O documento discute os desafios da gestão de segurança da informação e apresenta algumas soluções possíveis. Em três frases:
Apresenta tendências e ameaças de segurança da informação, como ataques baseados na web e códigos maliciosos. Discute a importância de métricas de segurança e serviços gerenciados para melhorar a postura de segurança e a conformidade de uma organização. Oferece estratégias como simplificação de ferramentas e centralização da gestão para implementar uma arquitetura de segurança otimizada.
2. Agenda
Avaliar
• Cenário: Tendências e ameaças em Segurança da Informação.
Implantar
• Topologia Corporativa: Ferramentas de Proteção.
Gerenciar
• Métricas de Segurança podem auxiliar nos esforços de
Conformidade;
• Serviços Gerenciados de Segurança.
4. Symantec Internet Security Threat Report XIV
Cenário das ameaças em 2009
Atividades Maliciosas Cyber criminosos Aumentou a Rápida adaptação às
baseadas na Web querem a SUA sofisticação do medidas de segurança
se aceleraram informação Mercado Negro
• Principal vetor de • Foco em explorar • Infraestrutura bem • Realocando operações
atividades maliciosas usuários finais para organizada para o para novas áreas
• Tem como alvo obter ganhos comércio de informações geográficas
websites com boa financeiros roubadas • Fugindo da proteção de
reputação e alto segurança tradicional
tráfego
5. Tendências principais – Atividade Global em
2008
Ameaças Vulnerabilidades
Código Spam/Phishing
Malicioso
• Falha na segurança • São 19% (5491) as • Trojans são 68% do • 76% phishing tem como
de dados podem vulnerabilidades volume dos top 50 alvo serviços
levar ao roubo de documentadas códigos maliciosos financeiros
identidades • Vulnerabilidade mais • 66% de códigos • Detectados 55.389
• Roubo e perda são atacada: Explorada maliciosos em Websistes de phishing
as principais causas pelo Downadup potencial se • Detectado aumento de
de vazamento de (conficker) propagamm como 192% no spam na
dados de identidade • 95% das arquivos Internet com 349.6
• As ameaças vulnerabilidades executáveis bilhões de mensagens
aumentaram com o atacadas foram do compartilhados • 90% dos e-mail de
crescimento da lado do cliente spam são distribuídos
banda larga de por “Bot networks”
Internet
Fonte: Internet Security Threat Report, Volume XIV
6. Fluxo de um ataque
Ataques Web-based são hoje o principal vetor de atividade maliciosa na Internet
Códigos Informações
Websites são Visitantes são
maliciosos são roubadas são
comprometidos atacados
instalados vendidas
7. Websites são comprometidos
• Atacantes localizam e comprometem um site de alto tráfego através de uma
vulnerabilidade específica do site ou da aplicação web que ele disponibiliza
• Uma vez que o site é comprometido os atacantes modificam as páginas para
que o conteúdo malicioso seja servido aos visitantes
Vulnerabilidades específicas Vulnerabilidades em aplicações
dos sites Web
Internet Security Threat Report, Volume XIV
8. Visitantes são atacados
• Em muitos casos os ataques são lançados de diferentes
localizações do que a do site comprometido;
• As principais vulnerabilidades exploradas pelos ataques estão
tanto no navegador como nos plug-ins e aplicações cliente;
• Muitos dos ataques baseados na Web exploram
vulnerabilidades de média severidade.
Top Web-based attacks
Internet Security Threat Report, Volume XIV
9. Códigos maliciosos são instalados
• Em 2008 a Symantec bloqueou uma média de mais de 245 milhões de
tentativas de ataque via código malicioso a cada mês;
• Mais de 60% das assinaturas Symantec para códigos maliciosos foram
criadas em 2008;
• Mais de 90% das ameaças descobertas em 2008 tem como objetivo roubo
de informação confidencial.
Internet Security Threat Report, Volume XIV
10. Informações roubadas são vendidas
• Informações de cartão de crédito (32%) e credenciais de contas de
banco (19%) continuam a ser os itens mais anunciados no mercado
negro;
• A faixa de preços por informações de cartão de crédito permanecem
consistentes em 2008, variando de $0,06 a $30 por número de cartão;
• Contas de e-mail comprometidas podem prover acesso a outras
informações confidenciais e recursos adicionais.
Internet Security Threat Report, Volume XIV
11. Tendências das Ameaças – Atividades
Maliciosas
• Em 2008 os Estados Unidos foi o país com maior volume de atividade
maliciosa com 23% do total.
• O Brasil subiu no ranking de 8o para 5o lugar de 2007 para 2008, com
atuais 4% do volume de atividades maliciosas no mundo.
• Na medida que a Internet em banda larga cresce em certos países a
sua participação na atividade maliciosa também cresce.
Internet Security Threat Report, Volume XIV
13. Topologia Corporativa – Infraestrutura de TI
Internet
Rede local
corporativa
Dmz
Wan
Usuário
remoto
filial
filial filial
14. Topologia Corporativa – Ferramentas de
Segurança
Proteção do Endpoint
Firewall
Virtual Private Network
Usuário Web Security
Gerente de TI
Intruder Prevention
Controle de acesso
Corporate Controle de Conformidade
LAN
Data Loss Prevention
Dm
Gerenciamento de Infraestrutura
Intern
z
et
Gerenciamento de Segurança
Wan
Host Security
Controle de Vulnerabilidades
fili fili fili
al al al Certificação e assinaturas
digitais
16. Desafios do Gestor de TI no cenário atual
Lidar com a complexidade e heterogeneidade da
topologia de Tecnologia da Informação;
Lidar com diversos fornecedores de serviços, software e
hardware;
Manter a infraestrutura, os sistemas de TI e as
informações da empresa sempre disponíveis e seguras,
tudo isto com os usuários satisfeitos;
Gerenciar o orçamento de TI;
17. Desafios do Gestor de TI no cenário atual
Lidar com a dificuldade para seleção, gerenciamento,
capacitação e retenção de Recursos Humanos;
Lidar com uma cultura organizacional desvirtuada dos
padrões de segurança;
Lidar com as cobranças quanto ao retorno sobre os
investimentos na área de TI;
Planejar e implementar novos projetos de TI, alinhados
com a estratégia da empresa;
Gerenciar a conformidade com os padrões e métodos
adotados em TI (ISO 17799, ITIL, ISO 20000, ISO
27000, SOX, etc).
18. Gerenciamento de Segurança e Conformidade
Métricas de Segurança podem auxiliar nos esforços de
Conformidade:
• O valor das Métricas de Segurança;
• A metodologia para se obter Métricas de Segurança;
• O Modelo de Maturidade de Segurança.
19. O valor das Métricas de Segurança
O quão segura é sua organização hoje? Que métrica você utiliza
para validar esta afirmação?
O seu orçamento de Segurança da Informação prioriza
corretamente os riscos e iniciativas de conformidades dentro da
organização?
Sua postura de Segurança da Informação está melhorando ou
piorando? Como você sabe?
Qual é a regra de métricas de Segurança da Informação nos seus
projetos atuais e futuros?
20. Tipos de Métricas de Segurança
Importante para o CIO
Onde nós estamos A segurança está Valor dos
em risco? melhorando? Investimentos?
• Exemplos: • Exemplos: • Exemplos:
• Percentual de • Percentual de riscos • Custo total de
funções críticas em identificados e/ou propriedade do
sistemas conformes mitigados investimento (TCO)
• Percentual de Ativos • Gastos operacionais
• Percentual de riscos x investimentos de
Críticos sob Análise aceitos
de Riscos capital
• Percentual de riscos • Percentual dos
• Percentual de Ativos não mitigados gastos em
Críticos com plano Segurança da
de mitigação de Informação x
riscos Orçamento de TI
21. Tipos de Métricas de Segurança
Importante para o CISO
Cobertura das
Segurança do Disponibilidade Riscos de
ferramentas de
Perímetro? /integridade? aplicações?
segurança?
• Exemplos: • Exemplos: • Exemplos: • Exemplos:
• Taxa de • Percentual de • Host Uptime • Número de
detecção de sistemas com vulnerabilidades
spam antivirus • Percentual de /aplicações
downtime
• Número de • Nível de devido a • Número de
vírus aplicação de incidente aplicações
detectados patches analisadas x
• Número de • MTBF/MTR número de
• Percentual de aplicações
ataques da Sistemas com
Internet totais
instalação
padrão
• Cobertura do
escaneamento
vulnerabilidades
22. Qual a métrica mais adequada para o CISO
Security Officer:
• Métricas operacionais
o Ajuda a enxergar o quadro geral da operação de segurança da
informação.
• Métricas de conformidade
o Medidas contra suas normas/requerimentos/padrões.
• Métricas de projeto
o Mostra o retorno no investimento de segurança da informação;
o Derivadas das métricas operacionais.
• Necessita de métricas para informar e aconselhar o
gerente senior no gerenciamento dos riscos e melhorias
nos processos de segurança
23. Qual a métrica mais adequada para o CIO
Gestor de TI:
• Métricas de projeto
• Métricas de conformidade
• Algumas métricas operacionais
o Especialmente as que se relacionam com outras funções de TI
(Exemplo: vulnerabilidades de aplicações).
• Riscos:
o Onde estão os riscos?
o Qual a nossa postura de segurança?
• Métricas de Tempo
o Eficiência Operacional.
• Métricas Financeiras
o Aumento de produtividade, redução de custos.
24. Metodologia: CIS Security Metrics - Exemplos
Gerenciamento de • Tempo médio para descoberta de um incidente
• % de incidentes detectados pelos controles
Incidentes internos
• Percentual de sistemas com vulnerabilidades não
Vulnerabilidades conhecidas
Gerenciamento de • Conformidade com a política de patches
Patches • Tempo médio para implantar patches críticos
• Cobertura da análise de riscos
Segurança de Aplicações
• Cobertura da análise de vulnerabilidades
Gerenciamento de • % de mudanças com revisão de segurança
Configurações • % de mudanças com exceções de segurança
• Percentual dos gastos com Segurança de TI x
Métricas Financeiras orçamento de TI
Fonte: Center for Internet Security, 2009
25. Quanto investimento é suficiente para
Segurança da Informação?
“Nós gastamos milhões em segurança da informação e nada de ruim acontece.
É por causa dos milhões que nós gastamos ou por causa que nada de mau iria
acontecer de qualquer forma?”1
Resposta:
Gastando muito pouco em
segurança (postergando custos)
maximizam-se os custos de falha
(falso senso de segurança)2;
Gastando muito em segurança
(antecipando os custos) reduz os
custos de falha, mas maximiza o
custo total do programa (caçando
fantasmas);
O ponto de cruzamento entre os
custos de antecipação e falha
representam a segurança
otimizada. 1 CSO Magazine: “What is Security Worth” (2006)
2 Information Risk Executive Council Audit Director Roundtable
(2005)
26. Quão “otimizada” é a sua Arquitetura de
Segurança?
Modelo de Maturidade de Segurança
Segura Conforme Proativa Otimizada
• Orientada a • Desenvolvimento • Segurança • Multi nível e
eventos da Política Proativa correlacionada
• Proteção reativa • Alguma • Visão centralizada • Conformidade
• Segurança Básica padronização • A segurança automatizada
• Conformidade habilita a • Eficiencia de
com padrões conformidade custo
externos • Audite uma vez,
reporte muitas
• Maior integração
Custo e Riscos Elevados Custo e Riscos Reduzidos
Baixa postura de segurança Elevada postura de segurança
27. Como implementar uma arquitetura otimizada
de Segurança da Informação?
Análise de Riscos e
dos processos de
segurança
Aplicação de
Monitoramento e Ferramentas e
resposta a incidentes processos de Controle
e Conformidade
Gerenciamento Correlação de eventos
através de Métricas de e conformidade
Segurança que façam automatizada e com
sentido a organização visão centralizada
28. Soluções
Adoção de estratégias para SIMPLIFICAÇÃO e
CONSOLIDAÇÃO das ferramentas de controle de
Segurança e Conformidade de TI;
CENTRALIZAÇÃO do gerenciamento de Segurança e
Conformidade com utilização de Métricas de Segurança
que façam sentido para a organização;
Estratégia 1 Montagem de uma infraestrutura própria
1:
para gestão otimizada de Segurança da Informação com
Ferramentas, Processos e Recursos Humanos;
Estratégia 2: adoção de Serviços Gerenciados de
Segurança da Informação em parte ou em todo o
processo de Segurança da Informação.
29. Serviços Gerenciados de Segurança da
Informação
Conjunto de ferramentas
ferramentas,
métodos, processos,
métodos processos
pessoas e infraestrutura
de TI que visam o
monitoramento e/ou
gerenciamento proativo
da infraestrutura de rede
e segurança da
informação de nossos
clientes através de nosso
Security Operations
Center – SOC/Network
Operation Center - NOC
30. Qual a infraestrutura do SOC/NOC ISH?
Infra-estrutura física adequada para prestação de
serviços em regime 24 x 7;
Soluções e ferramentas dos principais fabricantes de
segurança e networking;
Pessoal altamente capacitado e certificado nas
principais soluções do mercado;
Metodologia de Trabalho ISH, desenvolvida com mais
de 12 anos de experiência;
Certificação ISO 9001:2000;
Equipes residentes em Vitória, São Paulo e Brasília (BH
em implantação).
31. O que o SOC/NOC da ISH pode fazer?
Análise de Riscos e Vulnerabilidades;
Gerenciamento de ferramentas de segurança,
servidores e redes;
Correlação de eventos de segurança da informação;
Gerenciamento de conformidade;
Monitoramento 24 x 7: disponibilidade, desempenho e
segurança de ativos de rede, servidores e serviços;
Resposta a incidentes com atuação
Pessoas
remota e/ou in loco;
Recuperação de desastres;
Processos
Geração de relatórios e estatísticas;
Suporte de 3º nível sob demanda.
Ferramentas
32. Quais as soluções, modalidades e níveis de
serviços ofertados?
Serviços Gerenciados Modalidades Ofertadas:
Ofertados - Security as a Locação de hardware e software
Service: Monitoramento via SOC/NOC
com alertas
Firewall/VPN Administração remota/local de
IPS/IDS infraestrutura de TI e segurança
Segurança do EndPoint da informação
Messaging Security Resposta a incidentes
Web Security Outsourcing
Data Loss Prevention - DLP Suporte de 3º nível
Conformidade
Backup/restore Níveis de Serviços
Coleta e correlação de eventos Ofertados:
de segurança da informação Monitoramento: 24 x 7 com
Aceleração de redes e alertas via e-mail e/ou telefone
aplicações Administração, suporte e resposta
Switching/Routing/IP Telephony a incidentes: 24 x 7 ou 8 x 5
33. Benefícios com Serviços Gerenciados
Menor custo total de propriedade;
Pessoal interno com maior foco no
negócio da empresa;
Maior nível de especialização nos
serviços;
Melhor nível de monitoração de eventos
de segurança;
Maior rapidez na resposta a incidentes;
Maior disponibilidade dos serviços (24x7);
Gerenciamento e Monitoramento Pró-
Ativo e PREVENTIVO;
Parceiro com visão independente da
postura de administração da
infraestrutura e segurança da empresa;
Menor quantidade com maior qualidade
dos controles internos através da
aplicação de Métricas de Segurança.
34. E se as ferramentas falharem?
Responder
Como estar preparado se as ferramentas falharem
Assunto para nosso próximo encontro …