Políticas de Segurança: Verdade ou Mito?

2.592 visualizações

Publicada em

Apresentação da Core Security Technologies sobre o assunto Política de Segurança.

0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
2.592
No SlideShare
0
A partir de incorporações
0
Número de incorporações
36
Ações
Compartilhamentos
0
Downloads
118
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • Políticas de Segurança: Verdade ou Mito?

    1. 1. Security Policy: Truth vs. Myth <ul><li>Roberto de Carvalho </li></ul><ul><li>[email_address] </li></ul><ul><li>Emiliano Kargieman </li></ul><ul><li>[email_address] </li></ul>Política de Segurança: verdade ou mito?
    2. 2. Agenda <ul><li>O mito da Po lítica da seguran ça da Informaçã o </li></ul><ul><li>Repensando a Seguran ça </li></ul><ul><li>Players e papéis </li></ul><ul><li>O processo da Segurança e o papel da política </li></ul><ul><li>Infraestrutura de Segurança </li></ul><ul><li>Perguntas e Respostas </li></ul>
    3. 3. Introdução: O mito da Política de Segurança
    4. 4. Um mantra para exorcizar os males <ul><li>Todo mundo está falando </li></ul><ul><li>N ã o existe uma definição aceita </li></ul><ul><li>Todo mundo está querendo uma </li></ul><ul><li>Isso é apenas uma onda? </li></ul>Política de Segurança
    5. 5. Problemas das Políticas <ul><li>Muito focada no high-level </li></ul><ul><li>Sem manutenção </li></ul><ul><li>Ou gerenciada </li></ul><ul><li>Sem execução </li></ul><ul><li>Ou controle </li></ul><ul><li>Ou testada </li></ul><ul><li>Separada da realidade </li></ul>
    6. 6. Repensando a Segurança
    7. 7. Onde nos perdemos <ul><li>Dia-a-dia operacional </li></ul><ul><ul><li>Usu ários , plataformas, SOs, aplicações, redes </li></ul></ul><ul><li>A busca por uma solução mágica </li></ul><ul><li>Na estrat égia bottom-up ou top-down </li></ul><ul><li>Definição de orçamento </li></ul><ul><li>A briga da segurança vs. flexibilidade </li></ul>Repensando a Segurança
    8. 8. Um pequeno lembrete <ul><li>Não existe Segurança real. </li></ul><ul><li>Segurança é apenas a percepção do risco </li></ul><ul><li>Administrar a Segurança é administrar o risco. </li></ul><ul><li>Para aumentar a Segurança, riscos precisam ser: </li></ul><ul><ul><li>Modelados </li></ul></ul><ul><ul><li>Quantificados </li></ul></ul><ul><ul><li>Minimizados ao longo do tempo </li></ul></ul><ul><li>Trata-se de um processo contínuo! </li></ul>Repensando a Segurança
    9. 9. Pessoas, processos, dados e informaç ã o <ul><li>Informação é volátil, difícil para definí-la ou conte-la. </li></ul><ul><li>Processos podem ser modelados, mediados e auditados </li></ul>Repensando a Segurança
    10. 10. Modelando o fluxo da informação <ul><li>Modelar o fluxo da informação em uma organização, onde players comunicam, processam e armazenam informação. </li></ul><ul><li>Identificar os processos, fontes de dados e recursos críticos para o funcionamento da organização </li></ul>Repensando a Segurança
    11. 11. Pontos de entrada <ul><li>Cada interação possui o seu próprio risco. </li></ul>Modelando o Risco
    12. 12. A equa ção do risco Modelando o Risco = = Ameaças x Vulnerabilidades x Impacto Contra medidas Perfil do attacker, Recursos disponíveis Falhas do software, Políticas superficiais, Protocolos, Etc. Prejuízos calculados Práticas e tecnologias
    13. 13. Ameaça <ul><li>Quantificada pelo perfil do atacante, conhecimento, recursos financeiros e humanos, interesses, etc: </li></ul><ul><ul><li>Amador </li></ul></ul><ul><ul><li>Hacker </li></ul></ul><ul><ul><li>Grupo de Hackers </li></ul></ul><ul><ul><li>Funcionário instatisfeito </li></ul></ul><ul><ul><li>Concorrentes </li></ul></ul><ul><ul><li>Crime organizado </li></ul></ul><ul><ul><li>Agencia de Inteligencia </li></ul></ul><ul><ul><li>Organizações terrroristas </li></ul></ul>Modelando o Risco
    14. 14. Vulnerabilidades <ul><li>Falhas de Design </li></ul><ul><ul><li>Sistemas críticos de informação </li></ul></ul><ul><ul><li>Redes </li></ul></ul><ul><ul><li>Arquitetura de Segurança </li></ul></ul><ul><li>Falhas de Implementação </li></ul><ul><ul><li>Vulnerabilidades de sistemas operacionais </li></ul></ul><ul><ul><li>Vulnerabilidades de aplicações </li></ul></ul><ul><ul><li>Vulnerabilidades de hardware </li></ul></ul><ul><li>Mal uso ou configuração </li></ul><ul><li>Fraquezas da política </li></ul><ul><li>Responsabilidades não definidas claramente </li></ul>Modelando o Risco
    15. 15. Impacto <ul><li>Consequencias do ataque, quantificadas por perdas economicas, publicidade negativa, etc. </li></ul><ul><ul><li>Perda de informação proprietária </li></ul></ul><ul><ul><li>Corrupção de informação crítica </li></ul></ul><ul><ul><li>Fraude financeira </li></ul></ul><ul><ul><li>Interrupção de processos críticos </li></ul></ul><ul><ul><li>Sabotagem </li></ul></ul><ul><ul><li>Fraude de Telecomunicações </li></ul></ul>Modelando o Risco
    16. 16. Contra-medidas <ul><li>Ferramentas de segurança, software e mecanismos </li></ul><ul><ul><li>Dispositivos de rede </li></ul></ul><ul><ul><li>Crypto </li></ul></ul><ul><ul><li>Controle de Accesso </li></ul></ul><ul><ul><li>Etc. </li></ul></ul><ul><li>Procedimentos </li></ul><ul><li>Resposta a emergencia </li></ul><ul><li>Auditoria </li></ul><ul><li>Visibilidade </li></ul><ul><li>Treinamento </li></ul>Modelando o Risco
    17. 17. Administrando o risco <ul><li>Requer monitoramento, previsão e análise da evolução das variáveis na equação do risco </li></ul><ul><li>Implementar e ajustar as contra medidas </li></ul>Repensando a Segurança Risk =  I.F. ⌠ ⌡ T << mT
    18. 18. O que as pessoas podem fazer é o que importa <ul><li>Segurança da Informação pode ser vista como o processo de definição, administração e controle do fluxo de informação entre os participantes (players) de um sistema </li></ul><ul><li>Definir uma política é definir exatamente o que os players podem e devem fazer. </li></ul>Repensando a Segurança
    19. 19. Players <ul><li>Players internos </li></ul><ul><ul><li>Players com funções operacionais no sistema (organização) </li></ul></ul><ul><ul><li>Eles estão na folha de pagamento </li></ul></ul><ul><ul><li>Perfis e números sao conhecidos </li></ul></ul><ul><ul><li>Espera-se que eles sigam a política </li></ul></ul><ul><li>Players externos </li></ul><ul><ul><li>Clientes, parceiros, fornecedores, atacantes </li></ul></ul><ul><ul><li>Eles podem não ter uma função operacional no sistema </li></ul></ul><ul><ul><li>Perfis e números são desconhecidos </li></ul></ul>Repensando a Segurança
    20. 20. Papéis <ul><li>Um player desempenha uma fun ç ão ao participar em uma série de processos. </li></ul><ul><li>Em cada processo, o player tem um papel específico e bem definido. </li></ul><ul><li>Para desempenhá-lo, o player precisa acessar um conjunto bem definido de recursos na organização. </li></ul>Repensando a Segurança
    21. 21. O gr áfico da Política de Segurança <ul><li>O relacionamento entre players, funções, papéis e recursos podem ser representados como um gráfico direcionado. </li></ul>Repensando a Segurança
    22. 22. Granularidade <ul><li>O detalhe obtido na definição e controle dos recursos necessários para desempenhar um papel específico nos dá uma idéia sobre a granularidade da política. </li></ul><ul><li>Granularidade permite-nos endereçar vulnerabilidades emergentes. </li></ul><ul><li>Ajuda a fechar o gap entre segurança e flexibilidade. </li></ul><ul><li>Servers/serviços </li></ul><ul><li>Aplicações </li></ul><ul><li>Comunicações </li></ul><ul><li>Arquivos </li></ul><ul><li>Dispositivos </li></ul><ul><li>Transações </li></ul><ul><li>Registry/configuração </li></ul><ul><li>etc. </li></ul>Repensando a Segurança
    23. 23. Acuracidade <ul><li>Os recursos para desempenhar cada papel são distintos. </li></ul><ul><li>O mesmo player poderia ou não ter acesso a determinado recurso dependendo do processo em questão. </li></ul><ul><li>Falhas implicarão em uma política inacurada. </li></ul>Repensando a Segurança
    24. 24. O processo de Segurança e o papel da Política
    25. 25. O processo de Segurança Definição da Política Modelagem do Risco Arquitetura Segurança Visibilidade e Controle O papel da Política
    26. 26. O papel central da Política de Segurança Política Segurança Modelagem Risco Arquitetura Segurança Visibilidade e Controle O papel da Política
    27. 27. Modelagem do Risco <ul><li>Define escopo </li></ul><ul><li>Identifica processos críticos </li></ul><ul><li>Identifica recursos críticos </li></ul><ul><li>Pontos de falhas </li></ul><ul><li>Define objetivos </li></ul><ul><li>Testa a política </li></ul>Política Segurança Modelagem Risco Arquitetura Segurança Visibilidade e Controle O papel da Política
    28. 28. Arquitetura da Segurança <ul><li>Define políticas baseando-se em suas capacidades atuais </li></ul><ul><li>Gerencia </li></ul><ul><li>Aplica </li></ul>Política Segurança Modelagem Risco Arquitetura Segurança Visibilidade e Controle O papel da Política
    29. 29. Visibilidade e Controle <ul><li>Define políticas que possam ser controladas </li></ul><ul><li>Monitora sua política em ação </li></ul><ul><li>Fornece feedback para retroalimentação </li></ul><ul><li>Identifica próximos passos </li></ul>Política Segurança Modelagem Risco Arquitetura Segurança Visibilidade e Controle O papel da Política
    30. 30. Infraestrutura de Segurança
    31. 31. Taxonomia funcional das ferramentas <ul><li>Análise e formalização </li></ul><ul><ul><li>Ferramentas que ajudam no processo de modelagem do risco e definição de políticas. </li></ul></ul><ul><li>Enforcement </li></ul><ul><ul><li>Ferramentas usadas para aplicar as políticas </li></ul></ul><ul><li>Auditoria e Controle </li></ul><ul><ul><li>Ferramentas usadas para adquirir conhecimento do“security infospace” ajudando no processo de detecção e resposta as brechas de segurança. </li></ul></ul>
    32. 32. Análise e formalização <ul><li>Ferramentas </li></ul><ul><ul><li>Network discovery tools </li></ul></ul><ul><ul><li>Scanners de Vulnerabilidade </li></ul></ul><ul><ul><li>Ferramentas de ataque intrusivo </li></ul></ul><ul><ul><li>Ferramentas de modelagem organizacional </li></ul></ul><ul><ul><li>Ferramentas de modelagem de riscos </li></ul></ul><ul><li>Serviços </li></ul><ul><ul><li>Security Intelligence </li></ul></ul><ul><ul><li>Testes de intrusão </li></ul></ul><ul><ul><li>Definição de política </li></ul></ul><ul><ul><li>Plano de contingencia </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
    33. 33. Enforcement <ul><li>Ferramentas </li></ul><ul><ul><li>Identificação, Autenticação e Autorização </li></ul></ul><ul><ul><ul><li>PKI, Biometria, Tokens, Single Sign-On, Platforma dependente (SO específico) </li></ul></ul></ul><ul><ul><li>Segurança Software Básico </li></ul></ul><ul><ul><ul><li>Network services wrappers, Filesystem restrictions, Consistency checks, Security upgrades and patches, etc. </li></ul></ul></ul><ul><ul><li>Segurança da Aplicação </li></ul></ul><ul><ul><ul><li>Certificação/autorização de APIs, controle de versão, Aplicações dependentes. </li></ul></ul></ul><ul><ul><li>Segurança da rede </li></ul></ul><ul><ul><ul><li>Firewalls, VPNs, filtros de conteúdo </li></ul></ul></ul><ul><ul><li>Integridade / proteção dos dados </li></ul></ul><ul><ul><ul><li>Anti-vírus, Backups, checkers de consistencia. </li></ul></ul></ul>
    34. 34. Auditoria e controle <ul><li>Ferramentas </li></ul><ul><ul><li>Network based Intrusion detection systems </li></ul></ul><ul><ul><li>Host based intrusion detection systems </li></ul></ul><ul><ul><li>Audit trails and log acquisition tools </li></ul></ul><ul><ul><li>Log centralization tools </li></ul></ul><ul><ul><li>Visualization tools </li></ul></ul><ul><ul><li>Analysis tools </li></ul></ul><ul><ul><li>Alarm and Reporting systems </li></ul></ul><ul><ul><li>Forensics tools </li></ul></ul><ul><ul><li>Security Operation Centers </li></ul></ul><ul><li>Serviços </li></ul><ul><ul><li>Managed Security Services </li></ul></ul>
    35. 35. Construindo uma infraestrutura de Segurança <ul><li>Criar um framework e selecionar ferramentas para avaliar, controlar, aplicar e gerenciar o que os players podem fazer (política de segurança) </li></ul><ul><li>Abstrair o conceito de usuários e gerenciar players </li></ul><ul><li>Integrar todos os componentes de segurança </li></ul><ul><li>Endereçar escalabilidade </li></ul><ul><li>Preocupar-se com a transparencia (para usuários, sistemas) </li></ul><ul><li>Gerar visibilidade </li></ul><ul><li>Manter uma perspectiva global </li></ul>Infraestrutura de Segurança
    36. 36. Gerenciando uma infraestrutura de segurança <ul><li>Política de Segurança é aquilo que vc pode gerenciar </li></ul><ul><li>Granularidade e acuracidade pode ser obtida apenas através de um esforço contínuo. </li></ul><ul><li>Política de Segurança deve evoluir, assim como a infraestrutura. </li></ul><ul><li>Mudanças culturais podem ser necessárias para gerenciar a segurança de maneira eficaz. </li></ul>Infraestrutura de Segurança
    37. 37. Não se trata apenas de ferramentas Infraestrutura de Segurança Firewalls PKI File system restrictions App. Security Risk Modeling Network discovery Pen testing
    38. 38. Uma boa infraestrutura de Segurança <ul><li>Permite a definição e o enforcement de uma política por toda a organização </li></ul><ul><li>Alavanca a implementação de uma estratégia de defesa em profundidade </li></ul><ul><li>Maximiza o uso das capacidades existentes </li></ul><ul><li>Aumenta a granularidade da Segurança </li></ul><ul><li>Possibilita a descoberta em tempo real e respostas aos gaps e ataques em ambientes complexos </li></ul><ul><li>Traz as ferramentas necessárias para o gerenciamento do risco ao longo do tempo </li></ul>Infraestrutura de Segurança
    39. 39. Uma boa infraestrutura de Segurança (cont.) <ul><li>Simplifica o esforço de gerenciar uma infraestrutura de multiplataformas com milhares de usuários e perfis. </li></ul><ul><li>Facilita um inventário acurado de usuários, perfis, aplicações, políticas, recursos e processos com as propriedades de segurança. </li></ul><ul><li>Reduz o treinamento necessário para gerenciar ambientes complexos </li></ul><ul><li>Simplifica o dia-a-dia operacional do usuário final em ambiente multiplataforma. </li></ul><ul><li>Oferece uma plataforma para homologar a implementação de novas tecnologias. </li></ul>Infraestrutura de Segurança
    40. 40. Dicas para selecionar ferramentas <ul><li>Estatísticas do MIS CDS na Inglaterra </li></ul><ul><li>NÃO EXISTE FÓRMULA MÁGICA </li></ul><ul><li>Posso quantificar se o meu risco seria menor se comprasse uma nova tecnologia? </li></ul><ul><li>Posso integrar a nova tecnologia com as outras existentes ? </li></ul><ul><li>Posso gerenciar o meu novo brinquedo? </li></ul><ul><li>Manter uma perspectiva global </li></ul>Security infrastructure
    41. 41. Sobre a Core Security Technologies
    42. 42. Nossas soluções
    43. 43. <ul><li>Banco Privado de Inversiones </li></ul><ul><li>BankBoston </li></ul><ul><li>Ernst & Young LLP </li></ul><ul><li>FEMSA (Coca Cola) </li></ul><ul><li>Foundstone Inc. </li></ul><ul><li>Greenlight.com </li></ul><ul><li>IEEE </li></ul><ul><li>KPMG </li></ul><ul><li>MBA - Merchants Bank de Argentina </li></ul>Lista parcial de clientes <ul><li>Metrored </li></ul><ul><li>Microsoft Inc. </li></ul><ul><li>Network Associates Inc. </li></ul><ul><li>Organización Veraz </li></ul><ul><li>PriceWaterhouseCoopers </li></ul><ul><li>Proofspace Inc. </li></ul><ul><li>R eal Networks Inc. </li></ul><ul><li>SecurityFocus.com </li></ul><ul><li>Secure Networks Inc. </li></ul><ul><li>Siemens </li></ul><ul><li>UOL International </li></ul><ul><li>Vyou.com </li></ul>
    44. 44. The Information Security Process <ul><li>Roberto de Carvalho </li></ul><ul><li>[email_address] </li></ul><ul><li>Emiliano Kargieman </li></ul><ul><li>[email_address] </li></ul>Perguntas? Para receber uma cópia da apresentação, favor nos fornecer o seu e-mail

    ×