Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Apresentacao Eng Social - Raulzinho - CB

    Enviado por

    Raul Batalha
    22 visualizações27 páginas

    Título original

    Apresentacao Eng Social_Raulzinho.cb

    Direitos autorais

    © Attribution Non-Commercial (BY-NC)

    Formatos disponíveis

    PPT, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PPT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    22 visualizações27 páginas

    Apresentacao Eng Social - Raulzinho - CB

    Enviado por

    Raul Batalha

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PPT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 27

    UM INSTRUMENTO PARA AVALIAÇÃO DO

    RISCO DE QUEBRA DE SEGURANÇA EM


    REDES DE COMPUTADORES, POR
    APLICAÇÃO DE TÉCNICAS DA ENGENHARIA
    SOCIAL

    Ronei Ximenes Martins


    Letícia Rodrigues Fonseca

    Centro Universitário do Sul de Minas-


    UNIS-MG
    OBJETIVO:

    oferecer um instrumento para a quantificação do


    risco de quebra de segurança em redes de
    computadores, pela aplicação de técnicas da
    Engenharia Social.

    Tal instrumento define uma escala


    de vulnerabilidade
    a ataques de engenharia social
    CONTEXTO:

    •Massificação do uso das tecnologias de rede


    •Dependência crescente de informação qualificada
    •Complexidade dos sistemas
    •Conectividade com baixo custo
    •Grande disponibilidade, na Internet, de ferramentas e
    técnicas de invasão.
    •Despreparo dos usuários em relação à segurança.
    •Mistificação do tema Segurança em
    Redes de Computadores.
    CONTEXTO:

    Com a adoção de ferramentas cada vez mais


    sofisticadas para a implementação de autenticação,
    autorização e manutenção da privacidade/sigilo na
    transmissão e armazenamento de informações, os
    sistemas em rede ampliaram o grau de dificuldade
    para a obtenção de informações de forma não
    autorizada, tornando as redes de computadores
    mais difíceis de serem invadidas.
    CONTEXTO:

    .
    Porém, todo sistema é tão forte quanto seu elo mais
    fraco. Assim, se o aparato de segurança relacionado ao
    hardware e ao software da rede de computadores torna-
    se sofisticado e eficiente, os procedimentos adotados
    para quebra de segurança voltam-se para o fator
    humano.
    As técnicas adotadas pela Engenharia Social buscam
    obter informações que possibilitem atuar sobre os
    aspectos características e princípios básicos de
    segurança nos sistemas de informação.
    CONCEITOS:

    Engenharia Social: conjunto de métodos e


    técnicas para a obtenção de informações
    qualificadas e/ou sigilosas considerando-se o
    fator humano como o elo mais frágil da
    segurança.

    O atacante obtém informações importantes e


    sigilosas por meio de persuasão e manipulação
    de pessoas, com ou sem uso de tecnologia.
    CONCEITOS:

    Princípios de segurança:
    Autenticidade: O controle de autenticidade está
    associado com identificação correta de um usuário
    ou computador. O serviço de autenticação em um
    sistema deve assegurar ao receptor que a
    mensagem é realmente procedente da origem
    informada em seu conteúdo.
    Confidencialidade: Significa proteger informações
    contra revelação para alguém não autorizado.
    Consiste em proteger a informação
    contra leitura e/ou cópia por alguém
    que não tenha sido explicitamente
    autorizado por seu proprietário.
    CONCEITOS:

    Princípios de segurança:
    Integridade: Consiste em proteger a informação
    contra modificações sem a permissão explicita do
    proprietário. A modificação inclui ações como escrita,
    alteração de conteúdo, alteração de status, remoção
    e inclusão de novas informações.
    Disponibilidade: Consiste na proteção dos serviços
    prestados pelo sistema de forma que eles não sejam
    degradados ou se tornem indisponíveis,
    assegurando ao usuário
    o acesso aos dados sempre que
    necessário.
    Técnicas Utilizadas para subverter princípios de segurança:

    Engenharia Social:
    Ataque direto -> solicitação de informação
    diretamente ao “usuário alvo”.

    Aquisição de Confiança -> o atacante busca


    “ganhar a confiança” de alguém que possa
    oferecer informações relevantes.

    Ausência de Controle de Acesso ->. O atacante


    tem acesso à empresa sem que seja percebido
    ou se passando
    por um funcionário do suporte técnico,
    Por exemplo
    Alvos comuns:

    Os que desconhecem o valor das


    informações: Recepcionistas, telefonistas,
    assistentes administrativos, guardas de
    segurança;

    Os que possuem privilégios especiais:


    Suporte técnico, administrador de sistema,
    operadores de computador, administradores
    do sistema de telefone;

    Departamentos específicos: Contabilidade,


    recursos humanos e outros.
    Constatação:

    Considerando-se as técnicas utilizadas e a forma


    com que muitos ataques à segurança dos
    sistemas de informação são executados, o
    diagnóstico de falhas e a avaliação dos riscos
    existentes tornam-se subjetivos.
    Como o alvo principal é o usuário dos sistemas e
    não o hardware ou o software, ferramentas de
    hardware e software dificilmente prevêem o
    ataque.
    Muitas vezes o ataque de engenharia social
    ocorre sem que o atacante sequer
    se aproxime dos computadores e
    sistemas do alvo.
    Exemplos:
    Exemplos::
    Exemplos::
    Exemplos:

    Ao atender um telefonema, o interlocutor se


    identifica como vice-diretor da empresa.
    Você já o viu pelos corredores, mas nunca
    falou com ele por telefone. Ele informa que
    se encontra na filial da empresa, em reunião,
    e está com problemas para acessar o
    sistema. Assim sendo, solicita a senha para
    que possa ter acesso. Informa, ainda, que
    está acompanhado de 10 pessoas que
    possuem outros compromissos e que não
    podem esperar por muito tempo.
    Instrumento para quantificação de risco de quebra de segurança

    O instrumento utiliza uma escala de


    vulnerabilidade a ataques de engenharia social.
    A escala é obtida pela aplicação de um
    questionário, em que cada questão traduz uma
    situação com grau baixo, médio ou alto de risco
    para segurança. As respostas a cada questão
    apresentam ações com índice de vulnerabilidade
    que pode variar de Nenhuma até Total.
    Instrumento para quantificação de risco de quebra de segurança

    Valoração do Grau de Risco para a segurança e


    do Índice de Vulnerabilidade:
    Instrumento para quantificação de risco de quebra de segurança

    Exemplo de questão:
    Instrumento para quantificação de risco de quebra de segurança

    Obtenção da escala:
    Validação do Instrumento

    Estudo de caso. Empresa com as seguintes


    características:

    •Linha de produtos com alto grau de tecnologia de


    fabricação agregada e área de atuação em mercado
    muito competitivo.
    •Elevado grau de informatização nos processos
    produtivos e administrativos.
    •Interligação com unidades dentro e fora do País em
    Intranet.
    Validação do Instrumento

    Estudo de caso.
    Empresa com as seguintes características:
    •Acesso Internet na grande maioria dos
    computadores.
    •Interligação em rede com fornecedores e
    compradores.
    •Bom nível de formação acadêmica dos funcionários.
    •Existência de departamento específico de
    informática e centro de gerência para as redes de
    computadores.
    •Existência de contratos com terceirização de
    serviços e consultoria ligados
    à Automação Industrial e Informática.
    Validação do Instrumento

    Procedeu-se a pesquisa de campo, por amostragem,


    com a submissão do questionário nos setores
    relacionados a:
    •Recursos Humanos / Pessoal;
    •Contabilidade;
    •Compra e Venda;
    •Assistentes / Secretarias de Gerencias Intermediárias;
    •Informática;
    •Projetos;
    •Produção.
    Os pesquisados utilizam qualquer um dos sistemas
    informatizados da empresa e são o conjunto que
    representa, em perfil, os usuários do setor. Foram
    distribuídos 40 formulários de pesquisa.
    Validação do Instrumento
    Resultados: média por setor após processamento dos
    questionários
    Validação do Instrumento

    Resultados individuais dos questionários com


    indicadores de vulnerabilidade significativos:
    •Funcionário do Setor de Informática e
    funcionário de Recursos Humanos com 42%;
    •Funcionário do Setor Engenharia de Qualidade
    com 79%;
    •Funcionário do Laboratório e
    Funcionário do Setor
    de Exportação com 50%.
    Conclusão

    Considerando o nível de organização da empresa


    pesquisada, suas características e o perfil do corpo
    funcional, é possível concluir que o instrumento é
    um eficiente meio de identificar focos de quebra de
    segurança por técnicas da engenharia social.

    Com esta identificação é possível planejar


    capacitação profissional e técnicas que melhorem
    a segurança das informações disponíveis nos
    sistemas em rede das organizações.
    Conclusão

    Como trabalho futuro, será realizado


    acompanhamento dos procedimentos que a
    empresa adotará para reverter o quadro nos
    setores afetados e o processo de quantificação
    será novamente executado, com novo questionário
    e mesma metodologia.

    Já foi iniciado o desenvolvimento de software com


    o objetivo de implementar a metodologia de forma
    a facilitar a geração/manutenção de bancos de
    situações/ações e avaliação de resultados.
    Obrigado.

    Contato: Ronei Ximenes Martins


    Centro Universitário do Sul de Minas
    www.unis.edu.br

    ronei@unis.edu.br

    Você também pode gostar