O documento discute segurança de redes e fornece diretrizes para projetar e gerenciar redes seguras. Ele explica o que é segurança, o processo contínuo de segurança, como escrever uma política de segurança e caracterizar recursos e responsabilidades. Também identifica potenciais ameaças como navegadores, sabotadores e funcionários demitidos, e fornece estratégias de defesa.
2. Roteiro
O que é segurança?
O processo de segurança
O processo está funcionando?
Política de segurança
Como escrever uma política
Conteúdo da política
Quem está atacando?
Boas práticas
3. O que é segurança?
Segurança é
proporcional ao valor
protegido.
Lidamos com
componentes
humanos!
Que tipo de empresa
estamos protegendo?
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 3
4. O processo de segurança
Processo contínuo...
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 4
5. O processo de segurança
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 5
6. O processo está funcionando?
Não existe forma provar um ataque e receber
os créditos pelo sucesso da defesa.
Atividade não pode ser diferenciada como
legítima ou acidental.
Paradoxo: impossível quantificar, mas sem
quantificação o processo parecerá ser um
fracasso.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 6
7. Política de segurança
O que e por que está sendo protegido?
Prioridades de segurança: o que tem mais
valor?
Definir acordo explícito entre partes.
Fornece motivos válidos para se dizer não e
para sustentá-lo.
Impede que tenhamos um desempenho fútil.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 7
8. Como escrever uma política
Escreva um esboço com idéias genéricas e
essenciais.
Descubra 3 pessoas para o comitê de política
de segurança.
O comitê será legislador, você é o executor!
Divulgue a política, crie um site interno.
Trate a política como regras absolutas com
força de lei.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 8
9. Como escrever uma política
Se alguém tiver algum problema com a política,
faça com que a pessoa proponha uma
sugestão.
Programe encontros regulares para consolidar
a política.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 9
10. Conteúdo da política
Defina prioridades
1) Saúde e segurança humana
2) Conformidade com legislação local, estadual e
federal
3) Interesses da empresa
4) Interesses de parceiros da empresa
5) Disseminação gratuita e aberta de informações
não-sensíveis.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 10
11. Conteúdo da política
Defina níveis de acesso aos recursos:
Vermelho: somente func. ”vermelhos”
Amarelo: somente funcionários.
Verde: funcionários contratados e selecionados.
Branco: funcionários e contratados.
Preto: funcionários, contratados e público
(selecionado)
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 11
12. Conteúdo da política
Caracterize seus recursos:
Vermelho: informações extremamente confidenciais
Amarelo: informações sensíveis, serviços
importantes
Verde: capaz de ter acesso a recursos vermelhos,
ou amarelos, mas sem info. essenciais.
Branco: sem acesso a vermelho, amarelo ou verde,
sem acesso externo
Preto: acessível externamente, sem acesso aos
anteriores.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 12
13. Conteúdo da política
Descrever responsabilidades e privilégios:
Geral: conhecimento da política
Admin. de sistemas: informações de usuário
tratadas como confidenciais.
Admin. de segurança: mais alto nível de conduta
ética.
Contratado: acesso a máquinas especificamente
autorizadas.
Convidado: nenhum acesso, exceto com
notificação prévia por escrito à segurança.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 13
14. Conteúdo da política
Definir penalidades:
Crítica: recomendação de demissão, abertura de
ação legal.
Séria: recomendação de demissão, desconto de
salário.
Limitada: desconto de salário, repreensão formal
por escrito, suspensão não-remunerada.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 14
15. Quem está atacando?
É preciso estudar ameaças para uma boa
defesa
Segurança é uma questão social.
Segredo é dificultar a vida do atacante.
Um ataque terá êxito se o atacante tiver:
Habilidade
Motivação
Oportunidade
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 15
16. Quem está atacando?
Navegadores, aproveitadores e vândalos.
Probab. alta, número grande, motivação baixa a
média, e habilidade baixa a alta.
Estratégia de defesa:
Não ofereça recursos públicos e sem autenticação,
que possam ser controlados pelos outros.
Examine os recursos periodicamente.
Elimine características atraentes para os atacantes.
Mantenha-se atualizado com metodologias de
ataque.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 16
17. Quem está atacando?
Espiões e sabotadores.
Probab. depende da atividade, número baixo,
motivação média a alta, habilidade média a alta.
Estratégia de defesa:
Sob ponto de vista externo, aparente ser um
objetivo muito arriscado.
Elimine meios conhecidos de ataques de DoS.
Limite o que é conhecido publicamente sobre suas
defesas.
Preteja os principais sistemas comerciais.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 17
18. Quem está atacando?
(Ex-)funcionários e (ex-)contratados frustrados.
Probab. média a alta, número depende da
atividade, motivação alta, habilidade média a alta.
Estratégia de defesa:
Sob ponto de vista externo, aparente ser um
objetivo muito arriscado.
Mantenha felizes seus funcionários.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 18
19. Quem está atacando?
Estratégia de defesa (cont.):
Desenvolva um plano para despedir funcionários
que conhecem detalhes de segurança.
Elimine imediatamente o acesso.
Avise que o funcionário será o primeiro suspeito, em
caso de ataque.
Crie situação na qual o funcionário demitido não será
capaz de abusar do sistema.
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 19
20. Boas práticas
Aprenda tudo que puder sobre as ameaças
que encontrar.
Planeje o melhor possível de acordo com o que
aprendeu, antes de implementar qualquer
coisa.
Pense patologicamente e fortaleça o projeto.
Implemente exatamente como foi projetado.
Verifique tudo continuamente, previna-se!
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 20
21. Boas práticas
Pratique a execução para chegar a perfeição.
Simplifique o que deseja que as pessoas
façam.
Dificulte o que não deseja que elas façam.
Facilite a identificação de problemas: um bom
registro de problemas ajuda.
Teste tudo que puder testar!
SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN
INFORMATION SECURITY 21