ABNT NBR/IEC 27000

VISÃO GERAL E VOCABULARIO SGSI E REFERENCIA AS NORMAS DA FAMILIA 27000

27001 DEVE SER FEITO

27002 RECOMENDAÇÕES
27003 DIRETRIZES PARA IMPLATAÇÃO DE UM SGSI
27004 MONITORAMENTO, ANALISE, AVALIAÇÃO E MEDIAÇÃO
27005 GESTÃO DE RISCO de segurança da informação
27006 REQUESITOS PARA EMPRESAS DE AUDITORIA E CERTIFICAÇÃO DE SGSI
27007 DIRETRIZES PARA AUDITORIA DE SGSI

SGSI ? SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO

SISTEMA
GESTÃO
SEGURANÇA
INFORMAÇÃO

NORMA ISO 27001:2013 decisão estrategica de SGSI

essa norma prove REQUESITOS PARA ESTABELECER, IMPLEMENTAR, MANTER E MELHORAR
CONTINUAMENTE um SGSI
sofre influencias de acordo com a necessidades, tamanho e estrutura da
organização
para que serve ? preserva as prioridades da segurança da informação

CID ? PILARES DA SEGURANÇA DA INFORMAÇÃO

Confidencialidade
Integridade
Disponibilidade CID

ISO 27001 ESPECIFICAÇÃO E REQUESITOS DO ISMS

pode ser usada por partes internas e externas

requesitos genericos que podem ser aplicados a todas as organizações

REQUESITOS 27001

CLPAOM

4 CONTEXTO DA ORGANIZAÇÃO

5 LIDERANÇA (liderança e comprometimento

politica
autoridades,responsabilidades e papeis)

6 PLANEJAMENTO (geral
avaliação de risco de SI
tratamento de risco de SI
objetivos de SI e planejamento para alcança-los)

7 APOIO ( recursos
competencia
concientização
comunicação
informação documentada ( geral
criando e atualizando
controle da informação documentada
8 OPERAÇÃO ( planejamento operacional e controle
avaliação de risco de SI
tratamento de risco de SI

9 AVALIAÇÃO DE DESEMPENHO ( monitoramento,

mediação
analise e avaliação
auditoria interna
analise critica pela direção

10 MELHORIAS ( não conformidade e ação corretiva

melhorias continuas

atenção
>NÃO E ACEITAVEL EXCLUSÃO DE NENHUM DOS REQUESITOS <<

Iso 31000 norma mais abraangente

*****************************************
TJSE
*****************************************
*
*
V

hexagrama parkeriano-------
*confidencialidade* 1
*posse ou controle* 2
*integridade* 3
*autenticidade* 4
*disponibilidade* 5
*utilidade* 6

VIRUS > PROGRAMA OU parte de programa que se propaga inserin do copias de si mesmo
e se tornando parte de outros programas e arquivos

BOMBA LOGICA > inativo dentro de certos periodos se tornando ativo em datas
especificas ou sob determinadas condiçoes

WORM > se propaga altomaticamente entre redes de computadores criando e enviando

copia de si mesmo
não se ospeda em programas e em arquivos e não precisa ser executado para começar a
infecção

BOT > comunicação com o invasor que permite que ele seja controlado remotamente
pode ocorrer em canais IRC, SERVIDORES WEW E REDES DO TIPO P2P ENTRE OUTROS
UM COMPUTADOR INFECTADO POR BOT VIRA ZUMBI

e a botnet uma rede de computadores infectado por bots

SYPWARE > SOFT ESPIÃO pode ser considerado malicioso ou inofencivo

projetado para monitorar as atividades de um sistema e enviar as informações
coletadas para terceiros

*KEYLOGGER . captura e armazena as teclas digitadas pelo usuario

SCEENLOGGER . armazena a posição do curso e a tela apresentada no monitor

ADWARE . apresenta propagandas, quando aas propagandas são direcionadas de acoro

com a navegação do usario sem que ele saiba que esta sobre tal monitoramento

BACKDOOR > permite o retorno de um invasor a um computador comprometido por meio da

inclusão de serviços criados ou modificados paara este fim

CAVALO DE TROIA ( TROJAN ) . EXECUTA FUNÇÕES as quais foi aparentemente projetado e

tambem executa outras funções normalmente malisiosas sem o conhecimento do usuario

ROOTKIT > conjunto de programas e tecnicas que permite esconder e assegurar a

presença de um invasor
ou de outro codio malicioso em um computador comprometido
remove evidencias de looges
intala outros codigos como backdoor
esconde atividade e informações de todo tipo

RAMSONWARE > INFECTA COMPUTADOR CRIPTOGRAFANDO SUAS INFORMAÇÕES E ARQUIVOS PARA

LIMITAR E IMPEDIR ACESSO AOS DADOS OU INFORMAÇÕES DE UM SISTEMA
*crypto > impede acesso aos dados
*locker > impede acesso ao recurso computacional

normalmen te pedido resgate para liberar dados

INSIDER . funcionario ou exfuncionario e pessoas infiltradas realizam ataques de

dentro da organização

white at hacker do bem

black hat . hacker do mal

hacktivistas > cyber terroristas

e utilizam ataques como
defacement > defacement > pixação online de paginas
ddos

phreaker > crackers de telefonia

espinonam ligações
realizam ligações gratuitas aparti do cel de terceiros

*carder . grupos de pessoas que atuan na fraude de cartões na internet

varredura em redes ( scan) atividade legitima quando feita por pessoas autorizadas

port scanning > informação dos serviços ativos por meio de mapeamento das portas
TCP E UDP

NMAP > ferramenta muito utilizada para port scanning

( email spoofing > atua no protocolo smtp ) spoofing> falsicação, mascaramento

sniffing > inspecionar dados trafegados em redes de computadores

scamming > utilização de perfis falsos / maliciosos para aplicar golpes na internet

sniffer > capturar pacotes que trafegan na rede

SMURF > ataque feito com envio de enorme quantidade de pacotes ping com o protocolo
ICMP ECHO REQUEST
o endereço ip de retorno do pacote ping e forjado com o IP do computador da vitima

PHISHING > tecnica para obter dados pessoais e financeiros atraves de envio de
mensagens eletronicas falsas POR EX EMAIL , paginas falsas de comercio eletronico
ou internet banking

PHISHING SCAM > tenta obter pessoais e financeiros atraves tecnecicas de engenharia
social

pharming > redericionamento da navegação do usuario para sites falsos por meio da
alteração no serviço de DNS

DNS CACHE POISONIG > alterações no serviço de DNS

comprometimento do servidor de DNS do provedor
codigos maliciosos projetados para alterar o comportamen to do serviço de DNS do
seu computador
atacante altera as configurações do servio DNS do seu computador ou modem de banda
larga

NEGAÇÃO DE SERVIÇO > DoS = demial of serviço

tecnica pela qual um atacante utiliza um computador para tirar de operação um
serviço , um computador ou uma rede
objetivo de eexaurir os recursos acarretando a indisponibilidade
usuarios legitimos deixam de ter acesso
exploram vulnerabilidades do alvo

DDOS > distributed demial of serviço > consiste em um ataque dustribuido de negação
de serviço utilizando uma BotNet > computadores zumbi que são infectado por bot

SYN FLOODING > esse ataque explora mecanismo ppara estabelecimento de conexão do
protocolo TCP o THE WAY HANDSHAKE
enviado pacotes tcp com a flag SNY para que o serve responda com SNY-ACK porem não
obtem resposta e fica aguardando e reservando recursos ESGOTANDO OS RECURSOS DO
BUFFER DE COMUNICAÇÃO DO SERVIDOR ALVO POR MEIO DE VARIOS TCP SYN
pois o atacante mascara sua origemk com a tecnica do >>IP SPOOFING <<
que acabam impossibilitando a conexão de um usuario legitimo

SESSIOON HIJACKING ( SEQUESTRO DE CONEXOES )> O ATACANTE realiza a intercpetação da

comunicação podendo alterar e criar informações

***********************************************
UFFER OVERFLOW ( ESTOURO DE BUFFER )
buffer = regiao de armazenamento temporario na memoria
overflow = transbordamento
envia-se mais dados que o buffer pode manipular tomando toda pilha de memoria
ataque usado para
*execução de codigos arbitrarios
*perda ou modificação dos dados
*paralisação de todo sistema

**********************

SQL INJECTION injeção de sql > explora vuçnerabilidades na entradas de aplicações

o ataque insere ou manipula consultas SQL criadas pela aplicação tecnica que
'engana' formulario de login
comandos DML select,insert, update, delete ou DDL create drop, alter
para se protege desse tipo de ataque e por meio da valiação de dados

CROSS SITE SCRIPTING ataque de CSS OU XSS

EXPLORA A CONFIANÇA DO CLEINTE NO SERVIDOR

ameaça consiste na injeção de codigos maliciosos script( javascript ou VBScript em

um campo de texto de uma pagina ja existente que o usuario confia

ex simular pagina de login e captura valores digitados

tem dois tipos desse ataque

persistente stored > codigo malicioso pode ser permanente e armazena dados
coletados em servidor web
atinge grande numeros de usuarios

não persistente refletida > a injeção maliciosa e feita somene para aquela
solicitação feita pelo usuario ( sequestro de sessoes , roubo de credenciais ou a
realização de atividades arbitrarias

CROSS SITE REQUEST FORGERY > explora a confiança do servidor no navegador do

cliente
apos a autenticação os arquivos da sessao(cookies) sao capturados pelo atacante
atacante insere requisições

******************

exploits > criados para explorar vulnerabilidades desconhecidas pelo fabricante

ATAQUE ZERO DAY

ataque de exploit de dia zero
ocorre no mesmo dia em que um ponto fraco e for descoberto no software
ele e explorado antes que sua correção seja disponibilizada pelo seu criador

---------------------------------------
ATAQUES ATIVOS > modificação, criação ou interrupção de um fluxo de dados
*REPETIÇÃO
*PERSONIFICAÇÃO(DISFARÇE)
*MODIFICAÇÃO(MENSAGEM)
*NEGAÇÃO DE SERVIÇO
>>>> atrelados a quebra da disponibilidade e integridade e quebra da
confidencialidade

ATAQUES PASSIVOS : monitoramento de trasmissoes, bisbilhotar

*REVELAÇÃO DE CONTEUDO
*ANALISE DE TRAFEGO
>>>> atrelados a quebra da confidencialidade

MOTIVAÇÕES de ataques

SCRIPT KIDDEIES > curiosidade e diversão

INSEDERS OU BLACK HATS > inanceira,fama,vingana,espionagem

CYBERTERRORISTAS>ideologicas,religiosas
NIVEIS DE SEGURANÇA

FootPrinting
e uma tecnica utilizada para levantamento de informações sobre um alvo

FINGERPRINT > indentificar sistema operacional do host

DUMPSTER DIVING OU TRASHING

consiste em verificar lixo

e legal

ENGENHARIA SOCIAL
enganar, ludibria
utilizar da fraqueza humana e sentimentos para se conseguir oque se quer

packet sniffing > capturar pacotes dentro de uma rede

poisoning > envenenamento do cash do DNS

RECONHECIMENTO DO ALVO > footprinting

1 levantamento de serviços-enumeração(port scanner(Nmap, netcat)

2 levantamento de vulnerabilidades-OpenVAS, nessus,etc

3 invasão do alvo> exploração do alvo

metasploit

-------------

obtenção de acesso > escalonamento de privilegios

quebra de arquivos de senha> keyloggers

manutenção do acesso > instalação do hootkit > backdoor

******************

APT > ataque de persistencia avançado

exfiltração de dados > retirar dados da organização sem que ela descubra
e a transferencia não altorizada de dados de um sistema informação

SE DIRIGEM A
organizações
pessoas selecionadas

***********************************

SISTEMAS DE DEFESAS

FIREWALL

permite o controle a autenticação e os resistros de todo trafego da rede ,

permitindo acesso ou negando acesso a rede de acordo com a policita de segurança
da organização

tipos de ------------firewall--------------------
FILTROS DE PACOTES
stateless . estatico/stateless
statefull . dinamico/statefull ou baseado em estados

PROX
gateway . circuito
gateway . aplicação

HIBRIDOS ?
---------------------------------
FIREWALL TIPOS DE PACOTES / CLASSICO / ESTATICO
atua na camada de REDE(IP) E TRANSPORTE(PORTAS)
ele realiza filtragens permitindo ou negado conexão de acordo com determinadas
faixas de ip ou portas utilizadas
VANTAGENS > DESEMPENHO

FIREWALL > filtro de pacotes dinamico

ele utiliza uma tabela de estados, baseadas no historio das conexões

FIRE PROX - GATEWAY CIRCUITO

Funciona como um intermediario entre o cliente e o servidor

PROBLEMA não verificam os serviços

ex alteração da porta

PROX GATEWAY APLICAÇÃO

atuam na camada de aplicação
filtram os dados(payload) dos pacotes
ex proxy HTTP

vantagens > maior segurança

FIREWALL HIBRIDO

mistura os dois tipos de firewall

FIREWAL > WAF (web aplication)

ATua em servidores web atuando na camada de aplicação

outras funcionalidades
NAT
VPN
AUTENTICAÇÃO E CERTIFICAÇÃO
BALANCEAMENTO DE CARGA
ALTA DISPONIBILIDADE E ANTI VIRUS

*************************************

ARQUITETURAS DE FIREWALL

bastion host ( servidores fortificados)

serviços oferecidos para internet

executam apenas serviços e aplicações necessarias( ultima versão)
com as atualizações devidas( ex patches de segurança0
arquiteturas de rifewall

DUAL HOMED HOST

SCREENED HOST
SCREENED SUBNET ( DMZ > ZONA DESMILITARIZDA)

dual-homed host > equipamento com regras de filtragens com duas interfaces de rede
> um para um lado externo e outra para o interno

screened host > ele constituida de dois componentes

ex da internet para a maquina
primeiro passa pelo screenig router para o bastion host para depois ser liberado
acesso aos host
tanto para entrar ou sair da rede
PARA IMPLEMENTAR > intalar um bastion host entre o roteador e a rede interna

screened subnet DMZ

SUB REDE que onde ficara os bastion host que são utilizados para os
equipamentos,servidores
ex servidor web,serv de aplicação
caracterista dois roteadores e um bastion host

***********************************

sistema de detecção de intrusão IDS

SISTEMA PARA DETECTAR INVASORES
alertando, mas na~executa contra medidas ele somente alerta os adm

trabalha inline ou integrado ao kernel dos host

sao passivos
capaz de detectar e alerta os administradores
funcionam como sniffer

ex > ataques atraves de portas permitidas não indentificados pelo firewall

sistema de prevenção a intrusão IPS

sistemas ATIVOS

alem de alerta os ADM ele realiza contra medidas para impedir o ataque, tomando as
contra medidas necessarias para impedir a continuidade da atividade maliciosa

AMBAS SE UTILIZAM DE DUAS METODOLOGIAS DE DETECÇÃO

Knowledge-based intrusion detection ( baseada em conhecimento)

BASE DE DADOS SOBRE ATAQUES CONHECIDOS

Behavior-Based intrusion Detection ( BASEADO EM COMPORTAMENTO)

BASEADA EM DESVIOS DE COMPORTAMENTO DE USUARIOS E SISTEMAS
obs > tambem conhecida como baseada em anomalia ou perfil

ambas APRESETAM MUITOS FALSOS POSITIVOS

OQUE E ESPERADO DOS RESULTADOS DAS ANALISES

esperado
atividade suspeita detectada como SUSPEITA > POSITIVO
atividade legitima detectada como LEGITIMA > NEGATIVO
NÃO ESPERADO

atividade LEGITIMA detectada como SUSPEITA > FALSO P

atividade SUSPEITA detectada como LEGITIMA > FALSO N

*****************************

HIDS > IDS BASEADO EM HOST

NIDS > IDS BASEADO EM REDE

IPS BASEADO EM HOST > HIPS

IPS BASEADO EM REDE > NIDS

BASEADOS EM host e rede

HOST
monitora acesso e alteraões
arquivos de sistema
privilegios dos usuarios
programas de sistema
programas em execução

REDE
monitora trafego do seguemento de rede
interface de rede em modo promiscuo

honeypot > e um recurso computacional de segurana dedicado a ser sondado, atacado

ou comprometido
em resumo e uma isca
sua função e detecta e armazena informações de ataques
mas serve para que o adm aprenda sobre os ataques

exitem dois tipos deles

baixa interatividade > utilizado em sistemas emulados
alta interatividade > os atacantes vao interagir com os sistemas operacionais, e
aplicações reais ]

honeynet > e uma ferramenta de pesquisa, e uma rede que foi projetada para ser
comprometida
uma rede de pesquisa

honeynet > real > utilizada em meios fisicos

honeynet > virtual > utilizada em meios virtuais > maquinas virtuais VM ware

*****************************************

UTM / NGFW > SOLUÇÕES DE SEGURANÇAS

UTM > gerenciamento unificado de ameaças / e um equipamento que ja vem com firewall

oque vem nele.....

firewall
antiviruscontre de acesso a internet e a sites
balanceamento de links de internet
VPN
filtro de conteudo
controde de acesso wireless
relatorios
e os recursos podem variar de acordo com o fabricante

e ele e uma soluçaõ unica

problema dele > baixa perfomaçe pois tem muitos recurso

e são mais indicados para pequenas e medias organizaçõe

NEXT generation firewall ( NGFW )

foram desenvolvidos para resolver a deficiencia de perfomace apresentada nos UTMs

atraves da remoção de recurso como antivirus e proxy web

e recebem adição de recursos de controle de aplicação e inspeção profunda de

pacote DPI

****************************************

NAC ( Network Access Control )

um sistema de gerenciamento implementação e aplicação de politicas de segurança da

integridade do host

produzidos em software ou appliance

FUNCIONALIDADE DO NAC

identificação e autorização dos acessos de computadores pessoais

verificação da atualização das asssinaturas de antivirus e patches dos dispositivos

sem necessidades de possuir agente / ser intalado na maquina

providencia a tomada de medidas de segurança como isolamento,quarentena, dentre

outras nos dispositivos comprometidos

***************************

NAP > network access protection - NAP

desenvolvido pela microsoft

NAP > proteção de acesso a rede

e um conjunto de componente do sistema operacional que fornecem uma plataforma para

acessoa protegido a redes privadas

avalia a integridade do sistema de um cliente de rede que esta tentando se conectar

ou se comunicar em uma rede

restringindo acesso a rede ate que os requesitos da politica de integridade sejam

atendidos

quando e aplicavel

verifica a integridade e o status dos laptops moveis

verifica a integridade dos cumputadores desktop
verifica a conformidade e integridade dos computadores em escritorio remotos
determina a integridade dos laptops visitantes
verifica a conformidade ea integridade dos computadores domesticos não geenciados
atua como cliente e servidor e servido e cliente

SoH > DELACLARAÇÃO DE INTEGRIDADE

SHA > agente de integridade do sistema > verifica a integridade do sistema

agente NAP > faz as declaração de integridade do cliente e envia para o serv

cliente de imposição > permite o acessoa uma rede instalada no cliente

validadores de integridade do sistema SHV ele valida o SHA

SoHR > resposta a declaração de integridade

componente que responde o cliente apos as devidas validações

O NAP funciona em redes windows e permite aos adm de ssitema definirem politicas
que permitam ou neguem acesso a uma estação na rede