Você está na página 1de 11

1

FIAP PLANO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO MBA Gestão de Segurança da Informação

Controles Críticos de Segurança (MONITORAMENTO E CONTROLE DE CONTAS)

ANA P. KAWAKAMI RM 49314

DIMITRI FURLAN RM 47961

EDIO DE OLIVEIRA RM 48848

EDMILSON GONZALLES RM 49121

MARCELO CARO RM 48772

RODRIGO PIERETTI RM 48898

Orientador: (Prof. Ramiro)

SÃO PAULO

2015

SUMÁRIO

2

INTRODUÇÃO

3

1. O QUE É O CONTROLE CRÍTICO ESCOLHIDO?

4

2. POR QUE O CONTROLE ESCOLHIDO É CRÍTICO?

4

3. COMO IMPLEMENTAR O CONTROLE?

4

4. QUAIS AMEAÇAS E ATAQUES O CONTROLE PREVINE?

5

5. PROCEDIMENTOS

5

6. FERRAMENTAS

6

7. MÉTRICAS

8

8. CONCLUSÕES

10

9. REFERÊNCIA BIBLIOGRAFICA

11

3

INTRODUÇÃO

O objetivo deste trabalho é a abordagem sobre a importância da implementação de controles que possam auxiliar na integridade e segurança das informações armazenadas nas redes e sistemas utilizados pelas empresas.

Os ataques realizados nas redes e/ou sistemas estão aumentando exponencialmente, por intenções diversificadas, visando diferentes alvos e usando diferentes tipos de técnicas.

Os ataques podem ser realizados por diversos motivos, como por exemplo:

Simples desafio de provar a capacidade de invasão;

Com o objetivo de capturar informações pessoais e financeiras para fraudes;

Conhecer estratégias de empresas concorrentes;

Causar indisponibilidades de sistemas e/ou serviços de concorrentes;

Infelizmente o assunto não recebe a devida atenção, seja na abordagem pessoal ou empresarial, o que acaba facilitando este tipo de “crime”.

4

1. O QUE É O CONTROLE CRÍTICO ESCOLHIDO?

Monitoramento e Controle das Contas de usuários é o gerenciamento constante de acessos durante o ciclo de vida do sistema.

O gerenciamento de contas de usuários deve ser feito desde sua criação, uso, dormência e exclusão, a fim de minimizar as oportunidades de atacantes.

2. POR QUE O CONTROLE ESCOLHIDO É CRÍTICO?

Os criminosos cibernéticos estão sempre descobrindo maneiras diferentes de encontrar vulnerabilidades que os permitem atacar sistemas que são considerados protegidos.

Umas das práticas que está se tornando cada vez mais frequente é a exploração de contas de usuários. Seja a conta dos próprios funcionários da empresa, conta de terceiros ou até mesmo conta de ex-funcionários.

Uma vez de posse das credenciais de acesso dessas contas, o ataque pode ser feito sem gerar suspeitas, pois como a credencial usada está ativa, dificilmente os sistemas de monitoramento irão detectar alguma atividade suspeita.

3. COMO IMPLEMENTAR O CONTROLE?

Embora a maioria dos sistemas operacionais incluam recursos para registrar informações sobre o uso da conta, esses recursos são, por vezes desativados por padrão. Mesmo quando tais características estão presentes e ativas, muitas vezes não fornecem detalhes de grão fino sobre o acesso ao sistema por padrão. O pessoal de segurança pode configurar sistemas para registrar informações mais detalhadas sobre o acesso à conta, e usar scripts caseiros ou ferramentas de terceiros de análise de log para analisar essas informações e perfil de acesso do usuário de vários sistemas.

Contas também devem ser monitoradas de perto. Qualquer conta que está dormente deve ser desativada e eventualmente removida do sistema. Todas as contas de ativos devem ser rastreadas para usuários autorizados do sistema, e deve-se assegurar que as senhas são robustas e alteradas em uma base regular. Os usuários também devem ser desconectados do sistema após um período de inatividade para minimizar a possibilidade de um invasor usar seu sistema para extrair informações da organização.

5

4.

QUAIS AMEAÇAS E ATAQUES O CONTROLE PREVINE?

Espionagem política: Espionagem entre países e governos visando poder, competitividade e poderio militar bélico;

Comercial: Busca de informações da empresa para obter vantagens de negócio;

Oportunista: Ataques do tipo phishing, lançados a alvos não específicos, aproveitando-se das informações que puderem conseguir;

Monetária: Visam dados que podem ser vendidos;

Idealista: Ataques com motivações políticas, ideológicas ou éticas, como os realizados pelo grupo Anonymous, que ao se auto defini como “não somos um grupo. Somos uma ideia de revolução.”

Capacidade: Normalmente procuram sites de organizações muito conhecidas ou famosas por sua excelente segurança. Aqui, o objetivo do atacante é demonstrar capacidade em realizar.

5.

PROCEDIMENTOS

Rever todas as contas do sistema e desativar qualquer conta que não pode ser associado a um processo de negócios e proprietário;

Certificar que todas as contas têm uma data de validade associado à conta;

Certificar de que os sistemas possam emitir um relatório que inclui uma lista de contas bloqueadas, contas desativadas, as contas que excedem a duração máxima da senha e contas com senhas que nunca expiram. Esta lista deve ser enviada para o administrador do sistema associado de uma forma segura;

Estabelecer e seguir um processo para revogar o acesso ao sistema, desativando contas imediatamente após a rescisão de um funcionário ou contratado. A desativação em vez de excluir, deve permitir a preservação das informações para futuras auditorias;

Regularmente monitorar o uso de todas as contas, revogando automaticamente os usuários que estão com um período padrão de inatividade;

Configurar bloqueios de tela em sistemas para limitar o acesso às estações de trabalho;

Monitorar o uso da conta para determinar as que estão inativas, notificando o usuário ou o gerente do usuário. Desativar essas contas se não for necessário, ou documentar e monitorar exceções (por exemplo, as contas de fornecedores para manutenção das operações);

Exigir que todas as contas de não-administrador tenham senhas fortes que contêm letras, números e caracteres especiais, ser alteradas, pelo menos, a cada 90 dias, ter uma idade mínima de um dia, e não ser autorizado a utilizar

6

as 15 senhas anteriores como uma nova senha. Esses valores podem ser ajustados com base nas necessidades específicas do negócio da organização;

Usar e configurar bloqueios de conta de tal modo que depois de um determinado número de tentativas de login a conta é bloqueada por um período de tempo padrão;

Exigir que os gerentes monitorem os funcionários e contratados que estão ativos. Os administradores de segurança ou de sistema deve então desabilitar contas que não são atribuídas aos empregados ativos ou contratados;

Monitorar tentativas de acesso a contas desativadas através de log de auditoria;

Configurar o acesso para todas as contas através de um ponto centralizado de autenticação, por exemplo, Active Directory ou LDAP. Configurar também os dispositivos de rede e de segurança para autenticação centralizada;

Criação de perfil típico para conta de cada usuário, determinando acesso normal durante o expediente. Devem ser gerados relatórios que indicam os usuários que se conectaram durante horários incomuns ou tenham ultrapassado a sua duração normal de login;

Exigir autenticação multi-fator para as contas que têm acesso aos dados ou sistemas considerados críticos. Autenticação de vários fatores podem ser realizadas através de cartões inteligentes com certificados, One Time Password (OTP),tokens, biometria;

Para o acesso autenticado a serviços da web dentro de uma empresa, certificar-se que os nomes de usuários e senhas de contas são trafegados através de um canal criptografado;

Configurar todos os sistemas para utilizar canais codificados para a transmissão de palavras-passe através de uma rede;

Verifique se todos os arquivos de senhas são criptografados e que esses arquivos não podem ser acessados sem privilégios de root ou administrador. Auditar todo o acesso aos arquivos de senha no sistema;

6. FERRAMENTAS

Organizações vão descobrir que com a diagramação das entidades necessárias para satisfazer plenamente as metas definidas neste controle, será mais fácil identificar como implementá-las, testar os controles, e identificar onde possíveis falhas no sistema pode ocorrer.

7

7 Um sistema de controle é um dispositivo ou conjunto de dispositivos usados para gerenciar, comandar,

Um sistema de controle é um dispositivo ou conjunto de dispositivos usados para gerenciar, comandar, direcionar ou regular o comportamento de outros dispositivos ou sistemas. Neste caso, analisamos as contas de usuário e como eles interagem com os sistemas de dados e os sistemas de gerenciamento de log. Outra componente chave destes sistemas são os relatórios gerados para a gestão de contas de usuário.

A lista das etapas no diagrama acima mostra como as entidades trabalham em conjunto para cumprir a meta de negócios definido neste controle. Também delineia cada uma das etapas do processo, a fim de ajudar a identificar potenciais pontos de falha no controle total.

Passo 1: contas de usuário são devidamente geridos em sistemas de produção;

Passo 2: contas de usuário são atribuídas com permissões adequadas para conjuntos de dados de produção;

Passo 3: o acesso à conta do usuário é registrado no log do sistema de gestão;

Passo 4: Faça o login dos sistemas de gestão gerar conta e acessar relatórios de usuário para a gestão;

Passo 5: Conta informação de base é enviado para log do sistema de gestão;

Passo 6: informação crítica está devidamente protegida e criptografada para cada conta de usuário.

8

7.

MÉTRICAS

 

A

fim

de

testar

a

eficácia

da

aplicação

automatizada

deste

controle,

as

organizações devem medir o seguinte:

1. O sistema audita e gera relatórios sobre logins válidos e inválidos para contas de usuário?

2. O sistema audita e gera relatórios sobre logins válidos e inválidos para rede e contas de usuário do dispositivo de segurança?

3. Será que os usuários do sistema são bloqueados depois de cinco (5) tentativas inválidas?

4. As senhas de conta de usuário expiram, pelo menos, a cada 90 dias?

5. O sistema gera relatórios de contas inativas que não tenham sido usadas por um período de tempo configurável?

6. Quanto tempo leva para enviar um alerta ou e-mail para o pessoal administrativo com relatório de comparação (tempo em minutos)?

A fim de automatizar o monitoramento e controle de contas de usuário, as organizações devem reunir as seguintes informações com técnicas automatizadas:

1. Quantas tentativas inválidas de acesso às contas de usuários foram detectadas dentro de um período de tempo?

2. Quantas contas foram travadas dentro de um período de tempo?

3. Como muitas tentativas para obter acesso a arquivos de senha no sistema foram detectados dentro de um período de tempo?

4. Execute quebra de senha autorizada contra arquivos de senha e identificar o número de senhas de conta de administrador que estão rachados durante a tentativa. Corrigir quaisquer senhas comprometidas imediatamente.

5. Há uma lista automática de contas de usuário no sistema criados diariamente e em comparação com uma linha de base (sim ou não)?

6. Quanto tempo leva para enviar um alerta ou e-mail para o pessoal administrativo (tempo em minutos)?

Para avaliar a implementação do controle de 16 em uma base periódica, a equipe de avaliação deve tentar uma variedade de técnicas para obter acesso a contas de usuário no sistema. Cada um dos seguintes testes deve ser realizado pelo menos três vezes;

1. Tentativa de configurar senhas de conta de usuário fracos que não são compatíveis com a política estabelecida. Verificar que o sistema não permite que as senhas fracas para ser utilizado;

9

3. Tentativa de capturar senhas monitorando o tráfego de rede para os recursos do servidor. Corrigir quaisquer casos em que as senhas são transmitidas em texto claro;

4. Tentativa de obter acesso a arquivos de senha armazenados no sistema. Se for bem sucedido, identificar se as senhas são criptograficamente segura;

Cada um destes testes deve ser executado a partir de múltiplos sistemas, amplamente distribuídas na rede da organização, a fim de testar a eficácia dos controles de contas de usuários.

10

8. CONCLUSÕES

A conscientização sobre a implantação de uma metodologia eficaz de controle e proteção de contas de usuário proporciona a redução dos riscos de invasões aos dados das empresas.

Trata-se

de

um

procedimento

que

deve

ser

monitorado

diariamente

com

ferramentas adequadas e pleno envolvimento dos operadores.

Dicas importantes:

Quanto menor a quantidade de rede e computadores vulneráveis, menos eficazes serão os ataques realizados;

Uso adequado de definição de senhas reduz a probabilidade de utilização indevida de contas de usuários ativos;

Acompanhamento periódico para manutenção de contas de usuários inativos (funcionários demitidos, por exemplo), usuários afastados (licenças médicas, por exemplo), são fundamentais para mitigar os riscos de invasões indesejadas;

Apesar de não estar diretamente relacionada a controle de contas de usuários, a criptografia na troca de arquivos auxilia na preservação dos dados enviados e/ou recebidos.

Para se ter uma ideia da importância de implementação dos controles, grandes empresas do ramo financeiro (Bancos) e até empresas de tecnologia sofrem invasões, apesar dos cuidados com o assunto. Portanto, a busca continua de melhorias nos controles deve ser tratada como prioridade.

11

9. REFERÊNCIA BIBLIOGRAFICA

http://www.sans.org/critical-security-controls

http://www.abin.gov.br/

Apostila da disciplina utilizada na FIAP