Escolar Documentos
Profissional Documentos
Cultura Documentos
Engenharia de Redes
e Sistemas de Telecomunicaes
www.inatel.br
Conceitos
D De 0 49
C De 50 69
B De 70 89
A De 90 100
Referncias bibliogrficas
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS NBR ISO/IEC 27002: Tecnologia da
informao - Tcnicas de segurana - Cdigo de prtica para a gesto da segurana
da informao, Rio de Janeiro, 2005.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS NBR ISO/IEC 27001: Tecnologia da
informao - Tcnicas de segurana - Sistemas de gesto de segurana da
www.inatel.br
resposta a incidentes.
Prestador de servios de segurana da informao
Principais reas de atuao: auditoria de
para empresas pblicas e privadas de alguns setores
sistemas, anlise de vulnerabilidades,
gerenciamento de ameaas, hardening,
como: processadoras de carto de crdito, aviao
resposta a incidentes de segurana.
Cdigos
Maliciosos
DADOS Espionagem
Industrial
Vazamento de
Engenharia Social
Informaes
Termos e definies
__________________________
Ativo: qualquer bem tangvel ou no, que tenha valor para a
organizao.
Vulnerabilidade: grau de exposio de determinado sistema
ou processo que possa ser explorado por uma ameaa.
www.inatel.br
Processos
Procedimentos
Normas e polticas
Tecnologia
Gerenciamento de vulnerabilidades
Gerenciamento de riscos
Conscientizao e treinamento
Conformidade legal
Gerenciamento da segurana da informao
www.inatel.br
Ciclo de vida da informao
__________________________
www.inatel.br
Descarte Criao
Transporte Manuseio
Trade CID
__________________________
So trs os pilares da segurana da informao
Confidencialidade: propriedade de que a
informao no esteja disponvel ou revelada a
www.inatel.br
Acessos no autorizados
Proteo de dados sensveis ou equipamentos
Controles
Controle de acesso
Criptografia
Integridade
__________________________
Propriedade de salvaguarda da exatido e
completeza de ativos.
www.inatel.br
Redundncia de hardware;
Espelhamento de disco;
Diferentes fontes de energia.
Segurana da informao garantir que
todos os fatores relacionados a
confidencialidade, integridade e
disponibilidade sejam atendidos!
Disponibilidade
__________________________
Exemplo: grandes promoes em sites de
compras
www.inatel.br
Vulnerabilidades
Falha no dimensionamento dos recursos que
suportam o site
Controles
Balanceamento de carga
Alta disponibilidade de recursos
Elo mais fraco
__________________________
www.inatel.br
Fatores que tornam a segurana da
informao necessria
Crimes eletrnicos;
Legislao de direitos autorais e patentes;
www.inatel.br
Competitividade;
Faturamento;
Lucratividade;
Atendimento requisitos legais;
Imagem da empresa no mercado.
Resposta a incidentes de segurana
__________________________
O CERT.br, Centro de Estudos, Resposta e
Tratamento de Incidentes de Segurana no
Brasil, o rgo do Comit Gestor da
www.inatel.br
Internet no Brasil.
Coleta informaes sobre ataques
Internet brasileira.
Estatsticas do CERT.br mostram que a
quantidade de ataques a redes brasileiras
aumentou de 3107 em 1999 para 358343
em 2009.
Resposta a incidentes de segurana
__________________________
Total de incidentes reportados Dados de junho de 2013
www.inatel.br
Resposta a incidentes de segurana
__________________________
Scan de portas De abril a junho de 2013
www.inatel.br
Resposta a incidentes de segurana
__________________________
Principais ameaas Abril a junho de 2013
www.inatel.br
Resposta a incidentes de segurana
__________________________
Pases de origem Abril a junho de 2013
www.inatel.br
Ataques DDoS
__________________________
www.inatel.br
Ataques DDoS
__________________________
www.inatel.br
Ataques DDoS
__________________________
www.inatel.br
Captulo 2 Normas e padres
__________________________
Neste captulo abordaremos...
As principais normas relativas a segurana da
www.inatel.br
informao
NBR ISO/IEC 17799:2005 atual ISO 27002
NBR ISO/IEC 27001:2006
NBR ISO/IEC 17799:2005 atual ISO 27002
__________________________
Intitulada Tecnologia da informao Tcnicas de
segurana Cdigo de prtica para a gesto da
segurana da informao.
Desenvolvida no Comit Brasileiro de
www.inatel.br
prejuzos.
Sua escala dada por meio da combinao de
dois fatores:
Probabilidade da ocorrncia da ameaa
As consequncias traduzidas (impacto) pela
ocorrncia do incidente
Risco = Probabilidade x Impacto
Gesto de riscos
Gerenciamento de riscos o processo de
identificao, anlise, avaliao e tratamento de
riscos.
O risco deve ser analisado e avaliado segundo os
www.inatel.br
executado)
Qual ser o entregvel final
Quais os objetivos
A definio do escopo um dos fatores de
sucesso ou fracasso de uma GR.
Gesto de riscos
l Definio do escopo
O tamanho do escopo definido pela
quantidade de ativos que sero analisados
www.inatel.br
atravs de entrevistas
As informaes so colhidas com os principais
gestes e consolidadas
A definio de escopo atravs de processos de
negcio no a nica opo, nem a mais
adequada em todos os casos.
Gesto de riscos
l Parte envolvida
Indivduos, grupos ou organizaes que so
afetados diretamente por um determinado
www.inatel.br
risco
Gesto de riscos
l Identificar ativos de maior risco
Os ativos sujeitos aos maiores nveis de risco
sero priorizados em termos de recursos e
www.inatel.br
protees
As decises de qual proteo aplicar pode
variar de acordo com o custo de cada
proteo
Redundncia para servidores
Norma de controle de acesso fsico aos
datacenters
Componentes da gesto de riscos
l Anlise de vulnerabilidade
l Identificar as protees existentes e ausentes,
identificar falhas nas existentes e levantar dados
www.inatel.br
aplicadas
Uma proteo pode no excluir a existncia
de um risco, apenas mitiga-lo.
O risco no tratado pela proteo chamado
de risco residual.
Gesto de riscos
l Riscos
Gesto de riscos contempla quatro atividades
relacionadas a forma como lidamos com os
www.inatel.br
riscos:
Anlise e avaliao de riscos
Tratamento de riscos
Aceitao
Comunicao
Gesto de riscos
l Anlise de riscos
l Processo que compreende a identificao das
ameaas e estimativa do risco
www.inatel.br
respondidas:
O que pode ser feito (mitigao de risco)?
Quanto vai custar ?
rentvel (custo / benefcio)?
Gesto de riscos
l Tratamento de riscos
Processo de seleo e aplicao de medidas
de controle de forma reduzir os riscos
www.inatel.br
vale a pena.
Custo do controle maior que o custo do ativo
Pode ocorrer quando os riscos identificados
esto dentro dos patamares aceitveis
Aceitar um risco uma maneira de tratamento!
Gesto de riscos
l Comunicao do risco
ltimo componente do processo de GR
Divulgao de todos os riscos identificados, tenham
www.inatel.br
Criptografia simtrica
Criptografia assimtrica
Funes hash
Certificados digitais
Protocolo SSL/TLS
Criptografia
Criptografia
Criptografia
Criptografia clssica
www.inatel.br
Criptografia clssica
Cifragem por transposio
www.inatel.br
lCriptografia moderna
www.inatel.br
Criptografia moderna
l
www.inatel.br
Criptografia assimtrica
Utiliza duas chaves, uma pblica e outra privada;
O que uma chave encripta, a outra desencripta e
vice-versa;
Apenas o portador da chave privada poder
desencriptar a mensagem;
Baixa performance;
Mais seguro que a criptografia simtrica.
Criptografia
Alice Bob
www.inatel.br
Internet
Criptografia
Alice Bob
www.inatel.br
Mensagem Mensagem
Mensagem Mensagem
criptografada criptografada
Criptografia
Criptografia assimtrica
Quais os riscos de segurana deste processo?
www.inatel.br
Mensagem Mensagem
criptografada com
a chave pblica
de Bob. Alice o Bobs Public
originador da Key
mensagem?
Mensagem
criptografada
Criptografia
Mensagem Mensagem
Mensagem criptografada
criptografada
Bobs Public verdadeiramen
Key te originada de Bobs Private
Alice Key
Mensagem
criptografada
Mensagem
Alices Private
Key
Criptografia
Criptografia moderna
Funes de hash
www.inatel.br
Criptografia moderna
Funes de hash
www.inatel.br
Testando hash,
www.inatel.br
Funes de hash
www.inatel.br
Colises
Possibilidade de dois conjuntos de dados
produzam o mesmo resultado
Criptografia
Criptografia moderna
Funes de hash
www.inatel.br
Principais utilizaes:
Integridade de arquivos
Segurana de senhas
Assinaturas digitais
Criptografia
Alice Bob
www.inatel.br
Mensagem Mensagem
Mensagem Mensagem
criptografada criptografada
Criptografia
29f16f4fe9878bdd0f150d9f1cf921d3
Assinatura
digital
Mensagem
Assinatura
....................................................................
digital
Criptografia
Bob Alice
www.inatel.br
Mensagem
29f16f4fe9878bdd0f150d9f1cf921d3 Mensagem
29f16f4fe9878bdd0f150d9f1cf921d3
......................................
Bobs Public
Assinatura
Key
digital
Algoritmo hash
Mensagem
Assinatura
....................................................................
digital
Criptografia
Criptografia moderna
Infraestrutura de chaves pblicas - PKI
www.inatel.br
registros;
Valida os dados do solicitante para que o
certificado seja assinado;
Afere a autenticidade de um certificado;
a CA quem garante ao usurio que o
certificado do banco mesmo do banco.
Criptografia
Criptografia moderna
Certificados digitais
www.inatel.br
Criptografia de dados
Autenticao
Autenticao de cliente e servidor
Autenticidade
Autenticao de usurios e no-repdio
Integridade
Protege os dados da rede contra
adulterao
Criptografia
Criptografia moderna
Secure Socket Layer SSL/TLS
www.inatel.br
Camada de aplicao
www.inatel.br
SSL/TLS
TCP
Criptografia
Criptografia moderna
Secure Socket Layer SSL/TLS
www.inatel.br
A conexo confivel.
Transporte da mensagem inclui uma mensagem
verificao de integridade usando uma chave
HMAC.
Funes de hash seguro (por exemplo, SHA,
MD5, etc) so usados para clculos HMAC.
Criptografia
Secure Socket Layer SSL/TLS
TLS Handshake Protocol
www.inatel.br
Cliente Servidor
Inicializao de sesso
www.inatel.br
Certificado
Sesso estabelecida
Requisio de certificado
e outros dados
Dados encriptados
Criptografia
29f16f4fe9878bdd0f150d9f1cf921d3
Assinatura
digital
Chave
Mensagem simtrica
Assinatura Mensagem
digital criptografada .............................
Criptografia
Mensagem
29f16f4fe9878bdd0f150d9f1cf921d3 Mensagem
.............................................
29f16f4fe9878bdd0f150d9f1cf921d3
Bobs Public
Key Mensagem
Assinatura
digital
Assinatura
digital
Chave
Mensagem simtrica
.................................................................... criptografada
www.inatel.br
PERGUNTAS?