09/09/2011

Segurana Lgica e Fsica de Redes

Gesto da Segurana da Informao Criptografia Proteo de Permetro

Anderson Aparecido Alves da Silva Aula 08

Segurana Lgica e Fsica de Redes Auditoria da Segurana da Informao

Aula 01 Conceitos sobre Ativos Aula 02 Segurana Computacional Aula 03 Servios de Segurana Aula 05 Gesto de Riscos Aula 05 Poltica de Segurana Norma ABNT NBR ISO/IEC 17799 NIST Aula 06 Classificao da Informao Aula 08 Segurana Fsica Aula 08 Auditoria da Segurana da Informao Aula 09 Resposta Incidentes Aula 10 - Planejamento Estratgico da Segurana Security Office
2

Anderson Aparecido Alves da Silva Aula 08

09/09/2011

Gesto da Segurana da Informao Auditoria da Segurana da Informao Agenda

Introduo Auditoria de Segurana e Anlise de Vulnerabilidades Internet Ambiente Interno Aplicaes Do Processo de Auditoria de Segurana e Anlise de Vulnerabilidades Dos Resultados Esperados Referncias
Anderson Aparecido Alves da Silva Aula 08
3

Gesto da Segurana da Informao Auditoria da Segurana da Informao Introduo A auditoria de segurana / metodologia de anlise de vulnerabilidades se concentra em avaliar os seguintes itens: Segurana dos dados e sistemas acessveis via Internet Segurana dos dados e sistemas acessveis via ambiente interno Segurana de aplicaes especficas, por exemplo Web
Anderson Aparecido Alves da Silva Aula 08
4

09/09/2011

Gesto da Segurana da Informao Auditoria da Segurana da Informao Introduo A auditoria da SI baseia-se em duas abordagens: Sem conhecimento da rede ou aplicao (teste cego)
Neste caso, a anlise conduzida sem que qualquer informao sobre a rede ou aplicao tenha sido passada ao auditor

Com conhecimento da rede ou aplicao

Neste caso, o auditor possui informaes especficas (configurao e funcionamento) da rede ou aplicao que est sendo avaliada
Anderson Aparecido Alves da Silva Aula 08
5

Gesto da Segurana da Informao Auditoria da Segurana e Anlise de Vulnerabilidades Internet Se concentra em Mapeamento da rede Mapeamento dos servios Anlise remota de servidores (servios e SO) Anlise do permetro de defesa Tentativas de explorao de vulnerabilidades conhecidas DoS / DDoS War Dialing
Anderson Aparecido Alves da Silva Aula 08
6

09/09/2011

Gesto da Segurana da Informao Auditoria da Segurana e Anlise de Vulnerabilidades Ambiente Interno Se concentra em Topologia fsica e lgica Acessos fsicos e lgicos aos sistemas Segurana fsica Segregao dos ambientes Estrutura de comunicao interna

Anderson Aparecido Alves da Silva Aula 08

Gesto da Segurana da Informao Auditoria da Segurana e Anlise de Vulnerabilidades Ambiente Interno Se concentra em Reconhecimento da rede, servidores e sistemas Possibilidade de anlise local de servidores Seleo e anlise de segurana em servidores crticos Escalonamento de privilgios Verificao de acesso a informaes crticas e confidenciais

Anderson Aparecido Alves da Silva Aula 08

09/09/2011

Gesto da Segurana da Informao Auditoria da Segurana e Anlise de Vulnerabilidades Ambiente Interno Se concentra em

Tentativas de explorao de vulnerabilidades conhecidas Polticas, processos e procedimentos de segurana Implementados Verificao de conformidade dos servidores com procedimentos de instalao e configurao segura
Bastion hosts
Anderson Aparecido Alves da Silva Aula 08
9

Gesto da Segurana da Informao Auditoria da Segurana e Anlise de Vulnerabilidades Ambiente Interno

Anderson Aparecido Alves da Silva Aula 08

10

09/09/2011

Gesto da Segurana da Informao Auditoria da Segurana e Anlise de Vulnerabilidades Ambiente Interno

Anderson Aparecido Alves da Silva Aula 08

11

Gesto da Segurana da Informao Auditoria da Segurana e Anlise de Vulnerabilidades Ambiente Interno

Anderson Aparecido Alves da Silva Aula 08

12

09/09/2011

Gesto da Segurana da Informao Auditoria da Segurana e Anlise de Vulnerabilidades Aplicaes Se concentra em Mapeamento das funcionalidades da aplicao Anlise das interaes entre cliente e servidor Descrio da arquitetura funcional da aplicao Levantamentos de interaes com o ambiente de Backoffice Conformidade com a poltica de segurana

Anderson Aparecido Alves da Silva Aula 08

13

Gesto da Segurana da Informao Auditoria da Segurana e Anlise de Vulnerabilidades Aplicaes Se concentra em Anlise de controles existentes Mecanismos de autenticao e autorizao Mecanismos de criptografia Mecanismos de controle de conexo ou sesso etc. Buffer overflow e injeo de cdigos Interao com outros sistemas

Anderson Aparecido Alves da Silva Aula 08

14

09/09/2011

Gesto da Segurana da Informao Do Processo de Auditoria e Anlise de Vulnerabilidades Processo de conduo Conduzida por entidade competente e neutra Confidencialidade das informaes: Informaes organizacionais levantadas durante a auditoria devem ser armazenadas internamente e de forma criptografada

Anderson Aparecido Alves da Silva Aula 08

15

Gesto da Segurana da Informao Do Processo de Auditoria e Anlise de Vulnerabilidades Processo de conduo A equipe envolvida na anlise deve estar sujeita a um NDA (non-disclosure agreement) Prever possibilidade de realizar a anlise de tal forma que no gere riscos de descontinuidade dos servios Neste caso, a anlise no contempla os testes de DoS e DDoS

Anderson Aparecido Alves da Silva Aula 08

16

09/09/2011

Gesto da Segurana da Informao Dos Resultados Esperados da Auditoria e Anlise de Vulnerabilidades

Resultados Esperados Domnios, faixas de endereamento e a descrio do prprio sistema em anlise Servidores, servios e sistemas afetados Ameaas e Vulnerabilidades encontradas Impacto Risco envolvido Recomendaes para corrigir ou mitigar riscos Tempo provvel de implementao das correes
Anderson Aparecido Alves da Silva Aula 08
17

Gesto da Segurana da Informao Dos Resultados Esperados da Auditoria e Anlise de Vulnerabilidades

Resultados Esperados

Anderson Aparecido Alves da Silva Aula 08

18

09/09/2011

Gesto da Segurana da Informao Dos Resultados Esperados da Auditoria e Anlise de Vulnerabilidades

Resultados Esperados

Anderson Aparecido Alves da Silva Aula 08

19

Gesto da Segurana da Informao Dos Resultados Esperados da Auditoria e Anlise de Vulnerabilidades

Resultados Esperados

Anderson Aparecido Alves da Silva Aula 08

20

10

09/09/2011

Gesto da Segurana da Informao Dos Resultados Esperados da Auditoria e Anlise de Vulnerabilidades

Resultados Esperados

Anderson Aparecido Alves da Silva Aula 08

21

Gesto da Segurana da Informao Dos Resultados Esperados da Auditoria e Anlise de Vulnerabilidades

Resultados Esperados

Anderson Aparecido Alves da Silva Aula 08

22

11

09/09/2011

Gesto da Segurana da Informao Dos Resultados Esperados da Auditoria e Anlise de Vulnerabilidades

Resultados Esperados

Anderson Aparecido Alves da Silva Aula 08

23

Gesto da Segurana da Informao Dos Resultados Esperados da Auditoria e Anlise de Vulnerabilidades

Resultados Esperados

Anderson Aparecido Alves da Silva Aula 08

24

12

09/09/2011

Gesto da Segurana da Informao Dos Resultados Esperados da Auditoria e Anlise de Vulnerabilidades

Resultados Esperados

Anderson Aparecido Alves da Silva Aula 08

25

Gesto da Segurana da Informao Dos Resultados Esperados da Auditoria e Anlise de Vulnerabilidades

Resultados Esperados

Anderson Aparecido Alves da Silva Aula 08

26

13

09/09/2011

Gesto da Segurana da Informao Dos Resultados Esperados da Auditoria e Anlise de Vulnerabilidades

Resultados Esperados

Anderson Aparecido Alves da Silva Aula 08

27

Gesto da Segurana da Informao Auditoria da Segurana da Informao

Referncias
Notas de aula Prof. Dr. Adilson Eduardo Guelfi

Anderson Aparecido Alves da Silva Aula 08

28

14