjogocomvantagenseRiscos
Dependênciadeempresasepessoas;
Crescimentodocomércioeletrônico.
RiscoseVulnerabilidadesparaempresas;
Downtime–tempoemaredeficaindisponívelparauso;
AmeaçasdeVírus–peloacessoainternet;
InvasãodeHackers–todososdiassãodesenvolvidastécnicasinteligentesesofisticadasdeinvasão;
5

6. Hackers e Crackers
6

7. Hackers–QuemSão?
Refere-seaumindividuoouorganizaçãoquepossuiconhecimentoemsistemasoperacionaiseprotocolos,efazusodesseconhecimentoparaquebrarsegurançadesistemaseroubarinformações,buscandosemprealgumavantagemouganhofinanceiro.
Emgeraloshackersexploramvulnerabilidadesoufalhasnaimplementaçãodossistemas,econhecendo-as,conseguematacá- los.
7

8. Crackers
Sãopessoasquedescobremfalhasemsistemasdeseguranças,eusamessasfalhaspararoubaredestruirinformações;
8

9. Motivosquelevamumhacker/crackerarealizarumataque:
•Acessoarecursosadicionais–Quandooataquesetornaumdesafioaserquebradoparaconseguiracessosadicionaisarede;
•VantagensCompetitivas–Espionagemindustrial,ondeumhackerécontratadoparatentarroubarinformaçõesconfidenciaisdeumconcorrente;
•Econômico–Fraudescomnúmerosdecartãodecréditoouemsistemasdeinternetbanking;
•DescontentamentoPessoalouVingança–Ex-funcionáriosquedesejamsevingardaempresainvadindo-a;
9

10. Motivos que levam um hacker/cracker a realizar um ataque:
•CyberTerrorismo–Éousodatecnologiadainformaçãoparadesfecharumataquepelainternet;
•Curiosidade–Quandoalguémsemintençãodecausarprejuízosusaalgumaferramentahackingsemconhecimentoseacabacausandograndesestragos;
•Prejuízos–Quandoalguémquedefinitivamentecausardanosaalguém;
•Diversão–Adolescentesqueatacamasredespordiversão;
10

11. Algumasdasameaçasmaiscomunsqueasempresasvêmsofrendoatualmentesãoataquesdevírusewormquecausamgrandesprejuízos.
Existemaindaumagrandeproblemáticaarespeitodoabusodousodee-mailedawebpelosfuncionáriosdeempresas.
Ainternettrouxegrandeflexibilidadeeagilidadeparaasorganizações,entretantoomauusodessatecnologiaporseususuáriospodecausargrandesprejuízosdeprodutividadeequalidadenosprocessosdaempresa.
11

12. Oproblemadoe-mail
Spam–E-mailsindesejáveisenviadosporpequenasempresasquedesejamdivulgarseusprodutoseserviçosdemaneirabarataeeficiente;
ConteúdoInadequados–Pornografia,piadas,políticaouracistasquenãosereferemaodia-a-diadaempresa;
Oe-mailpodeaindaserusadopararoubaretransmitirinformaçõesconfidenciaisdaempresa;
12

13. O problema da WEB
Mauusodainternet–Acessoasitescomconteúdoinadequado, downloadsdesoftwarespiratas,alémdousodeferramentasdee- mailviawebquepodemburlarmecanismosdemonitoraçãoeproteção.
Oproblemamaiordomauusodawebéquedemandabandadoslinksdecomunicação,porissoafetadiretamenteodesempenhodasaplicaçõescríticasdaempresa,implicandoemlentidãoereduçãosignificativanotempoderesposta.
13

14. Monitoraçãodomauuso
Técnicaqueconsistenamonitoraçãodee-mailepáginaswebs;
Violaçãoasliberdadesindividuais;
14

15. Outros métodos de monitoração
Filtrosdemensagens–Usadoparafiltragensdemensagenseinformaçõesnãorelacionadasaonegóciodaempresa.Esseprocessominimizaoefeitodosspamsnarede;
FiltrodeURLs–Permiteàsempresasbloquearemapáginasnãoautorizadas.
15

16. Estesassuntosdevemsertratadosediscutidoscuidadosamentepelasempresas.Orecomendávelédescreverdetalhadamentenapolíticadesegurançaquaisosusosdevidosqueosusuáriospodemfazerdarede,eprincipalmenteestabelecerclaramenteoquenãoépermitido.Apósadefiniçãodessapolíticaedotreinamentodosfuncionários,elesdevemassinarumdocumentoinformandoqueconcordamcomapolítica,eprincipalmenteconhecemosprocedimentosepuniçõesnocasodedesrespeitodapolíticadesegurançacorporativa.
16

17. ModelodeReferênciadeSegurança
Foicriadoparadefinirumaarquiteturaderedeconfiávelqueimplementeumapolíticadesegurança,queconsisteemumasériederegras,procedimentos,autorizaçõesenegaçõesquegarantemamanutençãodasegurançaedaconfiabilidadedarede.
17

18. ComponentesqueconstituemoMRS
Equipamentosdarede–Roteadores,servidoresdecomunicação, switchesderedelocal,gatewaysetc.
Sistemasdeautenticação–Biométricos,assinaturadigitalecertificaçãodigital;
Sistemasdesegurança–Criptografia,PKIefirewalls;
Informaçãoemensagenstrocadasnosistemadecunhoreservado, confidencial,restritooulivreparadivulgação;
18

19. Serviçosdesegurançaimplementadospelosistema
Integridade;
Autenticidade;
Confidencialidade;
NãoRepúdio;
Disponibilidade;
ControledeAcesso;
Auditoria.
19

20. Integridade
Consistenagarantiadequeainformaçãopermaneceuíntegra,oquesignificaqueelanãosofreunenhumaespéciedemodificaçãoduranteasuatransmissãoouarmazenamento,semautorizaçãodoautordamensagem;
Aintegridadeestárelacionadacomproteçãoquantoàinformaçãoouumprocessoparaquenãosejaintencionalmenteouacidentalmentealteradasemadevidaautorização.
Oobjetivodagarantiadeintegridadedosdadosépreveniraexistênciadefraudesouerrosdeprocessamento.
20

21. AmeaçasàIntegridade
Aintegridadedainformaçãopodesercomprometidaporhackers,usuáriosnãoautorizados,programasmaliciosos(trojansouvírus),ouqualqueraçãoqueimpliquenaalteraçãodedadoseprogramas.
Existemtrêsprincipaiscontrolesdesegurançaparagarantiraintegridadedainformaçãonosprocessos:
•RotationofDuties–Atrocaconstantedepessoasemcargoschavepodeserumaformadeevitarafraudeemsistemasounosdados,alémdetrazerumasériedevantagens.
•NeedtoKnow–Osusuáriosdevemteracessoapenasaosdadosouprogramasqueelenecessitaparaexecutaroseutrabalho.
•SeparationofDuties-Consisteemgarantirquedoinícioaofinaldeumprocessoqueaspessoasenvolvidastenhamocontroledele.
21

22. FunçõesdeHashing
Hashingéumatécnicautilizadaparaverificaregarantiraintegridadedosdados.
•Característicadohashing
Podeserdequalquertamanho;
Odigestésempredetamanhofixo;
Devemserfáceisdecomputar;
Hashéunidirecional;
Élivredecolisão,ouseja,doistextosnãopodempossuiromesmohashing;
22

23. AlgoritmosdeHashing
Os principais algoritmos de hashing são:
SHA-1–Calculadosobreumamensagensdequalquertamanho, gerandoumdigestde512bits.Éutilizadoemconjuntocomalgoritmoscriptográficos.
MD5–Processaaentradaemblocosdemensagensde512bitsegeradigestde128bits.OMD5estásujeitoacolisões.
23

24. Confidencialidade
Oprincipiodaconfidencialidadeéprotegerainformaçãoemsistemas,recursoseprocessos,paraqueelasnãopossamseracessadasporpessoasnãoautorizadas;
Ainformaçãonãopodeserdisponibilizadaaquemnãotenhaadevidaautorizaçãoparaacessá-las.Aconfidencialidadetambéméummecanismoquegaranteaprivacidadedosdados;
24

25. AmeaçasàConfidencialidade
Atividadenãoautorizada-Ocorrequandousuáriosnãoautorizadostemacessoaossistemasecomprometemarquivosconfidenciais.
Downloadsnãoautorizados–Quandoinformaçõesconfidenciaissãomovidasdelugaressegurosparaambientesondenãoépossívelgarantiraconfidencialidade;
Redes–Criptografarinformaçõesdeformaaevitarqueaconfidencialidadesejacomprometida;
VíruseTrojans–Códigosmaliciososinstaladosemsistemascomobjetivodedescobririnformaçõesconfidenciais,copiando-asparaumaentidadeexterna;
EngenhariaSocial–Processodeataquequenãofazusodatecnologiaesimdofatorhumano;
25

26. Identificação,AutenticaçãoeAutorização
Identificação–Métodousadoparaqueumusuário,programaouprocessodisponibilizeaosistemasuaidentificação.
Autenticação–Mecanismoqueverificaaidentificaçãodousuário.
Existemtrêsmecanismosparagarantiraautenticidadedeumusuário:
Oqueousuárioconhece(senha);
Oqueousuáriopossui(token,cartão,chavecriptografadaoucertificado;
Oqueousuárioé(característicabiométricaúnica);
Autorização–Mecanismoqueautorizaoacessoobedecendoasprincípiosdoneedtoknow;
Assoluçõesdegerenciamentodeidentidadesãousadasparaverificaraidentidade, autenticareautorizaroacesso;
26

27. Disponibilidade
Éagarantiadequeosistemasempreestaráacessívelquandoousuárioprecisar
27

28. AmeaçasàDisponibilidade
Ataquesdenegaçãodeserviços–DOS(ataquesrealizadosporumconjuntodecomputadorescontraumaredecomobjetivodetornarindisponíveisosserviçosoferecidosporestarede;
Perdasresultantespordesastresnaturais(fogo,enchentes, terremotosouaçõeshumanas);
28

29. AmeaçaàDisponibilidade
Osataquesdenegaçãodeserviçoderrubamservidores,deixandoosserviçosindisponíveis;
Osataquedenegaçãodeserviçosdistribuídos–sãocausadospormaquinaszumbiscontaminadasnainternet;
Paraaumentaradisponibilizadadeumsistemautiliza-seequipamentos,aplicativoseservidoresredundantes.
29

30. NãoRepúdio
Éumserviçodesegurançaqueconsisteemtécnicasemétodosparaqueoremetentedamensagemnãopossanegar,nofuturo,oenviodela.
30

31. Auditoria
Éummecanismoquepermiteacriaçãoderegistros(logs),nosquaisasaçõesocorridasnaredeficamregistradasepodemserauditadasnofuturoparaverificarirregularidades.
Aauditoriaconsistenacapacidadedeverificaçãodasatividadesdosistemaedeterminaçãodoquefoifeito,porquem,quandoeoquefoiafetado.
31

32. Embora,deumaformageral,todososserviçosdesegurançasejaimportantes,diferentesorganizaçõesterãovisõesdistintassobrequantocadaserviçoéimportante.
32

33. Planos de Segurança
33

34. AnáliseeGerenciamentodeRiscos
Visaidentificarperdaseimpactoscausadospelocomprometimentodaconfidencialidadedasinformaçõesouroubosdasinformaçõesrestritasaempresa.
Princípiobásicodogerenciamentoderisco:
“Não podemos proteger algo que não conhecemos”
34

35. AnálisedeRiscos
Processodeavaliaçãoetomadadedecisõesquepermitemidentificarequalificarosriscosenvolvidosemumsistema.
•Aceitarumriscopodesermuitoperigoso;
•Épossívelminimizarorisco,masnuncaevitá-lo;
•Evitarumriscoémuitocomplexo.
35

36. Existembasicamenteduasformasderealizarmosanálisederiscos:
•AnáliseQuantitativa
•AnáliseQualitativa
36

37. AnáliseQuantitativa
Estárelacionadacomoladofinanceiro,elaconsisteemmedirocustodaperdaligadosàameaçaeproteção.
Éincapazdecalcularaprobabilidadedequeoseventosouameaçasocorram.
37

38. Etapasdoprocessodeanálisederiscos:
Identificarasameaçasquepossamafetaroperaçõescriticaseosativos;
Estimaraprobabilidadedeumeventoocorrer;
Identificareclassificarosvalores,oníveldesensibilidadeeacriticidadedeoperações,alémdesepreocuparcomasperdasoudanosocorrentesseameaçaserealizar;
IdentificaraçõescombasenaanálisedecustoXbeneficionaconduçãodareduçãodorisco;
Documentaçãodosresultados;
38

39. Análise Qualitativa
Éumatécnicausadanaanálisederiscosparafazerumaestimativadaperdaprovocadapelaameaça.
Essetipodeabordagemtrabalhacomameaças,vulnerabilidadesemecanismosdecontrole.
39

40. Ameaças
40

41. Asameaças
Asameaçassãoosprincipaiseprováveisperigosaqueumaempresaestasujeita.
Principaisameaças
AmeaçasIntencionais;
Ameaçasrelacionadasaosequipamentos;
Ameaçasrelativasaumeventonatural;
Ameaçasnãointencionais;
41

42. Acompanhe:
AmeaçasIntencionais–Ameaçasqueviramnotíciasdejornalenasquaisosprodutosdesegurançamelhorpodematuar.
AgentesCausadores:
Externos–Podemacessarosistemadevariasformas(arrombamento, falsificaçãodedocumentos,modems,subornooucoaçãodosagentesinternos);
Internos–Sãoresponsáveispelamaiorpartedosproblemasdesegurança.
42

43. Osprincipaisagentescausadoresdeameaçasintencionaissão:
Espiãoindustrial–Alguémcontratadopararoubarumainformação,ecomoconsequência,causaralgumdano;
CriminosoProfissional–Alguéminteressadoemterganhofinanceirocomusodeumainformação;
Hacker–Especialistaemcomputaçãoqueusaseuconhecimentoparainvadirsistemasefraudardados;
Funcionáriomal-intencionado–Funcionárioquetentainternamenteroubarinformaçõesdaempresa.
43

44. Ameaçasrelativasaosequipamentos–Falhasdehardwareesoftware,sejapordefeitoouporbugs.
Ameaçasrelativasaumeventonatural–Ameaçasprovocadaspelaaocorrênciadealgumeventonatural,sãodifíceisdeseremevitadas,noentantosãofacilmentedetectadas;
Ameaçasnãointencionais–Sãoosperigostrazidospelaignorânciadaspessoas.Amaiorpartedosdanoscausadosnosistemasurgepelaignorânciadeusuáriosouadministradoresmalcapacitados.
44

45. Vulnerabilidades
45

46. Vulnerabilidades
Definição
Pontodosistemanoqualosistemaésuscetívelaataques.
Exemplos:
Aspessoasqueoperameusamosistema(elasforamtreinadasadequadamente?);
AconexãodosistemacomaInternet(ascomunicaçõessãocriptografadas?);
Ofatodeoprédioestaremumaáreasujeitaainundação(osistemaestánopisotérreodoprédio);
46

47. Oprocessodeidentificaçãodasvulnerabilidadesconsidera:
Dadasasameaças,ondeestãoasvulnerabilidadesdosistema;
Dadasasvulnerabilidades,quaisameaçaspodemsurgir;
47

48. Principaisvulnerabilidadesdeumsistemas:
Físicas–Oambienteondeosistemaémantidoévulnerável?
Naturais–Fogo,inundação,terremotoeperdadeenergiapodemdanificarequipamentosoudestruirdados;
HardwareeSoftware–Falhasdehardwareesoftwarepodemcomprometerasegurançadosistema;
Mídia–Discos,fitasematerialimpressopodemserfacilmenteroubadosoudanificados;
Emanação–Sinaisemitidosporcomputadores,equipamentosderedepodemsercaptadosedecifrados;
Comunicação–Mensagensemtransitopodemserinterceptados, desviadoseforjados.Linhasdecomunicaçãopodemserescutadasouinterrompidas;
Humanas–Usuários,operadoresouadministradoresdosistemapodemcontererrosquecomprometamofuncionamentodosistemas,seremsubornadosoucoagidosacometeratosdanosos.
48

49. Riscossurgemapartirdevulnerabilidadesquepossamserexploradas,existindováriasmaneirasdefazerisso.
Emumplanodesegurançaprecisamos,apartirdoconhecimentodasvulnerabilidades,identificaraprobabilidadedaameaçaocorrer.
49

50. Controles
Sãomecanismosdecontramedidasusadosparaminimizarameaças.
TiposdeControle:
Controleefetivo–Diminuiraprobabilidadedeocorrênciadeumaameaça;
Controlepreventivo–Previnevulnerabilidadesdeformaaminimizarosucessodastentativasdeataques;
Controlecorretivo–Reduzioefeitodaameaça;
Controledetectivo–Descobreataquesecontroledecorreção;
Controlederecuperação–Restauraasituaçãodaempresaaumquadronormalapósaincidênciadeumevento.
50

51. Otrabalhodeameaçadeveserfeitofrequentemente,umavezque, novasameaçaspodemsurgir,vulnerabilidadesnãoidentificadaspodemsernotadasemrevisõesfuturas.
Osriscosnãopodemsereliminadoscompletamente,massãoidentificados,quantificadoseentãoreduzidos.Nãoimportaquãosegurosejaocomputador,suasegurançasemprepodeserquebradacomrecursosnecessários.
51

52. Segurança
52

53. PolíticadeSegurança
Definediretrizesquantoaousodainformaçãonoambientecorporativo.Elarelaciona:
Riscosaopatrimônio;
Riscodefraude;
Riscoderoubo;
Osacessosdousuárioaosistema;
Ousodecanaisdecomunicação;
Sistemasredundantesetolerantesafalhas;
Garantiadeintegridadedesoftware;
53

54. Opropósitodeumapolíticadesegurançaédefinircomoumaorganizaçãovaiseprotegerdeincidentesdesegurança.
Funções:
Deixarclarooquedeveserprotegidoeporquê;
Explicitarqueméresponsávelporessaproteção;
Funcionarcomoreferênciaparasoluçãodeconflitoseproblemasquepossamsurgir;
Umapolíticadesegurançanãodeveserumalistadeameaça,eladevesergenéricaevariarcompoucotempo;
54

55. Algunsdefiniçõesdapolíticadesegurança:
Pensenoproprietário–Ainformaçãoeoequipamentodevemterumproprietário.
Sejapositivo–Aspessoasrespondemmelhorasentençaspositivasdoqueanegativas;
Todossomospessoas–Inclusiveusuários!Epessoascometemerros;
Responsabilidadedeveserseguidadeautoridade–Sevocêéresponsávelpelasegurança,masnãotemautoridade,suafunçãonaorganizaçãoseráapenasassumiraculpaquandoalgosairerrado;
Definiaafilosofiadapolítica–Tudoquenãoforproibidoepermitidooutudoquenãoforpermitidoeproibido;
Sejaabrangenteeprofundo–Nãosejasuperficialnacriaçãodapolítica,incluadiferentesníveisdeproteção;
55

56. Umapolíticadesegurançadeveserformadapor:
Escopo;
Posicionamentodaorganização;
Aplicabilidade;
Funçõeseresponsabilidades;
Complacência;
Pontosdecontatoeoutrasinformações;
56

57. ISO 1.7799
57

58. PadrãoISO1.7799
Éumpadrãodenormasinternacionaisparagerenciamentodesegurançadainformação.AISOéorganizadaemdezprincipaissessões,ecadaumacobrediferentestópicoseáreas.
AISOdefineosdezpilaresdesegurançadainformaçãoquedevemserregularmenteseguidospelaempresasquedesejamsercertificadas:
Planodecontinuidadedenegócios;
Políticasdecontroledeacesso;
Políticasdedesenvolvimentoemanutençãodesistemas;
Políticasdesegurançafísicaedeambiente;
58

59. Políticas de segurança pessoal;
Políticas de gerenciamento dos computadores e das redes;
Políticas de controle e classificação de ativos;
Política global de segurança da informação;
Análise de conformidade;
Aspectos legais.
59

60. AuditorianaISSO1.7799
Éaverificaçãodasatividadesdosistemaeadeterminaçãodoquefoifeito,porquem,quandoeoquefoiafetado.Aauditoriaaplica-senãoapenasàverificaçãodeatividadesdeusuáriosnãoautorizados, mastambémdosusuáriosautorizados.
Emaplicaçõescríticas,oníveldedetalhesnosregistrosdeauditoriapodesersuficienteapontosersuficienteapontodepermitirdesfazeroperaçõesparaajudaratrazerosistemaaumestadocorretodeoperação.
Oprocessodeauditoriaéessencialparaverificaçãodocumprimentodaspolíticasdesegurançadainformaçãonaorganização.
60

61. 61