Escolar Documentos
Profissional Documentos
Cultura Documentos
09/09/2011
Gesto da Segurana da Informao Auditoria da Segurana da Informao Introduo A auditoria de segurana / metodologia de anlise de vulnerabilidades se concentra em avaliar os seguintes itens: Segurana dos dados e sistemas acessveis via Internet Segurana dos dados e sistemas acessveis via ambiente interno Segurana de aplicaes especficas, por exemplo Web
Anderson Aparecido Alves da Silva Aula 08
4
09/09/2011
Gesto da Segurana da Informao Auditoria da Segurana da Informao Introduo A auditoria da SI baseia-se em duas abordagens: Sem conhecimento da rede ou aplicao (teste cego)
Neste caso, a anlise conduzida sem que qualquer informao sobre a rede ou aplicao tenha sido passada ao auditor
Gesto da Segurana da Informao Auditoria da Segurana e Anlise de Vulnerabilidades Internet Se concentra em Mapeamento da rede Mapeamento dos servios Anlise remota de servidores (servios e SO) Anlise do permetro de defesa Tentativas de explorao de vulnerabilidades conhecidas DoS / DDoS War Dialing
Anderson Aparecido Alves da Silva Aula 08
6
09/09/2011
Gesto da Segurana da Informao Auditoria da Segurana e Anlise de Vulnerabilidades Ambiente Interno Se concentra em Topologia fsica e lgica Acessos fsicos e lgicos aos sistemas Segurana fsica Segregao dos ambientes Estrutura de comunicao interna
Gesto da Segurana da Informao Auditoria da Segurana e Anlise de Vulnerabilidades Ambiente Interno Se concentra em Reconhecimento da rede, servidores e sistemas Possibilidade de anlise local de servidores Seleo e anlise de segurana em servidores crticos Escalonamento de privilgios Verificao de acesso a informaes crticas e confidenciais
09/09/2011
Gesto da Segurana da Informao Auditoria da Segurana e Anlise de Vulnerabilidades Ambiente Interno Se concentra em
Tentativas de explorao de vulnerabilidades conhecidas Polticas, processos e procedimentos de segurana Implementados Verificao de conformidade dos servidores com procedimentos de instalao e configurao segura
Bastion hosts
Anderson Aparecido Alves da Silva Aula 08
9
10
09/09/2011
11
12
09/09/2011
Gesto da Segurana da Informao Auditoria da Segurana e Anlise de Vulnerabilidades Aplicaes Se concentra em Mapeamento das funcionalidades da aplicao Anlise das interaes entre cliente e servidor Descrio da arquitetura funcional da aplicao Levantamentos de interaes com o ambiente de Backoffice Conformidade com a poltica de segurana
13
Gesto da Segurana da Informao Auditoria da Segurana e Anlise de Vulnerabilidades Aplicaes Se concentra em Anlise de controles existentes Mecanismos de autenticao e autorizao Mecanismos de criptografia Mecanismos de controle de conexo ou sesso etc. Buffer overflow e injeo de cdigos Interao com outros sistemas
14
09/09/2011
Gesto da Segurana da Informao Do Processo de Auditoria e Anlise de Vulnerabilidades Processo de conduo Conduzida por entidade competente e neutra Confidencialidade das informaes: Informaes organizacionais levantadas durante a auditoria devem ser armazenadas internamente e de forma criptografada
15
Gesto da Segurana da Informao Do Processo de Auditoria e Anlise de Vulnerabilidades Processo de conduo A equipe envolvida na anlise deve estar sujeita a um NDA (non-disclosure agreement) Prever possibilidade de realizar a anlise de tal forma que no gere riscos de descontinuidade dos servios Neste caso, a anlise no contempla os testes de DoS e DDoS
16
09/09/2011
Resultados Esperados Domnios, faixas de endereamento e a descrio do prprio sistema em anlise Servidores, servios e sistemas afetados Ameaas e Vulnerabilidades encontradas Impacto Risco envolvido Recomendaes para corrigir ou mitigar riscos Tempo provvel de implementao das correes
Anderson Aparecido Alves da Silva Aula 08
17
Resultados Esperados
18
09/09/2011
Resultados Esperados
19
Resultados Esperados
20
10
09/09/2011
Resultados Esperados
21
Resultados Esperados
22
11
09/09/2011
Resultados Esperados
23
Resultados Esperados
24
12
09/09/2011
Resultados Esperados
25
Resultados Esperados
26
13
09/09/2011
Resultados Esperados
27
Referncias
Notas de aula Prof. Dr. Adilson Eduardo Guelfi
28
14