Thiago Sampaio

Informática para concursos

Segurança da Informação
Princípios da segurança

CONFIDENCIALIDADE
(NÃO ACESSO)
NÃO REPÚDIO
(IRRETRATABILIDADE)

AUTENTICIDADE INTEGRIDADE
CONFIABILIDADE
(LEGÍTIMO) (NÃO ALTERAÇÃO)

CONFORMIDADE
(LEGALIDADE) DISPONIBILIDADE
(DISPONÍVEL)
Política de Segurança
A política de segurança define os direitos e as responsabilidades de cada um em relação à segurança dos recursos
computacionais que utiliza e as penalidades às quais está sujeito, caso não a cumpra.

É considerada como um importante mecanismo de segurança, tanto para as instituições como para os usuários, pois com ela é
possível deixar claro o comportamento esperado de cada um. Desta forma, casos de mau comportamento, que estejam previstos
na política, podem ser tratados de forma adequada pelas partes envolvidas.

A política de segurança pode conter outras políticas específicas, como:

Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra
de formação e periodicidade de troca.
Política de backup: define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção
e frequência de execução.
Política de privacidade: define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários.
Política de confidencialidade: define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a
terceiros.
Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP): também chamada de "Termo de Uso" ou "Termo de Serviço",
define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são
consideradas abusivas.
Fonte: Cartilha.cert.br
Políticas de segurança

Controle de Acesso Físico - Administram o acesso de pessoas, veículos e materiais a uma área restrita
e protegida. Ex: Alarmes, sensores de presença, câmeras de vídeo, catracas...

Controle de Acesso Lógico – Impedir que pessoas acessem documentos, dados ou

qualquer tipo de informação sem a autorização adequada. Ex: Senhas, firewalls, antivírus, encriptação
de dados ...
GRUPOS DE AUTENTICAÇÃO

3
Aquilo que o usuário sabe. Aquilo que o usuário é.
(Senhas, perguntas secretas...) (Biometria...)

Aquilo que o usuário possui.

(Token, cartão com senhas...)
POLÍTICA DE MESA LIMPA

A política de mesa limpa e tela limpa se refere a práticas relacionadas a assegurar que informações sensíveis, tanto em formato
digital quanto físico, e ativos (e.g., notebooks, celulares, tablets, etc.) não sejam deixados desprotegidos em espaços de trabalho
pessoais ou públicos quando não estão em uso, ou quando alguém deixa sua área de trabalho, seja por um curto período de tempo
ou ao final do dia.

Uma vez que informações e ativos em uma área de trabalho estão em um de seus lugares mais vulneráveis (sujeitos a divulgação ou
uso não autorizado, como previamente comentado), a adoção de uma política de mesa limpa e tela limpa é uma das principais
estratégias a se utilizar na tentativa de reduzir os riscos de brechas de segurança. E, felizmente, muitas das práticas requerem baixa
tecnologia e fáceis de implementar, tais como:

Use de áreas com trancas: gavetas com trancas, armários de pastas, cofres e salas de arquivo deveriam estar disponíveis para
armazenar mídias de informação (e.g., documentos em papel, pendrives, cartões de memória, etc.) ou dispositivos facilmente
transportáveis (e.g., celulares, tablets e notebooks) quando não em uso, ou quando não houver ninguém tomando conta deles. Além
da proteção contra acesso não autorizado, esta medida também pode proteger a informação e ativos contra desastres tais como
incêndios, terremotos, inundações ou explosões.

Proteção de dispositivos e sistemas de informação: computadores e dispositivos similares deveriam estar posicionados de tal forma
a evitar que transeuntes tenham a chance de olhar as telas, e configurados para usar protetores de tela ativados por tempo e
protegidos por senha, para minimizar as chances de que alguém tire vantagem de equipamentos desacompanhados.
Adicionalmente, sistemas de informação deveriam ter sessões encerradas quando não em uso. Ao final do dia os dispositivos
deveriam ser desligados, especialmente aqueles conectados em rede (quanto menos tempo o dispositivo permanecer ligado, menos
tempo haverá para alguém tentar acessá-lo).
Restrições ao uso de tecnologias de cópia e impressão: o uso de impressoras, fotocopiadoras,
scanners e câmeras, por exemplo, deveria ser controlado, pela redução de sua quantidade (quanto
menos unidades disponíveis, menor o número de pontos potenciais de vazamento de dados) ou pelo
uso de funções de código que permitam que somente pessoas autorizadas tenham acesso ao material
enviado a elas. E, qualquer informação enviada a impressoras deveria ser recolhida tão rapidamente
quanto possível.

Adoção de uma cultura sem papel: documentos não deveriam ser impressos desnecessariamente, e
lembretes não deveriam ser deixados em monitore ou sob teclados. Lembre-se, mesmo pequenos
pedaços de informação podem ser o suficiente para pessoa mal-intencionadas descobrirem aspectos
de sua vida, ou dos processos da organização, que possam ajudá-los a comprometer informações.

Descarte de informações deixadas em salas de reunião: todas as informações em quadros brancos

deveriam ser apagadas e todos os pedaços de papel usados durante a reunião deveriam estar sujeitos
a um descarte apropriado (e.g., pelo uso de picotadora).

FONTE: ABNT NBR ISO/IEC 27002:2013

 Hardening

Para proteger suas infraestruturas, os operadores das redes devem tomar medidas para analisar
suas vulnerabilidades, realizar um mapeamento das ameaças, mitigar ou minimizar os riscos e
executar atividades corretivas.

O principal objetivo é aprimorar a infraestrutura para enfrentar tentativas de ataques. Esse processo
é chamado de hardening.

O hardening envolve a autenticação do usuário, sua autorização de acesso, manutenção de registros

com vistas à auditorias e técnicas de acesso à infraestrutura. Além destas ações, também envolve a
manutenção de registros das operações, características de sistema, como por exemplo, manutenção
de softwares atualizados e permissão de que fiquem ativos somente os recursos efetivamente
utilizados e requisitos de configuração como manutenção de backups por exemplo.
Fonte: bcp.nic.br
Antivírus – Rastreador das principais pragas virtuais (Malwares).

Primeira Geração: escaneadores simples;

Segunda Geração: escaneadores heurísticos;

Terceira Geração: armadilhas de atividade;

Quarta Geração: proteção total.

 Firewall

Filtragem de pacotes e acessos indevidos. (filtro, sistema, mecanismo, ferramenta, dispositivo,

hardware ou software...
Quando bem configurado, o firewall pessoal pode ser capaz de:

registrar as tentativas de acesso aos serviços habilitados no seu computador;

bloquear o envio para terceiros de informações coletadas por invasores e códigos maliciosos;
bloquear as tentativas de invasão e de exploração de vulnerabilidades do seu computador e possibilitar a identificação das
origens destas tentativas;
analisar continuamente o conteúdo das conexões, filtrando diversos tipos de códigos maliciosos e barrando a comunicação
entre um invasor e um código malicioso já instalado;
evitar que um código malicioso já instalado seja capaz de se propagar, impedindo que vulnerabilidades em outros
computadores sejam exploradas.

Alguns sistemas operacionais possuem firewall pessoal integrado. Caso o sistema instalado em seu computador não possua
um ou você não queira usá-lo, há diversas opções disponíveis (pagas ou gratuitas). Você também pode optar por um
antimalware com funcionalidades de firewall pessoal integradas.

As configurações do firewall dependem de cada fabricante. De forma geral, a mais indicada é:

liberar todo tráfego de saída do seu computador (ou seja, permitir que seu computador acesse outros computadores e
serviços) e;

bloquear todo tráfego de entrada ao seu computador (ou seja, impedir que seu computador seja acessado por outros
computadores e serviços) e liberar as conexões conforme necessário, de acordo com os programas usados.
Fonte: Cartilha.cert.br
Tipos de Firewall

Filtragem de pacotes

O firewall de filtro de pacotes controla o acesso à rede analisando os pacotes de saída e de entrada. Na prática, ele permite que
um pacote passe ou seja bloqueado durante o caminho fazendo a comparação com critérios definidos antecipadamente, como:

Endereços IP permitidos;
Tipo de pacote;
Número de porta para acesso.

A técnica de filtragem de pacotes é ideal para redes pequenas, já que fica complexa quando implementada em redes maiores.
Esse tipo de firewall não pode impedir todos os tipos de ataques, pois ele não tem a capacidade de enfrentar os ataques que
usam vulnerabilidades nas camadas de aplicativos e lutar contra ataques de falsificação.
Tipos de Firewall

Inspeção de estados (stateful inspection)

O Stateful Packet Inspection (SPI), conhecido também como inspeção de dados, é uma poderosa arquitetura de
firewall que examina os fluxos de tráfego de ponta a ponta na rede. Esses firewalls inteligentes e rápidos usam uma
maneira inteligente de evitar o tráfego não autorizado, analisando os cabeçalhos dos pacotes e inspecionando o
estado de cada um.
 IDS (sistema de detecção de intruso)

IDS – Intrusion Detection System: Um IDS é uma ferramenta utilizada para

monitorar o tráfego da rede, detectar e alertar sobre ataques e tentativas de
acessos indevidos. Na grande maioria das vezes não bloqueia uma ação, mas
verifica se esta ação é ou não uma ameaça para um segmento de rede. A
vantagem de se utilizar um IDS é que ele, não interfere no fluxo de tráfego da
rede. Age passivamente.
 IPS (sistema de prevenção de intruso)

IPS – Intrusion Prevention System: Como complemento do IDS, temos o IPS, que tem a
capacidade de identificar uma intrusão, analisar a relevância do evento/risco e bloquear
determinados eventos, fortalecendo assim a tradicional técnica de detecção de intrusos. O IPS é
uma ferramenta com inteligência na maneira de trabalhar, pois reúne componentes que fazem
com que ele se torne um repositório de logs e técnicas avançadas de alertas e respostas, voltadas
exclusivamente a tornar o ambiente computacional cada vez mais seguro sem perder o grau de
disponibilidade que uma rede deve ter. O IPS usa a capacidade de detecção do IDS junto com a
capacidade de bloqueio de um firewall, notificando e bloqueando de forma eficaz qualquer tipo
de ação suspeita ou indevida e é uma das ferramentas de segurança de maior abrangência, uma
vez que seu poder de alertar e bloquear age em diversos pontos de uma arquitetura de rede. Age
ativamente.
 PROXY
Proxy é normalmente utilizado como ponte entre origem e destino de uma requisição.

Controle de acesso: É possível para os administradores do

servidor proxy permitir que determinados usuários tenham ou
não acesso a Internet através de restrições aplicadas ao login
do próprio usuário ou ao endereços IP, provendo ao ambiente
uma camada a mais de proteção.

Filtro de conteúdo: Estando no meio do caminho, o servidor

também permite que determinados sites sejam ou não
acessados. Dentre as regras que podem ser aplicadas estão as
destinadas ao bloqueio de sites específicos, podendo chegar ao
bloqueio de categorias inteiras.

Cache: Outro uso muito comum para Web Proxies é fazer com
que eles exerçam a função de cache. Isso faz com que, após um
acesso a uma página, o proxy armazene o conteúdo da página
em seu sistema. Após isso, as demais requisições à esta mesma
página não precisarão sair para a Internet, pois o conteúdo já
está armazenado na memória do proxy.
Backup (Becape)

Ação de copiar arquivos, como medida de segurança, permitindo sua recuperação

em caso de perda.
 Criptografia

A palavra criptografia tem origem grega e significa a arte de escrever em códigos

de forma a esconder a informação na forma de um texto incompreensível. A
informação codificada é chamada de texto cifrado. O processo de codificação ou
ocultação é chamado de cifragem, e o processo inverso, ou seja, obter a
informação original a partir do texto cifrado, chama-se decifragem.

Mensagem Original Mensagem Cifrada

Olá! Aluno do Gran On-line, OXFDASBNGJUSNDSD
seja bem-vindo! KSJDKJKSJKSJKSJKSJKSJ
KSJKJSKJP
Esteganografia
Simétrica – utiliza uma chave (Secreta/privada)
Dica: A chave é compartilhada entre os envolvidos

2º - Recebe o documento e
Remetente decifra com a chave privada
Destinatário

1º - Cifra o documento com a

chave privada
Assimétrica – utiliza duas chaves (Pública/Privada)
Dica: As chaves são sempre do Destinatário
Remetente 3º - Recebe o documento e Destinatário
decifra com a sua chave
privada

2º - Cifra o documento com a 1º - Gera a chave pública

chave pública do Destinatário e envia para o Remetente