Visao Geral Dos Riscos

Pensando em Ameaas e Riscos
VULNERABILIDADES
Ausncia de proteo cobrindo uma ou mais ameaas. Fraquezas no sistema de proteo. No importa a definio usada, vulnerabilidades so claramente associadas com ameaas.
INE5630 SEGURANA EM COMPUTAO DISTRIBUDA
Prof. Joo Bosco M. Sobral
Exemplos
A ameaa a acesso no autorizado est ligada a controles de acesso inadequados. A ameaa de perda de dados crticos e apoio ao processamento se deve ao planejamento de contingncia ineficaz.
Um outro exemplo
A ameaa de incndio est associada a vulnerabilidade da preveno contra incndio inadequada. Ameaas podem atingir determinados bens.
Bens
Bens Tangveis Aqueles que so paupveis: HW, SW, suprimentos, documentaes, ... Bens Intangveis Pessoa, reputao, motivao, moral, boa vontade, oportunidade, ...
Bens
Os bens mais importantes so as informaes. Informaes ficam em algum lugar entre os bens tangveis e os intangveis.
Informaes Sensveis
Informaes, que se perdidas, mal usadas, acessadas por pessoas no autorizadas, ou modificadas, podem prejudicar uma organizao, quanto funcionamento de um negcio, ou a privacidade de pessoas.
Ameaas
Uma ameaa um evento que acarreta algum perigo a um bem. Evento um fato causador de perda. Exemplo de evento-ameaa: um email de autenticidade forjada com um cavalo de tria.
Agente de uma Ameaa

uma entidade que pode iniciar a ocorrncia de uma ameaa. Entidade: uma pessoa (o invasor, intruso). ( desastres naturais, incndio, falha de HW ??? ) Em todas as ameaas deste captulo, uma pessoa o agente do erro e um computador a vtima.
Ameaas No Intencionais
Erros humanos, Falhas em equipamentos, Desastres naturais, Problemas em comunicaes.
Ameaas Intencionais
Furto de informao, Vandalismo, Utilizao de recursos, violando as medidas de segurana.
Consequncias
Referem-se aos resultados indesejados da ao (ocorrncia) de uma ameaa contra um bem, que resulta em perda mensurvel para uma organizao.
Risco
uma medida da probabilidade da ocorrncia de uma ameaa. a probabilidade do evento causador de perda ocorrer. Um risco corresponde ao grau de dano. Quase todo risco tem uma consequncia, que pode ser de difcil previso.
Ameaas, Riscos
Ameaas variam em severidade. Severidade: grau de dano que a ocorrncia de uma ameaa pode causar a um sistema. Riscos variam em probabilidade.
Objetivo da Segurana da Informao

Controlar o acesso s informaes. Somente pessoas devidamente autorizadas devem estar habilitadas a apreciar, criar, apagar ou modificar informaes.
Controle de Acesso impe quatro requisitos

(1) Manter confidenciais informaes pessoais sensveis. (2) Manter integridade e preciso das informaes e dos programas que a gerenciam.
Controle de Acesso impe quatro requisitos

(3) Garantir que os sistemas, informaes e servios estejam disponveis (acessibilidade) para aqueles que devem ter acesso. (4) Garantir que todos os aspectos da operao de um SI estejam de acordo com as leis, regulamentos, licenas, contratos e princpios ticos estabelecidos (tica).
Sobre requisitos
Impedir acesso a alguns usurios (requisito 1) e autorizar fcil acesso a outros (requisito 3) requer filtragem muito bem feita. Filtragem, corresponde a introduo de controles de segurana que visem a reduzir riscos.
Confidencialidade Integridade Acessibilidade Leis / tica
Cavalos de Tria Vrus Worms Vazamento de Informaes Elevao de Privilgios Pirataria Emanaes Falhas de Hardware Fraude
Falsificao Backdoor Erros Humanos Impedimento de Uso Desfalque Informaes Imprecisas Incndios ou Desastres Naturais Bombas Lgicas Erro de Representao
Danos intencionais em dados ou programas. Sniffers Sobrecarga Entrada Inesperada Erros de Programao Sabotagem Controle de verso. Furto
Cavalo de Tria
Programa que se apresenta executando uma tarefa e na realidade faz outra. Ameaa : C, I, A. Preveno: muito difcil. Deteco: pode ser muito difcil. Severidade: potencialmente muito elevada.
Vrus
um programa que infecta outros programas por modific-los. A modificao inclui uma cpia do vrus, o qual pode ento infectar outros. Ameaa : I, A Preveno: pode ser difcil. Deteco: normalmente imediata. Severidade: pode ser baixa ou potencialmente muito elevada.
Worms
um programa de rede que usa conexes de rede para se espalhar de sistema a sistema. Uma vez ativo, dentro de um sistema, um worm pode comportar-se como a vrus, pode implantar programas cavalos de tria ou realizar qualquer ao destrutiva. Um worm se replica usando algum veculo de rede: facilidade de email, capacidade de execuo remota e capacidade de login remoto.
Worms
Ameaa : Integridade, Acessibilidade. Preveno: pode ser difcil. Deteco: normalmente imediata, atravs de antivrus. Severidade: pode ser baixa ou potencialmente muito elevada.
Pirataria de Software
Cpia ilegal de software e documentao e reembalagem para comercializao. Ameaa : Leis / tica Preveno: muito difcil. Deteco: Pode ser difcil. Frequncia: extremamente comum. Severidade: Potencialmente muito elevada.
Erros de Programadores
Erros naturais de programao ao codificar, provocando bugs em propores alarmantes. Ameaas : C, I, A Preveno impossvel. Deteco: s vezes difcil Frequncia: comum. Severidade: potencialmente muito elevada.
Sniffers
Programas que podem ler qualquer aspecto de trfego em uma rede, como por exemplo, capturando senhas, emails e arquivos. Ameaa : Confidencialidade. Preveno: impossvel. Deteco: possivelmente detectados. Severidade: potencialmente muito elevada.
Desfalque
Normalmente se refere a furto de dinheiro. Ameaa : integridade e recursos. Preveno: difcil. Deteco: pode ser difcil. Frequncia: desconhecida. Severidade: potencialmente muito elevada.
Fraude
Qualquer explorao de sistema de informao tentando enganar uma organizao ou tomar seus recursos. Ameaa : Integridade. Preveno: difcil. Deteco: difcil. Frequncia: desconhecida. Severidade: potencialmente muito elevada.
Falsificao
Criao ilegal de documentos ou registros, intencionalmente produzidos como reais. Ameaa : I e outros recursos. Preveno: pode ser difcil. Deteco: pode ser difcil. Frequncia: desconhecida. Severidade: potencialmente muito elevada.
Backdoor
Um programa que colocado numa mquina, como se fosse um servio associado a uma porta, mas que tem a incumbncia de fazer uma intruso. Ameaa : C. I, A. Preveno: muito difcil. Deteco: possivelmente detectvel. Severidade: potencialmente muito elevada.
Controles e Protees
Controles so esforos que reduzem a probabilidade associada aos riscos. Protees so controles fsicos, mecanismos, polticas, ou seja, procedimentos que protegem os bens de ameaas. Exemplos de proteo: alarmes, senhas, biometria, mtodos de autenticao.
Protees
Os tipos de protees selecionados dependem da funo pretendida dos bens e valores. Na indstria privada ou reparties do governo, a disponibilidade e a integridade dos bens podem ser a preocupao bsica. No meio militar, a confidencialidade pode ser mais importante.
Custos das Medidas

Os gastos com segurana devem ser justificados como qualquer outro. A chave para selecionar medidas de seguranas adequadas a habilidade de estimar a reduo em perdas depois da implementao de certas protees.
Custo-Benefcio
Uma anlise de custo-benefcio permite justificar cada proteo proposta. O custo das medidas de segurana deve ser sempre inferior ao valor das perdas evitadas (ou danos que podem ser causados).
Exposies
Exposies so reas (redes, mquinas, ... ) com probabilidade de quebra maior que outras.
Objetivos do Especialista em Segurana

Apresentar controles para modificar as exposies, de modo que todos os eventos de determinada severidade tenham a mesma probabilidade. Minimizar o custo de controles, ao mesmo tempo, maximizando a reduo de exposies.
Gerenciamento de Riscos
Engloba o espectro de atividades, incluindo os controles, procedimentos fsicos, tcnicos e administrativos, que levam a solues de segurana de baixo custo.
Procura obter as protees mais efetivas contra ameaas intencionais (deliberadas) ou no intencionais (acidentais) contra um sistema computacional.
Tem quatro partes fundamentais. Anlise de Risco (determinao de risco) Seleo de Proteo Verificao Tcnica Planejamento de Contingncia
Anlise de Risco
Pedra fundamental da gerncia de riscos. Procedimentos para estimar a probabilidade de ameaas e perdas que podem ocorrer devido a vulnerabilidade do sistema. O propsito ajudar a detectar protees de baixo custo e prover o nvel de proteo necessrio.
Seleo de Proteo
Os gerentes devem selecionar protees que diminuem certas ameaas. Devem determinar um nvel de risco tolervel e implementar protees de baixo custo para reduzir perdas em nvel aceitvel.
Seleo de Proteo
As protees podem atuar de diversos modos: - Reduzir a possibilidade de ocorrncia de ameaas. - Reduzir o impacto das ocorrncias das ameaas. - Facilitar a recuperao das ocorrncias das ameaas.
Seleo de Proteo
A gerncia deve focalizar reas que tm grande potencial para perdas. As protees devem ter boa relao custo-benefcio, isto , trazer mais retorno que os gastos com implementao e manuteno.
Verificao das Protees

Verificao tcnica de que as protees e controles selecionados so adequados e funcionam corretamente. Importante em gerncia de risco.
Planejamento de Contingncia
Eventos indesejados acontecem, independente da eficincia do programa de segurana.
Planejamento de Contingncia
um documento ou conjunto de documentos que permitem aes antes, durante, e depois da ocorrncia de evento no desejado (desastre) que interrompe operaes da rede. Permite uma resposta controlada que minimiza danos e recupera operaes o mais rpido possvel.
Causas quase catastrficas ou catastrficas

Utilizao de Dados de Teste em ambientes produtivos. Software prejudicial intencional. Incndio, inundao. Falha de Perifrico. Falha de Comunicao. Furto de bens fsicos. Defeito na fonte energia, picos de tenso.
Plano de Contingncia
Deve detalhar: - responsabilidades - aes antes da ocorrncia ... - aes durante ... - aes de recuperao ... - aes para restabelecer operaes normais de uma rede.

Visao Geral Dos Riscos

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Visao Geral Dos Riscos

Uploaded by

Copyright:

Available Formats

Pensando em Ameaas e Riscos

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Agente de uma Ameaa

Prof. Joo Bosco M. Sobral

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Objetivo da Segurana da Informao

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Controle de Acesso impe quatro requisitos

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Controle de Acesso impe quatro requisitos

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Confidencialidade Integridade Acessibilidade Leis / tica

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

Custos das Medidas

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Objetivos do Especialista em Segurana

Prof. Joo Bosco M. Sobral

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA

Prof. Joo Bosco M. Sobral

Prof. Joo Bosco M. Sobral

INE5630 SEGURANA EM COMPUTAO DISTRIBUDA