• Nenhum resultado encontrado

02 - Introdução

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "02 - Introdução"

Copied!
33
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 33 páginas )

Texto

(1)

Segurança em Sistemas Computacionais

Introdução

Prof. Esp. Gustavo Cardial

(2)

“Security mindset”

“This kind of thinking is not natural for most people. It's not natural for engineers. Good engineering involves thinking about how things can be made to work; the security mindset involves thinking about how things can be made to fail. It involves thinking like an attacker, an adversary or a criminal. You don't have to exploit the vulnerabilities you find, but if you don't see the world that way, you'll never notice most security problems.” (SCHNEIER, 2008)

(3)
(4)

Sistemas de Informação

(5)

Ambiente (que é hostil)

processamento

entradas saídas

(6)

Alguns elementos hostis

● Malwares

Do inglês, malicious softwares

● Hackers (curiosos)

(7)

Insiders

Mas atenção: não assumir que, pelo fato de o

ambiente ser hostil, todas as ameaças encontram-se fora da organização.

Exemplo: devemos nos proteger de eventuais funcionários mal intencionados.

(8)

Para obter sucesso, um atacante

deve ter...

Método

– Habilidades, conhecimento, ferramentas, entre outros,

para ser capaz de realizar um ataque

● Oportunidade

– Tempo e acesso para realizar um ataque

● Motivo

(9)

...e NINGUÉM está seguro

Ilusões recorrentes

“Ninguém teria tanto conhecimento...”

“Ninguém dedicaria tanto tempo e esforço...”

“Ninguém iria se interessar em

(10)

E o que devemos proteger dos

atacantes? Ativos de informação!

O nome “ativo” talvez não seja muito familiar a você, mas é muito utilizado no texto da norma ISO 27001. Por ativo entende-se qualquer componente (seja humano, tecnológico, software, etc) que sustenta um ou mais processos de negócio de uma unidade ou área de negócio.

Uma outra boa definição de ativo é tudo aquilo que tem valor para a sua empresa.

Fonte:

https://sites.google.com/a/realiso.com/realiso-corp/gestao-de-risco/-3-3-ativos-d e-informacao

(11)

Ativos de informação

Principalmente software, hardware, dados. Mas também redes, “acesso” e pessoas chave.

(12)

Da aula passada…

Segurança em sistemas computacionais

Tornar e manter SI’s seguros [protegê-los] para que

as informações com que eles lidam permaneçam seguras”

(13)

Mas o que é tornar um SI seguro?

Manter um SI seguro equivale a gerenciar certos aspectos de seus ativos de informação

● “CID”

– Confidencialidade – Integridade

(14)

Confidencialidade

Garante que um ativo é acessado somente por agentes autorizados. Por “acesso”, entende-se leitura, escrita ou mesmo saber que determinado recurso existe.

(15)

Integridade

Significa que um ativo pode ser modificado somente por agentes autorizados ou somente de modos permitidos. “Modificação”, neste contexto, inclui qualquer forma de escrita, mudança, remoção, troca ou adição.

(16)

Disponibilidade

Significa que o ativo é acessível aos agentes autorizados nos momentos apropriados. Noutras palavras, se alguém possui acesso a um determinado ativo, este acesso não deve ser impedido.

(17)

Qual das 3 metas da segurança da informação é

mais importante?

(18)

Importância das metas da

segurança da informação

● Depende do contexto!

● Para um sistema militar protegendo planos de

guerra, confidencialidade pode ser primordial.

● Para um banco protegendo dados financeiros,

integridade pode ser mais importante.

● Para uma loja virtual, disponibilidade pode

(19)

Metas adicionais

Se aplicam a contextos mais específicos. ● Autenticidade

– Saber a origem de um ativo ou de suas modificações

● Não-repúdio

(20)

Relação entre as metas

Confidencialidade

Integridade

Disponibilidade

Objetivo: gerenciá-las, manter um adequado equilíbrio entre elas.

(21)
(22)

Vulnerabilidade

Fraquezas em, por exemplo, procedimentos, requisitos, design ou implementação, que podem ser exploradas para causar dano a um ativo. Em outras palavras, para afetar negativamente pelo menos uma das metas de segurança do ativo em questão.

Exemplo: um sistema que não verifica a identidade dos usuários de modo apropriado, mostrando dados secretos a qualquer um, está vulnerável a acessos não autorizados.

(23)

Ameaças

Tudo o que possa explorar uma vulnerabilidade, intencionalmente ou acidentalmente, para comprometer uma ou mais metas de segurança de um ativo.

Exemplo: vírus de computador são uma ameaça a um computador sem anti-vírus, pois a inexistência de anti-vírus num computador é uma vulnerabilidade (fraqueza) que, se explorada, pode comprometer sua disponibilidade ou a integridade

(24)

Ameaças

Definição mais abrangente também encontrada na

literatura

“Conjunto de circunstâncias que têm o potencial de causar perda ou dano (comprometer uma ou mais metas de um ativo)”

Por tal definição…

– “Invasão de nossas instalações” também é uma ameaça

– “Roubo de nossos equipamentos” também é uma ameaça

Ou seja, não apenas o “possível atacante”, mas principalmente o que ele pode alcançar

(25)

Para a próxima aula

Identificar quais itens são ameaças, quais são vulnerabilidades, e relacionar os pares ameaça/vulnerabilidade mais pertinentes.

1) O servidor da nossa loja não possui anti-vírus atualizado.

2) Insiders mal intencionados podem disponibilizar informações confidenciais a adversários.

3) Extremistas querem desacreditar nossa organização. 4) As trancas que usamos são facilmente quebráveis.

5) Adversários podem instalar malware no servidor com o objetivo de roubar os números de cartão de crédito de nossos clientes.

6) No momento, os empregados não possuem um bom entendimento acerca de quais informações são confidenciais e quais não são, de forma que eles não podem protegê-las apropriadamente.

(26)

Mais conceitos

● Ataque

– Uma tentativa de explorar uma ou mais vulnerabilidades para causar

dano a um ativo (comprometendo uma ou mais metas de segurança).

● Controle

– Uma ação, dispositivo, procedimento ou técnica que remove ou reduz

uma vulnerabilidade.

● Impacto

– As consequências potenciais que um ataque bem sucedido pode

causar ao negócio

● Risco

– O potencial de que dada ameaça irá explorar vulnerabilidades e

causará danos a um ativo.

(27)

“Uma ameaça é bloqueada pelo controle de uma vulnerabilidade”

(28)

Juntando tudo

Manter um ativo de informação seguro é o mesmo que gerenciar suas três metas da segurança da informação. Ou seja, mantê-las no equilíbrio adequado.

O equilíbrio das metas pode ser alterado mediante ataques, que se dão com o encontro de ameaças com vulnerabilidades relacionadas.

Caso existam ameaças a um ativo, mas não existam vulnerabilidades que permitam a essas ameaças se concretizarem, o risco de um suposto ataque é nulo.

O risco também pode ser baixo, por exemplo, caso seu impacto no negócio seja irrelevante. Mesmo que existam diversas ameaças a um ativo, bem como vulnerabilidades que possam ser exploradas pelas ameaças.

Enfim, para manter o equilíbrio das metas de segurança para um ativo devem ser identificadas as ameaças e vulnerabilidades relacionadas ao ativo, e então aplicar controles para anular ou reduzir as vulnerabilidades. Sem as vulnerabilidades os ativos permanecerão seguros.

(29)

Portanto,

É relevante estudar vulnerabilidades, que podem permitir ataques no caso da existência de ameaças, bem como os controles que podem corrigir ou diminuir tais fraquezas.

(30)

Criptografia

Primeiro controle a ser estudado

Remove ou reduz vulnerabilidades que afetam quais das metas de segurança?

(31)

Para a próxima aula

Pesquisar 4 tipos de controle de segurança, dizer

quais metas de segurança ele afeta e justificar.

Enviar para o e-mail do professor antes da próxima aula.

(32)
(33)

Referências

Descarregar agora ( PDF - 33 páginas - 507.67 KB )

Documentos relacionados

Methodology for the evaluation of engineered in situ bioremediation: lessons from a case study

T.; A field trial of in situ chemical oxidation to remediate long term diesel contaminated Antartic soil;.. Cold

COMPETITIVIDADE BRASIL METODOLOGIA. Versão 2.0

Esse conjunto de variáveis compreende 38 variáveis econômicas divulgadas em bancos de dados internacionais e nacionais, bem como 18 variáveis de natureza qualitativa, provenientes

RELATÓRIO DE ACTIVIDADES

Este relatório da actividade do Provedor do Cliente incide sobre o período de Junho a Dezembro de 2009, com início a 2 de Junho, data do lançamento oficial do site do

NÚCLEO DE ESTUDOS EM DIREITOS HUMANOS (NESIDH - UFPR) E AO CENTRO DE ESTUDOS DA CONSTITUIÇÃO (CCONS - UFPR)

17 CORTE IDH. Caso Castañeda Gutman vs.. restrição ao lançamento de uma candidatura a cargo político pode demandar o enfrentamento de temas de ordem histórica, social e política

dia a dia 12 PUBLICIDADE LEGAL DIÁRIO DE S. PAULO - SEXTA-FEIRA/ 12 DE MARÇO DE 2021

NÃO havendo lance(s) no LOTE 02, os bens móveis serão divididos por segmentos/categorias conforme detalhamento a saber: LOTE 03 – Bens Móveis pertencentes a CATEGORIA AUDIO

DENSIDADE: UMA PROPOSTA DE ATIVIDADE PRÁTICA INVESTIGATIVA NO ENSINO DE CIÊNCIAS.

No sentido de reverter tal situação, a realização deste trabalho elaborado na disciplina de Prática enquanto Componente Curricular V (PeCC V), buscou proporcionar as

Relatório Econômico. e Perspectivas

• Não há inflação de alimentos, há inflação, causada por choques cambiais, auxílio emergencial, problemas fiscais e má gestão de estoques públicos;. • O Brasil precisa

Miniesternotomia na Cirurgia de Revascularização Miocárdica Preserva Função Pulmonar Pós-operatória

Portanto, o objetivo do presente estudo foi avaliar prospectivamente a função pulmonar no período pós- operatório (PO) precoce de pacientes submetidos à cirurgia de