GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Prof. Kleber Carrhá
Aula 3: Vulnerabilidades de Segurança
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
CONTEÚDO PROGRAMÁTICO
• O que são Vulnerabilidades
• Classificação das Vulnerabilidades
• Análise das Vulnerabilidades
• Teste de Vulnerabilidades
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
IMPORTANTE
O profissional da área de Tecnologia da Informação atua diretamente no planejamento, implementação e implantação de soluções de TI nas organizações. Desta forma, é imprescindível que entenda o que é vulnerabilidade dentro do contexto organizacional, os principais tipos existentes e as principais ferramentas de análise de vulnerabilidade de segurança.
Afinal segurança 100% não existe.
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
O QUE SÃO VULNERABILIDADES
Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos.
Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
Fragilidade presente ou associada a ativos que manipula ou processam informações que, ao ser explorada por ameaças, permitem a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios de segurança da informação(CID).
Uma ameaça é um possível perigo que pode explorar uma vulnerabilidade.
O QUE SÃO VULNERABILIDADES
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
CLASSIFICAÇÃO
• Físicas:
- Instalações prediais fora dos padrões de engenharia;
- Salas de servidores mal planejadas;
- Falta de extintores, detectores de fumaça e de outros recursos para detecção e combate a incêndio.
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
• Naturais:
- Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia);
- Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura).
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
• Dados importantes para a organização podem ser:
- Divulgados indevidamente (deixando de ser confidenciais), destruídos (deixando de estar disponíveis) ou corrompidos (deixando de ser íntegros);
- Roubados por outras organizações, visando compartilhar a vantagem competitiva representada por estes;
- Apagados ou modificados por outras organizações, de forma a anular esta vantagem competitiva.
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
• Hardware:
-Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso);
-Erros durante a instalação;
-A ausência de atualizações de acordo com as orientações dos fabricantes dos programas utilizados;
-A conservação inadequada dos equipamentos.
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
• Software:
- Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários;
- A configuração e a instalação indevidas dos programas de computador/sistemas operacionais, podem levar ao uso abusivo dos recursos por parte de usuários mal- intencionados.
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
• Mídias de armazenamento:
- Discos, fitas, relatórios e impressos em geral podem ser perdidos ou danificados;
- Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas;
- Erro de fabricação.
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
• Comunicações:
-Acessos não autorizados ou perda de comunicação;
-A ausência de sistemas de criptografia nas comunicações ; -A má escolha dos sistemas de comunicação para envio de mensagens de alta prioridade da empresa.
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
• Humanas:
- Falta de treinamento;
- Compartilhamento de informações confidenciais;
- Falta de execução de rotinas de segurança;
- Erros ou omissões;
- Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.).
CLASSIFICAÇÃO
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
Vulnerabilidades por si só não provocam incidentes, pois são elementos passivos, necessitando para tanto de um agente causador ou uma condição favorável que são as ameaças.
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
ANÁLISE DAS VULNERABILIDADES
A Análise das vulnerabilidades tem por objetivo verificar a existência de falhas de segurança no ambiente de TI das empresas. Esta análise é uma ferramenta importante para a implementação de controles de segurança eficientes sobre os ativos de informação das empresas.
É realizada através de um levantamento detalhado do ambiente computacional da empresa, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços que fornece ou desempenha. Esta análise compreende todos os ativos da informação da empresa.
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
ANÁLISE DAS VULNERABILIDADES
Tecnologias:
-Software e hardware usados em servidores, estações de trabalho e outros equipamentos pertinentes, como sistemas de telefonia, rádio e gravadores;
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
ANÁLISE DAS VULNERABILIDADES
Processos:
-Análise do fluxo de informação, da geração da informação e de seu consumo. Analisa também como a informação é compartilha entre os setores da organização.
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
ANÁLISE DAS VULNERABILIDADES
Pessoas:
-As pessoas são ativos da informação e executam processos, logo, precisam ser analisadas.
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
ANÁLISE DAS VULNERABILIDADES
Ambientes:
-É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão instalados os componentes de tecnologia. Este item é responsável pela análise de áreas físicas.
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
TESTE DE VULNERABILIDADE
-As portas do protocolo TCP/IP que encontram-se desprotegidas (abertas);
-Os sistemas operacionais utilizados;
-Patches e service packs (se for o caso) aplicados;
-Aplicativos instalados;
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
TESTE DE VULNERABILIDADE
-Bugs específicos dos sistemas operacionais/ aplicativos;
-Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos;
-Falhas nos softwares dos equipamentos de comunicações;
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
TESTE DE VULNERABILIDADE
-Fraquezas nas implementações de segurança dos equipamentos de comunicação;
-Fraqueza de segurança/falhas nos scripts que executam nos servidores web;
-Falhas nas implementações de segurança nos compartilhamentos de rede entre os sistemas e pastas de arquivos.
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
IMPORTÂNCIA TESTE DE VULNERABILIDADE
-Identificar e corrigir vulnerabilidades de rede;
-Proteger a rede de ser atacada por invasores;
-Obter informações que auxiliam a prevenir os problemas de segurança;
-Obter informações sobre vírus;
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Aula 3: Vulnerabilidades de Segurança
IMPORTÂNCIA TESTE DE VULNERABILIDADE
-Conhecer as fragilidades de redes de computadores;
-Conhecer os alertas de segurança antes de um ataque de rede;
-Conhecer como recuperar uma rede após um ataque.
