Você está na página 1de 51

Pensando em Ameaas e Riscos

VULNERABILIDADES
Ausncia de proteo cobrindo uma ou mais ameaas. Fraquezas no sistema de proteo. No importa a definio usada, vulnerabilidades so claramente associadas com ameaas.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Exemplos
A ameaa a acesso no autorizado est ligada a controles de acesso inadequados. A ameaa de perda de dados crticos e apoio ao processamento se deve ao planejamento de contingncia ineficaz.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Um outro exemplo

A ameaa de incndio est associada a vulnerabilidade da preveno contra incndio inadequada. Ameaas podem atingir determinados bens.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Bens
Bens Tangveis Aqueles que so paupveis: HW, SW, suprimentos, documentaes, ... Bens Intangveis Pessoa, reputao, motivao, moral, boa vontade, oportunidade, ...
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Bens
Os bens mais importantes so as informaes. Informaes ficam em algum lugar entre os bens tangveis e os intangveis.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Informaes Sensveis
Informaes, que se perdidas, mal usadas, acessadas por pessoas no autorizadas, ou modificadas, podem prejudicar uma organizao, quanto funcionamento de um negcio, ou a privacidade de pessoas.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Ameaas
Uma ameaa um evento que acarreta algum perigo a um bem. Evento um fato causador de perda. Exemplo de evento-ameaa: um email de autenticidade forjada com um cavalo de tria.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Agente de uma Ameaa


uma entidade que pode iniciar a ocorrncia de uma ameaa. Entidade: uma pessoa (o invasor, intruso). ( desastres naturais, incndio, falha de HW ??? ) Em todas as ameaas deste captulo, uma pessoa o agente do erro e um computador a vtima.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Ameaas No Intencionais
Erros humanos, Falhas em equipamentos, Desastres naturais, Problemas em comunicaes.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Ameaas Intencionais
Furto de informao, Vandalismo, Utilizao de recursos, violando as medidas de segurana.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Consequncias

Referem-se aos resultados indesejados da ao (ocorrncia) de uma ameaa contra um bem, que resulta em perda mensurvel para uma organizao.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Risco
uma medida da probabilidade da ocorrncia de uma ameaa. a probabilidade do evento causador de perda ocorrer. Um risco corresponde ao grau de dano. Quase todo risco tem uma consequncia, que pode ser de difcil previso.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Ameaas, Riscos
Ameaas variam em severidade. Severidade: grau de dano que a ocorrncia de uma ameaa pode causar a um sistema. Riscos variam em probabilidade.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Objetivo da Segurana da Informao


Controlar o acesso s informaes. Somente pessoas devidamente autorizadas devem estar habilitadas a apreciar, criar, apagar ou modificar informaes.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Controle de Acesso impe quatro requisitos


(1) Manter confidenciais informaes pessoais sensveis. (2) Manter integridade e preciso das informaes e dos programas que a gerenciam.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Controle de Acesso impe quatro requisitos


(3) Garantir que os sistemas, informaes e servios estejam disponveis (acessibilidade) para aqueles que devem ter acesso. (4) Garantir que todos os aspectos da operao de um SI estejam de acordo com as leis, regulamentos, licenas, contratos e princpios ticos estabelecidos (tica).
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Sobre requisitos
Impedir acesso a alguns usurios (requisito 1) e autorizar fcil acesso a outros (requisito 3) requer filtragem muito bem feita. Filtragem, corresponde a introduo de controles de segurana que visem a reduzir riscos.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Confidencialidade Integridade Acessibilidade Leis / tica

Cavalos de Tria Vrus Worms Vazamento de Informaes Elevao de Privilgios Pirataria Emanaes Falhas de Hardware Fraude
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Falsificao Backdoor Erros Humanos Impedimento de Uso Desfalque Informaes Imprecisas Incndios ou Desastres Naturais Bombas Lgicas Erro de Representao
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Danos intencionais em dados ou programas. Sniffers Sobrecarga Entrada Inesperada Erros de Programao Sabotagem Controle de verso. Furto
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Cavalo de Tria
Programa que se apresenta executando uma tarefa e na realidade faz outra. Ameaa : C, I, A. Preveno: muito difcil. Deteco: pode ser muito difcil. Severidade: potencialmente muito elevada.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Vrus
um programa que infecta outros programas por modific-los. A modificao inclui uma cpia do vrus, o qual pode ento infectar outros. Ameaa : I, A Preveno: pode ser difcil. Deteco: normalmente imediata. Severidade: pode ser baixa ou potencialmente muito elevada.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Worms
um programa de rede que usa conexes de rede para se espalhar de sistema a sistema. Uma vez ativo, dentro de um sistema, um worm pode comportar-se como a vrus, pode implantar programas cavalos de tria ou realizar qualquer ao destrutiva. Um worm se replica usando algum veculo de rede: facilidade de email, capacidade de execuo remota e capacidade de login remoto.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Worms
Ameaa : Integridade, Acessibilidade. Preveno: pode ser difcil. Deteco: normalmente imediata, atravs de antivrus. Severidade: pode ser baixa ou potencialmente muito elevada.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Pirataria de Software
Cpia ilegal de software e documentao e reembalagem para comercializao. Ameaa : Leis / tica Preveno: muito difcil. Deteco: Pode ser difcil. Frequncia: extremamente comum. Severidade: Potencialmente muito elevada.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Erros de Programadores
Erros naturais de programao ao codificar, provocando bugs em propores alarmantes. Ameaas : C, I, A Preveno impossvel. Deteco: s vezes difcil Frequncia: comum. Severidade: potencialmente muito elevada.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Sniffers
Programas que podem ler qualquer aspecto de trfego em uma rede, como por exemplo, capturando senhas, emails e arquivos. Ameaa : Confidencialidade. Preveno: impossvel. Deteco: possivelmente detectados. Severidade: potencialmente muito elevada.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Desfalque
Normalmente se refere a furto de dinheiro. Ameaa : integridade e recursos. Preveno: difcil. Deteco: pode ser difcil. Frequncia: desconhecida. Severidade: potencialmente muito elevada.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Fraude
Qualquer explorao de sistema de informao tentando enganar uma organizao ou tomar seus recursos. Ameaa : Integridade. Preveno: difcil. Deteco: difcil. Frequncia: desconhecida. Severidade: potencialmente muito elevada.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Falsificao
Criao ilegal de documentos ou registros, intencionalmente produzidos como reais. Ameaa : I e outros recursos. Preveno: pode ser difcil. Deteco: pode ser difcil. Frequncia: desconhecida. Severidade: potencialmente muito elevada.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Backdoor
Um programa que colocado numa mquina, como se fosse um servio associado a uma porta, mas que tem a incumbncia de fazer uma intruso. Ameaa : C. I, A. Preveno: muito difcil. Deteco: possivelmente detectvel. Severidade: potencialmente muito elevada.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Controles e Protees
Controles so esforos que reduzem a probabilidade associada aos riscos. Protees so controles fsicos, mecanismos, polticas, ou seja, procedimentos que protegem os bens de ameaas. Exemplos de proteo: alarmes, senhas, biometria, mtodos de autenticao.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Protees
Os tipos de protees selecionados dependem da funo pretendida dos bens e valores. Na indstria privada ou reparties do governo, a disponibilidade e a integridade dos bens podem ser a preocupao bsica. No meio militar, a confidencialidade pode ser mais importante.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Custos das Medidas


Os gastos com segurana devem ser justificados como qualquer outro. A chave para selecionar medidas de seguranas adequadas a habilidade de estimar a reduo em perdas depois da implementao de certas protees.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Custo-Benefcio
Uma anlise de custo-benefcio permite justificar cada proteo proposta. O custo das medidas de segurana deve ser sempre inferior ao valor das perdas evitadas (ou danos que podem ser causados).
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Exposies

Exposies so reas (redes, mquinas, ... ) com probabilidade de quebra maior que outras.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Objetivos do Especialista em Segurana


Apresentar controles para modificar as exposies, de modo que todos os eventos de determinada severidade tenham a mesma probabilidade. Minimizar o custo de controles, ao mesmo tempo, maximizando a reduo de exposies.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Gerenciamento de Riscos
Engloba o espectro de atividades, incluindo os controles, procedimentos fsicos, tcnicos e administrativos, que levam a solues de segurana de baixo custo.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Gerenciamento de Riscos

Procura obter as protees mais efetivas contra ameaas intencionais (deliberadas) ou no intencionais (acidentais) contra um sistema computacional.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Gerenciamento de Riscos
Tem quatro partes fundamentais. Anlise de Risco (determinao de risco) Seleo de Proteo Verificao Tcnica Planejamento de Contingncia

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Anlise de Risco
Pedra fundamental da gerncia de riscos. Procedimentos para estimar a probabilidade de ameaas e perdas que podem ocorrer devido a vulnerabilidade do sistema. O propsito ajudar a detectar protees de baixo custo e prover o nvel de proteo necessrio.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Seleo de Proteo
Os gerentes devem selecionar protees que diminuem certas ameaas. Devem determinar um nvel de risco tolervel e implementar protees de baixo custo para reduzir perdas em nvel aceitvel.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Seleo de Proteo
As protees podem atuar de diversos modos: - Reduzir a possibilidade de ocorrncia de ameaas. - Reduzir o impacto das ocorrncias das ameaas. - Facilitar a recuperao das ocorrncias das ameaas.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Seleo de Proteo
A gerncia deve focalizar reas que tm grande potencial para perdas. As protees devem ter boa relao custo-benefcio, isto , trazer mais retorno que os gastos com implementao e manuteno.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Verificao das Protees


Verificao tcnica de que as protees e controles selecionados so adequados e funcionam corretamente. Importante em gerncia de risco.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Planejamento de Contingncia

Eventos indesejados acontecem, independente da eficincia do programa de segurana.

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Planejamento de Contingncia
um documento ou conjunto de documentos que permitem aes antes, durante, e depois da ocorrncia de evento no desejado (desastre) que interrompe operaes da rede. Permite uma resposta controlada que minimiza danos e recupera operaes o mais rpido possvel.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Causas quase catastrficas ou catastrficas


Utilizao de Dados de Teste em ambientes produtivos. Software prejudicial intencional. Incndio, inundao. Falha de Perifrico. Falha de Comunicao. Furto de bens fsicos. Defeito na fonte energia, picos de tenso.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Plano de Contingncia
Deve detalhar: - responsabilidades - aes antes da ocorrncia ... - aes durante ... - aes de recuperao ... - aes para restabelecer operaes normais de uma rede.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral