O documento discute riscos, ameaças e vulnerabilidades na segurança da informação. Define riscos como eventos que podem impactar os objetivos de negócio, ameaças como eventos indesejáveis que podem danificar recursos, e vulnerabilidades como fraquezas em ativos que podem ser exploradas por ameaças. Também lista e explica diversos tipos de ameaças como spoofing, tampering e negação de serviço, além de agentes de ameaça como vírus e worms.
3. Introdução à Segurança da Informação
Independente do meio ou forma pela qual a informação é
manuseada, armazenada, transmitida e descartada, é recomendável
que ela passe por processos de proteção e controles adequados a
cada meio e, ou forma de tratamento.
4. Introdução à Segurança da Informação
Risco
Qualquer evento que possa causar impacto na
capacidade de empresas atingirem seus objetivos de negócio.
Área especifica: Gestão de Riscos
“Conjunto de processos que permitem às organizações
identificar e programar medidas de proteção necessárias para
diminuir os riscos a que estão sujeitos os seus ativos de
informação, e equilibrá-los com os custos operacionais e
financeiros envolvidos.”
5. Introdução à Segurança da Informação
Ameaça
Evento ou atitude indesejável que potencialmente
remove, desabilita, danifica ou destrói um recurso.
Expectativa de acontecimento acidental ou proposital,
causada por um agente, que pode afetar um ambiente, sistema
ou ativo de informação.
Algo externo ao ativo que se quer proteger.
6. Introdução à Segurança da Informação
Vulnerabilidade
Característica de fraqueza de um bem;
Características de modificação e de captação de que podem
ser alvos os bens, ativos, ou recursos intangíveis de informática,
respectivamente, software, ou programas de bancos de dados,
ou informações, ou ainda a imagem corporativa.
Fragilidade que poderia ser explorada por uma ameaça para
concretizar um ataque.
Vulnerabilidade está associado ao próprio ativo.
7. Introdução à Segurança da Informação
Principais ataques relacionados a exploração de
vulnerabilidades de tecnologia
Ataques ativos
São os que intervêm no fluxo normal de informação, quer
alterando o seu conteúdo, quer produzindo informação não
fidedigna, normalmente com intuitos de atentar contra a
segurança de um sistema.
Ataques passivos
São aqueles que não alteram a informação, nem o seu
fluxo normal, no canal sob escuta.
9. Introdução à Segurança da Informação
Categorias de Ameaças
Termo Ameaça
Spoofing Tentativa de ganhar acesso a um sistema usando uma identidade falsa. Isto
pode ser feito usando credenciais roubadas ou um endereço falso de IP. Após
o invasor ter conseguido ganhar acesso como um usuário legítimo ou host, a
elevação ou o abuso de privilégios usando a autorização pode começar.
Tampering Modificação não autorizada dos dados, por exemplo, conforme fluem através
da rede entre dois computadores.
Repudiation habilidade de usuários (legítimos ou não) de negar que tenham executado
ações ou transações específicas. Sem a auditoria adequada, ataques de
repudiation são difíceis de serem provados.
Information
disclosure
Exposição não autorizada de dados privados. Por exemplo, um usuário
visualiza o conteúdo de uma tabela ou arquivo não autorizado.
Denial of service Processo que torna um sistema ou aplicação indisponível. Por exemplo, um
ataque de negação de serviço pode ser feito com o bombardeamento de
solicitações que consomem todos os recursos disponíveis do sistema ou com a
transmissão de dados de entrada defeituosos que podem acabar com o
processo de uma aplicação.
Elevation of
privilege
Ocorre quando um usuário com privilégios limitados assume a identidade de
um usuário privilegiado para ganhar acesso a uma aplicação.
10. Introdução à Segurança da Informação
Agentes de Ameaça
Vírus
Worm
Trojan
KeyLogger
Spyware
Sniffers
Port Scanners
Bot
Rootkit
Adware
11. Introdução à Segurança da Informação
E porque existem ameaças?
Diversos tipos de estudos tentaram classificar o perfil
dos Hackers e identificar a real motivação que os leva a cometer
atitudes tão prejudiciais às organizações.
12. Introdução à Segurança da Informação
Scripts Kiddies
Estes tipos são a grande maioria Hackers.
Eles normalmente possuem pouca experiência e conseguem programas de
ataques prontos para serem usados diretamente obtidos na Internet.
Exploram vulnerabilidades básicas como a configuração equivocada de
serviços e sistemas operacionais e servidores sem os Patchs de segurança
recomendados. Na maioria das vezes não sabem a extensão dos danos que
estão causando.
13. Introdução à Segurança da Informação
CyberPunks
São os Hackers dos velhos tempos. Invadem sistemas motivados por puro
divertimento e desafio.
Tem grande conhecimento de protocolos e atuam contra os Governos,
principalmente o Norte Americano.
São os mais paranóicos e costumam acreditar em teorias da conspiração.
Atuam muito em pesquisas e descobrem várias vulnerabilidades prestando
assim enormes serviços à indústria.
14. Introdução à Segurança da Informação
Insiders
São os Hackers internos das organizações.
São os responsáveis pelos incidentes de segurança mais graves nas
empresas.
Estatísticas mostram que grande parte dos ataques parte das próprias redes
internas, mas os números são contraditórios.
Os motivos são geralmente insatisfação com o trabalho, com o chefe ou com
a estratégia da empresa em algum campo.
15. Introdução à Segurança da Informação
Coders
São os Hackers que resolvem em certo momento compartilhar suas
informações e conhecimentos publicando livros e proferindo palestras.
São normalmente motivados por questões financeiras.
16. Introdução à Segurança da Informação
White Hat
São conhecidos como os Hackers do bem ou Hackers éticos.
Eles utilizam seus conhecimentos prestando serviços profissionais na
proteção das redes e Sites de várias organizações.
São responsáveis pelos testes de invasão, nos quais apresentam relatórios
que medem o nível de segurança das organizações.
17. Introdução à Segurança da Informação
Black Hat
Eles são os tradicionais e antigos Crackers.
Usam seus conhecimentos para invadir sistemas e roubar informações
confidenciais das organizações.
Geralmente tentar vender as informações roubadas para a própria vítima.
18. Introdução à Segurança da Informação
Grey Hat
São os Hackers que se fazem passar por White Hat´s para trabalharem na
área de segurança.
Divulgam seus trabalhos como consultores de segurança mas não detêm o
conhecimento daqueles.
Diferentemente dos White Hat´s, tem a cultura de Hacker muito forte
tornando um risco sua contratação.
19. Introdução à Segurança da Informação
Usuário
Cabe salientar que não só Hackers causam problemas de segurança.
Usuários, sejam eles autorizados ou não, causam grandes problemas.
Normalmente com ações baseadas em imperícia ou imprudência.
20. Introdução à Segurança da Informação
E você qual quer ser quando crescer?
O Maior hacker do Brasil.
21. Introdução à Segurança da Informação
Seminário: Evolução e Tipos de Malwares
Grupo: 3 Pessoas
Onde e quando surgiu?
Como funciona?
Onde está presente?
Histórias de Ataques.
Como se evita?
22. Introdução à Segurança da Informação
Seminário: Evolução e Tipos de Malwares
Vírus
Worm
Trojan
KeyLogger
Spyware
Sniffers
Port Scanners
Bot
Rootkit
Adware
23. Introdução à Segurança da Informação
Apresentação
TODOS devem apresentar!
Perguntas
20 Minutos
Nota em Grupo e Individual
Itens Avaliados
Apresentação – 70%
Peguntas – 30%
4 Pontos
25. Introdução à Segurança da Informação
Porque os sistemas computacionais estão
expostos a riscos?
26. Introdução à Segurança da Informação
Vulnerabilidades
-Sistema Operacional
-Aplicativos
-Protocolos
-Serviços.
Aspectos Humanos
-Pessoas envolvidas no processo de TI
Falhas ou ausência no desenvolvimento das normas e
procedimentos de políticas de segurança
27. Introdução à Segurança da Informação
Falhas em:
-Desenvolvimento de aplicações
-Configuração de Serviços
-Sistemas de Segurança
Desenvolvimento permanente de ataques mais
sofisticados.
28. Introdução à Segurança da Informação
Aspectos de Tecnologia
As ameaças físicas como: fogo, explosões, magnetismo, calor,
poeira, fumaça e umidade;
As ameaças de ataques digitais aos sistemas;
A qualidade das tecnologias de proteção e defesa.
29. Introdução à Segurança da Informação
Aspectos Organizacionais
qualidade dos sistemas de controle, monitoração e
gerenciamento de segurança;
O nível de capacitação dos implementadores de segurança;
A qualidade e aplicabilidade das políticas de segurança.
30. Introdução à Segurança da Informação
Aspectos Humanos
Funcionários ou terceiros sem conhecimento de conceitos básicos de
segurança susceptíveis a ataques de engenharia social;
Funcionários ou terceiros que podem estar planejando furto de
informações confidenciais, sabotagem, vandalismo;
Funcionários ou terceiros que podem estar sujeitos a erros por
imperícia ou imprudência;
O nível de consciência de segurança dos usuários.
31. Introdução à Segurança da Informação
Principais ataques não relacionados a tecnologia:
Engenharia social
Dumpster Diving ou trashing
Ataques físicos
Informações livremente acessíveis
33. Introdução à Segurança da Informação
Principais ameaças e vulnerabilidades
Packet Sniffing
Port Scanning
Scanning de vulnerabilidades
IP Spoofing
Negação de Serviços
Syn Flood
35. Introdução à Segurança da Informação
Packet Sniffing
Consiste na captura de informações valiosas diretamente
pelo fluxo de pacotes na rede.
36. Introdução à Segurança da Informação
Port Scanning
Ataque que ocorre no nível de transporte do modelo OSI,
onde é feito um mapeamento das portas TCP e UDP abertas em
um determinado host, deduzindo a partir disto quais os serviços
estão ativos.
Uma maneira de implementação é através de TCP connect()
37. Introdução à Segurança da Informação
Scanning de vulnerabilidades
Uma vez mapeados os sistemas que podem ser atacados e os serviços que
são executados, as vulnerabilidades específicas para cada serviço serão
procuradas por meio de scanning de vulnerabilidades.
Assim como os Sistemas de Detecção de Intrusão possuem diversos
padrões para detectar ataques, os scanners de vulnerabilidades possuem
diversos padrões e testes para detectar vulnerabilidades.
O principal alvo dos scanners de vulnerabilidades são aplicativos
desatualizados, por exemplo aquela versão do servidor web que existe em sua
empresa na qual foram achadas falhas críticas de segurança mas que você,
por não saber dessas falhas não atualizou a versão do mesmo.
38. Introdução à Segurança da Informação
IP Spoofing
O IP real do atacante é alterado, evitando assim que ele
seja encontrado. Nesse tipo de ataque, o atacante se passa por
um usuário legítimo.
39. Introdução à Segurança da Informação
Negação de Serviço
Os ataques de negação de serviço fazem com que os
recursos sejam explorados de maneira agressiva, de modo que
usuários legítimos ficam impossibilitados de utilizá-los.
40. Introdução à Segurança da Informação
Syn Flood
Explora a metodologia de estabelecimento de conexões TCP,
baseado no three-way-handshake. Entende-se que um grande número de
requisições de conexão (pacotes SYN) é enviando, de tal maneira que o
servidor não é capaz de responder a todas elas.
Handshake ou aperto de mão é o processo pelo qual duas máquinas afirmam uma a outra
que a reconheceu e está pronta para iniciar a comunicação.