PORTARIA “N” Nº 182 Rio de Janeiro, 27 de dezembro de 2012. ACRESCENTA A ARQUITETURA DE PADRÕES TECNOLÓGICOS DE INTEROPERABILIDADE - e-PINGRIO, NO SEGMENTO SEGURANÇA DE TECNOLOGIA INFORMAÇÃO E COMUNICAÇÃO (TIC), O PADRÃO TECNOLÓGICO PROTEÇÃO DE ESTAÇÕES DE TRABALHO E SERVIDORES.
O DIRETOR-PRESIDENTE DA EMPRESA MUNICIPAL DE INFORMÁTICA S.A. – IPLANRIO, no uso das atribuições que lhe são conferidas pela legislação em vigor, e,
CONSIDERANDO as disposições contidas na Portaria “N” Nº 173 de 19 de abril de 2012, que define o modelo de governança para padrões tecnológicos; RESOLVE:
Art. 1º Estabelecer como padrão tecnológico da Arquitetura de Padrões Tecnológicos de Interoperabilidade da Prefeitura da Cidade do Rio de Janeiro (e-PINGRIO), no segmento Segurança de TIC, o padrão Proteção de
estações de trabalho e servidores.
Art. 2º Todas as estações de trabalho e servidores no ambiente da PCRJ deverão seguir as políticas, conforme o contido na norma integrante desta portaria e descrita no ANEXO ÚNICO desta.
Art. 3º - Este padrão passa a compor o Catálogo de Padrões Tecnológicos e-PINGRIO 2012, sob o código P02-001, disponibilizado na intranet da IplanRio,
http://iplanet.rio.rj.gov.br.
ANEXO ÚNICO
1. IDENTIFICAÇÃO
Padrão Proteção de estação de trabalho e servidores
Segmento Segurança de TIC Código P02.001
Revisão --
2. PUBLICAÇÃO
Data para adoção 27 de dezembro de 2012
Publicação PORTARIA “N” Nº 182 Rio de Janeiro, 27 de dezembro de
2012.
3. PROPÓSITO DO PADRÃO
A proteção de sistemas de estação de trabalho e servidores visa manter a homogeneidade na TI, atender aos requisitos de segurança quanto a confiabilidade, integridade, disponibilidade e autenticidade, otimizar os recursos e normatizar a sua administração, estar em conformidade com a evolução tecnológica, acompanhar o ciclo de vida do software, garantir a disponibilidade de assistência técnica e suporte.
4. RESPONSÁVEL PELO PADRÃO
Órgão IplanRio
Diretoria DOP - Diretoria de Operações
Setor GIT - Gerência de Infraestrutura Tecnológica
Contato Gerente da GIT
5. DESCRIÇÃO DO PADRÃO
O padrão Proteção de sistemas de estação de trabalho e servidores visa definir a ferramenta que engloba funcionalidades que atendem a diferentes aspectos de segurança objetivando como resultado um ambiente seguro e eficaz para utilização de recursos computacionais.
ou zero-hora).
6. POLÍTICA E NORMATIZAÇÃO DE USO
6.1. Fica estabelecido como padrão tecnológico de proteção de sistemas de estações de trabalho e servidores para o suporte a segurança de sistemas operacionais, aplicativos e informações ou qualquer outro tipo de aplicação as ferramentas relacionados na especificação técnica como adotadas e recomendadas.
São eles:
a. Ambiente Windows Servidor: SEP – Symantec Endpoint Protection (Adotado) b. Ambiente Windows estação de trabalho: SEP – Symantec Endpoint Protection
(Adotado)
c. Ambiente Linux Red Hat: SAV para Linux – Symantec Antivírus para Linux
(Adotado)
d. Ambiente Mac OS: SEP – Symantec Endpoint Protection (Adotado)
6.2. As ferramentas diferentes das citadas anteriormente e que estejam em execução no DataCenter e nas estações de trabalho devem ser migradas destas para versões dos seus respectivos componentes em situação recomendado.
6.3. A Diretoria responsável pelo padrão deverá apresentar um plano de ação com o objetivo de instalar ou atualizar a ferramenta na situação adotada no parque computacional, no prazo de 90 dias a contar da data de publicação da portaria que a regulamenta.
6.4. A equipe responsável pelo padrão deverá apresentar um plano de ação para a migração das ferramentas não adotadas para as adotadas no prazo de 90 dias a contar da data de publicação da portaria que a regulamenta.
6.5. Com o objetivo de atualização, modernização e capacidade de melhor atender as demandas, os componentes do padrão tecnológico Proteção de sistemas de
estação de trabalho e servidores serão revistos pela Diretoria de Tecnologia da IplanRio com periodicidade de 180 dias a contar da data de publicação da
portaria que o regulamenta.
6.6. Caso ocorra a necessidade de instalação de Proteção de sistemas de estação
de trabalho e servidores, não recomendado, este deverá entrar em processo
de análise para migração para uma ferramenta de Proteção de sistemas de
estação de trabalho e servidores adotada ou recomendada.
6.7.1 Não sendo possível ou viável esta migração, a estação de trabalho ou servidor,
entrará em estado de quarentena até que se regularize a inviabilidade e, após este prazo, caso não seja cumprida a exigência, o dispositivo em questão não poderá ser conectado e ter acesso à rede de dados da PCRJ.
7. ESPECIFICAÇÃO TÉCNICA
7.1. Especificação dos componentes:
Componente Especificação Situação
Ambiente Windows Servidor SEP – Symantec Endpoint
Protection
Adotado
Ambiente Windows estação de trabalho
SEP – Symantec Endpoint Protection
Adotado
Ambiente Linux Red Hat Servidor
SAV para Linux – Symantec Antivírus para Linux
Adotado
Ambiente Mac OS SEP – Symantec Endpoint
Protection
Adotado
8. DEFINIÇÕES E ABREVIAÇÕES
Termo Definição
SEP Symantec Endpoint Protection – Proteção de ponto final Symantec
SAV Symantec Anti-Virus – Symantec Antivírus
Antivírus É um tipo de software usado para prevenir, detectar e
remover malwares, tais como: vírus, adware, backdoors, BHOs maliciosos, discadores, fraudtools, keyloggers, LSPs mal intencionados, rootkits, spyware, cavalos de tróia e worms. Inclui protecção a técnicas de engenharia social e é comumente oferecido em produtos e serviços de empresas de software antivírus.
Uma variedade de estratégias são tipicamente empregadas. Detecção baseada em assinaturas envolve a busca por padrões conhecidos de dados dentro de um código executável. No entanto, é possível que um computador seja infectado com malware novo para o qual nenhuma assinatura é ainda conhecido. Para combater tais chamados ameaças de dia zero, heurísticas podem ser usadas. Um tipo de abordagem heurística, assinaturas genéricas, podem identificar novos vírus ou variantes de vírus existentes, procurando conhecido código malicioso, ou pequenas variações de tal código, em arquivos. Alguns softwares antivírus também podem prever o que vai fazer um arquivo, ao simular a execução do seu código e analisar o que ele faz para ver se ele executa ações maliciosas.
Termo Definição
Anti Spyware É um tipo de ferramenta com a finalidade de interromper
aplicações do tipo Spyware que é um tipo de malware (software malicioso) instalado em computadores que coletam informações sobre os usuários sem o seu conhecimento. A presença de spyware é normalmente não percebida pelo usuário e pode ser difícil de detectar. Alguns spywares, como keyloggers, podem ser instalados pelo proprietário de um computador compartilhado, empresarial ou público intencionalmente a fim de monitorar os usuários.
Enquanto o termo spyware sugere software que monitora a computação de um usuário, as funções de um spyware podem ser estendidas além de monitoramento simples. O spyware pode coletar quase qualquer tipo de dados, incluindo informações pessoais, como hábitos de navegação na Internet, logins de usuário e informações bancárias ou de crédito em conta. O spyware também pode interferir no controle de usuário de um computador através da instalação de software adicional ou redirecionar navegadores. Alguns spywares podem alterar as configurações do computador, o que pode resultar em lentidão na conexão de Internet, mudanças não autorizadas de configurações do navegador, ou alterações nas configurações de software.
Em alguns casos, o spyware é incluído junto com o software genuíno, e pode vir de um fornecedor de software oficial. A execução de um software anti spyware tornou-se um elemento amplamente reconhecido de práticas de segurança de computadores, especialmente aqueles com Microsoft Windows. Diversos países já valem-se de leis anti spyware, que geralmente têm como alvo qualquer software que é secretamente instalado para controlar o computador de um usuário.
Termo Definição
Anti Malware É um tipo de ferramenta com a finalidade de interromper aplicações do tipo Malware, abreviação para o software malicioso, é um software usado ou criado por hackers para interromper o funcionamento do computador, recolher informações sensíveis, ou ter acesso a sistemas de computadores pessoais. Ele pode aparecer sob a forma de códigos, scripts ou outro software. "Malware" é um termo geral utilizado para designar uma variedade de formas de software hostil ou intruso. Malware inclui vírus, worms, cavalos de tróia, spyware, adware e outros programas maliciosos.
Malware não é o mesmo que software defeituoso, que é um software que tem um propósito legítimo, mas contém erros prejudiciais que não foram corrigidos antes do lançamento. No entanto, algum malware se disfarça de software genuíno, e pode vir de um site oficial da empresa. Um exemplo disso é um software usado para fins inofensivos que é embalado com software de rastreamento adicional que reúne estatísticas de marketing.
Malware tem causado o aumento do uso de tipos de software de proteção, como anti-vírus, anti-malware e firewalls. Cada um destes são comumente usados por usuários pessoais e redes corporativas, a fim de impedir o acesso não autorizado por outros usuários de computador, bem como a propagação automática de scripts maliciosos e software.
Termo Definição
Firewall pessoal Um firewall pessoal é uma aplicação que controla o tráfego de rede de e para um computador, permitir ou negar comunicações com base em uma política de segurança. Normalmente ele funciona como um firewall de camada de aplicação.
Um firewall pessoal difere de um firewall convencional em termos de escala. Uma firewall pessoal normalmente irá proteger apenas o computador no qual está instalado, em comparação com um firewall convencional, que normalmente é instalado sobre uma interface designada entre duas ou mais redes, tais como um router ou um servidor proxy. Assim, firewalls pessoais permitem que uma política de segurança a seja definida para computadores individuais, enquanto que um firewall convencional controla a política entre as redes que se conecta.
A maioria dos firewalls pessoais solicitará ao usuário quando uma nova rede é ligada pela primeira vez para decidir o nível de confiança, e pode definir as políticas de segurança individuais para cada rede.
Muitos firewalls pessoais são capazes de controlar o tráfego de rede por avisar o usuário cada vez que um aplicativo tenta uma conexão e irá se adaptar a política de segurança em conformidade. Firewalls pessoais também podem fornecer algum nível de detecção de intrusão, permitindo ao software de cancelar ou bloquear a conectividade onde suspeita que uma intrusão está sendo tentada.
Termo Definição
IPS – Intrusion
Prevention System
(Sistema de prevenção de intrusos)
Sistema de prevenção de intrusos evoluíram no final dos anos noventa para resolver as ambigüidades no monitoramento de rede passivo ao colocar a detecção em linha. No começo o IPS era apenas um IDS que possibilitava alguma interação com o firewall para controlar o acesso. Em pouco tempo foi necessário desenvolver algo mais robusto, uma vez que, apenas comandar o firewall ainda deixava que ao menos aquele pacote malicioso trafegasse na rede, a solução era implementar formas inteligentes de bloqueio dentro do IPS. Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação, e não apenas no endereço IP ou em portas como os firewalls tradicionais trabalham. Entretanto, nada impede que para otimizar a performance muitos IPS utilizem regras baseadas em portas e endereço IP.
O IPS também pode servir secundariamente como um serviço de nível de host, prevenindo atividades potencialmente maliciosas. Existem vantagens e desvantagens entre o IPS baseado em host e o IPS baseado em rede. Em alguns casos, as tecnologias podem ser complementares. Porém, não se pode esquecer que muita da tecnologia de IPS de rede evoluiu e hoje pode tranqüilamente exercer também as funções de host.
A qualidade de um sistema de prevençao de intruso está em ser um excelente detector de tráfego malicioso com uma média de falso positivo e falso negativa baixa.
Anti Zero-day Attack
(Anti Ataque dia zero ou zero-hora)
Um zero-day attack (ou zero-hora ou dia zero) ou ameaça é um ataque que explora uma vulnerabilidade até então desconhecida em uma aplicação de computador, o que significa que o ataque ocorre em "dia zero" de consciência da vulnerabilidade. Este significa que os desenvolvedores tiveram zero dias para resolver e corrigir a vulnerabilidade. Zero-dia exploits (ferramenta que usa uma falha de segurança para realizar um ataque) são usadas ou compartilhadas por atacantes antes de o desenvolvedor do software alvo conhecer sobre a vulnerabilidade.
GIT Gerencia de Infraestrutura Tecnológica
DOP Diretoria de Operações da IplanRio
Sistemas de Informação conjunto de componentes inter-relacionados que coleta (ou recupera) dados, processa, armazena e distribui informações destinadas a apoiar a tomada de decisões e o controle em uma organização.
Termo Definição
Situação recomendado Componente do padrão atende às políticas técnicas da e-PingRio, é reconhecido como um item que deve ser utilizado no âmbito das instituições de governo, mas ainda não foi submetido a um processo formal de homologação.
Situação transição Componente do padrão não recomendado, por não atender a um ou mais requisitos estabelecidos nas políticas gerais e técnicas da arquitetura; é incluído na e-PingRio em razão de seu uso significativo, tendendo a ser desativado/migrado/substituído assim que algum outro componente, em uma das duas situações anteriores (Adotado ou Recomendado) venha a apresentar condições totais de substituí-lo e melhor relação custo/benefício no processo de transição. Pode vir a ser considerado um componente “recomendado” caso venha a se adequar a todas as políticas técnicas estabelecidas. Convém salientar que o desenvolvimento de novos serviços ou a reconstrução de partes significativas dos já existentes deve evitar o uso de componentes classificados como transitórios.
Situação estudo Componente que está em avaliação e poderá ser enquadrado
numa das situações acima, assim que o processo de avaliação estiver concluído
Situação estudo futuro Componente ainda não avaliado e que será objeto de estudo posterior.