Artigo/Notícia:

  Sistemas de Segurança para os Sistemas de Informação
  Data:   29/11/2005
  Autor:   Alessandro Manotti
  Fonte:   FERNANDOFERREIRA.COM
   
 

A atual competitividade corporativa, a necessidade de ampliação dos canais de divulgação e venda de produtos, cada vez mais aumenta a necessidade de se migrar os negócios para o mundo digital, on-line, via Internet, ... mas será que isso é SEGURO ? 

NÃO, se a empresa deixar de mapear os seus riscos ao qual estará exposta neste cenário, e implementar a segurança adequada, com certeza poderá perder dinheiro, clientes e até mesmo a sua reputação no mercado. 

A pesquisa anual “FBI 2005, TENTH ANNUAL CSI/FBI COMPUTER CRIME AND SECURITY SURVEY 2005”, revela os principais tipos de ataques à qual a maioria das empresas está exposta (naquelas onde foi possível a medição...): 

 Vamos explorar o TOP5 destes, pelo percentual de empresas que admitiram ataques: 

·         75% – Vírus : Código/Programa “malicioso” que objetiva danificar, roubar informações ou paralisar sistemas;

·         50% – Abuso de acesso a Rede por pessoal interno : Acesso atribuído indevidamente, ocasionando roubo, destruição ou fraude;

·         50% - Roubo de Notebook ou Equipamento Portátil (PDA - ex: Palm, Celular,...) : Roubo com intenções de revenda de equipamento ou obtenção de informações confidenciais;

·         30% - Acesso Não Autorizado às Informações : Acesso mal-intencionado às informações, invasões, com a finalidade de roubo, destruição ou fraude;

·         30% - Negação de Serviço – DOS (Denial of Service) : Paralisação do sistema alvo, por meio de geração de transações/requisições em número mais elevado do que este sistema pode suportar. 

Agora tomemos abaixo alguns exemplos de sistemas de segurança, que quando configurados corretamente e com o auxílio de políticas e procedimentos formalizados de segurança da informação e pessoal devidamente treinado auxiliam MUITO como CONTRAMEDIDAS na contenção destas ameaças. 

Anti-vírus 

Contramedida a:  

Vírus, Acesso Não Autorizado às Informações, Negação de Serviço -DOS

 O que faz:

Programa de computador que possui listas das características de vírus conhecidos mundo afora, estas listas são comparadas aos arquivos do computador, e-mails, mídias diversas (CD, Pen Drive, Fitas ...) para a detecção ou remoção dos arquivos infectados.

Como estas listas de vírus são obtidas de diversas bases de conhecimento pelo mundo, e novos vírus aparecem a cada segundo, estas devem ser atualizadas em periodicidade diária e de forma automática. 

Como Previne: 

O risco de Infecção por vírus é reduzido por meio de especificações/configurações para:

·         Atualização automática das listas de vírus.

·         Varredura em memória, arquivos e mídias de armazenamento.

·         Execução diária agendada nas estações de trabalho e servidores.

·         Impossibilidade de alteração destas configurações pelos usuários.

·         Processos formalizados para orientar os usuários como proceder em caso de Infecção por vírus. Ex. Acionar área de gestão de incidentes, segurança da informação,... 

IPS - Intrusion Prevention System, IDS - Intrusion Protection System: Sistemas de Prevenção e Detecção de Intrusos 

Contramedida a:  

Abuso de acesso a Rede por pessoal interno, Acesso Não Autorizado às Informações, Negação de Serviço  - DOS 

O que faz:

Software de monitoramento de tráfego de rede que possui base de dados com informações que possibilitam a identificação de um ataque via rede (interna ou externa) por meio de abordagem :

·         Preventiva (IPS): Estudo do comportamento desta rede em condições normais (inteligência artificial) e geração de Alarmes/Avisos aos administradores quando este comportamento é alterado.

·         Reativa (IDS): Identificação do ataque em andamento e geração de Alarmes/Avisos aos administradores.

Quando há um intruso (como o Hacker, Cracker, …) tentando acessar a rede por meios não convencionais, vasculhando serviços em busca de obtenção de informações da rede, pacotes, consumindo maior banda e gerando tráfego intenso (tentativa de Negação de Serviço - DOS), enviando grandes quantidades de e-mails (SPAM), estes Alarmes/Avisos possibilitam que os administradores de rede, ou o grupo de resposta a incidentes, possam atuar na identificação destes ataques e acionem em tempo hábil as contramedidas (pró-ativas ou reativas) de contenção.

Como Previne:

Diferentemente do IPS, que monitora a rede por condições particulares com base no histórico do comportamento do tráfego desta (inteligência artificial), o IDS possui algumas características constantes de monitoração por meio de:

Monitoramento de pacotes na rede : “cheirando” (sniffing) o tráfego de rede para a identificação de possíveis ataques de envio demasiado de pacotes cuja rede Alvo fica impossibilitada de processá-los (ocasionando Negação de Serviço – DOS), sendo o  hacker, cracker,..., executando o ataque de um único computador ou mesmo através de uma rede internacional de computadores infectados por vírus que realizam este ataque automaticamente.

Verificação de integridade do sistema : monitora os arquivos de sistema para verificar se algum intruso os modificou.

Monitores de Logs : monitora arquivos de log gerados pelos serviços da rede (e-mail, ftp, http, telnet, mysql ...) comparando os registros dos logs à sua lista de exemplos de ataques a qual, como o anti-vírus deve estar sempre atualizada.

Sistemas “Isca” : (ex: honeypots – “uma isca” pote de mel) que criam pseudo-serviços (e-mail, ftp, http, telnet, mysql ...) vulneráveis em uma rede, para enganar e detectar a tentativa de intrusão a esta rede por hackers ou crackers, que podem ser identificados nesta armadilha, sem causar destruição à rede verdadeira.  

Firewall: Filtro para Tráfego de Rede  

Contramedida a:  

Abuso de acesso a Rede por pessoal interno, Acesso Não Autorizado às Informações, Negação de Serviço  - DOS 

O que faz:

Restringe acesso a redes, subredes, recursos e serviços da rede a computadores específicos ou outras redes internas ou externas (ex: Internet) por meio de configuração de regras específicas (rules).

Essas configurações devem ser planejadas adequadamente para serem feitas de acordo com a característica dos serviços de rede disponibilizados pelas redes, subredes, dispositivos e servidores, para CONTROLAR, na base do mínimo acesso necessário e NÃO para INDISPONIBILIZAR os serviços a quem precisa. 

Como Previne: 

Para a garantia do bom funcionamento dos equipamentos de rede (firewalls, servidores de rede, roteadores, bridges, concentradores, switches), sem o comprometimento da segurança, devemos configurá-los para:

·         Filtrar tipos de tráfego específicos, incluindo endereços IP, portas TCP ou informações a respeito do estado da comunicação e usuários.

·         Bloquear ou restringir tipos particulares de tráfego, principalmente aqueles que podem originar ataques de Negação de Serviço – DOS.

·         Limitar o uso de comunicações para evitar abusos.

·         Alarmar frente a condições de “overload” (sobrecarga) ou condições anormais.

·         “Logar” (gerar registro) dos  eventos de forma adequada para posterior leitura e investigação, bem como registrá-los também em outro computador para impedir a “deleção” das pistas após um ataque.

·         Manter backup de tabelas e logs de configuração, mantendo-os sob acesso controlado.

·         Restringir sua utilização a pessoal autorizado, por exemplo utilizando ferramentas de controle de acesso que possibilitem a geração de logs para auditoria.

·         Desabilitar serviços desnecessários, que não são requeridos para a operação da rede.

Criptografia: do Grego Criptós Gráfos (Κρυπτός Γράφος) = Escrita Secreta 

Contramedida a:

Roubo de Notebook ou Equipamento Portátil (PDA - ex: Palm, Celular,...), Abuso de acesso a Rede por pessoal interno, Acesso Não Autorizado às Informações, Negação de Serviço  - DOS 

O que faz: 

Sistemas (ou algoritmos como DES, 3DES, RSA, ...) de codificação para embaralhamento e descaracterização de mensagens desenvolvidos desde a antigüidade, muito utilizado durante a 2ª. Guerra Mundial, para a garantia da confidencialidade dos segredos militares. 

Estes sistemas permitem que a mensagem seja embaralhada/desembaralhada (criptografada/descriptografada) por meio da custódia (guarda) de Chave(s) Criptografica(s), ou seja um código pessoal específico que permite o retorno da mensagem a sua condição original, impossibilitando a utilização desta em caso de roubo durante a chegada ao destinatário.

Como Previne: 

Existem dois tipos de Criptografia, que se caracterizam pela quantidade e guarda das chaves: 

Criptografia Simétrica: Uma única Chave Criptográfica mantida entre as partes, Origem (Emissor) e Destino (Receptor) é utilizada para o embaralhamento/desembaralhamento da mensagem. 

Criptografia Assimética: Chaves distintas (Publica e Privada) entre as partes são utilizadas para o embaralhamento/desembaralhamento da mensagem, sendo assim o Emissor não possui a Chave Privada (pessoal) do Receptor e vice versa.   

Mas cuidado, apesar dos grandes benefícios em termos de confidencialidade, o processo de criptografia pode exigir grande custo de desempenho, tempo de processamento e custo de equipamentos, para isso é IMPORTANTÍSSIMA uma análise muito cautelosa de custo X benefício para a adequada implementação deste tipo de solução. 

 * * *

Alessandro Manotti, CISA – alessandromanotti@hotmail.com

Profissional há nove anos na área Auditoria de Sistemas e Segurança da Informação, atuando em instituições financeiras e consultorias no Brasil e Exterior.
       
       
                    
       
 

Contribua enviando seus artigos e publicações para webmaster@fernandoferreira.com.