SlideShare uma empresa Scribd logo

Segurança de Redes - Projeto e Gerenciamento de Redes Seguras

J
jivagoalves

O documento discute segurança de redes e fornece diretrizes para projetar e gerenciar redes seguras. Ele explica o que é segurança, o processo contínuo de segurança, como escrever uma política de segurança e caracterizar recursos e responsabilidades. Também identifica potenciais ameaças como navegadores, sabotadores e funcionários demitidos, e fornece estratégias de defesa.

Tecnologia
1 de 23
Baixar para ler offline
SEGURANÇA DE REDES Projeto e Gerenciamento de Redes Seguras Jivago Alves
Roteiro  O que é segurança?  O processo de segurança  O processo está funcionando?  Política de segurança  Como escrever uma política  Conteúdo da política  Quem está atacando?  Boas práticas
O que é segurança?  Segurança é proporcional ao valor protegido.  Lidamos com componentes humanos!  Que tipo de empresa estamos protegendo? SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 3
O processo de segurança  Processo contínuo... SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 4
O processo de segurança SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 5
 O processo está funcionando?  Não existe forma provar um ataque e receber os créditos pelo sucesso da defesa.  Atividade não pode ser diferenciada como legítima ou acidental.  Paradoxo: impossível quantificar, mas sem quantificação o processo parecerá ser um fracasso. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 6
Política de segurança  O que e por que está sendo protegido?  Prioridades de segurança: o que tem mais valor?  Definir acordo explícito entre partes.  Fornece motivos válidos para se dizer não e para sustentá-lo.  Impede que tenhamos um desempenho fútil. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 7
Como escrever uma política  Escreva um esboço com idéias genéricas e essenciais.  Descubra 3 pessoas para o comitê de política de segurança.  O comitê será legislador, você é o executor!  Divulgue a política, crie um site interno.  Trate a política como regras absolutas com força de lei. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 8
Como escrever uma política  Se alguém tiver algum problema com a política, faça com que a pessoa proponha uma sugestão.  Programe encontros regulares para consolidar a política. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 9
Conteúdo da política  Defina prioridades 1) Saúde e segurança humana 2) Conformidade com legislação local, estadual e federal 3) Interesses da empresa 4) Interesses de parceiros da empresa 5) Disseminação gratuita e aberta de informações não-sensíveis. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 10
Conteúdo da política  Defina níveis de acesso aos recursos:  Vermelho: somente func. ”vermelhos”  Amarelo: somente funcionários.  Verde: funcionários contratados e selecionados.  Branco: funcionários e contratados.  Preto: funcionários, contratados e público (selecionado) SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 11
Conteúdo da política  Caracterize seus recursos:  Vermelho: informações extremamente confidenciais  Amarelo: informações sensíveis, serviços importantes  Verde: capaz de ter acesso a recursos vermelhos, ou amarelos, mas sem info. essenciais.  Branco: sem acesso a vermelho, amarelo ou verde, sem acesso externo  Preto: acessível externamente, sem acesso aos anteriores. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 12
Conteúdo da política  Descrever responsabilidades e privilégios:  Geral: conhecimento da política  Admin. de sistemas: informações de usuário tratadas como confidenciais.  Admin. de segurança: mais alto nível de conduta ética.  Contratado: acesso a máquinas especificamente autorizadas.  Convidado: nenhum acesso, exceto com notificação prévia por escrito à segurança. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 13
Conteúdo da política  Definir penalidades:  Crítica: recomendação de demissão, abertura de ação legal.  Séria: recomendação de demissão, desconto de salário.  Limitada: desconto de salário, repreensão formal por escrito, suspensão não-remunerada. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 14
Quem está atacando?  É preciso estudar ameaças para uma boa defesa  Segurança é uma questão social.  Segredo é dificultar a vida do atacante.  Um ataque terá êxito se o atacante tiver:  Habilidade  Motivação  Oportunidade SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 15
Quem está atacando?  Navegadores, aproveitadores e vândalos.  Probab. alta, número grande, motivação baixa a média, e habilidade baixa a alta.  Estratégia de defesa:  Não ofereça recursos públicos e sem autenticação, que possam ser controlados pelos outros.  Examine os recursos periodicamente.  Elimine características atraentes para os atacantes.  Mantenha-se atualizado com metodologias de ataque. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 16
Quem está atacando?  Espiões e sabotadores.  Probab. depende da atividade, número baixo, motivação média a alta, habilidade média a alta.  Estratégia de defesa:  Sob ponto de vista externo, aparente ser um objetivo muito arriscado.  Elimine meios conhecidos de ataques de DoS.  Limite o que é conhecido publicamente sobre suas defesas.  Preteja os principais sistemas comerciais. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 17
Quem está atacando?  (Ex-)funcionários e (ex-)contratados frustrados.  Probab. média a alta, número depende da atividade, motivação alta, habilidade média a alta.  Estratégia de defesa:  Sob ponto de vista externo, aparente ser um objetivo muito arriscado.  Mantenha felizes seus funcionários. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 18
Quem está atacando?  Estratégia de defesa (cont.):  Desenvolva um plano para despedir funcionários que conhecem detalhes de segurança.  Elimine imediatamente o acesso.  Avise que o funcionário será o primeiro suspeito, em caso de ataque.  Crie situação na qual o funcionário demitido não será capaz de abusar do sistema. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 19
Boas práticas  Aprenda tudo que puder sobre as ameaças que encontrar.  Planeje o melhor possível de acordo com o que aprendeu, antes de implementar qualquer coisa.  Pense patologicamente e fortaleça o projeto.  Implemente exatamente como foi projetado.  Verifique tudo continuamente, previna-se! SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 20
Boas práticas  Pratique a execução para chegar a perfeição.  Simplifique o que deseja que as pessoas façam.  Dificulte o que não deseja que elas façam.  Facilite a identificação de problemas: um bom registro de problemas ajuda.  Teste tudo que puder testar! SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 21
Dúvidas? SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 22
Referências  Segurança de Redes – Thomas A. Wadlow. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 23

Recomendados

CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?
iBLISS Segurança & Inteligência
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010
Paulo Renato Lopes Seixas
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Clavis Segurança da Informação
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
Roney Médice
 
Contratando Segurança com SEGURANÇA
Contratando Segurança com SEGURANÇA Contratando Segurança com SEGURANÇA
Contratando Segurança com SEGURANÇA
Marcos Sousa
 
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Magno Logan
 
GA, Global Advising
GA, Global Advising GA, Global Advising
GA, Global Advising
Ronen
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
Clavis Segurança da Informação
 

Recomendados

CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?
iBLISS Segurança & Inteligência
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010
Paulo Renato Lopes Seixas
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Clavis Segurança da Informação
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
Roney Médice
 
Contratando Segurança com SEGURANÇA
Contratando Segurança com SEGURANÇA Contratando Segurança com SEGURANÇA
Contratando Segurança com SEGURANÇA
Marcos Sousa
 
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Magno Logan
 
GA, Global Advising
GA, Global Advising GA, Global Advising
GA, Global Advising
Ronen
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
Clavis Segurança da Informação
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...
Diego Souza
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes gerais
Adriano Lima
 
Administração de Operações - Projeto Redes E Instalações
Administração de Operações - Projeto Redes E InstalaçõesAdministração de Operações - Projeto Redes E Instalações
Administração de Operações - Projeto Redes E Instalações
WeNova Consulting
 
Tutorial completo como montar uma rede de computadores
Tutorial completo como montar uma rede de computadoresTutorial completo como montar uma rede de computadores
Tutorial completo como montar uma rede de computadores
julioblogger
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
Fernando Palma
 
Projeto de rede
Projeto de redeProjeto de rede
Projeto de rede
João Andrade
 
Projeto de Rede Local (LAN)
Projeto de Rede Local (LAN)Projeto de Rede Local (LAN)
Projeto de Rede Local (LAN)
Ferramentas Didáticas
 
Projeto de redes
Projeto de redesProjeto de redes
Projeto de redes
Marilene de Melo
 
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
Cláudio Dodt
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
Fernando Palma
 
CAPACITAÇÃO SGSI
CAPACITAÇÃO SGSICAPACITAÇÃO SGSI
CAPACITAÇÃO SGSI
Menis_IKE
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
Esc Tiradentes
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
Fabio Leandro
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
Guilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
Guilherme Neves
 
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
Cláudio Dodt
 
Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...
Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...
Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...
E-Commerce Brasil
 
Vul sec-web-campus party2011 v2-reserved copy
Vul sec-web-campus party2011 v2-reserved copyVul sec-web-campus party2011 v2-reserved copy
Vul sec-web-campus party2011 v2-reserved copy
Campus Party Brasil
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Fabrício Basto
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
Artur Nascimento
 
Treinamento Compliance e Ética
Treinamento Compliance e ÉticaTreinamento Compliance e Ética
Treinamento Compliance e Ética
Sérgio Martins
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Eduardo da Silva
 

Mais conteúdo relacionado

Destaque

Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...
Diego Souza
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes gerais
Adriano Lima
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
Fernando Palma
 

Destaque (8)

Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes gerais
 
Administração de Operações - Projeto Redes E Instalações
Administração de Operações - Projeto Redes E InstalaçõesAdministração de Operações - Projeto Redes E Instalações
Administração de Operações - Projeto Redes E Instalações
 
Tutorial completo como montar uma rede de computadores
Tutorial completo como montar uma rede de computadoresTutorial completo como montar uma rede de computadores
Tutorial completo como montar uma rede de computadores
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
 
Projeto de rede
Projeto de redeProjeto de rede
Projeto de rede
 
Projeto de Rede Local (LAN)
Projeto de Rede Local (LAN)Projeto de Rede Local (LAN)
Projeto de Rede Local (LAN)
 
Projeto de redes
Projeto de redesProjeto de redes
Projeto de redes
 

Semelhante a Segurança de Redes - Projeto e Gerenciamento de Redes Seguras

CAPACITAÇÃO SGSI
CAPACITAÇÃO SGSICAPACITAÇÃO SGSI
CAPACITAÇÃO SGSI
Menis_IKE
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
Fabio Leandro
 
Vul sec-web-campus party2011 v2-reserved copy
Vul sec-web-campus party2011 v2-reserved copyVul sec-web-campus party2011 v2-reserved copy
Vul sec-web-campus party2011 v2-reserved copy
Campus Party Brasil
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
Artur Nascimento
 

Semelhante a Segurança de Redes - Projeto e Gerenciamento de Redes Seguras (20)

GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
CAPACITAÇÃO SGSI
CAPACITAÇÃO SGSICAPACITAÇÃO SGSI
CAPACITAÇÃO SGSI
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
 
Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...
Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...
Fórum E-Commerce Brasil | Fraudes e Ataques Adversariais em Sistemas baseados...
 
Vul sec-web-campus party2011 v2-reserved copy
Vul sec-web-campus party2011 v2-reserved copyVul sec-web-campus party2011 v2-reserved copy
Vul sec-web-campus party2011 v2-reserved copy
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Treinamento Compliance e Ética
Treinamento Compliance e ÉticaTreinamento Compliance e Ética
Treinamento Compliance e Ética
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...
Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...
Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...
 
Controles de segurança da informação
Controles de segurança da informaçãoControles de segurança da informação
Controles de segurança da informação
 
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
 
Monografia Heraldo
Monografia HeraldoMonografia Heraldo
Monografia Heraldo
 

Último

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docxATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
2m Assessoria
 

Último (9)

Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
Luís Kitota AWS Discovery Day Ka Solution.pdf
Luís Kitota AWS Discovery Day Ka Solution.pdfLuís Kitota AWS Discovery Day Ka Solution.pdf
Luís Kitota AWS Discovery Day Ka Solution.pdf
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docxATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
Programação Orientada a Objetos - 4 Pilares.pdf
Programação Orientada a Objetos - 4 Pilares.pdfProgramação Orientada a Objetos - 4 Pilares.pdf
Programação Orientada a Objetos - 4 Pilares.pdf
 
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docxATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
 

Segurança de Redes - Projeto e Gerenciamento de Redes Seguras

  • 1. SEGURANÇA DE REDES Projeto e Gerenciamento de Redes Seguras Jivago Alves
  • 2. Roteiro  O que é segurança?  O processo de segurança  O processo está funcionando?  Política de segurança  Como escrever uma política  Conteúdo da política  Quem está atacando?  Boas práticas
  • 3. O que é segurança?  Segurança é proporcional ao valor protegido.  Lidamos com componentes humanos!  Que tipo de empresa estamos protegendo? SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 3
  • 4. O processo de segurança  Processo contínuo... SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 4
  • 5. O processo de segurança SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 5
  • 6. O processo está funcionando?  Não existe forma provar um ataque e receber os créditos pelo sucesso da defesa.  Atividade não pode ser diferenciada como legítima ou acidental.  Paradoxo: impossível quantificar, mas sem quantificação o processo parecerá ser um fracasso. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 6
  • 7. Política de segurança  O que e por que está sendo protegido?  Prioridades de segurança: o que tem mais valor?  Definir acordo explícito entre partes.  Fornece motivos válidos para se dizer não e para sustentá-lo.  Impede que tenhamos um desempenho fútil. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 7
  • 8. Como escrever uma política  Escreva um esboço com idéias genéricas e essenciais.  Descubra 3 pessoas para o comitê de política de segurança.  O comitê será legislador, você é o executor!  Divulgue a política, crie um site interno.  Trate a política como regras absolutas com força de lei. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 8
  • 9. Como escrever uma política  Se alguém tiver algum problema com a política, faça com que a pessoa proponha uma sugestão.  Programe encontros regulares para consolidar a política. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 9
  • 10. Conteúdo da política  Defina prioridades 1) Saúde e segurança humana 2) Conformidade com legislação local, estadual e federal 3) Interesses da empresa 4) Interesses de parceiros da empresa 5) Disseminação gratuita e aberta de informações não-sensíveis. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 10
  • 11. Conteúdo da política  Defina níveis de acesso aos recursos:  Vermelho: somente func. ”vermelhos”  Amarelo: somente funcionários.  Verde: funcionários contratados e selecionados.  Branco: funcionários e contratados.  Preto: funcionários, contratados e público (selecionado) SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 11
  • 12. Conteúdo da política  Caracterize seus recursos:  Vermelho: informações extremamente confidenciais  Amarelo: informações sensíveis, serviços importantes  Verde: capaz de ter acesso a recursos vermelhos, ou amarelos, mas sem info. essenciais.  Branco: sem acesso a vermelho, amarelo ou verde, sem acesso externo  Preto: acessível externamente, sem acesso aos anteriores. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 12
  • 13. Conteúdo da política  Descrever responsabilidades e privilégios:  Geral: conhecimento da política  Admin. de sistemas: informações de usuário tratadas como confidenciais.  Admin. de segurança: mais alto nível de conduta ética.  Contratado: acesso a máquinas especificamente autorizadas.  Convidado: nenhum acesso, exceto com notificação prévia por escrito à segurança. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 13
  • 14. Conteúdo da política  Definir penalidades:  Crítica: recomendação de demissão, abertura de ação legal.  Séria: recomendação de demissão, desconto de salário.  Limitada: desconto de salário, repreensão formal por escrito, suspensão não-remunerada. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 14
  • 15. Quem está atacando?  É preciso estudar ameaças para uma boa defesa  Segurança é uma questão social.  Segredo é dificultar a vida do atacante.  Um ataque terá êxito se o atacante tiver:  Habilidade  Motivação  Oportunidade SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 15
  • 16. Quem está atacando?  Navegadores, aproveitadores e vândalos.  Probab. alta, número grande, motivação baixa a média, e habilidade baixa a alta.  Estratégia de defesa:  Não ofereça recursos públicos e sem autenticação, que possam ser controlados pelos outros.  Examine os recursos periodicamente.  Elimine características atraentes para os atacantes.  Mantenha-se atualizado com metodologias de ataque. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 16
  • 17. Quem está atacando?  Espiões e sabotadores.  Probab. depende da atividade, número baixo, motivação média a alta, habilidade média a alta.  Estratégia de defesa:  Sob ponto de vista externo, aparente ser um objetivo muito arriscado.  Elimine meios conhecidos de ataques de DoS.  Limite o que é conhecido publicamente sobre suas defesas.  Preteja os principais sistemas comerciais. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 17
  • 18. Quem está atacando?  (Ex-)funcionários e (ex-)contratados frustrados.  Probab. média a alta, número depende da atividade, motivação alta, habilidade média a alta.  Estratégia de defesa:  Sob ponto de vista externo, aparente ser um objetivo muito arriscado.  Mantenha felizes seus funcionários. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 18
  • 19. Quem está atacando?  Estratégia de defesa (cont.):  Desenvolva um plano para despedir funcionários que conhecem detalhes de segurança.  Elimine imediatamente o acesso.  Avise que o funcionário será o primeiro suspeito, em caso de ataque.  Crie situação na qual o funcionário demitido não será capaz de abusar do sistema. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 19
  • 20. Boas práticas  Aprenda tudo que puder sobre as ameaças que encontrar.  Planeje o melhor possível de acordo com o que aprendeu, antes de implementar qualquer coisa.  Pense patologicamente e fortaleça o projeto.  Implemente exatamente como foi projetado.  Verifique tudo continuamente, previna-se! SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 20
  • 21. Boas práticas  Pratique a execução para chegar a perfeição.  Simplifique o que deseja que as pessoas façam.  Dificulte o que não deseja que elas façam.  Facilite a identificação de problemas: um bom registro de problemas ajuda.  Teste tudo que puder testar! SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 21
  • 22. Dúvidas? SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 22
  • 23. Referências  Segurança de Redes – Thomas A. Wadlow. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 23