Segurança da Informação Marcelo Piuma Agosto de 2005
Segurança da Informação
Marcelo PiumaAgosto de 2005
Agenda Principais tipos de ataques e os pontos fracos das
organizações Técnicos Humanos Organizacionais
Modelo de segurança Firewall IDS Política de Segurança
Comparação quantitativa e qualitativa de soluções Perguntas e Respostas
Principais tipos de Ataques
Marcelo PiumaAgosto de 2005
Principais tipos de Ataques
Ataque interno é o mais fácil de ser praticado, não existe necessidade de grandes conhecimentos
Cavalo de Tróia I Love You, The Quota Trojan Sniffers Captura de pacotes (modo promíscuo) Spoofing de IP Autenticação por falsificação de
IP DDoS (Denial of Service) Visa travar ou parar
serviços
Principais tipos de Invasores
Brincalhão Em busca do sucesso Espião Vândalos Acidental (P.O. problema do operador)
Qual o objetivo de uma invasão ?
Prejudicar! Obtenção de informações privilegiadas
(principalmente se não for detectado) Destruição de dados Paralisação de serviços ou funcionalidades da
empresa Prejuízo financeiro Vingança
Alguns números
Fonte: site da Módulowww.modulo.com.br
Para 78% dos entrevistados, as ameaças, os riscos e os ataques deverão aumentar em 2004.
42% das empresas tiveram problemas com a Segurança da Informação nos seis meses anteriores à pesquisa.
35% das empresas reconhecem que tiveram perdas financeiras. Já o percentual de empresas que não conseguiram quantificar essas perdas diminuiu de 72%, em 2002, para 65%, em 2003.
Vírus (66%), funcionários insatisfeitos (53%), divulgação de senhas (51%), acessos indevidos (49%) e vazamento de informações (47%) foram apontados como as cinco principais ameaças à segurança das informações nas empresas.
O percentual de empresas que afirmam ter sofrido ataques e invasões subiu de 43%, em 2002, para 77%, em 2003.
32% dos entrevistados apontam os hackers como os principais responsáveis por ataques e invasões de sistemas corporativos.
26% das empresas não conseguem sequer identificar os responsáveis pelos ataques.
Alguns números
Fonte: site da Módulowww.modulo.com.br
48% não possuem nenhum plano de ação formalizado em caso de invasões e ataques.
60% indicam a internet como principal ponto de invasão em seus sistemas.
58% dos entrevistados sentem-se inseguros para comprar em sites de comércio eletrônico por causa da sensação de falta de segurança.
A falta de consciência dos executivos é apontada por 23% dos entrevistados como o principal obstáculo para implementação da segurança.
63,5% dos entrevistados adotam a ISO 17799 como a principal norma que norteia suas empresas.
Política de Segurança formalizada já é realidade em 68% das organizações.
Apenas 21% das empresas afirmaram possuir um Plano de Continuidade de Negócios (PCN) atualizado e testado.
Alguns números
Fonte: site da Módulowww.modulo.com.br
60% das empresas fazem Planejamento de Segurança, sendo que 27% possuem Planejamento para até 1 ano.
A área de Tecnologia (49,5%) continua sendo a principal responsável pelo gerenciamento da Segurança da Informação nas empresas, seguida pela área específica, Security Office, com 25,5%.
Pelo terceiro ano consecutivo, antivírus (90%), sistemas de backup (76,5%) e firewall (75,5%) foram apontados como as três medidas de segurança mais implementadas nas empresas.
60% afirmam que os investimentos de suas empresas em Segurança para 2004 vão aumentar.
Análise da Pesquisa
Podemos facilmente identificar os pontos fracos Técnicos Organizacionais Humanos
Vamos tratar aqui os dois maiores Técnicos Ambiente Seguro (Fw, IDS,
etc.) Organizacionais Analise de Risco e Política de
Segurança
Minimizando os Riscos
Marcelo PiumaAgosto de 2005
Analisando os Riscos
Primeira pergunta Corremos riscos ? Resposta é sempre SIM
Existe: SIM e sim
Muitos fatores influenciam na análise do risco e na modelagem de uma solução de segurança Presença na WEB com servidor próprio Riscos de informações confidenciais (ramo de atividade) Escritórios regionais (necessidade de VPN ou Link Privado) Solução de EXTRANET Política de RH (problema do bom senso) Históricos da empresa e do setor
Uma Solução!nada é 100% seguro
Firewall nível de rede Filtro de Pacotes Facilidade de uso / gerenciamento Menor TCO Menor exigência de hardware
Firewall de Gateway de Aplicativo IDS (intruder detection system) Scanner / TripWire / Nagios Inventário de Hardware e Software Política de Segurança (PDSI)
Montando um projeto de Segurança
Pontos de convergência são fundamentais Maior facilidade para implantação de IDS Diminui o TCO Recovery mais rápido
Fornecer segurança física para os servidores Servidores devem ser, preferencialmente,
BASTIONS Saber exatamente o que está sendo executado Amadorismo em segurança é o mesmo que não
ter segurança, nem gaste dinheiro!
Montando um projeto de Segurança
Lei do previlégio mínimo Defesa em profundidade Ponto de Aferição Elo mais fraco O que fazer em caso de falha Segurança pela obscuridade PARTICIPAÇÃO UNIVERSAL
Firewall Nivel de Rede
Devem trabalhar em conjunto com os roteadores Roteadores previnem contra IP implementados no RFC Roteadores trabalham com access-lists ICMP
Os firewalls devem restringir a passagem das portas/protocolos mais perigosas
Monitoramento por IDS até das portas fechadas Bom senso: certas portas podem ser necessárias
para serviços vitais para a empresa
As Portas mais comuns
Executar o bloqueio de endereços forjados ("spoofed" addresses) Pacotes originários do mundo exterior com origem de
redes privadas (endereços internos previstos na RFC 1918 e rede 127) devem ser bloqueados.
Serviços de Login telnet (23/tcp), SSH (22/tcp), FTP (21/tcp), NetBIOS
(139/tcp), rlogin (512/tcp até 514/tcp)
As Portas mais comuns
X Windows Range de portas de 6000/tcp até 6255/tcp
Serviços de DNS Bloqueio de DNS (53/udp) para todas as máquinas que
não são servidores de DNS, transferência de zona (53/tcp) exceto de servidores de DNS secundários. Bloqueio do serviço de armazenamento de diretórios LDAP (389/tcp e 389/udp)
Mail SMTP (25/tcp) para todas as máquinas que não são
relays externos, POP (109/tcp e 110/tcp) e IMAP (143/tcp)
As Portas mais comuns
Web Bloqueio de HTTP (80/tcp) e SSL (443/tcp) exceto para
servidores que provem serviços web para acesso externo. Outro bloqueio considera as portas altas utilizado por serviços HTTP como Proxy (8000/tcp, 8080/tcp,8888/tcp etc.)
"Small Services“ Portas abaixo da 20/tcp e 20/udp e serviço time (portas
37/tcp e 37/udp) Miscellaneous
TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/tcp), LPD (515/tcp), syslog (514/udp), SNMP (161/tcp e 161/udp, 162/tcp e 162/udp), BGP (179/tcp) e SOCKS (1080/tcp)
As Portas mais comuns
ICMP Bloqueio de requisições de echo request (ping e
Windows traceroute), bloqueio de saída de echo replies, time exceeded, e mensagens do tipo unreachable.
RPC e NFS Portmap/rpcbind (111/tcp e 111/udp), NFS (2049/tcp e
2049/udp), lockd (4045/tcp e 4045/udp)
NetBIOS no Windows NT Portas 135 (tcp e udp), 137 (udp), 138 (udp), 139 (tcp).
No Windows 2000 adicionar porta 445(tcp e udp)
O “Problema” P2P É uma mudança de paradigmas
Acaba a visão de cliente / servidor É sem dúvida uma tendência realidade
• Messenger, Kazaa e etc.
É um tormento para qualquer CSO (chief security officer) Esses sistemas usam portas específicas, porém
buscam portas comuns como 80 (HTTP) Uma boa saída é através da PDSI (Plano
Diretor de Segurança da Informação) Inventário de Hardware e Software
IDS
Tem a função de detectar tentativas de invasão
Funcionam por monitoramento das portas dos servidores vulneráveis
Existem excelentes soluções implantadas com open source (LINUX), como por exemplo o SNORT com auxílio do ACID
SNORT SNARF Gerenciador de Log Usar sempre um banco de dados para
armazenamento do monitoramento, estatística
IDSExistem problemas
Falsos Alarmes Falso Negativo Falso Positivo
Erros de interpretação Muitos logs para serem analisados O dia-a-dia Manter as regras atualizadas
Implantando IDS
Scanner/Tripwire/Nagios
É fundamental saber as nossas vulnerabilidades Scanner (nessus) Tripwire (software que detecta alterações nos
arquivos do sistema) • Soma de verificação criptográfica
Nagios• Monitoramento de Serviços• Monitoramento de espaço em disco, processador, etc.• Paralização de serviços• Etc…
Tripwire Manager
Nagios
Nessus
Inventário
O princípio básico da segurança é conhecer as necessidades e vulnerabilidades
É muito importante ter um inventário de hw e sw
Software não só para licenciamento, mas também para buscar programas “suspeitos” inclusive P2P
Existem soluções para todos os mundos
PDSIPlano Diretor de Segurança da
Informação Tem sido a grande vedete e também a grande vilã Existem problemas legais que precisam ser
resolvidos e não dependem apenas da comunidade tecnológica
Um empresa que “pensa” segurança precisa ter ao menos um “rascunho” Regras: “melhor ter algumas, por pior que sejam, do que
não ter nenhuma”
Simples e objetivo factível A regra para elaboração de um PDSI é bom senso
Auxílio de quem já fez é sempre positivo
Contato
Marcelo PiumaDiretor de Tecnologia
www.duettech.com.brAv. do Batel, 1230 / 501 – BTC
Curitiba - Paraná(41) 3077-1919 Ramal 18