Escolar Documentos
Profissional Documentos
Cultura Documentos
VULNERABILIDADES,
AMEAÇAS E ATAQUES
2.1 Definições
1
Ameaças à Segurança
Ameaças ?
Risco?
Alvo
Vulnerabilidades
Medidas de Proteção
(Controles)
Incidente
IMPACTO À ORGANIZAÇÃO
Definições
AMEAÇA: Causa potencial de um incidente indesejado, que
pode resultar em dano para um sistema ou organização
2
Definições
EVENTO: É a relação entre as ameaças, as
vulnerabilidades e os danos causados (consequências)
Definições
ESCOPO DE ATIVOS: Define o conjunto de ativos que será
coberto pelo processo
3
2.2 Análise e
Gerenciamento de
Riscos
Risco
• O Risco é a probabilidade de uma ameaça explorar uma (ou
várias) vulnerabilidades causando prejuízos
• Termos e definições:
‒ Percepção de risco: é a forma como um risco é visto por uma
parte envolvida
‒ Critério de risco: é o que a organização define como tolerável
‒ Risco residual: é a porção que sobra após o tratamento
4
Gestão de Riscos
• Gestão de Riscos (GR) é o processo que identifica e
trata os riscos de forma sistemática e contínua
‒Um dos componentes mais importantes da Gestão da
Segurança da Informação (GSI)
Fatores de sucesso
• A gestão de riscos deve ser permanente, capaz de identificar
novas vulnerabilidades e ameaças
5
Etapas da Gestão de Riscos
• Gestão de Riscos compreende as seguintes etapas:
‒Estabelecimento do Contexto
‒Identificação dos Riscos
‒Análise/avaliação dos Riscos
‒Tratamento do Risco
‒Aceitação do Risco Residual
‒Comunicação do Risco
‒Monitoração e avaliação dos resultados
6
Estabelecimento do Contexto
• O estabelecimento do contexto envolve:
‒A definição de critérios básicos
‒A definição do escopo e dos limites da Gestão de Riscos
‒O estabelecimento de uma organização apropriada para
operar a Gestão de Riscos
Identificação, Análise/Avaliação de
Riscos
• Análise de Riscos, compreende:
‒ Identificação de Riscos
Listas de probabilidades, bases de dados de vulnerabilidades
‒ Estimativa de Riscos
Baseado no impacto e na probabilidade
• Avaliação de Riscos
‒ Compara os riscos identificados com os critérios definidos pela
organização
‒ É feita a decisão entre tratar ou aceitar o risco
7
Tratamento do Risco
• No tratamento do risco são selecionadas e
implementadas medidas de forma a reduzir os riscos
que foram identificados e que o Plano de Tratamento
do Risco (PTR) seja definido
8
Tratamento do Risco
http://blog.luz.vc/wp-content/uploads/2015/10/Gerenciamento-de-riscos-com-matriz-de-riscos-matriz-de-riscos.png
http://images.slideplayer.com.br/1/44226/slides/slide_26.jpg
9
Tratamento do Risco
• Para cada forma de ameaça, deverá ser definida uma ou mais
medidas de proteção (controles) que deverão ser aplicadas aos
ativos como p.ex. o uso de criptografia, senha robusta, e outras,
além de seus custos
10
Comunicação do Risco
• Convém que as informações sobre riscos sejam
trocadas e/ou compartilhadas entre o tomador de
decisão e as outras partes interessadas, com o objetivo
de atingir um consenso sobre como os riscos devem
ser administrados
11
2.3 Tipos de Ameaças
Ameaça
• Ameaça (contrário de Oportunidade): Evento (ocorrência)
que pode comprometer a tríade da segurança
‒Agentes causadores dos incidentes contra informações e seus
ativos exploram as vulnerabilidades provocando perdas de
Confidencialidade, Integridade e Disponibilidade, causando um
impacto aos negócios, resultando em danos para um sistema ou
organização e seus ativos
12
Ameaça
• Ameaças Físicas: Falhas dos Equipamentos e Instalações
• Ameaças Lógicas: Vulnerabilidades em softwares, como bugs
• Exemplos:
‒Vírus, trojan horse, relâmpagos, terremotos, ataques a bomba,
deterioração dos meios de armazenamento, fraude, roubo,
invasão …
Tipos de Ameaças
13
2.4 Exemplos de
Ameaças
Exemplos de Ameaças
14
Exemplos de Ameaças
Exemplos de Ameaças
15
Exemplos de Ameaças
Cancelamento de Conta !
De:Suporte@microsoft.com.br
Enviada:terça-feira, 5 de agosto de 2008 17:46:26
Cc: Suporte@microsoft.com.br
Prezado usuário houve problemas em sua conta de e-mail!
http://www.microsoft.com/problems/RP?c=segurança2672970687803&hl=pt_BR
Instale a ferramenta de segurança, atualize seus dados e siga as instruções no SAC.
Em caso de duvidas ou preocupações em relação a sua conta, visite as Perguntas
freqüentes (FAQs) da Microsoft no endereço abaixo : https://accountservices.microsoft.com/
Seu prazo para regularização é de 24 horas.
Atenciosamente,
Equipe de Tecnologia e Desenvolvimento microsoft
© 2008 Microsoft TERMOS DE USO Declaração de Privacidade POLÍTICA ANTI-SPAM DA MICROSOFT
suporte@microsoft.com
Redirecionamento real:
http://pendraivi.sitesled.com/Ferramenta_Microsoft.exe
16
Exemplos de Ameaças
Malware
Port
Vírus Trojan Sniffer Spyware Adware Exploit Worm
Scanner
Malware
Vírus
17
Malware
Vírus
Malware
Abordagem dos Antivírus
18
Malware
Trojan
Malware
Trojan
"Osama Bin Laden foi encontrado enforcado por dois jornalistas da CNN na
noite de quarta-feira. Como prova, eles tiraram uma série de fotos, algumas
das quais estou incluindo aqui (nota: aqui aparece um link para o site
malicioso).
Até agora, esta informação não chegou aos noticiários porque Bush deseja
que sua identidade seja comprovada, mas os jornalistas circularam algumas
das fotos pela internet".
19
Malware
Sniffer
Malware
Spyware
20
Malware
Adware
21
Malware
Port Scanner
Malware
Exploit
22
Malware
Worm
23
Técnicas / Ataques
DoS Clássico
24
Hierarquia de Controle Distributed
Denial-of-Service (DDoS)
https://cdn.keycdn.com/support/wp-content/uploads/2015/11/ddos-attack.png
Técnicas / Ataques
25
Técnicas / Ataques
Técnicas / Ataques
26
Técnicas / Ataques
Técnicas / Ataques
27
Técnicas / Ataques
Técnicas / Ataques
28
Técnicas / Ataques
Técnicas / Ataques
29
Técnicas / Ataques
Resumo
30
2.6 Marco Civil da
Internet no Brasil
31
Marco Civil da Internet no Brasil
• Principais mudanças envolvem:
‒Proteção à privacidade dos usuários
‒Liberdade de expressão e a retirada de conteúdo do ar
‒Garantia da neutralidade de rede
‒Debate público sobre a regulamentação
• Fundamentos importantes:
‒Liberdade de expressão
‒Direitos humanos e a cidadania
‒Livre iniciativa e a defesa do consumidor
32
Capítulo II: Dos Direitos e Garantias
dos Usuários
• Estabelece que são direitos e garantias dos usuários:
‒Inviolabilidade da intimidade, vida privada, sigilo do fluxo de
informações e comunicações
‒Manutenção da qualidade de conexão contratada
‒Clareza de informações e cláusulas nos contratos de
prestações de serviços e políticas de uso da web
Tratando como nulas quaisquer cláusulas que ofendam esses
direitos
33
Capítulo III: Da Provisão de Conexão e
de Aplicações de Internet
• Art. 15: Provedores devem manter os registros de acesso de
todos os internautas por seis meses
34
Capítulo V: Disposições Finais
• Usuário tem liberdade de utilizar ferramentas que
permitam o controle de acesso de seus filhos menores
a conteúdos impróprios, desde que respeitados
princípios do Marco Civil e do Estatuto da Criança e do
Adolescente
35