Conceitos Fundamentais no Gerenciamento da Segurança

  • Artigo

Por Wesley Fernandes

Olá Pessoal,

Diante da constante preocupação com a Segurança da Informação, foram criados Regulamentações e Processos a serem seguidos, de forma que implantar segurança não seja mais intuitivo, mas sim baseada em Modelos e Melhores Práticas.

O objetivo deste artigo é fornecer noções básicas de “Como começar a implementar a Segurança”, citando os principais fatores de segurança, e links de pesquisa sobre o assunto.

Antes de proteger, devemos saber:

  • O que proteger.

  • De quem proteger.

  • Pontos vulneráveis.

  • Processos a serem seguidos.

Ativo

Ativo é todo recurso que pode sofrer algum tipo de ataque, logo, precisa de proteção. Portanto todos os recursos que necessitam de alguma proteção, é considerado um ATIVO.

A seguir veremos como avaliar e priorizar estes ativos, usando como base o SRMD (Security Risk Management Discipline):

Avaliação – Colete informações suficientes para analisar o estado atual da Segurança no ambiente, e classificar quais bens estão protegidos. Com base nessa análise será possível classificar os ativos e ligá-los às suas respectivas ameaças.

Avaliar e Quantificar os Ativos

  • Avaliação e Quantificação dos recursos: definir o valor das informações e dos serviços do ponto de vista dos terceiros envolvidos e do esforço necessário para recriar as informações. Baseado no custo da perda ou roubo de informação e/ou na queda de um serviço, podemos avaliar o custo deste recurso. O valor de um recurso deve refletir todos os custos identificados que poderiam surgir se houvesse algum problema com esse recurso.

  • Defina a prioridade do recurso baseando-se na avaliação anterior e no custo monetário do recurso.

Prioridades do Ativo

Prioridade 1:

O servidor fornece funcionalidade básica, mas não tem impacto financeiro nos negócios.

Prioridade 3:

O servidor hospeda informações importantes, mas que podem ser recuperados rapidamente e com facilidade.

Prioridade 5:

O Servidor possui dados importantes e que demorariam muito tempo para serem recuperados.

Prioridade 8:

O servidor possui informações para os objetivos de negócio da empresa. A perda destas informações pode interromper projetos e o serviço diário de todos os usuários, o que causaria uma queda muito grande na produtividade da empresa.

Prioridade 10:

O servidor causa um grande impacto no negócio da empresa. A perda deste servidor ou a divulgação destas informações poderiam causar desvantagem competitiva da sua empresa. Veja o exemplo:

Cc668464.ConceitosSeguranca(pt-br,TechNet.10).gif

Ameaças

Ameaça é algo que oferece um risco e tem como foco algum ativo. Uma ameaça também pode aproveitar-se de alguma vulnerabilidade do ambiente.

Identificar Ameaças de Segurança – Identificar os Tipos de Ataques é a base para chegar aos Riscos. Lembre-se que existem as prioridades; essas prioridades são os pontos que podem comprometer o “Negócio da Empresa”, ou seja, o que é crucial para a sobrevivência da Empresa é crucial no seu projeto de Segurança.

Abaixo temos um conjunto de ameaças, chamado de FVRDNE:

Falsificação

Falsificação de Identidade é quando se usa nome de usuário e senha de outra pessoa para acessar recursos ou executar tarefas. Seguem dois exemplos:

  • Falsificar mensagem de e-mail

  • Executar pacotes de autenticação

Um ataque de Falsificação pode ter início em um PostIt com sua senha, grudado no seu monitor.

Violação

A Violação ocorre quando os dados são alterados:

  • Alterar dados durante a transmissão

  • Alterar dados em arquivos

Repudiação

A Repudiação talvez seja uma das últimas etapas de um ataque bem sucedido, pois é o ato de negar algo que foi feito. Isso pode ser feito apagando as entradas do Log após um acesso indevido. Exemplos:

  • Excluir um arquivo crítico e negar que excluiu

  • Comprar um produto e mais tarde negar que comprou

Divulgação

A Divulgação das Informações pode ser tão grave e/ou custar tão caro quanto um ataque de “Negação de Serviço”, pois informações que não podiam ser acessadas por terceiros, agora estão sendo divulgadas ou usadas para obter vantagem em negócios.

Dependendo da informação ela pode ser usada como objeto de chantagem. Abaixo exemplos de Divulgação:

  • Expor informações em mensagens de erro

  • Expor código em sites

Negação de Serviço (DoS)

O objetivo deste ataque é parar algum serviço. Exemplo:

  • “Inundar” uma rede com pacotes SYN (Syn-Flood)

  • “Inundar” uma rede com pacotes ICPM forçados

O alvo deste tipo de ataque pode ser um Web Server contendo o site da empresa, ou até mesmo “inundar” o DHCP Server Local com solicitações de IP, fazendo com que nenhuma estação com IP dinâmico obtenha endereço IP.

Elevação de Privilégios

Acontece quando o usuário mal-intencionado quer executar uma ação da qual não possui privilégios administrativos suficientes:

  • Explorar saturações do buffer para obter privilégios do sistema

  • Obter privilégios de administrador de forma ilegítima

Este usuário pode aproveitar-se que o Administrador da Rede efetuou logon numa máquina e a deixou desbloqueada, e com isso adicionar a sua própria conta aos grupos Domain Admins, e Remote Desktop Users. Com isso ele faz o que quiser com a rede da empresa, mesmo que esteja em casa.

Quem pode ser uma ameaça?

É necessário identificar quem pode atacar a minha rede, e qual a capacidade e/ou objetivo desta pessoa.

  • Principiante – não tem nenhuma experiência em programação e usa ferramentas de terceiros. Geralmente não tem noção do que está fazendo ou das conseqüências daquele ato.

  • Intermediário – tem algum conhecimento de programação e utiliza ferramentas usadas por terceiros. Esta pessoa pode querer algo além de testar um “Programinha Hacker”.

  • Avançado – Programadores experientes, possuem conhecimento de Infra-Estrutura e Protocolos. Podem realizar ataques estruturados. Certamente não estão só testando os seus programas.

Estas duas primeiras pessoas podem ser funcionários da empresa, e provavelmente estão se aproveitando de alguma vulnerabilidade do seu ambiente.

Vulnerabilidades

Os ataques com mais chances de dar certo são aqueles que exploram vulnerabilidades, seja ela uma vulnerabilidade do sistema operacional, aplicativos ou políticas internas.

Veja algumas vulnerabilidades:

Roubo de senhas – Uso de senhas em branco, senhas previsíveis ou que não usam requisitos mínimos de complexidade. Deixar um Postit com a sua senha grudada no monitor é uma vulnerabilidade.

Software sem Patches – Um gerenciamento de Service Packs e HotFixes mal feito é uma vulnerabilidade comum. Veja casos como os ataques do Slammer e do Blaster, sendo que suas respectivas correções já estavam disponíveis bem antes dos ataques serem realizados.

Configuração Incorreta – Aplicativos executados com contas de Sistema Local, e usuários que possuem permissões acima do necessário.

Engenharia Social – O Administrador pode alterar uma senha sem verificar a identidade da chamada.

Segurança fraca no Perímetro – Serviços desnecessários, portas não seguras. Firewall e Roteadores usadas incorretamente.

Transporte de Dados sem Criptografia – Pacotes de autenticação usando protocolos de texto simples, dados importantes enviados em texto simples pela Internet.

Identifique, entenda como explorá-las e mesmo que não seja possível eliminá-las, monitore e gerencie o risco de suas vulnerabilidades.

Nem todos os problemas de segurança possuem uma solução definitiva, a partir disso inicia-se o Gerenciamento de Risco, analisando e balanceando todas as informações sobre Ativos, Ameaças, Vulnerabilidades, probabilidade e impacto.

Conclusão

Implantar Segurança em um ambiente não depende só da Tecnologia usada, mas também dos Processos utilizados na sua implementação e da responsabilidade que as Pessoas têm neste conjunto. Estar atento ao surgimento de novas tecnologias não basta, é necessário entender as necessidades do ambiente, e implantar políticas que conscientizem as pessoas a trabalhar de modo seguro.

Seu ambiente nunca estará seguro, não imagine que instalando um bom Antivírus você elimina as suas vulnerabilidades ou diminui a quantidade de ameaças. É extremamente necessário conhecer o ambiente e fazer um estudo, para depois poder implementar ferramentas e soluções de segurança.

Este artigo é baseado nos links a seguir:

Site de Segurança TechNet

https://www.microsoft.com/brasil/technet/seguranca/default.mspx

Fórum de Segurança TechNet

http://www.technetbrasil.com.br/forum/ShowForum.aspx?ForumID=51

Curso on-line de Segurança

http://www.mslatam.com/latam/technet/learning/Html-PR/home.asp

Security Risk Management Discipline (SRMD)

https://www.microsoft.com/downloads/details.aspx?FamilyID=c782b6d3-28c5-4dda-a168-3e4422645459&DisplayLang=en

Bom estudo, e até mais.

Wesley Fernandes

wesleey@hotmail.com